¿Hay una manera para que una persona demuestre de manera remota e irrefutablemente la propiedad de una dirección de correo electrónico de Gmail? He considerado usar firmas DKIM, pero esto tiene problemas:
Robot de firma de claves PGP DKIM Correos electrónicos verificados
También he considerado utilizar las API de OpenID u OAuth de Google, pero creo que puedes incluir otros correos electrónicos como tu dirección principal en tu cuenta de Google. En particular, los documentos de Google indican: "La dirección de correo electrónico del usuario. Es posible que no sea única y que no sea adecuada para su uso como clave principal". Si bien la API informa si el correo electrónico se verifica, es No me queda claro si la verificación es más sustancial que un simple bucle de correo electrónico. enlace
Entiendo que existen muy buenas razones para que Google dificulte la vinculación de correos electrónicos a cuentas de usuarios. Sin embargo, sería bueno si un usuario pudiera optar por demostrar esta asociación.
Editar para aclarar : El contexto aquí es el de firmar claves PGP o otorgar certificados S / MIME vinculados al correo electrónico. Desea estar seguro de que el certificado que está firmando fue enviado por alguien con privilegios de envío / recepción de buena fe, y no por alguien que falsifique el campo "de:", o que se encuentra en el camino entre el proveedor de correo electrónico del firmante y Google ( proveedor de correo electrónico). Aquí, la identidad de la vida real no importa. No me importa quién es alguien. Solo me importa que la persona que realiza la solicitud sea también la persona que tiene el nombre de usuario / contraseña de la cuenta de correo electrónico reclamada (o, supongo, trabaja para Google ...). El propósito aquí es iniciar formas de comunicación más seguras.
El argumento aquí es que el bucle de correo electrónico estándar es insuficiente. El correo electrónico es propenso a la falsificación y la intercepción. Pero, puede haber métodos seguros fuera del canal (por ejemplo, OAuth o publicación de una clave pública en Google+). Si nada más, tal enfoque proporcionaría evidencia adicional más allá del bucle de correo electrónico ya ubicuo. Desafortunadamente, ni OAuth, ni Google+, ni los comentarios de YouTube, etc. pueden vincularse de manera confiable a una dirección de correo electrónico.