Diga que tengo un par de claves PGP pública / privada que se usa para firmar correos electrónicos.
Cuando alguien recibe un mensaje, obviamente no tiene forma de verificar que el mensaje haya sido firmado realmente por mí sin haber recibido mi clave pública antes por otro medio.
¿Hay alguna forma de remediar eso si mi CA firma mi clave pública?
Su clave pública puede ser 'firmada' por cualquier otra clave privada que desee. Sin embargo, el problema de su destinatario será cómo confiar en el firmante, es decir, la carga de confiar en el origen de su clave pública ahora se ha desplazado a la carga de confiar en el origen de la clave pública del firmante, por lo que no ha cambiado mucho.
Un 'CA' es un término vago. Si se refiere a una CA de cadena SSL (como en la autoridad de certificación de navegadores), varias CA tienen su clave pública codificada en el navegador durante la instalación y esto elimina la necesidad de verificar la clave pública del firmante con un tercero. PGP y esquemas de encriptación similares no funcionan de esta manera por varias razones, pero principalmente porque la firma de claves individuales sería prohibitivamente compleja y restrictiva (piense en lo complejo / largo que es el proceso tener un certificado SSL firmado para un sitio web, por ejemplo, ahora ¡multiplica esto con todos los certificados de PGP que hay por ahí!)
El certificado PGP confía en trabajar en una red de confianza, es decir, el destinatario debe tener algunas claves públicas "confiables" preinstaladas en su llavero que hayan sido marcadas como confiables por lo general por algún canal lateral (llame a alguien y verifique la clave). huella digital por ejemplo). Si su destinatario no tiene una clave pública de confianza para alguien que está usando para firmar su clave pública, entonces necesitan verificar la clave con usted por algún otro canal, por ejemplo. llamándole y pidiéndole que lo identifique mediante huella dactilar, etc. o que lo descargue de un almacén de claves de terceros de confianza donde el almacén de claves tenga un mecanismo de verificación.
Entonces, obtenga la clave pública firmada por la mayor cantidad posible de titulares de confianza y espere que su destinatario tenga una clave pública firmada correspondiente de confianza, o llámelos para la primera instalación de la clave en su llavero y confirme la huella digital. Una vez instalados y confiados en su conjunto de claves, puede continuar sin más problemas de confianza.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates pgp