Chiavi GPG non valide?

2

Da emailselfdefense.fsf.org :

Be wary of invalid keys

GnuPG makes email safer, but it's still important to watch out for invalid keys, which might have fallen into the wrong hands. Email encrypted with invalid keys might be readable by surveillance programs.

In your email program, go back to the first encrypted email that Edward sent you. Because Edward encrypted it with your public key, it will have a message from Enigmail at the top, which most likely says "Enigmail: Part of this message encrypted."

When using GnuPG, make a habit of glancing at that bar. The program will warn you there if you get an email encrypted with a key that can't be trusted.

Che cosa sono esattamente le chiavi non valide? Queste chiavi sono state revocate?

    
posta marmistrz 28.09.2016 - 22:23
fonte

1 risposta

1

What exactly are invalid keys?

Tutti possono creare chiavi OpenPGP con ID utente arbitrari: cerca la rete di server chiavi per [email protected] , è probabile che non ce ne sia una sola in realtà appartiene a un ex presidente o attuale degli Stati Uniti.

Ciò è dovuto al carattere distribuito e non centralizzato della rete di fiducia di OpenPGP. Non esiste un'entità singola (o un gruppo di entità) che rilascia fiducia o verifica identità, ciò viene eseguito estendendo ricorsivamente la propria vista personale verificata sulla rete di fiducia convalidando le firme. È particolarmente importante sapere che i server chiave non eseguono alcun tipo di convalida dell'identità, è necessario verificare le chiavi recuperate dalla rete del server delle chiavi!

Non considero le "chiavi non valide" una buona descrizione della questione qui: chiamarle "false", "dannose" e "non attendibili" sarebbe probabilmente la descrizione migliore.

Are these keys that have been revoked?

Piuttosto no. Se vengono rilasciati da qualche malintenzionato, non revocherà le chiavi ma si assicurerà di mantenerle attive.

    
risposta data 28.09.2016 - 22:35
fonte

Leggi altre domande sui tag