¿Por qué los servidores de claves PGP existentes no realizan la verificación por correo electrónico? ¿No ayudaría el problema de la autenticación de claves públicas?
Por verificación / confirmación de correo electrónico me refiero a un solo correo electrónico enviado a la dirección de correo electrónico de clave pública. La clave pública solo se publicaría si el propietario de la dirección de correo electrónico confirma la clave.
Algunos lo hacen. keyserver.pgp.com lo hace, por ejemplo, y es una precaución útil. Sin embargo, no sería sensato confiar en esto o podría publicar claves públicas, y emprender un ataque de suplantación de identidad o un ataque en el medio, si tuviera que comprometer la cuenta de correo electrónico de alguien y luego enviar una clave falsa.
La mejor forma de garantizar la propiedad es verificar la huella digital de boca en boca o en algún otro canal confiable.
Lea otras preguntas en las etiquetas public-key-infrastructure pgp key-server