0

我目前正在研究 PGP 和身份验证方案。

假设我正在与自称是 ftp 站点管理员的人交流。(比如说,他的电子邮件地址是 admin@genuine-website.com)

假设我们都有彼此的 PGP 公钥。

首先说,我们交换指纹并验证它们(通过直接传输它们而不使用像电话/短信这样的带外身份验证)。第二步,我们交换签名消息,然后验证签名。

这两个步骤是否足以确定真实性?

通过这个虚构的例子,我想问的基本问题是这些步骤是否“足够”或者我应该在此基础上选择另一种相互身份验证方案?

4

2 回答 2

0

这已经足够了,但最棘手的是验证指纹。对于 PGP,这是通过与其他密钥交叉签名密钥来完成的。虽然在 X.509 中它是分层结构(顶级 CA 并由它们签名证书),但在 PGP 中它是作为“信任网络”完成的。

于 2013-04-13T19:30:24.480 回答
0

不,这还不够好。中间人可以用他的公钥代替你和你伴侣的公钥,然后用指纹做同样的事情,这样一切看起来都正常。

您需要使用 PGP 的信任网络,或在您信任的其他介质中交换指纹,以验证您收到的公钥是真实的。

于 2013-04-13T19:37:54.793 回答