Верификация ключей

При правильной организации шифрования письмо могут прочитать только отправитель и получатель. Сквозное шифрование защищает данные от перехвата третьим лицом, но что насчёт адресата? Вы уверены, что общаетесь с нужным человеком? Узнать это поможет верификация открытых ключей. Она добавляет ещё один уровень защиты: вы и ваш собеседник можете подтвердить друг другу свои личности.

Верификация ключей – одно из обычных свойств протоколов сквозного шифрования, таких как PGP и OTR . По сигналу, они называются "safety numbers." Чтобы без помех верифицировать ключи, рекомендуем использовать альтернативный канал связи (не тот, по которому вы передаёте шифрованную информацию). Например, для верификации отпечатков OTR в качестве такого канала можно использовать электронную почту.

Верификация по альтернативному каналу anchor link

Есть несколько способов. Идеальный вариант – личная встреча, если она удобна всем участникам и не создаёт угрозы безопасности. Такая верификация часто происходит на вечеринках подписания ключей или среди коллег.

Бывает, что личную встречу организовать нельзя. Тогда используют альтернативный канал. Например, если вы хотите верифицировать PGP-ключи, можно воспользоваться телефонной связью или OTR-чатом.

Какая бы программа у вас ни была, вы всегда сможете определить свой ключ и найти ключ собеседника.

Способ поиска ключа зависит от конкретной программы, а процедура верификации остаётся приблизительно одинаковой. Можно прочитать отпечаток ключа вслух (при личной встрече или по телефону) или скопировать и вставить его в чат. Что бы вы ни выбрали, настоятельно рекомендуем проверять каждую букву и цифру отпечатка.

Совет: попробуйте верифицировать ключи с одним из ваших друзей. О том, как это сделать в конкретной программе, обратитесь к руководству по её использованию.