On 29-Mar-2001 Henrique M Holschuh wrote:
> CC: pra vocês dois porque developer debian não pode deixar de entender o
> GNUpg de dentro pra fora :P
>
> On Thu, 29 Mar 2001, Carlos Laviola wrote:
>> On 28-Mar-2001 Gustavo Noronha Silva (KoV) wrote:
>> > de eu ter o meu outro email... essas assinaturas vao ser perdidas ou
>> > vao ser passadas pro debian.org?
>
> Perdidas. Mas você pode escrever para os que assinaram a chave antes usando
> uma email assinada, pedindo para assinarem sua nova UID. Uma vez que a
> chave não foi revogada (só algumas das UID), essas pessoas poderiam assinar
> a UID faltante e enviar a chave assinada para o endereço de email na nova
> UID (--> NÃO PARA OS KEYSERVERS!!!! <--).
>
> Por essas e por outras eu tenho duas chaves, uma para coletar assinaturas, e
> outra pra uso normal.
>
>> Bom, isso realmente pode parecer assim. Mas, segundo o meu entendimento, é
>> coerente assumir que a assinatura que eles deram foi na sua key, e não no
>> UID
>> dela. Ou seja, apesar de você estar revogando o UID em que eles assinaram
>> sua
>
> Você não assina chaves. Assina uma chave + UID(s). E isso realmente
> significa que você deveria não só ter absoluta certeza do nome da pessoa,
> mas também do endereço de email... você está assinando embaixo que OS DOIS
> são verdadeiros.
Isso não faz o menor sentido, tendo em vista que apenas eu posso revogar um UID
e adicionar novos UIDs. Ou seja, se alguém assina a minha chave, essa pessoa
não está falando que eu sou Carlos Laviola em claviola@rj.sol.com.br, mas sim
que eu sou Carlos Laviola. Seria o mesmo que o meu pai dizer que não acredita
mais que eu sou filho dele porque eu me mudei.
>> Inclusive, eu também tenho minha chave assinada por você e pelo Gleydson, e
>> o
>> GPA (GNU Privacy Assistant), um frontend pra GnuPG, mostra ambas as
>> assinaturas
>> como válidas, mesmo com o UID original revogado. Se você ainda estiver com
>
> Hmm? Se apenas o UID revogado continha essas assinaturas, isso é um problema
> de segurança no GPA. Favor verificar e reportar o bug. Por essas e por
> outras eu não uso frontends...
>
>> >> recomendo o wwwkeys.pgp.net e o keyring da debian, se bem que o último
>> >> está sincronizando dados com o primeiro periodicamente).
>
> Bleh, eu tenho minhas dúvidas quanto a isso. Da última vez que dei um
> merge-only do keyring do Debian com o dos keyservers, foram incluídas umas
> 40 assinaturas novas...
--
Carlos Laviola - ICQ 55799523
pub 1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br>
Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372
I have a solar vocal ail!
Attachment:
pgp5_8I9elxsS.pgp
Description: PGP signature