何時需要密鑰簽名？

Question

如果您通過親自/通過電話驗證指紋驗證了人員公鑰是否確實來自您認爲的人，是否仍然需要簽署其公鑰？

尤其是如果您打算自己不解密郵件，但只打算使用有效公鑰對郵件進行加密，是否仍需要簽名？

Answer 1

我覺得有用簽訂鍵有兩個原因：

1. 安慰我，在未來的鑰匙並沒有改變。
2. 幫助密鑰擁有者通過信任網向他人證明其密鑰。

在1點），這是很容易驗證指紋現在但你要做到這一點你每次發送人加密的郵件或檢查自己的簽名時間？簽署密鑰意味着您可以忘記指紋。

關於第2點），公鑰的擁有者可能會感謝您在他們的密鑰上簽名，以幫助說服其他人他們的密鑰屬於他們。例如，如果我簽署Alice的密鑰並且Bob已驗證我的密鑰，則Bob可以憑藉我的簽名選擇信任Alice的密鑰。

在實踐中，我相信適當的禮儀是簽署Alice的密鑰，然後將其導出（gpg --export --armor <alice's key id>），然後通過加密的電子郵件發送給Alice。這允許她選擇如何在密鑰上使用您的簽名 - 她可能決定將其上傳到密鑰服務器或直接發送給其他人。或者，她可能決定不透露她與你的關聯，也不會使用簽名密鑰。

注意：我相信將別人的密鑰上傳到密鑰服務器是不禮貌的，因爲您否認他們的選擇。

Answer 2

如果您可以驗證擁有該公鑰的人，則不必擔心簽名。驗證公鑰的能力是你信任它的人是重要的。說到這一點，如果你從一些公鑰服務器獲得公共信息，那麼你將如何能夠相信它來自你認爲它來自的用戶呢？在這種情況下，簽名是一個有效的考慮因素。

以下是與此相關的一些有用的鏈接。

• What does key signing mean from securityexchange
• Web Of Trust

希望這有助於。

Answer 3

您的解密是使用您的私鑰完成的。

未簽署其他人的（公共）密鑰，可能會發出難看的警告，在您的公鑰列表中顯示令人討厭的圖標，並且無法以任何方式爲其他人顯示您的檢查過程。即建立信任網絡。所以它更像是一個風格問題，而不是技術差異。