[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]
Elena ``of Valhalla''
elena.valhalla@gmail.com
Sab 14 Set 2013 21:35:18 CEST
On 2013-09-14 at 20:35:03 +0200, wedra wrote:
> pub 2048R/9570B0C8 2012-11-23 wedra (chiave di wedra, quella giusta da usare il 23-11-12) <wedra@oziosi.org>
> sub 2048R/8102C16E 2012-11-23 [expires: 2013-11-23]
mi chiedo: quanto utile è allegare la chiave alla mail che si è firmato?
chiunque può creare una chiave falsa a nome di altri, mandare un
messaggio firmato con quella chiave e poi allegare la chiave
pubblica per far credere che sia quella giusta (e per contro
a me sembra che nella maggior parte dei casi sia più comodo
scaricare una chiave da un keyserver che non importarla
da un allegato ad una mail (ma magari è perché ho configurato
male io mutt)).
Piuttosto, noto che la chiave in questione non ha firme di terze
parti e quindi non è nella `Web of Trust`_ e appunto non c'è
modo di sapere a chi appartenga, e che non sia di terze parti,
inficiando un po' l'utilità della firma.
.. `Web of Trust`: https://en.wikipedia.org/wiki/Web_of_trust
--
Elena ``of Valhalla''
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: Digital signature
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130914/f7436aef/attachment.sig>
Maggiori informazioni sulla lista
bglug