Supongamos que debo publicar mi dirección de correo electrónico y la clave pública de PGP en mi sitio web. Cuando un cliente se contacta conmigo, tendrían que incluir su clave pública de PGP en el correo electrónico para que pueda responderles en formato PGP cifrado, ¿estoy en lo correcto? ¿O hay alguna otra forma de responderles sin que tengan que incluir su clave pública PGP en el correo electrónico?
Si la clave correspondiente se publica en un servidor de claves públicas, por ejemplo pgp.mit.edu, su cliente de correo electrónico probablemente pueda encontrarla. Si no, el corresponsal tiene que suministrarlo. Lea atentamente la respuesta de fgrieu relativa a las claves de confianza suministradas en el mensaje de otro. No es seguro.
(También debería considerar publicar su clave pública en un servidor de claves y leer sobre la firma de claves PGP / GPG: enlace porque una clave firmada es menos susceptible a los ataques que reemplazan su clave con la de otra.)
Tiene razón en que necesita la clave pública PGP de su cliente para poder usar PGP para cualquiera de las dos
Pero es cuestionable que pueda obtener de forma segura la clave pública PGP de su cliente utilizando solo el procedimiento considerado :
Cuando un cliente se contacta conmigo, tendrían que incluir su clave pública PGP en el correo electrónico
El problema es que no sabe con certeza si el correo electrónico que recibió contenía la clave pública PGP de su cliente , o una clave pública aparentemente de su cliente (con el nombre y / o correo electrónico de su cliente) pero hecho por Eve suplantando a su cliente , y Eve es la única titular de la clave privada correspondiente.
Una forma de confirmar que una clave pública PGP pertenece a alguien es mediante una comprobación cruzada de la huella digital de la clave en una reunión cara a cara; O, por extensión, por teléfono. Otra es verificar que la clave pública viene con la firma que certifica que la clave pública pertenece realmente a quien parece pertenecer (como se identifica, por ejemplo, con el nombre y el correo electrónico en la clave pública), la firma realizada por alguien / algo para que ya tiene una clave pública de confianza y en la que confía para tomar decisiones correctas al firmar claves PGP; PGP lo hace relativamente fácil, consulte web de confianza de PGP .
Nota: si su cliente se define como a quienquiera que haya preparado realmente el correo electrónico inicial attachment , entonces su procedimiento es realmente seguro.
Nota: en cuanto a un medio alternativo para obtener la clave pública PGP supuesta de su cliente (usando un servidor), NO solucionando el problema anterior de confianza en la clave , Me refiero a esta respuesta ; también proporciona el consejo válido para probar y tener su propia clave pública firmada por partes acreditadas.
Algunas opciones:
Lea otras preguntas en las etiquetas pgp