[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: uid default no gpg



On 29-Mar-2001 Henrique M Holschuh wrote:
> CC: pra vocês dois porque developer debian não pode deixar de entender o
> GNUpg de dentro pra fora :P
> 
> On Thu, 29 Mar 2001, Carlos Laviola wrote:
>> On 28-Mar-2001 Gustavo Noronha Silva (KoV) wrote:
>> > de eu ter o meu outro email... essas assinaturas vao ser perdidas ou
>> > vao ser passadas pro debian.org?
> 
> Perdidas. Mas você pode escrever para os que assinaram a chave antes usando
> uma email assinada, pedindo para assinarem sua nova UID.  Uma vez que a
> chave não foi revogada (só algumas das UID), essas pessoas poderiam assinar
> a UID faltante e enviar a chave assinada para o endereço de email na nova
> UID (--> NÃO PARA OS KEYSERVERS!!!! <--).
> 
> Por essas e por outras eu tenho duas chaves, uma para coletar assinaturas, e
> outra pra uso normal.
> 
>> Bom, isso realmente pode parecer assim. Mas, segundo o meu entendimento, é
>> coerente assumir que a assinatura que eles deram foi na sua key, e não no
>> UID
>> dela. Ou seja, apesar de você estar revogando o UID em que eles assinaram
>> sua
> 
> Você não assina chaves. Assina uma chave + UID(s).  E isso realmente
> significa que você deveria não só ter absoluta certeza do nome da pessoa,
> mas também do endereço de email... você está assinando embaixo que OS DOIS
> são verdadeiros.

Isso não faz o menor sentido, tendo em vista que apenas eu posso revogar um UID
e adicionar novos UIDs. Ou seja, se alguém assina a minha chave, essa pessoa
não está falando que eu sou Carlos Laviola em claviola@rj.sol.com.br, mas sim
que eu sou Carlos Laviola. Seria o mesmo que o meu pai dizer que não acredita
mais que eu sou filho dele porque eu me mudei.

>> Inclusive, eu também tenho minha chave assinada por você e pelo Gleydson, e
>> o
>> GPA (GNU Privacy Assistant), um frontend pra GnuPG, mostra ambas as
>> assinaturas
>> como válidas, mesmo com o UID original revogado. Se você ainda estiver com
> 
> Hmm? Se apenas o UID revogado continha essas assinaturas, isso é um problema
> de segurança no GPA. Favor verificar e reportar o bug.  Por essas e por
> outras eu não uso frontends...
> 
>> >> recomendo o wwwkeys.pgp.net e o keyring da debian, se bem que o último
>> >> está sincronizando dados com o primeiro periodicamente).
> 
> Bleh, eu tenho minhas dúvidas quanto a isso. Da última vez que dei um
> merge-only do keyring do Debian com o dos keyservers, foram incluídas umas
> 40 assinaturas novas...

-- 
Carlos Laviola - ICQ 55799523
pub  1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br>
     Key fingerprint = 3BE1 6591 C78C 2AA4 31DD  AEEF 6406 0227 3516 D372
                                 I have a solar vocal ail!

Attachment: pgpF2QCf0Z5R9.pgp
Description: PGP signature


Reply to: