Chave pública (GPG) e assinatura

Question

Olá comunidade!

Adicionei minha chave privada (GPG) no Thunderbird. Percebi que o programa importa o par (privada e pública).
Ao escrever um e-mail, seleciono que quero que minha chave pública seja enviada. Ao abrir o arquivo .asc enviado como anexo, percebo que o conteúdo é sempre o mesmo. Todavia, o conteúdo da minha chave pública .pub é diferente. Isso é pelo fato dos tipos dos arquivos serem diferentes? .asc e .pub?
É bom enviar além da chave pública, minha assinatura (OpenPGP_signature)? Sei que esta assinatura serve para o destinatário verificar se a mensagem enviada foi disparada por mim mesmo. Mas como ele pode fazer esta verificação?

Desde já agradeço.

Answer 1

Supondo que tenhas uma cópia da chave privada ou pública OpenPGP salva em um arquivo no computador, então devo alertar para o fato de que quando este é importado ele não passará mais a ser referenciado diretamente pelo caminho do arquivo, mas sim pela entrada contendo a chave no banco de dados do GnuPG.

A consequência disso é que caso adiciones, modifiques ou excluas uma das identidades associadas àquela chave ou caso alguém assine ela, publique esta assinatura em um servidor de chaves e teu cliente OpenPGP pegue estas assinaturas novas ou publique as alterações feitas, então a chave pública será de fato alterada, novamente, apenas no banco de dados. São estas alterações e assinaturas que ajudam a estabelecer a cadeia/corrente de confiança do OpenPGP, no sentido de que, se Ana assinou a chave de Barbara e Carol confia em Ana, logo ao importar a chave pública de Barbara (desde que este arquivo contenha as assinaturas) então Carol já tendo a chave de Ana pode ver claramente que esta confia em Barbara.

Em resumo, os arquivos vão sim ser diferentes, e recomendo periodicamente exportar tua chave privada e pública novamente de modo que ambas carreguem as alterações ao longo do tempo.