прошу подписать PGP ключ

Прошу подписать мой PGP ключ (fingerprint: 34D0 1AAD F30E D8C6 B99F 4E4E C482 51EB 4F8E 4E6E).
Этот ключ будет использоваться для подписывания дистрибутивов DiskCryptor, и будет распостраняться в составе дистрибутива. К сожалению его легко подменить, если он никем не подписан.
Подписывая мой ключ, вы подтверждаете что мне принадлежит мыло ntldr@freed0m.org и Jabber аккаунт ntldr@gajim.org. Наличие всего нескольких подписей уже не позволит так просто подменять ключи в дистрибутиве и патчить его файлы.
Я готов подтвердить свое владение данным ключем и указаными контактами путем расшифровки посланого на них сообщения.

На страницу: 1, 2 След.

Комментарии

—	SATtva (09/11/2008 01:10) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

По умолчанию считается что есть ещё миллионы ключей подписи соответствие uid'ов которых владельцам я, к примеру, не сверял, но только какие-то ключи я подписываю как 0x11. Значит есть какое-то доверие?

Доверие в OpenPGP — вообще вещь отдельная, не употребляйте её здесь. Persona certification лишь криптографически связывает данный UID с данным открытым ключом, исключая их последующую подмену. При этом данный тип подписи явно сигнализирует: заверителю сугубо пофиг, что написано в этом UID'е. Мопед не его, он просто ~~дал объяву~~ поставил подпись.

По сути, persona certification — это сертификация для личных целей. Того же самого можно добиться неэкспортируемой подписью: допустим, Вы получили чей-то открытый ключ, но не испытываете потребности/желания заниматься его формальной сверкой, и подписываете локальной неэкспортируемой подписью, чтобы кто-нибудь как-нибудь его в дальнейшем не подменил. А экспортируемая persona cert лишь позволяет подобным мнением поделиться с другими.

—	*Гость* (09/11/2008 02:02) <#>

Когда создаётся новый UID, пользователю специально предлагают отдельно указать 1) имя, 2) мэйл-адрес, 3) комментарий. Именно поэтому никнэйм я вписывал в последнее поле, чтобы "такую логику" мне не приписывали.

Разве информация, вписанная в поле "комментарий" является необязательной для проверки? Тем более среди Ваших uid есть SATtva (openPGP in Russia project admin) <project@pgpru.com>

Как я могу быть уверен (причём до такой степени, чтобы своей подтверждающей подписью поручиться за это!), что опубликованный здесь ключ — это ключ ntldr, а не товарища Мэллори, выдающего себя за ntldr?

Какое-то странное понятие... Если Мэллори желает, чтобы его называли ntldr (и имеет доступ к почтовому ящику, указанному в ключе), он имеет на это не меньше прав, чем кто-то другой. Если есть два ключа и двое ntldr'ов, имеющих доступ к одному ящику – можно подписать оба ключа. По крайней мере мне это видится так.

Сессии заверителей ведь не просто так придумали, чтобы вместе собраться и пиво попить.

Нет? Сессии заверителей необходимы, когда в uid указаны имя/фамилия, псевдонимным юзерам они явно не подходят.

—	SATtva (09/11/2008 02:14) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

С каждым Вашим сообщением мой детектор троллей всё дальше и дальше заполняет шкалу, а жаление отвечать всё больше и больше падает.

Если Мэллори желает, чтобы его называли ntldr (и имеет доступ к почтовому ящику, указанному в ключе), он имеет на это не меньше прав, чем кто-то другой. Если есть два ключа и двое ntldr'ов, имеющих доступ к одному ящику – можно подписать оба ключа. По крайней мере мне это видится так.

То есть, по-вашему, это вполне нормально, что два независимых ключа, принадлежащие двум независимым лицам, могут иметь одинаковые реквизиты сертификата, и Вам совершенно всё равно, чей ключ будет заверен доверенной подписью?

Какое-то странное понятие...

По-моему, тема исчерпана.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]