[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]

[Fabio Pozzi]

Beh io invece la penso in modo opposto sui keyserver.
Chiunque può caricare una chiave pubblica sui keyserver mettendo come ID
quello che vuole, può anche usarla per firmare le chiavi pubbliche di
persone che quella persona potrebbe conoscere e questo coda dimostra? Non
mi dice nulla sull'autenticità di quella chiave pubblica, la rende solo un
falso più appetibile. Quindi se invece di allegare la chiave lui dicesse
che la sua chiave pubblica si trova sul keyserver quale di quelle sul
server è quella vera? Non c'è modo di saperlo con certezza senza incontrare
quella persona.
Ah e a voler essere ancora più paranoici si potrebbero usare i keyserver
per costruire delle reti di relazioni vedendo quali chiavi sono state
firmate da chi, quindi forse sarebbe il caso di firmare le chiavi solo
localmente e scambiarsele di persona.
Penso quindi che usare i keyserver è una comodità così come allegare la
firma al messaggio, ma che nessuna delle due soluzioni garantisce alcunché.

P.s. Non usate PGP.MIT.edu come keyserver se siete davvero paranoici.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130915/604e6ba0/attachment-0001.html>