[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]

Elena ``of Valhalla'' elena.valhalla@gmail.com
Mar 17 Set 2013 08:53:54 CEST 

On 2013-09-17 at 03:53:43 +0200, wedra wrote:
> >> 2048R/8102C16E 2012-11-23 [expires: 2013-11-23]
> Figata! a novembre devo rinnovarla!

Sai che esiste un programma che controlla se hai chiavi che stanno 
per scadere?

https://gitorious.org/key-report

> Si basterebbe il fingerprint (possibilmente passato a mano) e poi se
> vuoi ti scarichi la chiave, il fatto è che se l'allego tu sai che ho
> una chiave e magari ti viene pure a te l'idea di allegarla, cosi me la
> salvo e se dovrò contattarti lo farò in modo sicuro!

beh, per quello basta firmare il messaggio (e appunto mettere 
il fingerprint nella firma): anche in quel modo si sa che 
l'altra persona ha una chiave.

> mentre a proposito di identità tutti possono fare tutto, ma resta il
> fatto che la chiave privata ce l'abbia io (e io soltanto), quindi
> visto che l'allego e visto che sta pure sui server, se vogliamo essere
> ultra paranoici, ti basta poco per capire se c'è qualcosa che non va,
> mandandomi una mail criptata e vedere chi ti risponde =)

beh, no, questo non è per niente un modo sicuro: qualcuno potrebbe 
creare una chiave falsa, avere controllo del tuo indirizzo 
email, ricevere le versioni crittate con la sua chiave falsa e poi 
forwardartele crittate con la tua chiave, e nessuno avrebbe 
modo (semplice) di accorgersene.

>  potresti approfittare dell'occasione per firmarla, o qualcuno
> potrebbe firmarla... Appro ce l'hai una chiave?

ce l'ho, visto che avevo firmato i messaggi precedenti, 
ma non posso firmare la tua per più di un motivo:

* non ci siamo incontrati di persona per scambiare il fingerprint: 
  potresti essere un impostore che cerca di assumere l'identità 
  di wedra e io non avrei modo di saperlo (e questo è fondamentale, 
  per tutti).
* non firmo chiavi pseudonime se prima non ho conosciuto di persona 
  (e non solo incontrato per dieci minuti) le il proprietario 
  della chiave, perché non essendoci documenti non ho nessun 
  modo di sapere che siano veramente loro e non un impostore 
  (questa invece è una mia scelta, presente nella policy della 
  mia chiave; si potrebbero mettere anche condizioni diverse 
  per le chiave pseudonime, basta sentirsi sicuri di conoscerne 
  l'identità).

> > Piuttosto, noto che la chiave in questione non ha firme di terze 
> > parti e quindi non è nella `Web of Trust`_ e appunto non c'è modo 
> > di sapere a chi appartenga, e che non sia di terze parti, 
> > inficiando un po' l'utilità della firma.
> mi spiace ma è firmata da terze parti, controlla!

non la versione che c'è sui keyserver, della quale ricevo aggiornamenti 
periodici in automatico.
ho troppe chiavi nel keyring per poter star dietro ad importarle 
una ad una da attachment.

-- 
Elena ``of Valhalla''
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: Digital signature
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130917/72257df4/attachment.sig>

Maggiori informazioni sulla lista bglug