Dovrei mai firmare la chiave PGP di un progetto?

5

Se voglio verificare le firme su un progetto di cui ho scaricato i pacchetti & verificare frequentemente, sarebbe ragionevole per me firmare la chiave di firma del progetto?

Attualmente, verifica la firma utilizzando GPG, quindi devo controllare manualmente l'impronta digitale della firma con l'impronta digitale pubblicata online. Questo è un caso d'uso corretto per la firma di una chiave? Non ho amici nella rete di fiducia grazie alla quale posso fidarmi di queste chiavi.

Naturalmente, non ho mai incontrato nessuno di persona per verificare la chiave, ma ho verificato diverse firme della stessa chiave per un periodo di un paio di settimane. Penso di poter essere ragionevolmente certo che la chiave di firma sia la loro.

    
posta Rosa Richter 16.11.2016 - 04:45
fonte

2 risposte

4

Se ti fidi dei download dei tuoi progetti e della loro firma, puoi rispecchiare questa fiducia firmando la chiave PGP del progetto. Quindi, più tardi, saprai che ti sei fidato di questa chiave.

Se, tuttavia, non sei sicuro di fidarti di questa chiave di progetto, non firmarla.

Se ti fidi della chiave del progetto o meno è una tua scelta da solo. L'utilizzo di PGP è solo un modo per mantenere una traccia della tua fiducia.

    
risposta data 16.11.2016 - 11:34
fonte
3

Se non condividi la chiave con nessuno, la firma è puramente per tua comodità e divertimento. Ho un profilo gpg specifico per verificare le firme del progetto e firmo le chiavi del progetto che scarico. È anche prudente applicare livelli di attendibilità appropriati in base al modo in cui hai ottenuto le chiavi.

I tuoi amici potrebbero essere interessati a riutilizzare il lavoro che hai svolto e potresti anche condividere le tue chiavi di progetto firmate con la dichiarazione di non responsabilità su come le hai ottenute!

    
risposta data 16.11.2016 - 07:37
fonte

Leggi altre domande sui tag