I messaggi PGP possono essere verificati solo con l'impronta digitale della chiave pubblica?


1

Qual è la differenza tra condividere una chiave pubblica e condividere solo la sua impronta digitale di 40 cifre? La chiave pubblica è molto lunga, quindi se volessi che qualcuno fosse in grado di verificare i miei messaggi, potrei semplicemente inviargli una cartolina con la mia impronta digitale di 40 cifre?


Un metodo più semplice è caricare la tua chiave pubblica su un server di chiavi pubbliche (se non ti dispiace rendere pubblica la tua chiave pubblica), quindi leggere l'impronta digitale per il tuo amico tramite un telefono / voip (se si fidano e riconoscono la tua voce) - nessuna spedizione o in attesa di posta.
Xen2050,

Risposte:


3

L'impronta digitale è come il numero seriale - l'identificatore univoco - di una chiave. Viene utilizzato per verificare che entrambe le parti parlino della stessa chiave, nel caso in cui vi siano più persone con lo stesso nome nel server delle chiavi pubbliche. (È anche incredibilmente più semplice controllare a colpo d'occhio un'impronta digitale rispetto a una massiccia stringa di chiave pubblica.)

L'impronta digitale è un hash della chiave pubblica e, poiché è più corta, deve contenere meno informazioni. Pertanto, non può funzionare come chiave pubblica perché la chiave pubblica non può essere recuperata dall'impronta digitale (in tempi ragionevoli). La funzione hash distrugge la relazione matematica della chiave pubblica con la chiave privata.

Considera una metafora fisica leggermente inventata. Supponiamo di avere un lucchetto (una chiave pubblica) e di muoverne l'interno in modo che metà dei pin vadano via e il resto venga riordinato in un modo deterministico (producendo un lucchetto con bork, l'impronta digitale). La chiave per il blocco reale (chiave privata) non sarà in grado di aprire quel blocco bloccato perché la relazione di interblocco fisico tra esso e il blocco è andata persa. È possibile, tuttavia, determinare che due blocchi sono stati gli stessi confrontando le loro versioni con i violini, supponendo che il processo di giochini sia un buon hash.

Quindi, no, non puoi usare solo l'impronta digitale per crittografare un messaggio per qualcuno. Devi avere l'intera chiave pubblica.

Ulteriori letture: verifica della chiave PGP , impronta digitale della chiave pubblica


Direi che l'impronta digitale dovrebbe essere come un numero seriale univoco . E tu mi hai perso nella metafora della serratura borked (o forse sono distratto ...)
Xen2050

@ Xen2050 Sì, è stato un po 'strano. Ho provato a migliorarlo un po 'e ho aggiunto che l'impronta digitale era unica.
Ben N,

Farò +1, ma cercherò di non pensare a serrature rotte ;-)
Xen2050

Adesso ha tutto senso. È necessaria prima l'intera chiave pubblica, quindi è possibile verificare l'impronta digitale via telefono o posta.
HC Barton,

1

È possibile inviare l'impronta digitale tramite cartolina per verificare una chiave pubblica?

Risposta breve:

In realtà è l'idea dell'impronta digitale per facilitare il processo di autenticazione delle chiavi. Quindi sì, puoi inviare la tua impronta digitale ad altri in modo che possano verificare la tua chiave pubblica che hanno. Tuttavia, è necessario assicurarsi che il canale con cui si invia l'impronta digitale sia salvato.

Versione più lunga:

È comune che le chiavi pubbliche siano accessibili tramite alcuni server delle chiavi o che le persone forniscano la loro chiave pubblica nel messaggio crittografato che inviano su Internet. Entrambe non sono fonti molto affidabili, un uomo nel mezzo avrebbe potuto cambiare le chiavi mentre le tiravi. Per autenticare le chiavi pubbliche di altri (e avviare una comunicazione crittografata con esse), è necessario verificare / autenticare questa chiave pubblica accessibile.

Per facilitare il processo, non è necessario incontrare / telefonare alla persona in questione e dettare la chiave pubblica (possibilmente molto lunga), invece, è possibile confrontare l'impronta digitale con l'impronta digitale che la persona ha appena calcolato dalla chiave pubblica ricevuta.

Tuttavia, il canale utilizzato per comunicare le impronte digitali per confrontarle deve essere salvato. Personalmente, sono un po 'paranoico per comunicare l'impronta digitale con una cartolina postale. Tuttavia, per verificare / autenticare la chiave pubblica di un'altra persona e se ti fidi del servizio postale e dei vicini che hanno accesso alla casella postale, è fattibile.

Differenze tra la chiave e l'impronta digitale

L'impronta digitale viene calcolata con una funzione hash crittografica. Sebbene sia pensato per essere univoco (non esistono due messaggi diversi che condividono lo stesso hash), non è possibile invertire il processo e, pertanto, non è possibile decrittografare i messaggi crittografati con la chiave pubblica corrispondente.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.