Enviar un correo electrónico PGP cifrado a alguien que todavía no tiene mi clave pública

9

Supongamos que tengo la clave pública de un destinatario al que me gustaría enviar un correo electrónico y nunca antes le he enviado un correo electrónico a esta persona. ¿Tiene sentido cifrar mi primer correo electrónico a este destinatario y también adjuntar mi clave pública? ¿Pueden descifrar mi correo electrónico?

(Esto es un tipo de pregunta de "etiqueta").

gracias

    
pregunta Geremia 03.03.2015 - 04:20
fuente

4 respuestas

14

No necesitan tu clave pública para descifrarla.

Necesitas su clave pública para cifrar el mensaje, que descifran con su clave privada . Lo único para lo que necesitan su clave pública es verificar que el mensaje proviene de usted. En ese sentido, no tiene sentido adjuntar su clave pública, a menos que, por ejemplo, planee confirmar las huellas digitales por teléfono poco después.

    
respondido por el Volker 03.03.2015 - 08:44
fuente
2

En el esquema de cifrado asimétrico puede lograr dos cosas:

  • confidencialidad del mensaje: esto se hace usando la clave pública de alguien para cifrar un mensaje. Solo el propietario de la clave privada puede descifrar el mensaje
  • autenticación de mensajes: esto se hace usando su propia clave privada para firmar un mensaje. Cualquier persona con la clave pública puede verificar la firma del mensaje.

Sin embargo, este problema se ve obstaculizado por el hecho de que obtener la clave pública correcta es algo difícil. Si alguien atacara el canal de comunicación a través del cual pasas la clave, podrías engañarte y pensar que la propia clave del atacante es la clave del destinatario. Entonces, para lograr la autenticación, primero debe verificar la clave pública.

Esto generalmente se hace a través de la "web de confianza". Si no puede obtener la clave de una mano a otra, busque a alguien en quien ya confíe (y tenga una clave de confianza) que pueda responder por su destinatario. Si esa tercera persona ya tiene una clave para el destinatario en la que él confía, puede firmarla por usted. De esta manera, puede evaluar que la clave es la correcta al verificar su firma de tercera persona de confianza. Por transitividad, tiene una clave de confianza para su nuevo destinatario.

En su caso particular: si envía su clave pública en el correo electrónico, el destinatario no tendrá forma de verificar que usted es quien dice ser. Por lo que él sabe, podrías ser un atacante que intenta hacerse pasar por otra persona y forjar pares de claves.

    
respondido por el M'vy 03.03.2015 - 09:23
fuente
1

La clave pública se puede utilizar para enviar un correo electrónico de forma segura al titular de la clave privada correspondiente, sin embargo, el titular de la clave pública no puede determinar si el mensaje proviene de usted. Sin embargo, adjuntar su clave pública en el correo electrónico puede ser problemático porque no puede verificar que la clave pública adjunta realmente le pertenece. Si todo lo que le importa es que los correos electrónicos subsiguientes provengan de la misma persona, entonces esto puede estar bien, pero si necesita preocuparse por que el mensaje provenga específicamente de usted, entonces aún tendrá que considerar su clave pública como no verificada hasta que usted tener otra verificación más confiable.

    
respondido por el Lie Ryan 03.03.2015 - 04:34
fuente
1

Tuve la misma pregunta y, después de pensarlo, creo que es correcto enviar tu clave pública siempre que también cifres.

Cifre lo siguiente con la clave pública de sus receptores:

  • tu mensaje
  • su clave pública en la parte inferior

De esa manera, cuando lo descifren, verán tu mensaje y tu clave pública. Este fue el destinatario de su mensaje. También puede responderle de forma segura, utilizando su clave pública para cifrar su respuesta.

    
respondido por el encryptasourase 07.05.2017 - 10:35
fuente

Lea otras preguntas en las etiquetas