Domanda:
Se invio un'e-mail in chiaro utilizzando Gmail a qualcuno, incluso il mio blocco con chiave pubblica PGP, è sicuro?
Joas
2020-02-24 02:16:03 UTC
view on stackexchange narkive permalink

Ho cercato di capire la "crittografia pratica" (AKA "PGP") per molti anni. Per quanto ne so, questo non è fondamentalmente difettoso:

  1. Conosco l'indirizzo e-mail di Joe: cool_joe@gmail.com.
  2. Ho un indirizzo di posta elettronica Gmail indirizzo mail: me_78@gmail.com.
  3. Ho GPG installato sul mio PC.
  4. Mando a Joe una nuova e-mail composta dal "PGP PUBLIC KEY BLOCK" estratto da GPG.
  5. Joe l'ha ricevuto e ora può crittografare un testo usando quel mio "PGP PUBLIC KEY BLOCK", rispondere alla mia e-mail, e io posso poi decrittarlo e leggere il suo messaggio. All'interno di questo messaggio, Joe ha incluso il suo blocco di chiave pubblica PGP di questo tipo.
  6. Uso il blocco di chiave pubblica PGP di Joe per rispondere al suo messaggio e da questo punto in poi inviamo solo i messaggi effettivi (nessuna chiave ) crittografati con le chiavi l'uno dell'altro, che abbiamo memorizzato sui nostri PC.

C'è qualcosa di fondamentalmente sbagliato / insicuro in questo? Alcune preoccupazioni:

  1. Gestendo semplicemente il servizio di posta elettronica, Google conosce la mia chiave pubblica (ma non quella di Joe, poiché è incorporata nel blob crittografato). Questo in realtà non ha importanza, vero? Non possono fare niente con la mia chiave pubblica? L'unica cosa per cui può essere utilizzato è crittografare il testo unidirezionale che solo io posso decrittare, perché solo io ho la chiave privata sul mio computer?
  2. Se decidono di manipolare il mio messaggio di posta elettronica iniziale, cambiando la chiave che ho inviato a Joe, quindi la risposta di Joe sarà illeggibile da me, poiché non è più crittografata utilizzando la mia chiave pubblica, ma la chiave intercettata di Google. Ciò significa che io e Joe non avremo alcuna conversazione oltre a quella e-mail iniziale da me e la prima risposta da parte sua (che Google può leggere), ma dopo ciò, non succede nulla poiché non riesco a leggere / decrittografare la sua risposta?
Risposta breve: sì, è sicuro.È così che funziona la crittografia a chiave pubblica.Va bene che il pubblico conosca la chiave
Nello scenario che descrivi, Google è in grado di sferrare un classico attacco man-in-the-middle (MITM), intercettando i messaggi tra te e Joe e sostituendo ciascuna delle tue chiavi pubbliche con le proprie chiavi pubbliche.Vedi https://en.wikipedia.org/wiki/Man-in-the-middle_attack per come funziona.
Il passaggio aggiuntivo standard per eliminare la possibilità di MiTM è comunicare ** fuori banda ** e verificare tra loro le impronte digitali della chiave pubblica.Di persona è ovviamente meglio, ma una telefonata in cui ci si può riconoscere leggendo l'impronta digitale va bene.Lo stesso vale per far firmare ad altri la tua chiave con la loro chiave, dichiarando che è valida.
@schroeder In altre parole, è sicuro se presumi che Joe abbia la chiave pubblica che gli hai inviato.
Quando si tratta di gpg, ho letto da qualche parte che puoi mettere la tua chiave pubblica sul tuo biglietto da visita e darla alle persone.in questo modo, quando ti inviano un'e-mail utilizzando la tua chiave pubblica, puoi decrittografarla utilizzando la tua chiave privata.
come suggerisce il nome, la chiave pubblica è pubblica
@mti2935: ma a meno che tu non sia un obiettivo di valore molto alto, o una specie di attivista politico che ha fatto incazzare Google in modo regale, la possibilità che Google tiri qualcosa del genere è praticamente zero.
@DanielL.VanDenBosch Poiché la chiave pubblica è piuttosto grande, il modo consigliato è di fornire l'ID e l'impronta digitale della chiave (ad esempio su un biglietto da visita o un pezzo di carta).L'altra parte può scaricare la chiave pubblica da un server delle chiavi tramite l'ID o il tuo nome e verificare che sia la chiave corretta tramite l'impronta digitale.
Le telefonate @user10216038 possono essere simulate utilizzando voci deepfake
Questo è il motivo per cui partecipiamo a [key signing party] (https://en.wikipedia.org/wiki/Key_signing_party) (mai detto nessuno).
Keybase fa un ottimo lavoro nel risolvere questo problema, consentendo alle persone di dimostrare la proprietà di account esterni.Se sai che la persona con cui desideri comunicare è la stessa persona che possiede l'account Github X, la verifica di una prova Keybase di quell'account ti consente di sapere che il proprietario di quell'account Keybase è la stessa persona che rivendica il possesso di specifiche chiavi pubbliche(siano esse chiavi PGP o il Saltpack nativo / preferito di Keybase).
@vsz, pensi che GMail sia abbastanza sicuro che nessuna terza parte farebbe qualcosa del genere?E penso che sopravvaluti l'integrità di uno dei maggiori concorrenti della NSA.
@chepner, pignoleria: è sicuro se l'ha ricevuto, non se _assumi_ che l'ha ricevuto.
@schroeder Dovresti considerare di eliminare il tuo commento.Lo scenario qui descritto * non * è sicuro.Vedi gli altri commenti / risposte.
Il contesto di @JonBentley è importante.Gmail * potrebbe * indirizzare le comunicazioni bidirezionali e cambiare le chiavi, ma non è un rischio credibile
@WGroleau Sì, penso di voler dire qualcosa del tipo "Puoi presumere che sia sicuro solo se puoi presumere che abbia ricevuto la chiave corretta".
@DanielL.VanDenBosch: "metti la tua chiave pubblica sul tuo biglietto da visita" - vedi [Mettere il mio ID PGP / link sui biglietti da visita stampati] (https://security.stackexchange.com/questions/70501/putting-my-pgp-ID-link-su-biglietti da visita-stampati)
Otto risposte:
ThoriumBR
2020-02-24 03:31:55 UTC
view on stackexchange narkive permalink

Come Steffen ha già detto, il tallone d'Achille sulla tua sicurezza è assicurarsi di parlare con Joe e Joe essere sicuro di parlare con te. Se lo scambio di chiavi iniziale è compromesso, la terza parte sarà in grado di leggere i tuoi messaggi, ricodificarli e inviarli a Joe e viceversa.

La crittografia non ha importanza a meno che tu non risolva questo problema. Ecco perché nel mondo HTTPS c'è un'entità speciale chiamata CA (Autorità di certificazione). La CA deve assicurarsi che Google non possa ottenere un certificato per Facebook e così via. Quindi, a meno che una CA inaffidabile non abbia emesso il certificato, puoi navigare su Google e assicurarti di essere su Google.

Il trasferimento della chiave iniziale è fondamentale e questo può essere fatto in due modi:

  • di persona
  • tramite messaggio fuori banda (tweet, post di Instagram, posta ordinaria)
  • segnalazione di un amico in comune (tu conosci Bill, salva la sua chiave e Bill vi conosce entrambi e condivide entrambe le chiavi)

Dopo questo scambio, la vostra configurazione è piuttosto solida.

Anche nel mondo HTTPS, esiste un meccanismo fuori banda: Google Chrome viene fornito con un elenco di certificati "bloccati" in cui non si fida delle CA.
Il meccanismo fuori banda classico e abbastanza affidabile è solo una telefonata.Sebbene siano facili da ascoltare, le telefonate sono piuttosto difficili da convincere MITM in tempo reale.
@jpa e ora sto immaginando qualcuno che legga una rappresentazione in base64 di una chiave pubblica con una lunghezza di 80 anni.nonno che legge un numero di telefono
@bracco23 Avrei dovuto essere più specifico, verificare l'impronta digitale al telefono, non tutti i dati :)
In che modo esattamente la terza parte ** ricodifica ** il messaggio quando dispone solo della chiave pubblica?Non intendevi inoltrare il messaggio crittografato originale?
@MSalters C'è un altro meccanismo fuori banda: DNS CAA ti consente di specificare quali CA sono autorizzate a emettere certificati per un dominio.Ovviamente questo è fuori banda per HTTPS ma si basa sulla sicurezza del DNS (un altro paio di maniche).
A me sembra che CA assomigli moltissimo a un set di chiavi pre-condiviso.
Steffen Ullrich
2020-02-24 03:18:20 UTC
view on stackexchange narkive permalink

Se decidono di manipolare il mio messaggio di posta elettronica iniziale, cambiando la chiave che ho inviato a Joe, la risposta di Joe sarà illeggibile per me, poiché non è più crittografata utilizzando la mia chiave pubblica, ma la chiave intercettata di Google. Ciò significa che Joe e io non avremo alcuna conversazione oltre a quella e-mail iniziale ...

