我一直在阅读有关身份验证的信息,无论是带内还是带外。我知道可以签署他/她自己的GPG密钥,然后其他人可以使用他们的指纹验证签名者。
我还阅读了发布在https://stackoverflow.com/questions/34234/how-does-gpg-key-signing-work-and-how-is-it-done
的GPG密钥签名问题这种类型的身份验证在中间攻击中是否容易受到攻击?如何在不使用数字签名的情况下完全验证身份?
PS:我已经考虑了以下认证方式:GPG签名消息(电子邮件),SMS(带外),使用共享密码,应用社会主义百万富翁协议和零知识无法认证。< / p>
上面列出的哪一项最适合防止中间人攻击并提供大量身份验证?
答案 0 :(得分:1)
保护免受中间人攻击是你的大脑:-)签署密钥时,GPG会询问你是否真的检查了密钥拥有者的身份,就像GPG howtos(e.g. this one)警告一样你要小心你在这里做的事情:
当您绝对确定钥匙真的是真品时,您应该只签署一个真品钥匙!因此,如果你是肯定的,你自己获得了密钥(比如在一个密钥签约方),或者你通过其他方式获得密钥并使用指纹机制检查它(例如通过电话)。你永远不应该根据任何假设签署密钥。
签署密钥时,您有责任验证密钥所有者的身份。与CACert(具有defined procedure how to verify ones identity)相比,没有一般政策如何进行此验证。然后,另一方面,GPG会向您信任的人介绍新密钥。
这意味着: