Permítame responder esto en función de cómo funciona PGP / GPG. Así que tiene un archivo para, por ejemplo, Client X, y está utilizando FTP como mecanismo de entrega. Desea asegurarse de que sus datos estén protegidos (encriptados) y solo Client X puede leerlos. Para hacerlo, estaría usando su clave PGP para firmar, y ellos usarán su clave para descifrar.
You (PGP key which can be looked up on a PGP key server) --> Encrypt --> Them (decrypt)
Su clave PGP genera una huella dactilar que se puede consultar. La clave de todo esto es asegurarse de que el Cliente X reciba SU huella dactilar, que ELLA tendrá que verificar. Por ejemplo, si enumera su clave específica, aquí le indicamos cómo obtener su huella digital:
gpg --list-keys johndoe@mycompany
pub dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
uid [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]
Huella digital
gpg --fingerprint 1DBD1234
pub dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
Key fingerprint = 1234 EECF B9C4 6D0C 154A 5678 4B2B DE74 1DBD 9876
uid [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]
Luego, puede hacer que el Cliente X verifique su clave basándose en coincidencias de huellas digitales . Así que veamos cómo puedo superar esto como un atacante. Como atacante, tengo que saber para quién está destinado el archivo. Tendría que cifrar mi malware pretendiendo ser usted. ¿Pero cómo puedo "falsificar / imitar" su huella digital? No puedo Puedo intentar instalar un registrador de pulsaciones de teclas, esperar a que ingrese su contraseña, robar su clave pública y privada. Si esto sucede, tienes muchos más problemas con los que lidiar. PERO ... puedo generar mi propia clave PGP / GPG pretendiendo ser usted, subirla a un servidor de claves GPG / PGP, firmar CUALQUIER COSA pretendiendo ser usted. Si el destinatario NO verifica la huella digital, ya está hecho.