¿Qué tan seguros son los servidores de claves GPG / PGP?

Para tu pregunta, hay varias formas

1. Puede utilizar certificados digitales. Pero la debilidad es que el navegador web no muestra ningún mensaje de advertencia si se cambia el proveedor de certificados, solo verifica la fecha de caducidad. puede obtener más información de aquí
2. Uso de Cryptome que te ofrece una mejor seguridad pero puede no resolver a la perfección el hombre en ataque medio .
3. Esta puede ser la solución que le impida ataque de hombre en medio.

Importar una clave GPG con un KeyID parece depender de servidores clave, pero, en realidad, no es así. Un servidor de claves es un área de almacenamiento no confiable . Cuando importe una clave, no la usará antes de haber verificado debidamente que la clave es genuina, es decir, es realmente la clave pública de la que cree que la posee. Que la clave provenga de algún servidor de claves prueba nada ; ni el protocolo de transmisión, ni el almacenamiento del servidor de claves en sí, ofrece protección contra ataques. Y, en cualquier caso, no sabe quién es el propietario del servidor de claves y, por lo tanto, no confiará en ellos.

Para verificar una clave GPG, puedes:

1. Comprueba su huella digital , que es realmente un valor de hash. Esto es para los casos en que se reunió con el propietario de la clave y él le dio una copia de su huella digital clave. Las huellas dactilares son lo suficientemente cortas como para ser impresas en tarjetas de visita o explicadas en una llamada telefónica (he hecho ambas cosas). Las funciones de hash son resistentes a la segunda imagen , y eso es lo suficientemente bueno.

2. Si la huella digital no está disponible, genere cadenas : claves firmadas por otras personas, cuya clave pública puede verificar (posiblemente de forma recursiva). Esto ejerce la Web of trust , que es lo que pasa como PKI en el mundo de PGP.