我试图围绕公钥密码术如何真正以安全的方式工作。
据我所知,您可以访问 example.com 并下载他们的 PGP/GPG 公钥并将其添加到您的密钥环中。然后他们向您发送一个用他们的私钥签名或用您的公钥加密的文本文件(或诸如此类);您可以验证其真实性和/或解密它。
如果攻击者修改了传输给您的网站并以他们的名义签署了他们自己的假密钥,然后您将其放入您的密钥环中怎么办?然后您继续验证和解密被篡改的文件,假设它是有效的。
我假设我在谈论中间人对整个网络流量的篡改,或类似的事情。我只是不确定“签名”如何防止密钥和数据在传输过程中被伪造。