[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]

wedra wedra@oziosi.org
Mar 17 Set 2013 16:02:21 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Il 17/09/2013 08:53, Elena ``of Valhalla'' ha scritto:
> On 2013-09-17 at 03:53:43 +0200, wedra wrote:
>>>> 208R/8102C16E 2012-11-23 [expires: 2013-11-23]
>> Figata! a novembre devo rinnovarla!
> 
> Sai che esiste un programma che controlla se hai chiavi che stanno
>  per scadere?
> 
> https://gitorious.org/key-report
un gpg --list-keys o un gpg --list-sigs ti dice quello che ti serve se
è per quello!


> beh, no, questo non è per niente un modo sicuro: qualcuno potrebbe
>  creare una chiave falsa, avere controllo del tuo indirizzo email,
> ricevere le versioni crittate con la sua chiave falsa e poi 
> forwardartele crittate con la tua chiave, e nessuno avrebbe modo
> (semplice) di accorgersene.
Si ma in questo (e ribadisco questo) caso in ML pubbliche puoi
controllare tutte le mie mail con l'allegato, sapendo che o qualcuno
mi sta spooffando da 1 anno ( molto improbabile) o sono veramente io...
> 
>> potresti approfittare dell'occasione per firmarla, o qualcuno 
>> potrebbe firmarla... Appro ce l'hai una chiave?
> 
> ce l'ho, visto che avevo firmato i messaggi precedenti, ma non
> posso firmare la tua per più di un motivo:
> 
> * non ci siamo incontrati di persona per scambiare il fingerprint:
>  potresti essere un impostore che cerca di assumere l'identità di
> wedra e io non avrei modo di saperlo (e questo è fondamentale, per
> tutti). * non firmo chiavi pseudonime se prima non ho conosciuto di
> persona (e non solo incontrato per dieci minuti) le il proprietario
>  della chiave, perché non essendoci documenti non ho nessun modo di
> sapere che siano veramente loro e non un impostore (questa invece è
> una mia scelta, presente nella policy della mia chiave; si
> potrebbero mettere anche condizioni diverse per le chiave
> pseudonime, basta sentirsi sicuri di conoscerne l'identità).
> 
vedi sopra! E comunque si son d'accordo con te, sarebbe meglio
scambiarsele di persona, ma visto che molto probabilmente non accadrà
mai, che si fa? si mandano cartoline virtuali che tutti possono
leggere o ci si fida un attimino?? Ovviamente entrano in ballo altri
fattori, tipo il grado di sensibilità della mail e il contenuto, ma se
devo invitarti al debianmeeting, forse ci può anche stare! Alzare il
livello di paranoia è quasi sempre un bene fino a quando non si
sconfina nell'assurdo!! Dimmi se sbaglio è!!

>> mi spiace ma è firmata da terze parti, controlla!
> non la versione che c'è sui keyserver, della quale ricevo
> aggiornamenti periodici in automatico. ho troppe chiavi nel keyring
> per poter star dietro ad importarle una ad una da attachment.
come dicevo sopra ho controllato, gpg --list-sigs e sono firmate da altri!
Il fatto che alleghi la mia chiave è solo un motivo di praticità visto
che comunque anche la scelta di un keyserver è ancora più anonima di
un allegato. In più mi è capitato più volte di scaricare chiavi non
revocate e/o non più in uso con il risultato di inviare mail inutili.
Utilizzo pure startssl / ssl per connettermi ai server di posta, non è
impossibile essere spooffato ma, sperando di non essere preso di mira
per un account che uso solo per ML e poco altro, dovrei essere
abbastanza sicuro di essere io =)

cheers!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJSOGDpAAoJEKFXly+VcLDIisoIAK9zsJlRPSNC5kDcYvAlOhRI
C9iyCDEUSxeNkjdPnkmO5AbExW4ZwJQV+Qx/p6q2IhVT4yivng7ixHn+e3e/GDmx
XEEI3uZIrXvb6V6rV+9cqGxMefSC29eEAJOAvp3PS0mVcA95NXHahZezAWzK8s4e
I+rmICFsKM8eQeckN/sR2y0mAc/EO3VAg/o/Fd/fFHossm2z2spL/teatg2mrDIh
Xgguj0aBrk2UEbcxmVsUU0md0YORBsm51NdD8biPcwYAl8bEz2EoehUAERgBSGWO
9H69m5GCOtLnAua1NdjPC8NJJYz6W8c61/HBnFLMFkYev3amnxdKIpaCHTMKGUM=
=4tIT
-----END PGP SIGNATURE-----
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        0x9570B0C8.asc
Tipo:        application/pgp-keys
Dimensione:  2186 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/bglug/attachments/20130917/a11397d1/attachment.key>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        0x9570B0C8.asc.sig
Tipo:        application/octet-stream
Dimensione:  287 bytes
Descrizione: non disponibile
URL:         <http://lists.linux.it/pipermail/bglug/attachments/20130917/a11397d1/attachment.obj>

Maggiori informazioni sulla lista bglug