Je suis actuellement à la recherche de PGP et de schémas d'authentification. Disons que je communique avec quelqu'un qui prétend être un administrateur d'un site FTP. (Par exemple, son adresse e-mail est [email protected])Utilisation de PGP avec une entité inconnue
Supposons que nous ayons tous les deux des clés publiques PGP les uns des autres. Dites d'abord, nous échangeons les empreintes digitales et les vérifions (en les transmettant directement et en n'utilisant pas l'authentification hors bande comme le téléphone/SMS). Dans la deuxième étape, nous échangeons un message signé, puis vérifions la signature.
Ces deux étapes sont-elles suffisamment bonnes pour établir l'authenticité?
Au moyen de cet exemple fictif, la question fondamentale que je me pose est de savoir si ces étapes sont «suffisantes» ou si j'opte pour un autre système d'authentification mutuelle en plus de cela?
Hors sujet ici, devrait aller à [security.se]. –