[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Assinando chaves digitais



Hi Hélio!

On Tue, 22 May 2001, Hélio Alexandre Lopes Loureiro wrote:

> > Leu o começo da email, onde o Maçan me pedia que escrevesse o texto "para um
> > leigo" ?
> 
> 	leigo != retardado.  

Hmm... não pretendia "insultar" ninguém, mas é minha experiência que as
pessoas NÃO levam esse tipo de coisa a sério num primeiro momento a menos
que você torne bem claro que esse tipo de atitude não será desculpada.

Bom, para não leigos e leigos que não se importam de ir ler o manual e saber
teoria de conjuntos (1o. grau) fica mais fácil explicar:

Assinatura de chaves estabelece uma relação de confiança A para B, onde A ao
assinar B estabelece a validade de B caso A seja considerada válida. A
assinatura de uma chave autentica o campo UID de uma chave, incluindo os
campos de email e nome, e não deve ser usada levianamente.

Em uma "keysign party", você deve verificar a veracidade de todos os campos
de uma chave (incluindo a relação UID/KeyID que nem sempre é simples) antes
de assinar uma chave de terceiro.  Recomenda-se a utilização de documentação
(que seja difícil de falsificar e cuja falsificação implique sanção penal)
com foto para verificar a veracidade do "nome" constante na UID, e de um a
simples troca de informação secreta sobre email, utilizando a chave em
questão, para verificar a veracidade do endereço de email.

A incorreta validação de uma chave através de uma assinatura mal conferida
pode trazer riscos de ataques sociais em sistemas, e é normalmente causa
para sanções em grupos que dependem desse tipo de segurança.

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh

Attachment: pgpS8z8vYSixe.pgp
Description: PGP signature


Reply to: