我目前正在研究 PGP 和身份验证方案。
假设我正在与自称是 ftp 站点管理员的人交流。(比如说,他的电子邮件地址是 admin@genuine-website.com)
假设我们都有彼此的 PGP 公钥。
首先说,我们交换指纹并验证它们(通过直接传输它们而不使用像电话/短信这样的带外身份验证)。第二步,我们交换签名消息,然后验证签名。
这两个步骤是否足以确定真实性?
通过这个虚构的例子,我想问的基本问题是这些步骤是否“足够”或者我应该在此基础上选择另一种相互身份验证方案?
我目前正在研究 PGP 和身份验证方案。
假设我正在与自称是 ftp 站点管理员的人交流。(比如说,他的电子邮件地址是 admin@genuine-website.com)
假设我们都有彼此的 PGP 公钥。
首先说,我们交换指纹并验证它们(通过直接传输它们而不使用像电话/短信这样的带外身份验证)。第二步,我们交换签名消息,然后验证签名。
这两个步骤是否足以确定真实性?
通过这个虚构的例子,我想问的基本问题是这些步骤是否“足够”或者我应该在此基础上选择另一种相互身份验证方案?