Me preguntaba si puedo poner una URL de descarga para mis destinatarios para obtener mi clave pública GPG fácilmente en mi firma de correo electrónico.
¿Es esta una buena práctica? Si no, ¿cuál es una buena alternativa?
Envié mis claves a servidores de claves conocidos, como enlace , y puse la ID de la clave en mis firmas de correo electrónico salientes.
Tipo de. Existe una práctica tradicional por la cual las personas publican sus huellas digitales y crean una asociación duradera entre su identidad y esa clave. Las URL también son útiles para este propósito.
Como señala @Philipp, no valida el correo electrónico actual. Pero si siempre envía la huella dactilar y el destinatario puede ver que su huella dactilar en un correo electrónico de hace 6 meses coincide con su huella dactilar hoy, obtienen cierta seguridad de que esa clave es usted. Por otro lado, si de repente dices "Esto es realmente importante, puedes descifrarlo, aquí está mi clave" y esa es la primera vez que lo publicas, eso es más sospechoso.
Quiero hacer una distinción aquí entre publicar y publicar. Cuando carga su clave en un servidor de claves como sugiere @ user3244085, está publicando su clave, colocándola en un lugar donde otras personas puedan acceder a ella si quieren ir a buscarla . Por otro lado, si coloca su huella digital o un enlace clave en su correo electrónico, sus publicaciones de blog, sus interacciones en la red, entonces está publicando: está creando activamente un registro público que otras personas pueden ver cuando determinan tu autenticidad.
Podrías Pero tenga en cuenta que:
Las claves para validar un medio de comunicación deben intercambiarse preferiblemente sobre un medio diferente, porque entonces un atacante tendría que controlar los canales de comunicación de ambos para hacerse pasar por usted. Referir a la otra parte a un servidor de claves es una opción.
Lea otras preguntas en las etiquetas key-exchange email gnupg