Re: GPG в реальной жизни
Хмутро.
AAV> > > Математика всего этого бобра мне более-менее понятна. При переписке с
AAV> > > глазу на глаз - тоже. Передал ключ, сравнил фингерпринты по телефону,
AAV> > > пиши себе. Но в реальности переписка ведется не один-на один! Все
AAV> > > красоты про "сеть доверия" очень интересны, но как это происходит в
AAV> > > реальной жизни?
AAV> >
AAV> > Сеть доверия можно строить не только по телефону.
AAV> > Да и получив отпечаток ключа сразу через несколько не надежных каналов
AAV> > связи можно немного уже доверять ключу :)
AAV> >
AAV> > Кроме того Вам не всегда нужна четкая сеть доверия для всех
AAV> > проверяемых ключей. Только для тех от кого идет важная информация. В
AAV> > этом случае можно и придумать как проверить ключи.
AAV> Это сводит на нет саму идею шифрования\подписания. Или надо проверять
AAV> подпись и быть 100% уверенным в проверке, или не проверять вообще.
AAV> Ложная безопасность -- страшная вещь.
Зачем? Можно не проверять подпись и не быть уверенным в авторстве. В конце
концов, какая мне разница, правда ли, что письмо Максима в список рассылки
написал Максим? Нет, конечно, если Максим вдруг заявит, что вот этих вот писем
он не писал, и это подделка, я, может быть, почешусь и получу его ключ
более-менее надежным образом. А пока я смысла проверять его подпись не вижу. А
может быть, и не почешусь - в зависимости от того, что меняет этот факт.
AAV> > > Большая просьба объяснить, как решаются интересующие меня вопросы в
AAV> > > жизни, за пределами переписки двух знакомых между собой человек,
AAV> > > могущих проверить ключи по телефону.
AAV> >
AAV> > Если у меня с вами будут деловые переговоры по E-Mail думаю найдем как
AAV> > сверить ключи :)
AAV> ЭТО как раз не вопрос. Вопрос -- повторяю -- касался применения в
AAV> рассылке и проч. Двухточечные переговоры трудности не представляют.
По транзитивности. Если ты, скажем, получишь у меня мой ключ, а я подпишу ключ
Максима, у тебя будут некоторые основания полагать, что ключ таки да,
принадлежит Максиму. С точностью до того, кто такой я и кто такой на самом
деле Максим.
--
Artem Chuprina
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/122.256, ICQ: 13038757
Reply to: