<p dir="ltr">Beh io invece la penso in modo opposto sui keyserver.<br>
Chiunque può caricare una chiave pubblica sui keyserver mettendo come ID quello che vuole, può anche usarla per firmare le chiavi pubbliche di persone che quella persona potrebbe conoscere e questo coda dimostra? Non mi dice nulla sull'autenticità di quella chiave pubblica, la rende solo un falso più appetibile. Quindi se invece di allegare la chiave lui dicesse che la sua chiave pubblica si trova sul keyserver quale di quelle sul server è quella vera? Non c'è modo di saperlo con certezza senza incontrare quella persona.<br>
Ah e a voler essere ancora più paranoici si potrebbero usare i keyserver per costruire delle reti di relazioni vedendo quali chiavi sono state firmate da chi, quindi forse sarebbe il caso di firmare le chiavi solo localmente e scambiarsele di persona.<br>
Penso quindi che usare i keyserver è una comodità così come allegare la firma al messaggio, ma che nessuna delle due soluzioni garantisce alcunché.<br></p>
<p dir="ltr">P.s. Non usate <a href="http://PGP.MIT.edu">PGP.MIT.edu</a> come keyserver se siete davvero paranoici.</p>