> Az egy elterjedt tévhit, hogy egy általad írt levél titkosításához (az aláíráshoz hasonlóan) a saját titkos kulcsodat használod
Úr isten, ez komoly, hogy ezt sokan így gondolják???? Ha erről beszélek, én az elsők között mesélem el, hogy ez hogy működik, ezért naívan úgy képzeltem, hogy azok az emberek akik egyáltalán eljutnak odáig, hogy digitális aláírás vagy levéltitkosítás kétkulcsos módon, azok képesek felfogni, hogy ez csak úgy működhet, ahogy az utolsó bekezdésben írod:
Túloldal publikus kulcsával titkosítok, saját titkos kulcsommal hitelesítek. Ha mind a kettőt akarom, akkor javasolt ezt a sorrend.
Mondjuk pl. a parancssori GPG nem is hagyja, hogy a titkosítást elronts, hisz amikor titkosítok, megkérdezi a címzettet, pont azért, hogy a publikus kulcsát tudja használni - kivéve, ha szimetrikus kódolást használok (de az ugye egykulcsos). És aki használta valaha ezt az eszközt, feltűnhetett, hogy a saját kulcsához szükséges jelmondatot titkosítás esetén nem is kéri be, kizárólag aláírásnál, illetve persze dekódolásnál. (Persze tudom, a legtöbb ember életében nem használta - és nem is akarja - a parancssori eszközöket; nekem pontosan a különböző webmail miatt kell a mai napig elő-előkapnom a parancssori gpg-t; igaz grafikus felülethez van kgpg, meg gpg-crypter, de egyelőre azok helyett valami még jobbat keresek. Az előbbi a fél KDE-t magával rántja, az utóbbinak sajnos vannak hiányosságai, bár GTK-s puritánságában már közelíti az ideálist.)
A kiinduló felvetéshez: amúgy leginkább az kellene, hogy végre a webmail gyártók is felfogják, hogy a digitálisan aláírt illetve titkosított levelezés szükséges valami, amit rendesen kellene támogatni. Nyilván vállalati szinten az S/MIME kezelése lenne az elvárható, de az OpenPGP támogatás is igen ildomos lenne. Persze jól megcsinálni úgy, hogy mégse kompromittálódjon a privát kulcsom (se akarva, se akaratlanul).