Um par de chaves autoassinado? Um par de certificados? Você prefere usar um certificado do que o GPG?
A maneira como você fez a sua pergunta indica que você tem um entendimento confuso de como os pares de chaves pública / privada e os certificados se relacionam entre si.
- Você geralmente não assina (pelo menos não auto-sinal) chaves, você assina certs.
- As chaves vêm em pares, os certs não.
- Ter um certificado que é sorta auto-assinado derrota a vantagem que certs têm sobre pares de chaves não certificadas.
Permita-me explicar. Se você quiser usar um par de chaves pública / privada com e-mail, isso geralmente significa que você tem um ou ambos os objetivos principais:
- Você quer poder assinar alguns ou todos os seus e-mails com sua chave privada, para que seus correspondentes possam verificar se seus e-mails realmente vieram de você e não foram modificados em trânsito.
- Você deseja que seus correspondentes criptografem alguns ou todos os e-mails com sua chave pública, para que apenas você possa ler o conteúdo desses e-mails.
Tudo bem, mas há um grande problema. Para que isso funcione, você precisa que seus correspondentes possam obter sua chave pública e ter certeza de que é realmente sua chave pública, não de um impostor.
Uma maneira de resolver esse problema seria enviar sua chave pública para cada um de seus correspondentes por meio de uma mídia confiável e instalá-la em seu software de segurança de e-mail para usar com mensagens de / para você. Isso pode funcionar, mas é preciso muito trabalho de configuração por parte de você e de seus correspondentes, e esse trabalho de configuração deve ser feito antes de cada correspondente antes que eles possam enviar um e-mail com segurança.
Para diminuir o incômodo, seria bom se houvesse uma maneira de publicar sua chave pública de forma que qualquer novo e-mail potencial correspondente possa ter seu software recuperado automaticamente e ainda assim confiar que é seu .
Existem duas soluções bem conhecidas para esse problema de publicação de chaves de maneira confiável: a rede de confiança PGP / GPG e a infra-estrutura de chave pública (PKI) baseada em certificado.
Na rede de confiança GPG, você publica sua chave pública no sistema de rede de confiança GPG e tem outras pessoas que você conhece atestar ou sua autenticidade marcando sua chave como confiável (assinando-a com suas próprias chaves privadas). Então, quando alguém quiser enviar um e-mail com segurança, ele poderá recuperar sua chave pública da rede do sistema de confiança, ver quem a defendeu, decidir se deseja confiar nela e, se for o caso, usá-la para criptografar as mensagens enviadas para você.
Na PKI baseada em certificado, você tem um certificado CA bem conhecido para a autenticidade de sua chave pública, agrupando sua chave pública com algumas informações de identificação sobre você e assinando esse pacote. Esse pacote assinado de suas informações de identidade e sua chave pública é seu certificado. Você pode publicar esse certificado inteiro e até mesmo anexá-lo aos seus e-mails, e seus correspondentes, se confiarem nessa autoridade, podem aceitar a palavra da CA de que esse certificado mostra a verdadeira chave pública da pessoa listada no certificado.
Portanto, se você criar um certificado autoassinado, estará criando algo que não é mais confiável do que uma chave pública simples, porque ninguém além de você está garantindo isso. Não são seus amigos (rede de confiança do GPG) nem uma agência pública confiável (CA). Você e seus correspondentes estariam assumindo o compromisso de garantir que sua chave pública seja realmente sua chave pública.
Então, se você está derrotando o propósito de um certificado por auto-assinatura, por que incomodar?