公開金鑰伺服器

如果您打算向使用公開金鑰密碼學加密 (例如 PGP) 的某人傳送加密訊息,就必須知道要使用哪一組金鑰來加密您的訊息。公開金鑰伺服器的功能就像是金鑰的電話簿,讓軟體可以使用電子郵件位址、姓名或金鑰指紋來搜尋並下載完整的金鑰。目前有非常多 PGP 公開金鑰伺服器,但它們通常會共用金鑰集。金鑰伺服器無法驗證所發佈金鑰的真偽。任何人都可以用任何名字將金鑰上傳到公開金鑰伺服器,這也就是說,在金鑰伺服器上與某個人姓名或電子郵件連結的金鑰可能不是他們真正的金鑰。要檢查金鑰的真實性,您必須檢查其簽章,或是以值得信任的方式與原始使用者確認其指紋

PGP 可讓您簽署他人的金鑰,此方法讓您使用您的金鑰,主張某組金鑰是聯絡另一個人的正確金鑰。這麼做為分辨金鑰的真偽提供了一種方法:如果有人為他們認識的通訊對象簽署正確的金鑰,那麼其他人就能用這些簽章來確認金鑰的真實性。當您從金鑰伺服器下載金鑰時,可能會包含其他人的簽章,確認這組金鑰是正確的。如果您認識這些人,也知道他們有給您正確的金鑰,那麼您就可以對剛下載的金鑰更有信心。這個驗證過程也被稱為信任網。它的好處是其為去中心化的,不受任何權威機構的控制,所以您在寫訊息給新朋友時,不必信任某間公司或政府告訴您該使用哪組金鑰,而可以相信您自己的社群網路。信任網還是有個重大缺點:在您簽署其他人的金鑰時,就等於告訴全世界您有哪些聯絡人,也就成了您認識特定人士的公開證據。而且,正確使用信任網需要花費許多時間及心力,有些社群很少或根本使用信任網。