A che serve PGP nei NG?

La computer security

songohan
In relazione al post di fdh....a che serve postare con PGP?
                                            
Alessandro
In http:[email protected],


A dimostrare che il post e' tuo e di nessun'altro.

Per esempio, tu non sai se questo post lo sto davvero scrivendo io, potrebbe
essere qualcuno che si e' appropriato del mio nick (e in questo caso anche
del mio indirizzo email).

Se pero' il post e' firmato, puoi avere la certezza che l'autore sia chi
dice di essere.

Ciaotutti,

*
                                            
Stefano
Sì ma dei frequentatori di un NG quanti sono quelli che sanno usare 
PGP/GnuPG?
E di questi quanti si prenderanno la briga di importare la chiave 
pubblica del tizio nel portachiavi e di verificare poi l'autenticità del 
messaggio?
La percentuale in ambedue i casi è irrisoria.
                                            
OuZ
Stefano cosi' parlo':



it.comp.sicurezza.varie?  Nessuno, presumo.
                                            
whiplash
Interessante teoria.
Le cui basi sarebbero?
                                            
Vincent
Usarlo per firmare i messaggi è tecnicamente elementare.
Usarlo per firmare i messaggi a cui nessuno interessa (o ha modo di) 
verificare l'origine è una stronzata.
Ergo, se qualcuno lo usa su icsv dimostra di sapere un cazzo su cos'è una 
firma digitale.
                                            
thorindespammedcom
Presumi male.. il fatto che non lo si usi sul NG non mi pare una
valida conseguenza del non saperlo usare.
                                            
OuZ
[email protected] cosi' parlo':



Ci sei cascato come una pera  cotta :-D 

C'era  usa sottile  ironia nella  mia risposta,  e a  me  non sembrava
neppure molto sottile.
                                            
whiplash
Ops. :)
                                            
thorindespammedcom
A me pare una sana arrampicata sugli specchi.
                                            
whiplash
A ben pensarci, era molto british, come risposta, in effetti. :)
                                            
thorindespammedcom
Forse a ben pensarci ho capito anche io, grunt!
                                            
Sephiroth
(UTC).
L'ufficiale [email protected] ha comunicato il documento
it.comp.sicurezza.varie:


Forse vuoi dire il contrario?
                                            
thorindespammedcom
Forse mi sono espresso in modo contorto: volevo dire che se uno non
lo usa su Usenet non vuol mica dire che non lo usa/sa usarlo ma solo
che ritiene stupido/inutile/perdita di tempo farlo.
                                            
HappyCactus
Sempreche' la chiave pubblica sia disponibile e firmata da qualcuno di
affidabile. Ovviamente se uno si presenta con un nick ignoto e un
indirizzo email fasullo, cade questo presupposto (chi firmerebbe la
chiave di uno sconosciuto?)
                                            
Alessandro
In
http:[email protected].ws,


Vero, pero' se hai la chiave pubblica, anche non firmata, puoi legare
insieme tutti i post di una persona come provenienti dalla stessa mano -- a
meno che questa persona abbia distribuito la sua chiave privata.

Questo fa si' che si crei un'identita' virtuale, sebbene non legata a una
persona fisica, e si abbia la certezza di parlare con la medesima persona
vifrtuale ogni volta che questa firma un suo post.

Ciaotutti,

*
                                            
HappyCactus
A, utente anonimo, si firma con la chiave A1
ad un certo punto se ne esce B che dice di essere A con un'altra chiave
perche', dice gli hanno rubato la chiave privata A1'.
A, ovviamente, dice che non e' vero.
A chi dai ragione?
                                            
Vincent
Un anonimo che si firma è già una contraddizione in termini. 

Se si firma in un ng, vuol dire che ci sarà qualcuno (si spera) per cui A 
non è anonimo. Questo qualcuno può, in caso di ambiguità, avere la nuova 
chiave pubblica dopo che A ha generato un nuovo keypair. A quel punto B può 
dire che cacchio gli pare.

Se è anonimo il problema non esiste. Verificare la provenienza di un 
messaggio di cui non mi interessa la provenienza è una azione senza senso.
                                            
HappyCactus
Hai chiarito il concetto meglio di quanto io abbia saputo fare in
non-so-quanti post.
                                            
Alessandro
In
http:[email protected].ws,


Dipende... Nel peggiore dei casi (cioe' senza nessun'altra posibilita' di
controllo) do' per scontato che mentano entrambe.

Quindi sono entrambe due nuovi utenti (nessuno dei due e' A), e li trattero'
come tali.

ciaotutti,

*
                                            
Lapalissiano
Al miglior offerente?
                                            
barbun
li plonko entrambi che non e' di sicuro una gran perdita.
                                            
guglielM
LOL! :)
                                            
songohan
[....CUT...]

Mo ho capito! denghiu a tutti e due.
                                            
fdh

                                            
barbun
-----BEGIN ROT13 SIGNED MESSAGE-----
Hash: N0N3

finendo con l'essere solo un elemento decorativo inutile non ti stupire se
poi qualcuno ti piglia un po' in giro.
                                            
Alessandro
In http:[email protected]it,


Beh, a parte l'overhead degli header PGP nessuno... Senonche' sapere dove
reperire la chiave e' requisito minimo per verificare la firma.

Ciaotutti,

*