¿Es una práctica buena y / o frecuente firmar un archivo (con su propia clave privada) sin cifrarlo (con la clave pública del destinatario?) No he podido encontrar una respuesta directa a esta pregunta en cualquier lugar.
¿Es una práctica buena y / o frecuente firmar un archivo (con su propia clave privada) sin cifrarlo (con la clave pública del destinatario?) No he podido encontrar una respuesta directa a esta pregunta en cualquier lugar.
Tal firma es buena para dos cosas:
Protege el correo electrónico contra alteraciones (es decir, cualquier modificación será, como mínimo, informada como tal por el software del destinatario).
Le da al destinatario una prueba de que realmente el mensaje es suyo; esa prueba se puede mostrar a un tercero (que es una firma , no una mera verificación de integridad).
En el contexto del correo electrónico, generalmente ciframos cuando firmamos, porque si hay un atacante que está dispuesto a modificar el contenido del correo electrónico, probablemente esté interesado en leer el envía un correo electrónico también, y probablemente quieras evitarlo también. Un correo electrónico firmado pero no cifrado sigue siendo una ocurrencia bastante común, por el efecto secundario de que el destinatario sepa que está utilizando OpenPGP; algunas personas firman sistemáticamente todos los correos electrónicos que envían, incluso aquellos que no pueden cifrar porque el destinatario no posee ninguna clave en absoluto.
En otras situaciones, firmar sin cifrar puede ser una práctica común y buena. El ejemplo típico es la distribución de software. En algunas distribuciones de Linux como Debian y Ubuntu , los paquetes de software están firmados (de hecho, utilizando el formato OpenPGP), para que pueda estar seguro de que está instalando paquetes genuinos sin puertas traseras insertadas por terceros malintencionados; pero los paquetes no están encriptados porque son, en última instancia, datos públicos.
Tenga en cuenta que una firma tuya puede ser, esencialmente, ser utilizada como prueba contra tuyo. Por lo tanto, desde su punto de vista, las firmas son buenas siempre que sean firmas de otras personas cuando le envían mensajes a usted , y no al revés.
EDITAR: la respuesta a continuación se basó en el (mal) entendimiento de que la pregunta era sobre la firma de un mensaje con la clave pública de un destinatario.
Por lo general, firmarías un mensaje con tu propia clave privada , y el destinatario puede verificar que fuiste tú quien firmó el mensaje, usando tu clave pública .
El reverso no tiene sentido para mí ... Cualquiera puede usar la clave pública del destinatario para firmar cualquier mensaje que desee. Entonces, ¿qué lograrías haciendo esto?
Lo mismo ocurre con los mensajes cifrados, por supuesto. Cualquiera puede crear uno (lo que generalmente confunde a las personas que están acostumbradas al cifrado de clave simétrica). Pero al menos con los mensajes cifrados, nadie puede leer su contenido, excepto el destinatario.
Lea otras preguntas en las etiquetas cryptography encryption pgp