Finché puoi essere sicuro che possono solo man-in-the-middle la posta iniziale quindi questo è vero. Ma se possono man-in-the-middle anche i seguenti messaggi, allora potrebbero semplicemente decrittografare il messaggio da Joe a te perché è stato effettivamente crittografato per loro e possono crittografarlo di nuovo per te poiché conoscono la tua chiave pubblica.

Per impostare una comunicazione sicura per la posta elettronica, è necessario disporre già di un altro canale di comunicazione sicuro per lo scambio o almeno per la verifica della chiave pubblica poiché altrimenti un MITM potrebbe semplicemente rivendicare queste identità e nessuno potrebbe rilevarlo.

Diciamo che il MitM cambia non solo la chiave, ma invia un messaggio dicendo che _il mio account corrente è stato compromesso, ma ho creato questo altro account _... ed è firmato da lui (per quanto puoi dire).Fa lo stesso con Joe, ed entrambi stanno parlando tra loro (per quanto potete dire entrambi), e con l'attaccante, che ha ogni copia di ogni messaggio che scambiate.
@ThoriumBR Sì, ecco perché la verifica fuori banda della firma della chiave è fondamentale.Se non puoi fidarti di un canale di comunicazione, non c'è modo di eseguire il bootstrap delle comunicazioni sicure su quel canale.Hai bisogno di un altro canale per verificare le chiavi.Il web-of-trust di GPG è stato ottimo per questo, anche se più gradi di separazione sono stati rimossi l'uno dall'altro.Di solito è sufficiente anche una semplice telefonata per leggere le impronte digitali.
usr-local-ΕΨΗΕΛΩΝ
2020-02-24 16:35:05 UTC
view on stackexchange narkive permalink

Questo approccio è molto sicuro non appena ci si può fidare del provider di posta elettronica (vale a dire, Google).

Tutte le altre risposte sugli attacchi MITM sono vere in generale. In questo caso particolare, quando si opera all'interno dello stesso provider, è possibile fare ulteriori considerazioni con successo.

1. Joe non può essere (facilmente) impersonato

Da dieci anni, chiunque può inviarti un'email artificiale proveniente da "un ragazzo di nome Joe", o anche da donaldjaytrump @ whitehouse .gov con quella che sembra essere la chiave pubblica di Joe. I provider più piccoli (server di posta molto, molto, piccoli) potrebbero non applicare il criterio SPF.

All'interno dello stesso provider di posta elettronica, e questo è vero per Gmail, vengono effettuati controlli aggiuntivi per garantire nessuno può falsificare un indirizzo mittente Gmail. Uno deve hackerare l'account di Joe, il che è fuori dallo scopo.

In breve, supporre che Joe non possa essere violato è sufficiente per dire che Joe non può essere impersonato da terze parti dannose e la posta proveniente da Joe viene in realtà da Joe dall'account di posta elettronica di Joe.

2. Devi (devi) fidarti del tuo provider

Dato che utilizzi lo stesso provider, devo presumere che ti fidi di esso. Non importa quanto Google, in questo caso particolare, sia affidabile, dal punto di vista della sicurezza è rimasto un vettore di attacco. Il provider dovrebbe essere abbastanza disonesto da cambiare la chiave pubblica di Joe con una chiave pubblica contraffatta per interrompere la comunicazione sicura.

Quello che voglio dire è che l'unico attore in grado di violare la sicurezza della tua conversazione è Google Inc. stessi, sia per il punto n. 1 sia perché le email non escono dai propri sistemi.

Rispondere alle tue preoccupazioni

Google conosce la mia chiave pubblica (ma non quella di Joe, poiché è incorporata nel BLOB crittografato). Questo in realtà non ha importanza, vero? Non possono fare niente con la mia chiave pubblica? L'unica cosa per cui può essere utilizzato è crittografare il testo unidirezionale che solo io posso decrittografare, perché solo io ho la chiave privata sul mio computer?

Supponendo l'interruzione del punto 2, Google possono impersonare te e alterare la tua chiave pubblica con una chiave che conoscono e crittografare nuovamente e firmare nuovamente il messaggio a loro piacimento.

