Digamos que Bob pretende ser Alice, falsifica un correo electrónico no cifrado para que se parezca a Alice y se lo envía a John, quien usa Thunderbird con el complemento Enigmail.
Digamos que Bob pretende ser Alice, falsifica un correo electrónico no cifrado para que se parezca a Alice y se lo envía a John, quien usa Thunderbird con el complemento Enigmail.
Bueno, puede falsificar una dirección de correo electrónico sin firmar el correo electrónico. Sin embargo, si recibe un correo electrónico de una dirección y el correo electrónico está firmado, sabe que no es falso. El proceso de firma le proporcionará suficiente información para verificar que el correo electrónico proviene de quién debe ser.
Por ejemplo, podría falsificar un correo electrónico de un banco solicitando los detalles del cliente. No pudo falsificar un correo electrónico firmado con SHA256 de un banco solicitando detalles del cliente. La comunicación OpenPGP requiere niveles de confianza para ser precisos. En el caso de algo como un banco, debe confiar en su clave OpenPGP si la obtiene de ellos físicamente o (digamos) con su nueva tarjeta de crédito.
Sin una red de confianza, la idea detrás de OpenPGP se cae. Si no sabe exactamente quién le dio una clave en primer lugar, todo lo que puede confirmar es que se está utilizando la misma clave (propietario desconocido) para firmar las cosas. Nada menos, nada más.
Lea otras preguntas en las etiquetas email-spoofing enigmail