[hack] Gpg, passphrase ed Evolution

[Gianni Bianchini]

Kdav wrote:

> Come mai ha "solo" 4 firme?
> Sbaglierei a firmarla e a reinviarla sul server?
> Ti sentiresti in qualche modo "violato"?
> Per caso c'è una sorta di "metodo comportamentale" sull'inserimento o meno
> della propria firma nella chiave dell'altro?(al di la' dell'accertarsi o
> meno della reale identità della persona)

Tecnicamente firmare la chiave pubblica di qualcuno significa che tu, 
anzi la tua chiave, dai un certo livello di fiducia alla chiave che 
firmi. Alla chiave, attenzione, non alla persona fisica che detiene la 
corrispondente chiave privata. Questo perche' non c'e' nessuna autorita' 
che garantisca l'associazione tra le due cose. Certo, se la persona ti 
assicura direttamente che possiede la corrispondente chiave privata 
(magari facendoti vedere anche un documento di identita'), questo puo' 
dare a te una sicurezza in piu'. A te ma non "al mondo". Inoltre, anche 
se la fiducia sulle chiavi puo' essere considerata transitiva, lo e' 
solo tecnicamente, in quanto non c'e' alcuna norma che regoli le 
modalita' con cui si effettua la firma delle chiavi (ad es. solo a 
fronte della presentazione di un documento) ed anche se ci fosse non ci 
sarebbe modo per verificare che venga rispettata.
La questione potrebbe essere ampliata a piacere e discussa in modo meno 
rozzo di come l'ho messa qui. Se ti interessa, ti invito a porre i tuoi 
quesiti anche sulla lista e-privacy ospitata dal server del flug, a cui 
partecipano persone molto ferrate sull'argomento. Per iscriversi:

https://lists.firenze.linux.it/mailman/listinfo/e-privacy

> Sopratutto, perchè inserire la propria firma sulla chiave dell'altro quando
> in locale può comunque essere visto quello che l'altro scrive? ( avendo
> ricevuto la chiave)

Questo mi sfugge un po'... Firmare la chiave ha senso nel contesto della 
"rete di fiducia" di cui sopra.

Ciao.
Gianni.