Cuando descargo las claves PGP de los servidores de claves así:
gpg --search-keys [email protected]
¿Cómo se transfieren las claves públicas a mi máquina? ¿Existe la posibilidad de que un ataque MITM me sirva la clave incorrecta?
Cuando descargo las claves PGP de los servidores de claves así:
gpg --search-keys [email protected]
¿Cómo se transfieren las claves públicas a mi máquina? ¿Existe la posibilidad de que un ataque MITM me sirva la clave incorrecta?
Si usa las firmas en la clave para validarla (como el modelo de web of trust), entonces solo depende del material de la clave que tiene y no de la clave que se le entrega. De hecho, si conoce la huella digital de la clave que desea (con certeza), simplemente puede verificarla después de recuperarla.
Si desea evitar un MITM, puede usar el protocolo hkps que se describe en la página del servidor de claves SKS aquí: enlace .
Tenga en cuenta que cualquier persona puede cargar cualquier clave en el servidor de claves, por lo que el hecho de que tenga el correo electrónico que quiere no significa que sea la clave correcta. Solo las firmas en la clave (y la confiabilidad de las firmas) pueden ayudar a determinar si la clave que tiene es la legítima.
Lea otras preguntas en las etiquetas key-exchange pgp