¿Mi clave PGP realmente necesita coincidir con la dirección de correo electrónico para la cual la usaré?

Question

¿Mi clave PGP realmente necesita coincidir con la dirección de correo electrónico para la cual la usaré?

#1 de Rakkhi (9 votos)
#2 de nealmcb (5 votos)

20

Al considerar si quiero unirme o no a la gran red de confianza y colocar mis claves en un servidor de claves, me puse a pensar en cómo afectaría la exposición de mi dirección de correo electrónico. Por lo general, trato de evitar que mis direcciones de correo electrónico sean demasiado públicas para evitar el spam no deseado.

A lo largo de esta línea de pensamiento, comencé a preguntarme: si (no dude en corregirme si me equivoco) una clave PGP realmente debe ser una representación de mi identidad personal , ¿ realmente debe asociarse con cada dirección de correo electrónico que voy a usar? ¿Incluso tiene que estar asociado con una dirección de correo electrónico? Si no, ¿cuáles son las ventajas y desventajas de cualquiera de las implementaciones?

Según tengo entendido, si alguien recibe un mensaje que tiene mi firma digital en él, debería (en teoría) poder verificar que el mensaje proviene de me , independientemente de la dirección de envío. De manera similar, si alguien quiere enviarme un correo electrónico cifrado, puede (en teoría) hacerlo con mi clave pública y tener la seguridad de que no importa a dónde vaya ese correo electrónico, solo yo podré leerlo.

Entonces, ¿cuál es el verdadero problema aquí?

cryptography digital-signature email pgp

pregunta Iszi 03.06.2011 - 07:30

fuente

2 respuestas

5

Si no desea utilizar PGP para dar confianza a los corresponsales de correo electrónico normales, puede poner la información de identificación que desee, como correo electrónico alternativo, URL web, número de teléfono o ninguno. Básicamente, generalmente desea utilizarlo para reclamar un atributo de identidad único.

Tenga en cuenta que, por lo general, también le está pidiendo a otros que firmen su clave que den fe de lo que haya puesto allí. Pueden verificar un nombre a través de una identificación con foto y un correo electrónico enviándole algo. Los buenos firmantes querrían pruebas de que usted controlaba un sitio web, etc.

respondido por el nealmcb 03.06.2011 - 07:55

fuente

Lea otras preguntas en las etiquetas cryptography digital-signature email pgp

¿Es Signal una forma segura y secreta de comunicarse a través de llamadas de voz? Asegure una API REST de acceso público

score 9 · Accepted Answer

Depende de cómo esté utilizando PGP.

Desde la versión 10.0 del cliente de PGP Desktop, el cifrado y descifrado es transparente y automático desde un cliente rico en Outlook.

Si su dirección de correo electrónico es la misma que figura en su clave PGP, entonces puede enviar un correo electrónico con una regla simple como cualquier cosa que establezca Sensibilidad a Confidencial > Encriptar Cualquier cifrado recibido a esta dirección de correo electrónico también será descifrado automáticamente. Cuando nos lanzamos a usuarios no técnicos, encontramos que esto es un gran beneficio.

No siempre puede asociar su dirección de correo electrónico real con la clave PGP y cifrar los contenidos manualmente. O coloque los datos en un documento, cifre eso y envíelo por correo electrónico en texto claro. Vise versa para recibir correos encriptados.

Tienes razón, no afecta a la firma. Aunque nuevamente, si lo envía con una dirección de correo electrónico al servidor global de PGP abierto, se firma con esa clave y si la parte receptora ha importado la clave global de PGP, obtendrán un bonito borde azul alrededor del correo electrónico que dice que esta firma de correo electrónico tiene ha sido verificado De lo contrario, será rojo y diga que no se puede verificar la firma. No afecta la validez criptográfica de la firma, solo la experiencia de la interfaz de usuario

Por lo tanto, es realmente una conveniencia frente a la enumeración de correos electrónicos. Teniendo en cuenta que la dirección de correo electrónico se usa como nombre de usuario en muchos servicios, y al menos el filtrado de correo no deseado de gmail es extremadamente bueno (también uso el servicio unsubscribe.com porque soy perezoso). Personalmente, no tendría ningún problema en asociar mi dirección de correo electrónico con mi clave PGP y publicar en el servidor global.