¿Se pueden verificar los mensajes PGP con solo la huella digital de la clave pública?


1

¿Cuál es la diferencia entre compartir una clave pública y compartir solo su huella digital de 40 dígitos? La clave pública es muy larga, así que si quisiera que alguien pudiera verificar mis mensajes, ¿podría enviarles una tarjeta postal con mi huella digital de 40 dígitos?


Un método más fácil es cargar su clave pública en un servidor de clave pública (si no le importa que su clave pública se haga pública), luego lea la huella digital a su amigo por teléfono / voip (si confía y reconoce su voz) - Sin franqueo o esperando correo.
Xen2050

Respuestas:


3

La huella digital es como el número de serie, el identificador único, de una clave. Se utiliza para verificar que ambas partes estén hablando de la misma clave, en caso de que haya varias personas con el mismo nombre en el servidor de clave pública. (También es dramáticamente más fácil verificar de un vistazo una huella digital que una cadena de clave pública masiva).

La huella digital es un hash de la clave pública y, como es más corta, debe contener menos información. Por lo tanto, no puede funcionar como la clave pública porque la clave pública no se puede recuperar de la huella digital (en un tiempo razonable). La función hash destruye la relación matemática de la clave pública con la clave privada.

Considere una metáfora física ligeramente inventada. Suponga que tiene una cerradura (una clave pública) y mueve su interior para que la mitad de los pines desaparezcan y el resto se reordene de una manera determinista (produciendo una cerradura descorchada, la huella digital). La clave para la cerradura real (clave privada) no podrá abrir esa cerradura bloqueada porque se perdió la relación de enclavamiento físico entre ella y la cerradura. Sin embargo, podría determinar que dos bloqueos eran iguales comparando sus versiones manipuladas, suponiendo que el proceso de violín sea un buen hash.

Entonces, no, no puede usar solo la huella digital para cifrar un mensaje para alguien. Debe tener toda la clave pública.

Lectura adicional: verificación de clave PGP , huella digital de clave pública


Mencionaría que se supone que la huella digital es como un número de serie único . Y me perdiste en la metáfora de la cerradura borked (o tal vez estoy distraído ...)
Xen2050

@ Xen2050 Sí, fue un poco extraño. Traté de hacerlo un poco mejor, y agregué un poco acerca de que la huella digital es única.
Ben N

Haré +1, pero intentaré no pensar en cerraduras rotas ;-)
Xen2050

Todo tiene sentido ahora. Primero se necesita toda la clave pública, y luego puede verificar la huella digital por teléfono o por correo.
HC Barton

1

¿Se puede enviar la huella digital por tarjeta postal para verificar una clave pública?

Respuesta corta:

En realidad, la idea de la huella digital es facilitar el proceso de autenticación de clave. Entonces, sí, puede enviar su huella digital a otros para que puedan verificar su clave pública que tienen. Sin embargo, debe asegurarse de que se guarde el canal con el que envía la huella digital.

Versión más larga:

Es común que las claves públicas sean accesibles a través de algún servidor de claves, o que las personas proporcionen su clave pública en el mensaje cifrado que envían a través de Internet. Ambas no son fuentes muy confiables, un hombre en el medio podría haber cambiado las llaves mientras las extrae. Para autenticar las claves públicas de otros (e iniciar una comunicación cifrada con ellos), uno debe verificar / autenticar esta clave pública accesible.

Para facilitar el proceso, no necesita conocer / llamar a la persona en cuestión y dictar su clave pública (posiblemente muy larga), en su lugar, puede comparar su huella digital con la huella digital que la persona acaba de calcular con la clave pública recibida.

Sin embargo, el canal que utiliza para comunicar su huella digital para compararlos debe guardarse. Personalmente, estoy un poco paranoico para comunicar la huella digital con una tarjeta postal. Sin embargo, para verificar / autenticar la clave pública de otra persona, y si confía en el servicio postal y los vecinos que tienen acceso al buzón, es factible.

Diferencias entre la clave y la huella digital

La huella digital se calcula con una función hash criptográfica. Aunque está destinado a ser único (no hay dos mensajes diferentes que compartan el mismo hash), no puede invertir el proceso y, por lo tanto, no puede descifrar ningún mensaje cifrado con la clave pública correspondiente.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.