En tu pregunta, solo estás considerando las claves, donde una clave puede ser firmada por otra persona pero la clave no está asociada con una identidad en sí misma:
Si John también tiene una clave firmada por Peter, se la presenta a Bob, Bob verifica, pero John dice que su nombre de usuario es Alice, ¿qué hacer?
Luego propones el concepto de agregar la identidad:
¿Está bien si Peter en cambio firma el hash del nombre de Alice y su clave pública (la clave y el nombre de Alice se combinan), ...
De esta manera, describió uno de los elementos principales de una infraestructura de clave pública (PKI): el certificado. Los certificados son información sobre la identidad (nombre de Alicia) combinada con la clave pública que pertenece a la identidad (clave pública de Alicia) y todo esto en conjunto firmado por el emisor (usando la clave privada de Peter).
Siempre que realice una conexión HTTPS, el servidor enviará dicho certificado y el cliente verificará que el nombre en la URL coincida con el nombre en el certificado, es decir, que la identidad reclamada y la real coincidan. Un certificado contiene aún más información, como la duración del certificado o para qué se puede usar.
¿Qué pasa si el hash fue roto?
Si el hash está roto o si la clave privada se conoce, sería mala y podría usarse para falsificar una identidad. Es por eso que los hashes seguros se utilizan como SHA-256 actualmente.
Además, Peter se desconectará cuando Alice se conecte a Bob.
Esto no importa mucho. Bob no necesita preguntarle a Peter si el certificado de Alice es válido porque Bob conoce y confía en el certificado del emisor (Peters). Pero de vez en cuando sería útil preguntarle a Peter si Alice revocó su certificado.
Para obtener más información, consulte cómo funciona una PKI .