什么时候需要密钥签名?

时间:2014-12-01 22:17:07

标签: encryption pgp gnupg

如果您通过亲自/通过电话验证指纹来验证人员公钥实际上来自您认为的人,那么是否仍然需要签署他们的公钥?

特别是如果您打算不自己解密邮件,但只计划使用有效的公钥加密邮件,是否还需要密钥签名?

3 个答案:

答案 0 :(得分:2)

我发现签名密钥有几个原因:

  1. 在将来向我保证钥匙没有改变。
  2. 帮助关键所有者通过信任网向他人证明自己的关键。
  3. 在第1点),现在验证指纹 很容易,但是每次发送加密邮件或检查签名时,您是否会这样做?对密钥进行签名意味着您可以忘记指纹。

    在第2点),公钥的所有者可能会欣赏您在其密钥上的签名,以帮助说服其他人他们的密钥属于他们。例如,如果我签署了Alice的密钥并且Bob已经验证了我的密钥,那么Bob可以根据我的签名选择信任Alice的密钥。

    在实践中,我认为正确的礼仪是签署Alice的密钥,然后将其导出(gpg --export --armor <alice's key id>)并通过加密的电子邮件发送给Alice。这允许她选择如何在她的密钥上使用您的签名 - 她可能决定将其上传到密钥服务器或直接将其发送给其他人。或者,她可以决定不向您透露她的关联,也不会使用签名密钥。

    注意:我认为将别人的密钥上传到密钥服务器是不礼貌的,因为你否认他们的选择。

答案 1 :(得分:1)

如果您可以验证拥有公钥的人,则不必担心签名。验证公钥的能力是您信任的对象,这是重要的事情。说这个,如果你从一些公钥服务器上获取公众,那么你将如何从你认为它来自的用户那里信任它?在这种情况下,签名是有效的考虑因素。

以下是与此相关的一些有用链接。

希望这有帮助。

答案 2 :(得分:0)

您的解密是使用您的私钥完成的。

不签署其他人的(公共)密钥,可能会发出丑陋的警告,在您的公钥列表中显示令人讨厌的图标,并且无助于以任何方式显示您的其他人的检查过程,i。即建立信任网。所以这更像是一种风格问题而不是技术差异。