Dans PGP, comment puis-je être sûr de la clé publique?
Je lisais sur le système de Protonmail et je ne pouvais pas trouver un anwser à quelque chose. Dans la communication PGP est crypté en utilisant une cryptographie asymétrique: clés publiques et privées. Si vous souhaitez envoyer quelque chose de solidement à un destinataire, vous utilisez la clé publique du destinataire.
À ma compréhension: Dans nos environs, les systèmes Internet pour gagner la clé publique de quelqu'un, vous (ou le logiciel client) recherchera la clé publique à partir d'un KeyServer. Si tel est le cas, ce système sujette aux attaques MITM, en d'autres termes, il s'agit d'un seul point d'échec.
Suis-je raison que ceci est la façon dont les clés publiques sont distribuées habituellement? Via un serveur disponible au public? Je sais que TLS/SSL au cours de KeyExchange peut empêcher l'attaque, mais que le système PKI a également des aspects centralisés de manière centralisée, je ne le prélève pas.
Vous semblez comprendre instinctivement qu'un modèle de fiducie hors bande est important.
Avec PKI, votre système d'exploitation/navigateur/institution fournit, à l'installation ou via MDM/GP, vous avec une liste de CAS "de confiance" (méritée ou non) que votre système utilisera pour s'étendre dans un arbre de clés/certificats de confiance.
Avec PGP/GPG, les développeurs ne vous demandent pas implicitement de faire confiance à ceux qu'ils ont confiance ou qui ont payé assez. Les empreintes digitales sont votre méthode hors bande pour créer votre propre niveau de confiance. Après cela, vous pouvez définir si seule une seule signature est suffisante pour étendre cet arborescence de confiance/Web ou non.
Oui. Construire votre propre 1er niveau de confiance est plus de travail.