<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><br></div><div><br>On 17/set/2013, at 08:53, Elena ``of Valhalla'' <<a href="mailto:elena.valhalla@gmail.com">elena.valhalla@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><span>On 2013-09-17 at 03:53:43 +0200, wedra wrote:</span><br><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>2048R/8102C16E 2012-11-23 [expires: 2013-11-23]</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><span>Figata! a novembre devo rinnovarla!</span><br></blockquote><span></span><br><span>Sai che esiste un programma che controlla se hai chiavi che stanno </span><br><span>per scadere?</span><br><span></span><br><span><a href="https://gitorious.org/key-report">https://gitorious.org/key-report</a></span><br><span></span><br><blockquote type="cite"><span>Si basterebbe il fingerprint (possibilmente passato a mano) e poi se</span><br></blockquote><blockquote type="cite"><span>vuoi ti scarichi la chiave, il fatto è che se l'allego tu sai che ho</span><br></blockquote><blockquote type="cite"><span>una chiave e magari ti viene pure a te l'idea di allegarla, cosi me la</span><br></blockquote><blockquote type="cite"><span>salvo e se dovrò contattarti lo farò in modo sicuro!</span><br></blockquote><span></span><br><span>beh, per quello basta firmare il messaggio (e appunto mettere </span><br><span>il fingerprint nella firma): anche in quel modo si sa che </span><br><span>l'altra persona ha una chiave.</span><br><span></span><br><blockquote type="cite"><span>mentre a proposito di identità tutti possono fare tutto, ma resta il</span><br></blockquote><blockquote type="cite"><span>fatto che la chiave privata ce l'abbia io (e io soltanto), quindi</span><br></blockquote><blockquote type="cite"><span>visto che l'allego e visto che sta pure sui server, se vogliamo essere</span><br></blockquote><blockquote type="cite"><span>ultra paranoici, ti basta poco per capire se c'è qualcosa che non va,</span><br></blockquote><blockquote type="cite"><span>mandandomi una mail criptata e vedere chi ti risponde =)</span><br></blockquote><span></span><br><span>beh, no, questo non è per niente un modo sicuro: qualcuno potrebbe </span><br><span>creare una chiave falsa, avere controllo del tuo indirizzo </span><br><span>email, ricevere le versioni crittate con la sua chiave falsa e poi </span><br><span>forwardartele crittate con la tua chiave, e nessuno avrebbe </span><br><span>modo (semplice) di accorgersene.</span><br><span></span><br><blockquote type="cite"><span> potresti approfittare dell'occasione per firmarla, o qualcuno</span><br></blockquote><blockquote type="cite"><span>potrebbe firmarla... Appro ce l'hai una chiave?</span><br></blockquote><span></span><br><span>ce l'ho, visto che avevo firmato i messaggi precedenti, </span><br><span>ma non posso firmare la tua per più di un motivo:</span><br><span></span><br><span>* non ci siamo incontrati di persona per scambiare il fingerprint: </span><br><span>  potresti essere un impostore che cerca di assumere l'identità </span><br><span>  di wedra e io non avrei modo di saperlo (e questo è fondamentale, </span><br><span>  per tutti).</span><br><span>* non firmo chiavi pseudonime se prima non ho conosciuto di persona </span><br><span>  (e non solo incontrato per dieci minuti) le il proprietario </span><br><span>  della chiave, perché non essendoci documenti non ho nessun </span><br><span>  modo di sapere che siano veramente loro e non un impostore </span><br><span>  (questa invece è una mia scelta, presente nella policy della </span><br><span>  mia chiave; si potrebbero mettere anche condizioni diverse </span><br><span>  per le chiave pseudonime, basta sentirsi sicuri di conoscerne </span><br><span>  l'identità).</span><br><span></span><br><blockquote type="cite"><blockquote type="cite"><span>Piuttosto, noto che la chiave in questione non ha firme di terze </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>parti e quindi non è nella `Web of Trust`_ e appunto non c'è modo </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>di sapere a chi appartenga, e che non sia di terze parti, </span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>inficiando un po' l'utilità della firma.</span><br></blockquote></blockquote><blockquote type="cite"><span>mi spiace ma è firmata da terze parti, controlla!</span><br></blockquote><span></span><br><span>non la versione che c'è sui keyserver, della quale ricevo aggiornamenti </span><br><span>periodici in automatico.</span><br><span>ho troppe chiavi nel keyring per poter star dietro ad importarle </span><br><span>una ad una da attachment.</span><br><span></span><br><span>-- </span><br><span>Elena ``of Valhalla'</span></div></blockquote><br><blockquote type="cite"><span></span></blockquote><div>Scusate l'intromissione, ma volevo contribuire con il mio punto di vista... </div><div><br></div><div>Personalmente ho usato GPG per alcuni anni, stanco di questioni simili a quelle di oggi (e di altre legate alla distribuzione) sono passato ai certificati X.509. Ci sono CA come questa [0] che danno gratuitamente certificati firmati da Comodo, validi un anno ad uso non professionale. S/MIME non ha bisogno di plugin o soffre di problemi di fiducia, e sopratutto è un metodo standard. Cosa ne pensate?</div><div><br></div><div>-Michele</div><div><br></div><div>[0] <span style="font-family: '.HelveticaNeueUI'; font-size: 15px; line-height: 19px; white-space: nowrap; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.292969); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); -webkit-text-size-adjust: none; "><a href="https://www.globaltrust.it/modulo_reg_smime.asp">https://www.globaltrust.it/modulo_reg_smime.asp</a></span></div></body></html>