Authentication 使用GPG进行身份验证

我一直在读有关带内和带外认证的书。我知道一个人可以为自己的GPG密钥签名，然后其他人可以使用指纹验证签名者

我还阅读了发布在以下网站的GPG密钥签名问题：

难道这种类型的认证不易受到中间人攻击吗？如何在不使用数字签名的情况下完全验证身份

PS：我已经研究了以下身份验证方法：GPG签名消息（电子邮件）、SMS（带外）、使用共享秘密密码、应用社会主义百万富翁协议和基于零知识的不可否认身份验证

---

上面列出的哪一个最能防止人在中间攻击，也能提供很好的身份验证？

< P>在中间攻击中的人的保护是你的大脑：-当签署密钥时，GPG会询问你是否真的检查了密钥所有者的身份，就像GPG HODOTs（）一样。警告您在这里要小心：

只有当您绝对确定钥匙是真的时，您才应该将钥匙签名为真的！！！。因此，如果您确定您自己获得了密钥（比如在密钥签名派对上），或者您通过其他方式获得了密钥，并使用指纹机制进行了检查（例如通过电话）。您不应该基于任何假设对密钥进行签名

签名密钥时，您有责任验证密钥所有者的身份。与CACert（有一个认证中心）相比，没有关于如何进行验证的一般政策。然后，另一方面，GPG会补偿您信任的引入新密钥的人

这意味着：

• 您应该熟悉如何验证密钥确实属于密钥id所示的人。CACert指南（私人会议、检查官方文件、交换指纹）对你不认识的人有好处，对你的好朋友来说，个人交换指纹（或通过电话验证指纹，如果你能识别朋友的声音）也应该足够了
• 您应该只设置属于您绝对确信他们理解签名含义的人的密钥的信任属性，并按照上面所述进行仔细检查