Firmas y huellas digitales
En pocas palabras, ¿las firmas de PGP proporcionan verificación de integridad de archivos además de la verificación de identidad de archivos?
Sí, lo hacen: pero sin más investigación, solo verifican si una clave dada se usó para firmar; no a quién pertenece (lea más abajo)!
Si he verificado la firma PGP de un archivo, ¿las sumas MD5 y SHA1 del archivo son más o menos irrelevantes, ya que ya verifiqué la integridad?
Sí, a menos que no haya podido verificar la propiedad de la clave, pero la otra persona le proporcionó las huellas digitales correctas en un canal seguro (por reunión, llamada (video), ...).
Si he verificado la firma PGP de un archivo, ¿las sumas MD5 y SHA1 del archivo son más o menos irrelevantes, ya que ya verifiqué la integridad?
De hecho, OpenPGP también utiliza algoritmos de hashing como estos (aunque, con suerte, ya no debería usar MD5, que se considera demasiado débil en nuestros días). Pero la firma digital agrega información sobre quién firmó el software (si se verifica correctamente).
Verificación de la propiedad de la clave
A menos que haya firmado directamente la clave del emisor del software, todo lo que sabe es que alguien firmó el software. No hay una autoridad de certificación primaria en OpenPGP, todos pueden agregar una clave con nombres arbitrarios, usted decide en qué confiar. Esto generalmente se hace reuniendo e intercambiando las huellas digitales de la clave, pero dependiendo de su nivel de paranoia es posible que no esté de acuerdo con la verificación de la huella dactilar de la clave en comparación con la información que colocan en su sitio web (que luego debe transmitirse mediante cifrado SSL junto con un certificado razonable).
Luego, está el concepto de web of trust , que permite crear caminos de confianza desde usted hasta el emisor sin reunirse con él directamente, al confiar en otros intermedios que juntos forman una cadena de Certificaciones (esto puede compararse con las autoridades de certificación intermedias de X.509). Una respuesta muy breve se puede encontrar en esta respuesta: ¿Cuál es el significado exacto de esta salida de gpg con respecto a la confianza? .