On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote: > J'ai récemment rencontré un développeur Debian qui vient d'arriver > à Paris et nous avons échangé nos empreintes GPG selon la procédure > habituelle. Ma carte de visite, sur laquelle est incrite mon > empreinte, ne mentionne que mon adresse @debian.org. > Le développeur en question a récupéré ma clé mais ne l'a signée que > pour l'UID @debian.org alors que celle-ci contient d'autres UID, et > ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir > d'explications convaincantes sur les problèmes liés à la sécurité. > Est-ce quelqu'un saurait expliquer les problèmes et risques ou > pourrait me diriger vers une documentation claire ? Qu'est-ce qu'il a fait pour vérifier que tu controles l'UID @debian.org? Comment est-ce qu'il sait que tu ne sois pas un autre "Jérôme Marant" que le développeur? Toutes les raisons pour ne pas signer tes UIDs peuvent être appliquées tout même à l'UID @debian.org. Si on veut plus de sécurité, il faut utiliser le méthode qu'Alexander décrit. -- Steve Langasek postmodern programmer
Attachment:
pgpB_LeharkVw.pgp
Description: PGP signature