来自陌生人的PGP密钥签名

时间:2017-07-04 11:49:48

标签: key gnupg

我收到一个不知名的人的钥匙签名。我该如何反应?

签署GPG密钥应该是一种可靠的方式来声明密钥和所有者之间的真实链接,但在这种情况下,我不知道的人声称知道我并且已经验证了我的密钥的有效性。

事实并非如此。

我可以删除/阻止/标记某人的签名到我的密钥吗?

1 个答案:

答案 0 :(得分:0)

  

我可以删除/阻止/标记某人的签名到我的密钥吗?

不幸的是,对于OpenPGP的设计和密钥服务器的工作方式,这是不可能的。

另一个人在你的密钥上的签名实际上不是意味着任何东西 - 当然不是双向关系。

我知道你可能会担心人们认为这意味着比它更多。

  

我应该如何反应?

这个不知名的人是否是一个你不想以任何方式与之联系的着名邪恶的人?

如果不是,我不会担心。

你已经突出了关于信任网的许多令人困惑或破碎的事情之一。技术原理很好,但实际上很少有人能够很好地理解它的含义。

好的一面是人们不太可能阅读你的神秘签名者。

人们不使用信任网的其他原因

  • 它揭示了您发送电子邮件的人以及您遇到他们的时间(例如,在一个关键的签约方)
  • 它允许任何人将任意评论附加到您的密钥(通过生成新密钥,填写UID字段并签署和推送您的密钥。)
  • 目前还不清楚签名意味着什么,以至于有些人实际上写了签名政策来描述他们所做的验证。

我的个人方法

这是我的方法,不涉及信任网。

  • 将密钥服务器视为托管公钥的免费但不可靠的方式。
  • 广泛分享您的指纹:电子邮件签名,社交媒体,网站,名片,信号
  • 通过指纹推送您的密钥,而不是通过密钥服务器的URL
  • 始终通过指纹使用您的软件获取密钥,然后您可以免费获得指纹检查:例如gpg --recv-keys 'A999 B749 8D1A 8DC4 73E5 3C92 309F 635D AD1B 5517'
  • 请勿按名称或电子邮件搜索密钥服务器。列出的密钥可能属于任何人
  • 忘记存在短ID。仅在无法使用指纹时才使用长ID。
相关问题
最新问题