[bglug] Chiave GPG allegata al messaggio [Was: Re: Analisi di eventali sicurezze anti-PRISM]

Elena ``of Valhalla'' elena.valhalla@gmail.com
Mar 17 Set 2013 16:37:18 CEST


On 2013-09-17 at 16:02:21 +0200, wedra wrote:
> > ce l'ho, visto che avevo firmato i messaggi precedenti, ma non
> > posso firmare la tua per più di un motivo:
> > [...]
> vedi sopra! E comunque si son d'accordo con te, sarebbe meglio
> scambiarsele di persona, ma visto che molto probabilmente non accadrà
> mai, che si fa? si mandano cartoline virtuali che tutti possono
> leggere o ci si fida un attimino?? Ovviamente entrano in ballo altri
> fattori, tipo il grado di sensibilità della mail e il contenuto, ma se
> devo invitarti al debianmeeting, forse ci può anche stare! Alzare il
> livello di paranoia è quasi sempre un bene fino a quando non si
> sconfina nell'assurdo!! Dimmi se sbaglio è!!

Per fidarmi delle tue firme è vero, non c'è bisogno di incontrarsi 
di persona, basterebbero un po' di firme di terze parti, oppure 
semplicemente seguire l'opinione di xkcd_, che per questi messaggi 
può pure essere sufficiente.

.. _xkcd: http://xkcd.com/1181/

Quando però si firma una chiave non ci si limita a fidarsene
personalmente, ma si dichiara a tutti che si è abbastanza sicuri 
dell'appartenenza di quella chiave: in questo caso non ho modo 
di sapere se chi usa anche la mia firma per controllare la chiave 
debba solo parlare di linux e nerdate o e non qualcosa 
di più sensibile come fidarsi della release di qualche programma 
che hai rilasciato.

In questo caso, firmare la tua chiave senza aver veramente 
verificato l'identità sarebbe irresponsabile da parte mia, 
dato che potrei contribuire a causare problemi.

> come dicevo sopra ho controllato, gpg --list-sigs e sono firmate da altri!

nella versione che si trova sui keyserver (ho controllato
kerckhoffs.surfnet.nl che è ben collegato e pgp.mit.edu che è famoso 
ma collegato male) con gpg --list-sigs si vedono solo 
le firme della chiave stessa, e la chiave non si trova sui siti 
con le statistiche_ dello strong set, quindi o è stata firmata 
solo da persone che non fanno parte dell'insieme in questione, 
oppure le firme non sono mai state diffuse.

.. _statistiche: http://pgp.cs.uu.nl/stats/9570B0C8.html

-- 
Elena ``of Valhalla''
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: Digital signature
URL: <http://lists.linux.it/pipermail/bglug/attachments/20130917/c67e96ad/attachment-0001.sig>


Maggiori informazioni sulla lista bglug