Tegyük fel, hogy szeretnél aláírt üzeneteket küldeni, titkosított üzeneteket fogadni, vagy webes dokumentumokat kiszolgálni https protokoll segítségével. Különben valószínűleg nincs sok szükséged erre :).
Ilyenkor több lehetőséged van:
- Self-signed certificate / keypair
Külön aláírás nélküli nyilvános kulcsot használsz (technikai okokból te mindig aláírod a sajátodat). Ezt persze megteheted, de ha valaki nem személyes úton kapja meg a nyilvános kulcsodat, akkor nem lehet biztos abban, hogy tényleg te vagy. Bárki más ugyanúgy készíthet kulcspárt a neveddel, és nem feltétlenül tudsz mindenkivel személyesen találkozni. Továbbá https-nél a látogatók egy idegesítő felugró ablakot kapnak, mert nem ismerik a kulcs hitelesítőjét.
- Üzleti alapon működő hitelesítők
Meglátogatod a Thawte, Verisign, NetLock, stb. cég irodáját, kifizeted a megfelelő összeget, bemutatod az igazolványaidat és ők aláírják a kulcsodat. Az OpenPGP-nél nem tudok ilyenről, csak az X.509 tanusítványoknál. Az iroda fenntartása és a felelősségvállalás miatt ez csak fizetősen működik. Ha például nagyforgalmú https-es weboldalt üzemeltetsz és fontos, hogy a gyökértanusítvány minden böngészőben benne legyen, akkor ez az egyetlen járható út.
- Web of Trust rendszer
Néhány másik ember, akinek már van érvényes, mások által aláírt kulcspárja, hitelesíti a tiédet - vagy személyes ismeretség alapján, vagy valamilyen hasonló rendezvényen az igazolványaidat megnézve. A Thawte-nak és a CaCert-nek van olyan szolgáltatása, hogy ha a "Web of Trust"-ból kellő számú ember hitelesít téged, akkor te is bekerülsz és a te X.509-es tanusítványodat is aláírják. Ehhez nincs szükség arra, hogy egy alkalmazott külön foglalkozzon veled, így ezt ingyenesen tudják biztosítani. A GnuPG esetén pedig eleve annak az aláírását tekinted érvényesnek, akihez vezet tőled (kellően rövid és "vastag") lánc.
Ennyit dióhéjban. Igyekeztem közérthetően fogalmazni, néhol ez a precizitás rovására megy. Ha részletesebben érdekel, olvasd el mondjuk ezt és ezt.