在考虑我是否想加入大型网络信任并将我的密钥放在密钥服务器上时,我开始考虑这将如何影响我的电子邮件地址的暴露。我通常会尽量避免我的电子邮件地址过于公开,以避免不必要的垃圾邮件。
沿着这个思路,我开始怀疑:如果(如果我错了,请随时纠正我)一个 PGP 密钥真的意味着我的个人身份的代表,它真的需要与每个 e-我要使用的邮件地址?它甚至需要与电子邮件地址相关联吗?如果不是,那么这两种实施方式的优缺点是什么?
据我了解,如果有人收到带有我的数字签名的消息,他们应该(理论上)能够验证该消息来自我,而不管发送地址如何。同样,如果有人想向我发送加密的电子邮件,他们可以(理论上)使用我的公钥这样做,并确保无论该电子邮件去哪里,只有我能够阅读它。
那么,这里真正的交易是什么?
取决于您如何使用 PGP。
从 PGP 桌面客户端 10.0 版开始,加密和解密在 Outlook 富客户端中是无缝且自动的。
如果您的电子邮件地址与您的 PGP 密钥中的相同,那么您可以使用简单的规则发送电子邮件,例如您将敏感度设置为机密 > 加密的任何内容。收到此电子邮件地址的任何加密也将自动解密。在向非技术用户推出时,我们发现这是一个主要好处。
您始终不能将您的真实电子邮件地址与 PGP 密钥相关联并手动加密内容。或者将数据放入文档中,对其进行加密并以明文形式发送电子邮件。反之亦然,用于接收加密的电子邮件。
你是对的,它不影响签名。尽管如果您再次使用电子邮件地址将其提交到开放的 PGP 全局服务器,它会由该密钥签名,并且如果接收方已导入 PGP 全局密钥,他们将在电子邮件周围获得漂亮的蓝色边框,说明此电子邮件签名具有已验证。否则它将是红色的,并表示无法验证签名。不影响签名的加密有效性,仅影响 UI 体验
因此,这确实是一种方便与电子邮件枚举的权衡。考虑到电子邮件地址在许多服务中用作用户名,并且至少 gmail 垃圾邮件过滤非常好(我也使用 unsubscribe.com 服务,因为我很懒)。就我个人而言,将我的电子邮件地址与我的 PGP 密钥关联并发布到全球服务器不会有问题。
如果您不想使用 PGP 来给普通的电子邮件通讯员信心,您可以在其中放置您喜欢的任何识别信息 - 备用电子邮件、网址、电话号码,或者根本没有。您基本上通常希望使用它来声明唯一的身份属性。
请注意,您通常还会要求其他签署您的密钥的人保证您放在那里的任何内容。他们可以通过照片 ID 验证姓名,并通过向您发送内容的电子邮件来验证姓名。好的签名者会想要证据证明你控制了一个网站等。