[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]
Elena ``of Valhalla''
elena.valhalla@gmail.com
Mar 17 Set 2013 16:37:18 CEST
On 2013-09-17 at 16:02:21 +0200, wedra wrote:
> > ce l'ho, visto che avevo firmato i messaggi precedenti, ma non
> > posso firmare la tua per più di un motivo:
> > [...]
> vedi sopra! E comunque si son d'accordo con te, sarebbe meglio
> scambiarsele di persona, ma visto che molto probabilmente non accadrà
> mai, che si fa? si mandano cartoline virtuali che tutti possono
> leggere o ci si fida un attimino?? Ovviamente entrano in ballo altri
> fattori, tipo il grado di sensibilità della mail e il contenuto, ma se
> devo invitarti al debianmeeting, forse ci può anche stare! Alzare il
> livello di paranoia è quasi sempre un bene fino a quando non si
> sconfina nell'assurdo!! Dimmi se sbaglio è!!
Per fidarmi delle tue firme è vero, non c'è bisogno di incontrarsi
di persona, basterebbero un po' di firme di terze parti, oppure
semplicemente seguire l'opinione di xkcd_, che per questi messaggi
può pure essere sufficiente.
.. _xkcd: http://xkcd.com/1181/
Quando però si firma una chiave non ci si limita a fidarsene
personalmente, ma si dichiara a tutti che si è abbastanza sicuri
dell'appartenenza di quella chiave: in questo caso non ho modo
di sapere se chi usa anche la mia firma per controllare la chiave
debba solo parlare di linux e nerdate o e non qualcosa
di più sensibile come fidarsi della release di qualche programma
che hai rilasciato.
In questo caso, firmare la tua chiave senza aver veramente
verificato l'identità sarebbe irresponsabile da parte mia,
dato che potrei contribuire a causare problemi.
> come dicevo sopra ho controllato, gpg --list-sigs e sono firmate da altri!
nella versione che si trova sui keyserver (ho controllato
kerckhoffs.surfnet.nl che è ben collegato e pgp.mit.edu che è famoso
ma collegato male) con gpg --list-sigs si vedono solo
le firme della chiave stessa, e la chiave non si trova sui siti
con le statistiche_ dello strong set, quindi o è stata firmata
solo da persone che non fanno parte dell'insieme in questione,
oppure le firme non sono mai state diffuse.
.. _statistiche: http://pgp.cs.uu.nl/stats/9570B0C8.html
--
Elena ``of Valhalla''
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: Digital signature
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130917/c67e96ad/attachment-0001.sig>
Maggiori informazioni sulla lista
bglug