On Thu, 29 Mar 2001, Carlos Laviola wrote: > On 29-Mar-2001 Henrique M Holschuh wrote: > > Note, entretanto, que o gpg assina cada UID com a própria chave. Isso > > permite um certo grau de certeza que uma nova UID não assinada é correta se > > uma outra UID mais velha da mesma chave tiver sido assinada por certa > > pessoa. > > De fato. O engraçado é que na mesma mensagem você mostra algo contra meu > argumento e a favor dele :-) Com essa sua última observação, dá pra ver que não > há como você confundir uma key com outra, por causa da auto-assinatura. Além Claro que dá. Se você não sabe qual é a keyid, você não tem como saber qual dos dois caras é aquele com quem você quer conversar... a menos que saiba qual o email dele, e esse esteja na UID. Por isso, o email DEVE ser considerado parte da informação que deve ser verificada pelo assinante. > disso, a assinatura que você dá em um "uid" e que é revogada continua válida > porque você assinou em cima do uid novo: Eh? Não mesmo. Siga essa linha temporal: A assina "chave" de B (todas as UID na chave de B) B cria nova UID, e revoga UIDs antigas A nova UID na chave de B não está assinada por A, e se não fosse um bug cretino do gpg, o grafo de validação das chaves não mais conteria A->B. Ou seja, você não sabe mais com certeza que a chave B é confiável. Um --check-sigs vai mostrar que você confiava nas UID revogadas, entretanto... e que a nova UID está assinada pela keyid que assinou as UID revogadas. Fica extremamente simples chegar a conclusão que você pode confiar na nova UID. Ou testar isso usando uma mensagem cifrada, se você for paranóico. > Com o comando gpg --check-sigs: > > pub 1024D/3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br> > sig! 3516D372 2001-02-17 Carlos Laviola <claviola@ajato.com.br> Essa UID só está assinada pela chave. > uid [revoked] Carlos Laviola > <claviola@rj.sol.com.br>rev! 3516D372 2001-03-02 Carlos Laviola > <claviola@ajato.com.br> > sig! 985BA281 2000-11-18 Gleydson Mazioli da Silva (Chave PGP Pessoal) > <gleydson@escelsanet.com.br> > sig! 882A6C4B 2000-11-18 Gustavo Noronha Silva (KoV) <dockov@zaz.com.br> > sig! 3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br> Já a UID revogada acima foi assinada pelo KoV e pelo Gleydson. > uid Carlos Laviola <claviola@debian.org> > sig! 3516D372 2001-03-24 Carlos Laviola <claviola@ajato.com.br> E essa não foi assinada. > sub 1024g/C8B35AF7 2000-06-05 > sig! 3516D372 2000-06-05 Carlos Laviola <claviola@ajato.com.br> E essa nunca é assinada :P Manda uma mensagem assinada pedindo pro KoV e pro Gleydson assinarem tua UID nova... -- "One disk to rule them all, One disk to find them. One disk to bring them all and in the darkness grind them. In the Land of Redmond where the shadows lie." -- The Silicon Valley Tarot Henrique Holschuh
Attachment:
pgpB9pkHACDtV.pgp
Description: PGP signature