<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Dec 3, 2016 at 9:48 AM, Daniel McCarney <span dir="ltr"><<a href="mailto:daniel@binaryparadox.net" target="_blank">daniel@binaryparadox.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On 03/12, Trevor Perrin wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
AFAICT the purpose of signed-only emails in [0] is only to signal OpenPGP<br>
support to recipients, who would look up the sender's public key through<br>
some other mechanism.  So the signature doesn't seem important, there?<br>
</blockquote>
<br></span>
I guess the crux of it is what the signature is over (the message?) and which key is used (the private key corresponding to the published public key?). Are you saying that it could be a throw away signature over a signalling indicator?</blockquote><div><br></div><div><br></div><div><div>If all you need is a signal telling the recipient to encrypt future messages with a public key fetched via WKD then the signal could be anything:  For example, an email header "X-OpenPGP-WKD: True".  No signature needed.</div><div><br></div><div>Looking at the technical document [1], there seems to be a "fallback method" where the signed email signals the recipient to encrypt future messages with a public key fetched from PGP key servers.  </div><div><br></div><div>PGP key servers are not a reliable source of data, since anyone can upload a public key for anyone else's name.  So there's a reliability risk here:  Attackers could upload bad PGP keys, causing recipients to get messages they can't decrypt.</div><div><br></div><div>So maybe they're thinking that the signature "authenticates" the fetched public key.  But that's an incorrect use of signatures (e.g. see "duplicate signature key selection", [2]).  The right solution for that would be to include a full key fingerprint in the email (e.g. email header "X-OpenPGP-Key: <pubkey fingerprint>").</div><div><br></div><div><br></div><div>Trevor</div><div><br></div><div><br></div><div>[1] <a href="https://wiki.gnupg.org/EasyGpg2016/PubkeyDistributionConcept">https://wiki.gnupg.org/EasyGpg2016/PubkeyDistributionConcept</a> </div><div>[2] <a href="https://www.agwa.name/blog/post/duplicate_signature_key_selection_attack_in_lets_encrypt">https://www.agwa.name/blog/post/duplicate_signature_key_selection_attack_in_lets_encrypt</a> </div></div><div><br></div></div></div></div>