On 08/25/2016 05:45 PM, Niccolo Avico wrote: > Il 25/08/2016 16:54, Claudio Pisa ha scritto: >> On 08/25/2016 04:30 PM, Claudio Pisa wrote: >>> Altre info qui: >>> >>> https://evil32.com/ >>> >>> e qui: >>> >>> https://news.ycombinator.com/item?id=12296974 >> Leggendo i link sopra sembra che le cose siano andate cosi': >> >> Gli autori di questo "attacco" hanno generato una copia fake delle >> chiavi dello strong set del web of trust PGP e hanno solo pubblicato le >> chiavi pubbliche sul web. >> >> Poi qualcuno ha preso queste chiavi pubbliche e le ha effettivamente >> caricate sui keyserver. > Domanda: se questo procedimento è replicabile arbitrariamente è l'intero > castello PGP a rischio di inutilità? Voglio dire, se inizia un loop di > generazioni {fake -> pubblicazione}* non è che poi si possa stare a > rigenerarsi ogni volta il web-of-trust. Oppure mi perdo qualcosa?
IMHO la questione e' questa: PGP andrebbe sempre usato con il web of trust. Ovvero: se ricevo un messaggio (o un package) firmato, se non ho una chain of trust fino al mittente (cioe' un percorso valido che mi porta dalle chiavi che ho verificato e firmato personalmente fino a quella del mittente), non devo considerare quella firma valida. Quello che spesso capita e' che invece le firme vengano verificate come nell'esempio qui: https://evil32.com/examples.html , ignorando i warning. Quindi non e' un problema architetturale di PGP: ci serve un web of trust piu' fitto e diffuso (oltre che interfacce utente migliori, come faceva notare Elena). ciao, Clauz
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
