[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]

Mar 17 Set 2013 11:35:41 CEST

On 17/set/2013, at 08:53, Elena ``of Valhalla'' <elena.valhalla@gmail.com> wrote:

> On 2013-09-17 at 03:53:43 +0200, wedra wrote:
>>>> 2048R/8102C16E 2012-11-23 [expires: 2013-11-23]
>> Figata! a novembre devo rinnovarla!
> 
> Sai che esiste un programma che controlla se hai chiavi che stanno 
> per scadere?
> 
> https://gitorious.org/key-report
> 
>> Si basterebbe il fingerprint (possibilmente passato a mano) e poi se
>> vuoi ti scarichi la chiave, il fatto è che se l'allego tu sai che ho
>> una chiave e magari ti viene pure a te l'idea di allegarla, cosi me la
>> salvo e se dovrò contattarti lo farò in modo sicuro!
> 
> beh, per quello basta firmare il messaggio (e appunto mettere 
> il fingerprint nella firma): anche in quel modo si sa che 
> l'altra persona ha una chiave.
> 
>> mentre a proposito di identità tutti possono fare tutto, ma resta il
>> fatto che la chiave privata ce l'abbia io (e io soltanto), quindi
>> visto che l'allego e visto che sta pure sui server, se vogliamo essere
>> ultra paranoici, ti basta poco per capire se c'è qualcosa che non va,
>> mandandomi una mail criptata e vedere chi ti risponde =)
> 
> beh, no, questo non è per niente un modo sicuro: qualcuno potrebbe 
> creare una chiave falsa, avere controllo del tuo indirizzo 
> email, ricevere le versioni crittate con la sua chiave falsa e poi 
> forwardartele crittate con la tua chiave, e nessuno avrebbe 
> modo (semplice) di accorgersene.
> 
>> potresti approfittare dell'occasione per firmarla, o qualcuno
>> potrebbe firmarla... Appro ce l'hai una chiave?
> 
> ce l'ho, visto che avevo firmato i messaggi precedenti, 
> ma non posso firmare la tua per più di un motivo:
> 
> * non ci siamo incontrati di persona per scambiare il fingerprint: 
>  potresti essere un impostore che cerca di assumere l'identità 
>  di wedra e io non avrei modo di saperlo (e questo è fondamentale, 
>  per tutti).
> * non firmo chiavi pseudonime se prima non ho conosciuto di persona 
>  (e non solo incontrato per dieci minuti) le il proprietario 
>  della chiave, perché non essendoci documenti non ho nessun 
>  modo di sapere che siano veramente loro e non un impostore 
>  (questa invece è una mia scelta, presente nella policy della 
>  mia chiave; si potrebbero mettere anche condizioni diverse 
>  per le chiave pseudonime, basta sentirsi sicuri di conoscerne 
>  l'identità).
> 
>>> Piuttosto, noto che la chiave in questione non ha firme di terze 
>>> parti e quindi non è nella `Web of Trust`_ e appunto non c'è modo 
>>> di sapere a chi appartenga, e che non sia di terze parti, 
>>> inficiando un po' l'utilità della firma.
>> mi spiace ma è firmata da terze parti, controlla!
> 
> non la versione che c'è sui keyserver, della quale ricevo aggiornamenti 
> periodici in automatico.
> ho troppe chiavi nel keyring per poter star dietro ad importarle 
> una ad una da attachment.
> 
> -- 
> Elena ``of Valhalla'

Scusate l'intromissione, ma volevo contribuire con il mio punto di vista... 

Personalmente ho usato GPG per alcuni anni, stanco di questioni simili a quelle di oggi (e di altre legate alla distribuzione) sono passato ai certificati X.509. Ci sono CA come questa [0] che danno gratuitamente certificati firmati da Comodo, validi un anno ad uso non professionale. S/MIME non ha bisogno di plugin o soffre di problemi di fiducia, e sopratutto è un metodo standard. Cosa ne pensate?

-Michele

[0] https://www.globaltrust.it/modulo_reg_smime.asp
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130917/01dfc9f1/attachment-0001.html>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        smime.p7s
Tipo:        application/pkcs7-signature
Dimensione:  2119 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/bglug/attachments/20130917/01dfc9f1/attachment-0001.bin>