なぜ公開gpgキーを信頼するのですか？

「キーを信頼できるものとしてマークする」。この公開鍵が改ざん/変更されていないことをどのように知ることができますか？なぜ私はそれを信頼する必要がありますか？

ここでの問題は、基本的に公開鍵暗号に固有の問題です。最初にどのように信頼を確立しますか。

Truecrypt.org Webサイトがハッキングされた場合、理論的にはバイナリを変更し、新しいキーで再署名してから、新しいキーを公開する可能性があります。

これにはいくつかの不完全な救済策があります。

1つは、公開鍵サーバーで鍵を検索することです。攻撃者は、元のサイトとよく知られているキーサーバーの両方を危険にさらすことができないと想定/希望しています。

最も人気のある公開鍵サーバーの1つは http://pgp.mit.edu/ です。その公開鍵サーバーを検索すると、[email protected]にリストされている公開鍵をID（short） F0D6B1E で検索できます。pgp.mit.eduのその公開鍵は、truecryptに投稿された鍵と一致します。 .org Webサイト（または、少なくとも私がサイトにアクセスしたときにそうなります）。長いIDは0xE3BA73CAF0D6B1E0です。

とにかく、有効なキーを取得したよりも、複数の場所で公開されて同一であることがわかってキーを確認できれば、それが期待されます。

それでもキーサーバーを信頼できない場合は、帯域外の方法を使用してコピーを取得しようとする可能性があります。信頼できる人に、メールなどのフラッシュドライブにあるメールまたはIMのコピーを用意してください。

また、サイトが侵害された場合、多くの人々に気づかれ、すぐに公表されるという希望もあります。鍵サーバーのセキュリティ侵害、またはtruecryptサイトはかなり大きな問題であり、おそらくそれについて知ることができるでしょう。