Hanno solo una possibilità di azione, e questa è la tua prima email "Ciao Joe, questa è la mia chiave pubblica ABCDEF"

Se decidono di manipolare il mio messaggio di posta elettronica iniziale, cambiando la chiave Ho inviato a Joe, quindi la risposta di Joe sarà illeggibile da me, poiché non è più crittografata utilizzando la mia chiave pubblica, ma la chiave intercettata di Google. Ciò significa che io e Joe non avremo alcuna conversazione oltre a quella e-mail iniziale da me e la prima risposta da parte sua (che Google può leggere), ma dopo ciò, non succede nulla poiché non riesco a leggere / decrittografare la sua risposta?

Google dovrà intercettare e transcodificare i messaggi che scambi. Se ciò accade, non sarai in grado di rilevare l'attacco, perché entrambi hanno inizialmente riposto fiducia nella chiave sbagliata.

Invia un esempio di MITM via email (con Alice, Bob, Charlie)

Charlie è un fornitore di servizi di posta elettronica canaglia

Alice (tramite Charlie):

Ciao Bob, questa è la mia chiave pubblica ABC983 (materiale chiave allegato)

Charlie genera una nuova coppia di chiavi e sostituisce il messaggio

Ciao Bob, questa è la mia chiave pubblica ZZZ765 (materiale chiave allegato)

Bob riceve il testo, crittografa un nuovo messaggio con la chiave ZZZ765 , che è una chiave canaglia, e memorizza ZZZ765 nel suo truststore. Quindi invia la seguente email a Charlie per la consegna

Piacere di conoscerti Alice, per favore usa DEX258 come mia chiave.

--- Criptato usando ZZZ765, firmato usando DEX258 ---

Charlie intercetta l'email, decodifica usando ZZZ765 per ottenere il testo in chiaro, quindi genera ancora una nuova coppia di chiavi.

Charlie consegna la seguente email ad Alice

Piacere di conoscerti Alice, per favore usa FGN754 come mia chiave

--- Criptato usando ABC983, firmato con FGN754 ---

Alice si fiderà della chiave canaglia FGN754 nel loro negozio di fiducia.

Entrambe le parti giureranno di aver parlato sinceramente ciascuna altri in sicurezza fino al giorno in cui si incontrano di persona in un bar.

Con loro sorpresa, scopriranno di aver usato le chiavi sbagliate e che le email originali differiscono dalla loro cartella "Posta inviata". la storia

"ISP" dovrebbe davvero essere sostituito con "servizio di posta".Comunichi con il tuo servizio di posta (Google) tramite TLS, quindi la fiducia per il tuo ISP (che si limita a fornire il collegamento tra te e Internet) non è strettamente necessaria.
@josh3736 Senza una configurazione speciale, tutte le tue richieste DNS vengono inviate non crittografate al tuo ISP.Il tuo ISP può quindi restituire qualsiasi indirizzo IP che desidera per google.com.
@Fax Ma a meno che i tuoi trust anchor non siano stati compromessi, il tuo browser rileverà lo spoofing quando non riesce a convalidare il certificato google.com contraffatto.Non è necessario il trasporto affidabile (ISP) per stabilire un canale sicuro fintanto che si possiedono le chiavi giuste.
@erickson Vero, ma se il sito Web non utilizza HSTS o non è nell'elenco di precaricamento HSTS (cosa che, certamente, google.com lo è sicuramente), potresti essere vulnerabile a un attacco di downgrade.
not2savvy
2020-02-24 17:01:41 UTC
view on stackexchange narkive permalink

Nel tuo scenario, la chiave PGP che invii a Joe può essere manipolata durante il transito e Joe non sarà in grado di notarla a meno che non ne utilizzi una tra le seguenti approcci risolutivi integrati in PGP :

Lo scambio iniziale della chiave pubblica è cruciale, ma ci sono soluzioni. Per i certificati X.509 (come quelli utilizzati per S / MIME), lo stesso problema viene risolto utilizzando autorità di certificazione organizzate gerarchicamente. In quel sistema, un certificato può essere considerato attendibile se firmato da una CA attendibile. L'approccio PGP ad esso è la rete della fiducia che più o meno significa che chiunque può firmare una chiave e se quella firma può essere considerata attendibile o meno dipende dalla tua fiducia personale nel firmatario.

