我目前正在研究PGP和身份验证方案。
假设我正在与声称自己是ftp网站管理员的人进行通信。 (比如,他的电子邮件地址是admin@genuine-website.com)
假设我们俩都拥有彼此的PGP公钥。
首先说,我们交换指纹并验证它们(通过直接传输它们而不是使用带外认证,如电话/短信)。在第二步中,我们交换已签名的消息,然后验证签名。
这两个步骤是否足以建立真实性?
通过这个虚构的例子,我想问的基本问题是这些步骤是否“足够”或者我应该选择另一种相互认证方案吗?
答案 0 :(得分:0)
这就够了,但最棘手的是验证指纹。 对于PGP,这是通过交叉签名密钥与其他密钥完成的。虽然在X.509中它是层次结构(顶级CA并由它们签署证书),但在PGP中它是作为“信任网”完成的。
答案 1 :(得分:0)
不,那还不够好。一个中间人可以用你的公钥替换你的公钥和你的伴侣,然后用指纹做同样的事情,这样一切看起来都没问题。
您需要使用PGP的信任网,或在您信任的其他媒体中交换指纹,以验证您收到的公钥是否真实。