Una cosa que descubrí al comenzar a usar PGP: Cuando cargué mis claves en el servidor de claves SKS, el servidor de claves no realizó ninguna acción para verificar que soy quien dice ser.
Dado que una clave PGP contiene una dirección de correo electrónico, al menos, el servidor de claves podría haber enviado un correo electrónico con un enlace en el que se debe hacer clic para que la clave se active en el servidor de claves. Entonces, al menos sabrá que la persona que cargó la clave PGP, al menos controla la dirección de correo electrónico que afirma poseer.
¿Por qué los servidores de llaves PGP no verifican la propiedad de la cuenta de correo electrónico reclamada?
Sí, entiendo la web del sistema de confianza, pero al hacer un simple automatizado "Haga clic en este enlace para que su clave entre en funcionamiento en los servidores clave" al menos sería necesario que cualquier impostor tenga acceso a la cuenta de correo electrónico, y tal un sistema podría implementarse en servidores de llaves con solo unas pocas líneas de código.
Otra cosa que no sé es cómo las personas verifican el correo electrónico reclamado por otros en las partes firmantes de Key. En las fiestas de firma clave, las personas muestran su tarjeta de identificación. Pero no hay direcciones de correo electrónico en la tarjeta de identificación. Sí, hoy con la evolución del teléfono inteligente, puede enviar un correo electrónico a la dirección de correo electrónico reclamada y pedirle a la otra persona que lo lea en voz alta, pero ¿cómo le fue a la gente en KSP cuando los teléfonos inteligentes no eran una gran cosa y no tenía acceso a ¿La cuenta de correo electrónico por el momento en el KSP? Especialmente con las cuentas de correo electrónico que están detrás de firewalls, por ejemplo, cuentas corporativas o ISP que solo se pueden usar dentro de la red autorizada.