Il piano è di avere una situazione in cui non ci si possa fidare di terzi se non lo si specifica esplicitamente. Ad esempio, le CA vengono utilizzate solo quando il contatto ha aggiunto esplicitamente la CA come parte attendibile (non ci sarà nulla che le CA di root o le CA di fiducia firmino altre CA).
Metodi che ho raccolto finora:
- Esempio CA precedente.
- Utilizzo di un web-of-trust.
- Invio di una password una tantum a una chiave pubblica non autenticata, richiedendo che questa password ti venga rispedita attraverso un altro supporto per dimostrare che sei tu. Come un SMS da un numero conosciuto in anticipo o faccia a faccia. Dal momento che solo il portachiavi privato sarebbe in grado di conoscere questa password dimostra di essere il proprietario.
Esistono altri modi per autenticare i proprietari dei certificati quando non sei vincolato dagli standard ma non puoi distribuire l'hardware in anticipo?
Per chiarire: Si tratta di verificare che il portachiavi privato sia davvero la persona che si ritiene debba essere il titolare. Quindi in altre parole si tratta di autenticare l'identità del proprietario del certificato. Così come: "Ehi [email protected]! Sei davvero il Frank che conosco dalla classe?"