Estoy usando el sitio web enlace para cifrar / descifrar mensajes PGP y crear pares de claves públicas / privadas.
Recibo que cuando le envío a alguien mi mensaje cifrado solo él puede descifrarlo, porque utilicé su clave pública para cifrar. (integridad)
Pero cuando recibe el mensaje cifrado, solo necesita SU clave privada para descifrarlo. ¿Cómo concede eso autenticidad? ¿Cómo sabe quién envió el mensaje?
¿PGP solo es bueno para dar integridad pero no autenticidad?
La mayoría de las implementaciones de PGP no solo permiten cifrar un mensaje con la clave del receptor, sino que también permiten firmarlo con la clave del remitente (esta no lo hace).
Una firma PGP es un hash criptográfico del mensaje cifrado con la clave privada del remitente. Cuando el receptor descifra el hash con la clave pública del remitente y calcula el hash del mensaje, estos dos deben coincidir.
El mecanismo general es:
Usted cifra el mensaje con su clave pública; lo descifra con su clave privada - > privacidad e integridad
Usted cifra el mensaje con su clave privada; lo descifra con su clave pública - > autenticidad e integridad
Usted cifra el mensaje con su clave privada y su clave pública; lo descifra con su clave pública y su clave privada - > privacidad, autenticidad e integridad
Con PGP, la autenticación de mensajes se logra cifrando el resumen del mensaje (hash) en lugar de un mensaje completo y enviando la firma resultante a lo largo del mensaje.
Lea otras preguntas en las etiquetas encryption pgp