¿Hay algún punto al firmar una clave pública de OpenPGP que no se haya cargado en un servidor de claves? En otras palabras: ¿alguien, excepto la persona A que firma la clave pública de la persona B, notifica que la firma ha tenido lugar?
Antecedentes: dado que todavía no he decidido cargar mi clave pública en un servidor de claves, me pregunto si tiene algún sentido pedirle a mis amigos que firmen mi clave.
¿Web de confianza? En lugar de utilizar un servidor de claves públicas centralizado, usted y sus amigos podrían intercambiar archivos de claves directamente. En cuyo caso las firmas agregadas estarían haciendo algo.
Sin embargo, si va a firmarlo y luego deja el archivo en su disco duro, tiene razón en que no le sirve de nada a los demás (aunque creo que el Llavero de GNOME le da algún tipo de prioridad a las teclas que has firmado).
La idea general de confianza de OpenPGP se basa en certificaciones (firmas de otras claves) que están disponibles públicamente, por lo que otros usuarios pueden crear rutas de confianza en estas. Mantener las certificaciones privadas es legítimo, pero no ayudará a los demás (también se comunicará con usted).
Si solo comparte su clave entre sus amigos, aún podrían hacer uso de las certificaciones que emitió. Si también lo compartes con todo el mundo, también otros pueden usarlo (algunos) al crear caminos de confianza, dependiendo de su necesidad de certeza y la confianza que depositan en ti (posiblemente sin conocerte).
Otros podrían muy bien importar tu clave manualmente ( gpg --import [file] ), firmarla ( gpg --edit-key [key-id] ) y finalmente exportarla de nuevo ( gpg --export [key-id] > [file] ). Ahora la clave exportada contiene su firma, y pueden devolvérsela. Al importar el archivo, la certificación se fusiona con la del otro en su clave. Si lo exporta nuevamente, podría distribuir su clave pública junto con todas las certificaciones juntas en un archivo a todos los que quieran usar su clave. Esta es prácticamente la misma operación, como recuperar las claves de un servidor de claves usando gpg --recv-keys [key-id] y finalmente enviarlas de nuevo usando gpg --send-keys [key-id] , solo que esta última es pública y facilita la distribución de la clave.
La mayoría de las personas están acostumbradas a cargar claves después de ponerles certificaciones (o usan algún software que simplemente envía las certificaciones por correo). En algún momento, alguien olvidará su solicitud de no cargarla y simplemente lo hará, o simplemente cargará su llavero completo usando gpg --send-keys (¡sí, eso es posible!). Espere que todas las claves OpenPGP compartidas estén disponibles en la red del servidor de claves en algún momento, al crear una clave OpenPGP y compartirla de acuerdo con lo que se comparte en la red del servidor de claves hasta cierto punto (sin querer que esto sea una excusa para carga todo de todos modos, pero sucederá y deberías ser consciente de esto).
Lea otras preguntas en las etiquetas public-key-infrastructure gnupg pgp