[Ninux-Wireless] Ai ninuxer più attivi: FATEVI UNA CHIAVE PGP

[Elena ``of Valhalla'']

> On 11/02/2014 12:27 PM, Nemesis wrote:
> > Tenete conto che questo e' un modo pessimo di scambiarsi le chiavi.
> > Chiunque potrebbe molto facilmente spoofare mittente e chiave.

On 2014-11-03 at 11:47:21 +0100, Giuliano G wrote:
> Solo con la chiave pubblica non potrebbe generare la signature e quindi
> certificare il messaggio... O non c'ho capito nulla?

Chiunque potrebbe creare una chiave con un nome falso, di cui quindi 
avrebbe chiave pubblica *e* privata, mandare una mail qui in lista 
spacciandosi per la persona di cui han creato una chiave e 
quindi impersonarli nelle successive comunicazioni.

Se si prende l'uso di firmare *tutti* i propri messaggi in mailing 
list con la stessa chiave si attenua un po' il problema: 
magari Tizio Caio con chiave 0xC0FFEE non si chiama Tizio Caio, 
ma almeno è la stessa persona che ha scritto tutti gli altri 
messaggi e con la quale si conversa abitualmente.

L'unica cosa sicura è incontrarsi (regolarmente, in modo da riconosceri) 
di persona e scambiarsi i fingerprint delle chiavi: il resto sono 
indizi da sommare assieme fino a quando non si è soddisfatti del 
grado di certezza rispetto alla pericolosità della comunicazione.

-- 
Elena ``of Valhalla''
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  819 bytes
Descrizione: Digital signature
URL:         <http://ml.ninux.org/pipermail/wireless/attachments/20141103/255dc368/attachment-0001.sig>