Quindi applicare questo meccanismo al tuo problema, se la tua chiave è firmata da una terza parte di cui Joe si fida, allora è impossibile manipolare la chiave in transito in un modo che passerebbe inosservato perché il manipolatore lo farebbe non essere in grado di firmare la chiave manipolata a nome della terza parte. Si noti che se la chiave è firmata da una terza parte fidata, la chiave può essere ottenuta da qualsiasi fonte, ed è così che dovrebbero funzionare i server delle chiavi PGP.

Se non ci sono terze parti fidate da te o da Joe, puoi comunque inviare la tua chiave pubblica a Joe, ma dovresti verificare che la chiave ricevuta da Joe non sia stata modificata durante il percorso in un altro modo. A tale scopo, puoi comunicargli l'impronta digitale della tua chiave , ma dovresti farlo su un canale indipendente. Ad esempio, non è insolito pubblicare l'impronta digitale su un sito web. A meno che il sito web non sia ospitato da Google, è molto improbabile che possa essere manipolato per adattarsi alla chiave manipolata.

L'impronta digitale su un sito web non dovrebbe essere considerata automaticamente attendibile se la questione è così importante che Google vuole prenderti.Tutti i siti web possono essere manipolati dal lato client.Il client è spesso il Chrome di Google, che può mostrare qualunque impronta digitale voglia a chi vuole.Ci sono modi per aggirarlo, ma se Google ti sta cercando, dovrebbe essere utilizzata una qualche forma di comunicazione non digitale per scambiare le chiavi iniziali.Anche questo, sposta in avanti il polo della fiducia.Alla fine devi fidarti di qualcuno in qualche modo.Non esiste un canale di comunicazione sicuro al 100%.
@Andrei, è per questo che ho affermato che è _molto improbabile_, il che implica che non è _non impossibile_.Tuttavia, se il tuo client è stato infiltrato, ovviamente tutto va bene e non ha più senso discutere della comunicazione crittografata.Pertanto, quando si risponde alla domanda, ha senso presumere che l'ambiente client possa essere considerato attendibile.
Qual è il vantaggio di mettere un'impronta digitale su un sito web quando puoi invece mettere l'intera chiave pubblica sul sito web?Beh, immagino di poter rispondere a questa domanda!Mettere l'intera chiave rivelerebbe il tuo indirizzo email alle persone.
@Brōtsyorfuzthrāx L'idea è di verificare l'autenticità della chiave pubblica attraverso un secondo canale indipendente.L'impronta digitale è abbastanza breve da poter essere verificata anche per telefono.
trognanders
2020-02-24 11:58:04 UTC
view on stackexchange narkive permalink

Crea un'opportunità unica per un utente malintenzionato di MITM (man in the middle) lo scambio di certificati e di offrirne uno diverso. Ipoteticamente potrebbero intercettare e inoltrare ogni messaggio inviato ricodificato con la nuova chiave dell'aggressore. Esistono tuttavia diversi fattori attenuanti.

Se entrambi utilizzate il client webmail per gmail, c'è una minima possibilità per un utente malintenzionato di fare confusione con la vostra posta, anche se SMTP non è in realtà super sicuro.

Dopo lo scambio di chiavi, saprai che stai inviando posta alla stessa persona , che sia aggressore o legittimo. È essenzialmente una cosa di fiducia al primo utilizzo, non ci sono ulteriori opportunità che avvenga un attacco.

L'autore dell'attacco avrebbe bisogno essenzialmente di MITM se le tue e-mail, se si perdessero costantemente, sarebbe un rosso flag.

Ci sono suggerimenti che l'intera chiave deve essere scambiata in un canale sicuro, questo è falso . Puoi inviare un'e-mail al blocco chiave pubblica e quindi chiamare o incontrarti di persona per scambiare l'identificazione personale del certificato, un hash sicuro della chiave, per verificare che sia valido.

Brian Minton
2020-02-25 05:32:51 UTC
view on stackexchange narkive permalink

Come altri hanno sottolineato, nel tuo scenario Google è nella posizione di essere un uomo di mezzo per il tuo messaggio iniziale che invia la tua chiave pubblica a Joe. Una cosa che può essere utile è pubblicare la tua chiave pubblica in più posizioni. Quindi, pubblichi la tua chiave pubblica sul tuo sito web (non ospitato da Google), su GitHub e Facebook e notizie di hacker e reddit e stackexchange e su più server di chiavi pubbliche, o su un cartellone pubblicitario o un annuncio sul New York Times o un post in un newsgroup anonimo o in un forum casuale o qualsiasi altra cosa (e in effetti, servizi come keybase.io ti consentono di collegare molte di queste cose alla tua chiave pubblica pgp con una firma verificabile). Quindi, puoi elencare tutti i luoghi in cui hai inserito la tua chiave pubblica e firmare l'intero messaggio con la stessa chiave. È improbabile che Google, o chiunque altro, sia in grado di modificare tutti quei luoghi.

