Una volta ottenuta la chiave pubblica di qualcuno, è possibile aggiungerla al proprio Keyring. A volte è difficile essere sicuri della reale appartenenza di una chiave, per cui PGP fornisce diversi modi per controllare l’autenticità di una chiave e certificare che essa appartenga ad un particolare possessore. PGP inoltre, avvisa l’utente se ha intenzione di usare una chiave che non è stata certificata.
Ma perché è così necessario verificare l’autenticità di una chiave?
Uno dei possibili attacchi che possono essere effettuati su un sistema di cifratura a chiave pubblica è quello detto man-in-the-middle.
Il
modo migliore per essere completamente sicuri dell’appartenenza di una chiave
pubblica è quello di ottenere tale chiave direttamente dal proprietario in
persona. Ma ciò è spesso impossibile per cui lo scambio avviene solitamente
tramite e-mail o accedendo ad un Keyserver pubblico.
I metodi più sicuri per verificare la reale appartenenza di una chiave pubblica in possesso sono essenzialmente due: ottenere un certificato digitale tramite una Certification Autority (CA) o confrontare il fingerprint della chiave in possesso con il fingerprint della chiave originale.