Возможен ли в GPG сабж?
К примеру, при импорте ключа 0x4C92D93D я получил следующий результат:
У ключа действительно нет самоподписи, однако импортировать его все-таки хотелось бы.
Комментарии
— SATtva (15/03/2007 15:45) Используйте при импорте ключа параметр --allow-non-selfsigned-uid. Учтите, это потенциальная уязвимость.
— Terfendail (15/03/2007 16:37) А в чем конкретно заключается уязвимость? Каковы сценарии её реализации?
Сохраняется ли уязвимость при условии наличия на ключе подписей известных мне лиц?
— SATtva (15/03/2007 19:59) Ну, если нет автоподписи, то каждый желающий может насовать на сертификат ключа любые записи — имена, адреса (пароли, явки)...
Сохраняется ли уязвимость при условии наличия на ключе подписей известных мне лиц?
Эти подписи подтвердят, что подписанные записи сертификата связаны с открытым ключом, но где подтверждение самого владельца закрытого ключа, что он эти записи санкционировал? Может Ваших знакомых тоже ввели в заблуждение и они по ошибке заверили записи, которые сам владелец ключа не добавлял?
Используйте при импорте ключа параметр --allow-non-selfsigned-uid. Учтите, это потенциальная уязвимость.
А в чем конкретно заключается уязвимость? Каковы сценарии её реализации?
Сохраняется ли уязвимость при условии наличия на ключе подписей известных мне лиц?
Ну, если нет автоподписи, то каждый желающий может насовать на сертификат ключа любые записи — имена, адреса (пароли, явки)...
Эти подписи подтвердят, что подписанные записи сертификата связаны с открытым ключом, но где подтверждение самого владельца закрытого ключа, что он эти записи санкционировал? Может Ваших знакомых тоже ввели в заблуждение и они по ошибке заверили записи, которые сам владелец ключа не добавлял?