On 29-Mar-2001 Henrique M Holschuh wrote: > CC: pra vocês dois porque developer debian não pode deixar de entender o > GNUpg de dentro pra fora :P > > On Thu, 29 Mar 2001, Carlos Laviola wrote: >> On 28-Mar-2001 Gustavo Noronha Silva (KoV) wrote: >> > de eu ter o meu outro email... essas assinaturas vao ser perdidas ou >> > vao ser passadas pro debian.org? > > Perdidas. Mas você pode escrever para os que assinaram a chave antes usando > uma email assinada, pedindo para assinarem sua nova UID. Uma vez que a > chave não foi revogada (só algumas das UID), essas pessoas poderiam assinar > a UID faltante e enviar a chave assinada para o endereço de email na nova > UID (--> NÃO PARA OS KEYSERVERS!!!! <--). > > Por essas e por outras eu tenho duas chaves, uma para coletar assinaturas, e > outra pra uso normal. > >> Bom, isso realmente pode parecer assim. Mas, segundo o meu entendimento, é >> coerente assumir que a assinatura que eles deram foi na sua key, e não no >> UID >> dela. Ou seja, apesar de você estar revogando o UID em que eles assinaram >> sua > > Você não assina chaves. Assina uma chave + UID(s). E isso realmente > significa que você deveria não só ter absoluta certeza do nome da pessoa, > mas também do endereço de email... você está assinando embaixo que OS DOIS > são verdadeiros. Isso não faz o menor sentido, tendo em vista que apenas eu posso revogar um UID e adicionar novos UIDs. Ou seja, se alguém assina a minha chave, essa pessoa não está falando que eu sou Carlos Laviola em claviola@rj.sol.com.br, mas sim que eu sou Carlos Laviola. Seria o mesmo que o meu pai dizer que não acredita mais que eu sou filho dele porque eu me mudei. >> Inclusive, eu também tenho minha chave assinada por você e pelo Gleydson, e >> o >> GPA (GNU Privacy Assistant), um frontend pra GnuPG, mostra ambas as >> assinaturas >> como válidas, mesmo com o UID original revogado. Se você ainda estiver com > > Hmm? Se apenas o UID revogado continha essas assinaturas, isso é um problema > de segurança no GPA. Favor verificar e reportar o bug. Por essas e por > outras eu não uso frontends... > >> >> recomendo o wwwkeys.pgp.net e o keyring da debian, se bem que o último >> >> está sincronizando dados com o primeiro periodicamente). > > Bleh, eu tenho minhas dúvidas quanto a isso. Da última vez que dei um > merge-only do keyring do Debian com o dos keyservers, foram incluídas umas > 40 assinaturas novas... -- Carlos Laviola - ICQ 55799523 pub 1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br> Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372 I have a solar vocal ail!
Attachment:
pgp5_8I9elxsS.pgp
Description: PGP signature