[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: uid default no gpg



On Thu, 29 Mar 2001, Carlos Laviola wrote:
> On 29-Mar-2001 Henrique M Holschuh wrote:
> > Note, entretanto, que o gpg assina cada UID com a própria chave. Isso
> > permite um certo grau de certeza que uma nova UID não assinada é correta se
> > uma outra UID mais velha da mesma chave tiver sido assinada por certa
> > pessoa.
> 
> De fato. O engraçado é que na mesma mensagem você mostra algo contra meu
> argumento e a favor dele :-) Com essa sua última observação, dá pra ver que não
> há como você confundir uma key com outra, por causa da auto-assinatura. Além

Claro que dá. Se você não sabe qual é a keyid, você não tem como saber qual
dos dois caras é aquele com quem você quer conversar... a menos que saiba
qual o email dele, e esse esteja na UID.

Por isso, o email DEVE ser considerado parte da informação que deve ser
verificada pelo assinante.

> disso, a assinatura que você dá em um "uid" e que é revogada continua válida
> porque você assinou em cima do uid novo:

Eh? Não mesmo.  Siga essa linha temporal:

  A assina "chave" de B  (todas as UID na chave de B)
  B cria nova UID, e revoga UIDs antigas

A nova UID na chave de B não está assinada por A, e se não fosse um bug
cretino do gpg, o grafo de validação das chaves não mais conteria A->B. Ou
seja, você não sabe mais com certeza que a chave B é confiável.

Um --check-sigs vai mostrar que você confiava nas UID revogadas,
entretanto... e que a nova UID está assinada pela keyid que assinou as UID
revogadas. Fica extremamente simples chegar a conclusão que você pode
confiar na nova UID. Ou testar isso usando uma mensagem cifrada, se você for
paranóico.

> Com o comando gpg --check-sigs:
> 
> pub  1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br>
> sig!       3516D372 2001-02-17  Carlos Laviola <claviola@ajato.com.br>

Essa UID só está assinada pela chave.

> uid                            [revoked] Carlos Laviola
> <claviola@rj.sol.com.br>rev!       3516D372 2001-03-02  Carlos Laviola
> <claviola@ajato.com.br>
> sig!       985BA281 2000-11-18  Gleydson Mazioli da Silva (Chave PGP Pessoal)
> <gleydson@escelsanet.com.br>
> sig!       882A6C4B 2000-11-18  Gustavo Noronha Silva (KoV) <dockov@zaz.com.br>
> sig!       3516D372 2000-06-05  Carlos Laviola <claviola@ajato.com.br>

Já a UID revogada acima foi assinada pelo KoV e pelo Gleydson.

> uid                            Carlos Laviola <claviola@debian.org>
> sig!       3516D372 2001-03-24  Carlos Laviola <claviola@ajato.com.br>

E essa não foi assinada.

> sub  1024g/C8B35AF7 2000-06-05
> sig!       3516D372 2000-06-05  Carlos Laviola <claviola@ajato.com.br>

E essa nunca é assinada :P

Manda uma mensagem assinada pedindo pro KoV e pro Gleydson assinarem tua UID
nova...

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh

Attachment: pgpMzR5amytDM.pgp
Description: PGP signature


Reply to: