Perché i key server PGP esistenti non eseguono la verifica della posta elettronica? Non aiuterebbe il problema di autenticare le chiavi pubbliche?
Per verifica / conferma via e-mail intendo una singola e-mail inviata all'indirizzo e-mail della chiave pubblica. La chiave pubblica verrà pubblicata solo se il proprietario dell'indirizzo e-mail conferma la chiave.
Alcuni lo fanno. keyserver.pgp.com fa per esempio ed è un'utile precauzione. Tuttavia, non sarebbe ragionevole fare affidamento su questo o potresti pubblicare le chiavi pubbliche - e intraprendere un attacco di spoofing o un uomo nell'attacco centrale - se dovessi compromettere solo l'account di posta elettronica di qualcuno e quindi inviare una chiave falsa!
Il modo migliore per assicurarti che la proprietà sia il controllo dell'impronta digitale tramite passaparola o un altro canale fidato.
Leggi altre domande sui tag public-key-infrastructure pgp key-server