Re: GPG в реальной жизни

To: debian-russian@lists.debian.org
Subject: Re: GPG в реальной жизни
From: Artem Chuprina <ran@ran.pp.ru>
Date: Mon, 10 Nov 2003 17:36:02 +0300
Message-id: <[🔎] 20031110143601.GC25491@cryptocom.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20031110141538.GA2015@snork>
References: <[🔎] 20031110134151.GA1543@snork> <[🔎] 20031110135601.GE17356@mrkooll.tdr.pibhe.com> <[🔎] 20031110141538.GA2015@snork>

Хмутро.

AAV> > > Математика всего этого бобра мне более-менее понятна. При переписке с
AAV> > > глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
AAV> > > пиши себе. Но в реальности переписка ведется не один-на один! Все
AAV> > > красоты про "сеть доверия" очень интересны, но как это происходит в
AAV> > > реальной жизни?
AAV> >
AAV> > Сеть доверия можно строить не только по телефону.
AAV> > Да и получив отпечаток ключа сразу через несколько не надежных каналов
AAV> > связи можно немного уже доверять ключу :)
AAV> >
AAV> > Кроме того Вам не всегда нужна четкая сеть доверия для всех
AAV> > проверяемых ключей. Только для тех от кого идет важная информация. В
AAV> > этом случае можно и придумать как проверить ключи.

AAV> Это сводит на нет саму идею шифрования\подписания. Или надо проверять
AAV> подпись и быть 100% уверенным в проверке, или не проверять вообще.
AAV> Ложная безопасность -- страшная вещь.

Зачем? Можно не проверять подпись и не быть уверенным в авторстве. В конце
концов, какая мне разница, правда ли, что письмо Максима в список рассылки
написал Максим? Нет, конечно, если Максим вдруг заявит, что вот этих вот писем
он не писал, и это подделка, я, может быть, почешусь и получу его ключ
более-менее надежным образом. А пока я смысла проверять его подпись не вижу. А
может быть, и не почешусь - в зависимости от того, что меняет этот факт.

AAV> > > Большая просьба объяснить, как решаются интересующие меня вопросы в
AAV> > > жизни, за пределами переписки двух знакомых между собой человек,
AAV> > > могущих проверить ключи по телефону.
AAV> >
AAV> > Если у меня с вами будут деловые переговоры по E-Mail думаю найдем как
AAV> > сверить ключи :)

AAV> ЭТО как раз не вопрос. Вопрос -- повторяю -- касался применения в
AAV> рассылке и проч. Двухточечные переговоры трудности не представляют.

По транзитивности. Если ты, скажем, получишь у меня мой ключ, а я подпишу ключ
Максима, у тебя будут некоторые основания полагать, что ключ таки да,
принадлежит Максиму. С точностью до того, кто такой я и кто такой на самом
деле Максим.

--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757

Reply to:

References:
- GPG в реальной жизни
  - From: "Alexander A. Vlasov" <listreader@rambler.ru>
- Re: GPG в реальной жизни
  - From: Maxim Tyurin <mrkooll@tdr.pibhe.com>
- Re: GPG в реальной жизни
  - From: "Alexander A. Vlasov" <listreader@rambler.ru>

Prev by Date: Re: subscribe
Next by Date: Re: GPG в реальной жизни
Previous by thread: Re: GPG в реальной жизни
Next by thread: Re: GPG в реальной жизни
Index(es):
- Date
- Thread