Re: uid default no gpg

To: Carlos Laviola <claviola@ajato.com.br>
Cc: "Gustavo Noronha Silva \(KoV\)" <kov@debian.org>, Debian User lists <debian-user-portuguese@lists.debian.org>
Subject: Re: uid default no gpg
From: Henrique M Holschuh <hmh@debian.org>
Date: Thu, 29 Mar 2001 12:34:16 -0300
Message-id: <[🔎] 20010329123416.A7851@godzillah>
In-reply-to: <[🔎] XFMail.20010329113025.claviola@ajato.com.br>; from claviola@ajato.com.br on Qui, Mar 29, 2001 at 11:30:25 -0300
References: <[🔎] 20010328132455.A1212@zaz.com.br> <[🔎] XFMail.20010329113025.claviola@ajato.com.br>

CC: pra vocês dois porque developer debian não pode deixar de entender o
GNUpg de dentro pra fora :P

On Thu, 29 Mar 2001, Carlos Laviola wrote:
> On 28-Mar-2001 Gustavo Noronha Silva (KoV) wrote:
> > de eu ter o meu outro email... essas assinaturas vao ser perdidas ou
> > vao ser passadas pro debian.org?

Perdidas. Mas você pode escrever para os que assinaram a chave antes usando
uma email assinada, pedindo para assinarem sua nova UID.  Uma vez que a
chave não foi revogada (só algumas das UID), essas pessoas poderiam assinar
a UID faltante e enviar a chave assinada para o endereço de email na nova
UID (--> NÃO PARA OS KEYSERVERS!!!! <--).

Por essas e por outras eu tenho duas chaves, uma para coletar assinaturas, e
outra pra uso normal.

> Bom, isso realmente pode parecer assim. Mas, segundo o meu entendimento, é
> coerente assumir que a assinatura que eles deram foi na sua key, e não no UID
> dela. Ou seja, apesar de você estar revogando o UID em que eles assinaram sua

Você não assina chaves. Assina uma chave + UID(s).  E isso realmente
significa que você deveria não só ter absoluta certeza do nome da pessoa,
mas também do endereço de email... você está assinando embaixo que OS DOIS
são verdadeiros.

> Inclusive, eu também tenho minha chave assinada por você e pelo Gleydson, e o
> GPA (GNU Privacy Assistant), um frontend pra GnuPG, mostra ambas as assinaturas
> como válidas, mesmo com o UID original revogado. Se você ainda estiver com

Hmm? Se apenas o UID revogado continha essas assinaturas, isso é um problema
de segurança no GPA. Favor verificar e reportar o bug.  Por essas e por
outras eu não uso frontends...

> >> recomendo o wwwkeys.pgp.net e o keyring da debian, se bem que o último
> >> está sincronizando dados com o primeiro periodicamente).

Bleh, eu tenho minhas dúvidas quanto a isso. Da última vez que dei um
merge-only do keyring do Debian com o dos keyservers, foram incluídas umas
40 assinaturas novas...

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh

Attachment: pgpdSSr0ogxc4.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: uid default no gpg
  - From: Carlos Laviola <claviola@ajato.com.br>
- Re: uid default no gpg
  - From: "Gustavo Noronha Silva \(KoV\)" <kov@debian.org>

References:
- Re: uid default no gpg
  - From: "Gustavo Noronha Silva \(KoV\)" <kov@debian.org>
- Re: uid default no gpg
  - From: Carlos Laviola <claviola@ajato.com.br>

Prev by Date: Re: uid default no gpg
Next by Date: Mais sobre GnuPG
Previous by thread: Re: uid default no gpg
Next by thread: Re: uid default no gpg
Index(es):
- Date
- Thread