Esta es una pregunta sobre el uso de Web of Trust.
Supongamos que acabo de generar un par de claves y asistí a uno o dos Partes de firma clave . Eso me dio ~ 10 firmas en mi clave pública, algunas de las cuales pertenecen a activistas de OpenPGP (por lo que estoy razonablemente seguro de que ahora mi clave pertenece al "conjunto sólido" de la red mundial de confianza). Entonces, publiqué mi clave para hkp://keys.gnupg.net y obtuve todas las claves de los asistentes en mi llavero local.
Al mismo tiempo, hay sitios web como enlace , que parecen automatizar "la búsqueda de rutas en la web de confianza ": es decir, dada mi huella dactilar clave y alguna clave de destino, consulta los servidores de claves y muestra todas las rutas de firmas desde mi clave hasta el objetivo.
Al mismo tiempo, su uso requiere una gran intervención humana. Si / cuando recibo un mensaje firmado y deseo verificar la firma, debo:
- vaya a ese sitio (el buscador de PGP);
- encuentra las rutas de firma;
- importar todas las claves participantes a mi llavero local;
- verifique todas estas claves y firmas localmente, de modo que esté protegido contra servidores de claves y / o buscadores de información no autorizados.
Otra complicación es que OpenPGP emplea su propio "modelo de confianza" específico, que dice que una ruta de firma debe cumplir algunas condiciones (profundidad, niveles de confianza, confianza del propietario, etc.) para ser considerada.
Esto es correcto y es una buena práctica, pero a veces quiero que solo compruebe la mera presencia de rutas de firmas, sin imponer ninguna restricción (lo que ya es mejor que nada).
Nuevamente, digo que es mejor tener un camino de confianza , pero en ausencia de eso, tener un camino de la firma es al menos algo mejor que no tener nada.
¿Por qué no hay una herramienta (quizás integrada en GnuPG) que haga ese trabajo por mí?