As mensagens PGP podem ser verificadas apenas com a impressão digital da chave pública?

1

Qual é a diferença entre compartilhar uma chave pública e compartilhar apenas sua impressão digital de 40 dígitos? A chave pública é muito longa, por isso, se eu quisesse que alguém pudesse verificar minhas mensagens, eu poderia enviar um cartão postal com a minha impressão digital de 40 dígitos?

    
por H. C. Barton 14.02.2016 / 17:18

2 respostas

3

A impressão digital é como o número de série - o identificador único - de uma chave. É usado para verificar se ambas as partes estão falando sobre a mesma chave, caso haja várias pessoas com o mesmo nome no servidor de chaves públicas. (Também é muito mais fácil verificar rapidamente uma impressão digital do que uma sequência de chave pública massiva.)

A impressão digital é um hash da chave pública e, como é mais curta, deve conter menos informações. Portanto, não pode funcionar como chave pública porque a chave pública não pode ser recuperada da impressão digital (em tempo razoável). A função hash destrói a relação matemática da chave pública com a chave privada.

Considere uma metáfora física ligeiramente planejada. Suponha que você tenha uma trava (uma chave pública) e balance o seu interior para que metade dos pinos desapareçam e o restante seja reordenado de alguma forma determinística (produzindo uma trava com borked, a impressão digital). A chave para o bloqueio real (chave privada) não será capaz de abrir esse bloqueio porque a relação de intertravamento físico entre ele e o bloqueio foi perdida. Você poderia, no entanto, determinar que dois bloqueios eram os mesmos, comparando suas versões falsas, assumindo que o processo de mexer é um bom hash.

Portanto, não, você não pode usar apenas a impressão digital para criptografar uma mensagem para alguém. Você deve ter toda a chave pública.

Outras leituras: Verificação da chave do PGP , Impressão digital da chave pública

    
por 14.02.2016 / 17:30
1

Você pode enviar a impressão digital via cartão postal para verificar uma chave pública?

Resposta curta:

Na verdade, é a idéia da impressão digital para facilitar o processo de autenticação de chave. Então, sim, você pode enviar sua impressão digital para outras pessoas para que elas possam verificar sua chave pública. No entanto, você precisa tomar cuidado para salvar o canal para o qual envia a impressão digital.

Versão mais longa:

É comum que as chaves públicas sejam acessíveis em alguns servidores principais ou que as pessoas forneçam suas chaves públicas na mensagem criptografada que enviam pela Internet. Ambos não são fontes muito confiáveis, um man-in-the-middle poderia ter mudado as chaves enquanto você as puxava. Para autenticar as chaves públicas de outras (e iniciar uma comunicação criptografada com elas), é necessário verificar / autenticar essa chave pública acessível.

Para facilitar o processo, você não precisa atender / telefonar para a pessoa em questão e ditar sua chave pública (possivelmente muito longa), em vez disso, pode comparar sua impressão digital com a impressão digital que a pessoa acabou de calcular chave.

No entanto, o canal que você usa para comunicar sua impressão digital para compará-los deve ser salvo. Pessoalmente, sou um pouco paranóico para comunicar a impressão digital com um cartão postal. No entanto, para verificar / autenticar a chave pública de outra pessoa, e se você confia no serviço postal e os vizinhos tiverem acesso à caixa postal, é possível.

Diferenças entre a chave e a impressão digital

A impressão digital é calculada com uma função hash criptográfica. Embora ele seja exclusivo (não há duas mensagens diferentes compartilhando o mesmo hash), você não pode inverter o processo e, portanto, não pode descriptografar nenhuma mensagem criptografada com a chave pública correspondente.

    
por 14.02.2016 / 17:57