¿Por qué alguien crearía una clave pública de OpenPGP con mi nombre y dirección de correo electrónico?

4

Por casualidad, escribí gpg2 --search myemailaddress en la línea de comandos y busqué servidores de llaves públicos para mi dirección de correo electrónico (en realidad solo quería buscar en mi llavero local, para el cual debería haber usado gpg2 -k myemailaddress ).

Para mi sorpresa, descubrí que había una clave pública, creada hace unos días, que, por lo que sé, no creé. No estaba en mi llavero local, ni en los llaveros de otras computadoras en las que he usado GPG.

Estoy en una pérdida cómo esto puede haber sucedido. ¿Hay alguna aplicación que "útilmente" cree las claves de OpenPGP y las publique, sin decirme ni adjuntarlas a mi llavero local? ¿Hay alguna estafa para la que esto sería útil?

    
pregunta bgvaughan 15.10.2013 - 10:33
fuente

2 respuestas

4

GPG puede cargar su clave pública automáticamente, y puede haber otras utilidades que lo hagan. Lo que hay que hacer es comparar la clave pública en la web con la de su llavero. Si coinciden, entonces debe se originó en su sistema, ya que nadie podría crearlo de forma aislada (ese es el punto de los pares de claves públicas privadas).

Si la clave pública es diferente de la que generó, es posible que alguien esté intentando usar su identidad. Sin embargo, parece bastante improbable, así que buscaría otras explicaciones.

    
respondido por el GdD 15.10.2013 - 10:58
fuente
3

Los pares de claves OpenPGP no tienen la misma cadena de confianza incorporada que los pares de claves X509 (certificados).

Las claves OpenPGP pueden iniciar sesión de manera Web-of-Trust pero esto es no tan fuertemente recomendado como la cadena de confianza jerárquica de los certificados X509, donde los certificados autofirmados tienen que superar grandes obstáculos para ser reconocidos en los navegadores, clientes de correo electrónico y lectores de PDF.

En pocas palabras, no hay una forma práctica de garantizar que nadie publique un par de claves OpenPGP con los mismos metadatos. Simplemente se reduce a la confianza; o más específicamente que nadie debe tomar metadatos clave en el valor nominal.

¿Por qué alguien publicaría una clave con los mismos metadatos?

Bueno, ¿qué tan conocida es tu dirección de correo electrónico? ¿Alguien asumirá que se está comunicando con usted si ve una clave pública con su nombre o dirección de correo electrónico?

Supongo que a menos que usted sea periodista o una persona políticamente expuesta , esta fue probablemente una aplicación o sitio web que lo piensa Te estaba haciendo un favor, tal vez por una función de aplicación o servicio de sitio web que nunca terminaste usando. Es posible que nunca haya declarado que lo haría, ya que asumió que usaría el servicio lo suficiente para conocer esta "característica".

Como GdD menciona, esto también podría ser una aplicación de fondo PGP-consciente de auto-publicación de un par de claves que no se almacenó correctamente en caché en su almacén de claves principal.

    
respondido por el LateralFractal 15.10.2013 - 11:32
fuente

Lea otras preguntas en las etiquetas