Tuttavia, poiché Google possiede anche una CA attendibile e anche il browser Chrome di Google è ampiamente utilizzato, se Google volesse scegliere come target te, sembra possibile che potrebbe fare in modo che il proprio browser si fidi della versione modificata di qualsiasi sito pubblico . Per fare ciò, dovrebbero emettere un altro certificato a tutti i siti di terze parti che hanno elencato la tua chiave (e Certificate Transparency è progettato per mitigare questo tipo di attacco), oppure dovrebbero eseguire un po 'di post-download manipolazione in Chrome, e anche questo sarebbe facile da rilevare confrontando l'output in Firefox e Chrome.

Justa Guy
2020-02-27 01:45:40 UTC
view on stackexchange narkive permalink

È corretto. La chiave pubblica è distribuibile liberamente. Chiunque abbia la tua chiave pubblica può crittografare i messaggi e inviarli a te. Solo la chiave privata (che non dovresti mai distribuire) può decrittografare i messaggi.

  • Chiave pubblica = Crittografa
  • Chiave privata = Decrittografa

Tuttavia, la limitazione è che se invii a qualcuno la tua chiave pubblica, possono crittografare solo i messaggi che ti vengono inviati. Questo è uno schema di crittografia unidirezionale e non del tutto sicuro poiché chiunque può intercettare e leggere i messaggi non crittografati che invii a qualcun altro. Dovresti anche ottenere la loro chiave pubblica per poter crittografare i messaggi che invii loro.

Un utente può intercettare un messaggio crittografato ma non è possibile leggere i messaggi crittografati utilizzando la chiave pubblica per quanto Lo so. Penso che ciò a cui gli altri si riferiscano è se stai comunicando con Joe e viene presentato un terzo utente, Sam. Se Sam ha la tua chiave pubblica, potrebbe potenzialmente inviarti un messaggio crittografato fingendo di essere Joe. Probabilmente sapresti ancora che Sam non è Joe perché le loro chiavi pubbliche non sono le stesse e / o non hai la chiave pubblica di Sam. Se provassi a inviare un messaggio crittografato a Sam, non funzionerebbe.

La maggior parte degli utenti occasionali di posta elettronica non dispone di una coppia di chiavi pubblica / privata per inviare email crittografate. Sono sicuro che anche se lo facessero verrebbero prontamente bloccati dal loro provider di posta elettronica e dall'NSA poiché non è possibile intercettare il messaggio, leggere cosa c'è dentro e ottenere il sopravvento finanziario su di loro.

"... * Sono sicuro che anche se lo facessero verrebbero prontamente bloccati dal loro provider di posta elettronica e dalla NSA * ...".** Sbagliato **, solo sbagliato!
baba smith
2020-03-19 16:59:33 UTC
view on stackexchange narkive permalink

Come molte cose nella vita, la risposta è e no . Per le tue domande:

  1. Hai ragione, non c'è problema che il mondo conosca la tua chiave pubblica - ecco perché si chiama Chiave pubblica
  2. No, sei sbagliato su questo. Poiché il tuo fornitore di servizi controlla il tuo servizio, può agire come un perfetto Man In The Middle e intercettare tutte le tue corrispondenze con Joe. Ora, se il tuo fornitore di servizi intercetta quelle e-mail e impedisce loro di raggiungere la tua casella di posta mentre Joe crede di avere una relazione con te e che le e-mail tra te e lui sono private, e pensi che non ci sia nulla tra Joe e te, beh .... ora Joe condivide i suoi pensieri privati ​​con qualcuno che non sei tu :(

Conclusione: faresti meglio a inviare la tua chiave pubblica tramite un canale diverso, un canale che non può intercettare le tue conversazioni.

Questo copia le altre risposte.Avevi intenzione di offrire una prospettiva diversa?
@schroeder Volevo sottolineare la seconda questione.Ho notato il primo solo per non ignorarlo.Se era già stato spiegato, allora devo averlo perso, non era mia intenzione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...