我从Mac复制了我的.gnupg文件夹，现在Seahorse允许我在自己的密钥上签名。这是正常的吗？

Question

我有一个双引导设置与Mac山狮和Debian /Linux(完全最新)。

我通过执行gpg在OS中安装了brew install gpg。然后，我生成了一个键盘供自己使用。

gnupg (和gnupg2，尽管这不是默认的gpg)和seahorse包是在Debian安装期间安装的。

当我打开海马的时候，我收到一个窗口，上面写着我的名字，我的电子邮件和“个人PGP密钥”。当我双击它，并得到一个详细的视图，上面写着“私人PGP密钥”，密钥ID，我的电子邮件和我的名字。

这是我的问题:当我点击“关键细节”窗口中的“名称和签名”选项卡时，它给了我列表中的一个条目--我的键。但是，当我单击该键时，将启用对该键进行签名的按钮。这是正常行为吗？如果是的话，签署自己的密钥有什么用呢？

Answer 1

如果您生成一个公共/私有PGP密钥对，并在不使用私有密钥对签名的情况下发布公共密钥，那么您将很容易受到拒绝服务攻击。一旦将公钥推送到PGP服务器，攻击者就可以对其进行修改并重新分发。

攻击是这样的:攻击者从PGP服务器获取您的密钥，修改用户ID (电子邮件)，而密钥指纹将保持不变，因此密钥看起来仍然是真实的。然后，他们重新分配他们的钥匙尽可能广泛，也许通过另一个PGP数据库。

任何人谁不知道你的电子邮件，并必须依靠公共的PGP数据库找到它将发送消息到这个新的ID，你将永远得不到邮件。尽管如此，攻击者将无法在不获取私钥的情况下解密它们，因此它只是一个DoS，而不是一个非常有效的IMHO。现在很少有人使用PGP服务器作为通讯录。

不过，这是一种可能，也是众所周知的，而且很容易被打败。最后，我记得大多数PGP应用程序在默认情况下创建这对密钥时都会签署公钥，但是我已经很久没有创建新的密钥了。

这里有一篇很好的文章：http://www.heureka.clara.net/sunrise/pgpsign.htm