来自陌生人的 PGP 密钥签名

PGP key signature from stranger

我收到了一个陌生人对我的密钥的签名。我应该如何反应?

签署 GPG 密钥应该是在密钥和所有者之间声明真实 link 的可靠方式,但在这种情况下,一个我不认识的人声明认识我并验证了我的密钥的有效性。

事实并非如此。

我可以 remove/block/tag 某人对我的密钥签名吗?

Can I remove/block/tag someone's signature to my key?

很遗憾,OpenPGP 的设计和密钥服务器的工作方式是不可能的。

其他人在您的密钥上的签名实际上没有任何意义 - 当然不是双向关系。

我知道你可能担心人们认为它的意义比它实际的要多。

How should I react?

这个陌生人是你不想以任何方式与之有任何关联的众所周知的恶人吗?

如果没有,我不会担心。

您强调了关于信任网络的许多令人困惑或损坏的事情之一。技术原理很好,但实际上很少有人能理解到它在说什么。

有利的一面是人们不太可能对你的神秘签名者有太多了解。

人们不使用信任网络的其他原因

  • 它揭示了有关您向谁发送电子邮件以及您何时遇到他们的一些信息(例如,在密钥签名派对上)
  • 它允许任何人对您的密钥附加任意评论(通过生成新密钥、填写 UID 字段并签名并推送您的密钥。)
  • 不清楚签名的含义,以至于有些人实际上编写签名策略来描述他们所做的验证。

我个人的做法

这是我的方法,不涉及信任网络。

  • 将密钥服务器视为一种免费但不可信的方式来托管您的 public 密钥。
  • 广泛分享您的指纹:在电子邮件签名、社交媒体、网站、名片、Signal 中
  • 通过指纹引用您的密钥,而不是通过 URL 指向密钥服务器
  • 始终使用您的软件通过指纹获取密钥,然后您就可以免费进行指纹检查:例如gpg --recv-keys 'A999 B749 8D1A 8DC4 73E5 3C92 309F 635D AD1B 5517'
  • 不要按名称或电子邮件搜索密钥服务器。列出的密钥可能属于任何人
  • 忘记存在短 ID。只有在不能使用指纹时才使用长 ID。