Digamos que tengo una situación en la que un amigo mío tiene mi clave pública OpenPGP (que se puede ver públicamente en una página web, pero se la entregué personalmente en un papel), no conozco su clave pública Y necesito enviarle datos cifrados. Esto significa que necesito obtener su clave pública de manera segura para poder cifrar los datos con su clave pública. Toda la comunicación debe realizarse por correo electrónico.
Al principio pensé que él simplemente encripta (no para ocultarlo sino para garantizar que su clave pública no se modifique durante la transmisión) su clave pública con mi clave pública y me la envía con un correo electrónico, pero en realidad esto no funciona porque en el caso de MiT, el atacante podría reemplazar el correo electrónico original con uno falsificado y también cifrarlo con mi clave pública. En otras palabras, no puedo decir que la clave pública que recibí es realmente la clave pública de mis amigos.
¿Estoy en lo cierto al afirmar que no hay otra solución a esto que no sea la que necesito para obtener su clave pública en un papel, verifico su clave pública a través de un presentador de confianza (por ejemplo, una Autoridad de Certificación), etc.? >