Supongamos que mi clave PGP ha sido firmada por un número de personas y viceversa . Además, que las claves y las firmas se publicaron en el servidor de claves.
Tengo entendido que una persona aleatoria que conozca mi clave pública debería poder saber a quién conocí o al menos tuvo suficiente contacto para convencerla de que confíe en mí. Pero, ¿hay alguna otra información que pueda usarse de forma maliciosa, que se pueda concluir de la Web of Trust?
Bueno, la red de confianza le permite a alguien trazar relaciones entre personas. Ese es un problema de privacidad y puede decirle a la gente cosas sobre usted que no estaba listo para compartir.
Un ejemplo: digamos que eres un hombre gay que vive en Arabia Saudita. Obviamente, quieres ocultar que eres gay, así que usas PGP para cifrar los correos electrónicos a tus parejas románticas.
Todos firman las claves de otros, creando una red de confianza, pero no piensan utilizar direcciones de correo electrónico anónimas.
Ahora uno de ustedes comete un error y es recogido por la policía. Se las arregla para lanzar su computadora portátil en el próximo río, y no se deja intimidar fácilmente, y usó gmail sobre ssl, así que nadie sabe con quién se comunicó. PERO la policía encuentra su clave en un servidor de claves público, mira las firmas, sigue la red de confianza / escribe las direcciones de correo electrónico y le paga a todos una visita.
Probablemente sea un poco exagerado, pero si fuera un analista forense, probablemente buscaría claves públicas solo como una cuestión de rutina, ya que una parada en mi lista de verificación (poseer una clave pública implicaría que existía comunicación encriptada, y probablemente me gustaría saber con quién, por lo que las firmas serían interesantes. Ahora en mi país los analistas forenses digitales son mis amigos, pero en Arabia Saudita me imagino que podrían llegar a ser un enemigo muy peligroso). / p>
Otro escenario podría ser que usted realmente usó una dirección de correo electrónico que no pudo ser rastreada, y no dejó ninguna información obvia en su clave pública, pero luego le dijo a su familia que usara esa clave para comunicarse con seguridad con usted. Desconocido para usted, dos o tres miembros de la familia firmaron su clave con la de ellos. Wham, ya no eres anónimo. Ahora puede encontrar su identidad siguiendo las firmas de los miembros de su familia.
No estoy seguro de que esta sea la mejor de las respuestas, pero como nadie más lo ha hecho ...
Depende totalmente de quién lo firmó y qué tan único es ese conjunto de personas. Si, por ejemplo, todos los jefes de estado lo firmaron para el G9, eso probablemente le diga mucho a alguien sobre usted. Del mismo modo, si todos los firmantes fueran de su familia.
Las marcas de tiempo también podrían filtrar información de la misma manera que los firmantes. Si todas sus marcas de tiempo de firma ocurrieron en unos pocos minutos, eso podría indicar que sucedió en persona, por ejemplo. Estoy seguro de que hay mejores ejemplos, pero espero que tengas la deriva.
¿Qué tan práctico es eso? No terriblemente, supongo, excepto en ciertos casos muy limitados.
Lea otras preguntas en las etiquetas pgp web-of-trust