Imagine un servicio B2B en el que dos partes necesitan establecer una relación de confianza bidireccional: Alice solo aceptará solicitudes de Bob, y Bob quiere saber que sus solicitudes solo irán a Alice.
Al configurar esta relación, Alice y Bob necesitan intercambiar sus claves públicas. Pero cuando se trata de la verificación, ¿es suficiente verificar que la huella digital del certificado coincida? O, ¿deberían Alice y Bob intercambiar la clave pública completa?
Una clave pública es bastante larga, y una huella digital es corta, por lo que la huella digital es más conveniente. Pero como es más corto, ¿eso significa que tiene una mayor probabilidad de colisión? ¿Cuánta seguridad se pierde usando solo la huella digital para identificar a la persona que llama en lugar de la clave pública completa?
Esta página , por ejemplo, sugiere que la huella digital está bien para la verificación. ¿Alguien puede confirmar?
Y si la huella digital es suficiente, ¿por qué los servicios como Github esperan que usted cargue su clave pública completa en lugar de solo una huella digital al establecer la confianza?