Hi Hélio! On Tue, 22 May 2001, Hélio Alexandre Lopes Loureiro wrote: > > Leu o começo da email, onde o Maçan me pedia que escrevesse o texto "para um > > leigo" ? > > leigo != retardado. Hmm... não pretendia "insultar" ninguém, mas é minha experiência que as pessoas NÃO levam esse tipo de coisa a sério num primeiro momento a menos que você torne bem claro que esse tipo de atitude não será desculpada. Bom, para não leigos e leigos que não se importam de ir ler o manual e saber teoria de conjuntos (1o. grau) fica mais fácil explicar: Assinatura de chaves estabelece uma relação de confiança A para B, onde A ao assinar B estabelece a validade de B caso A seja considerada válida. A assinatura de uma chave autentica o campo UID de uma chave, incluindo os campos de email e nome, e não deve ser usada levianamente. Em uma "keysign party", você deve verificar a veracidade de todos os campos de uma chave (incluindo a relação UID/KeyID que nem sempre é simples) antes de assinar uma chave de terceiro. Recomenda-se a utilização de documentação (que seja difícil de falsificar e cuja falsificação implique sanção penal) com foto para verificar a veracidade do "nome" constante na UID, e de um a simples troca de informação secreta sobre email, utilizando a chave em questão, para verificar a veracidade do endereço de email. A incorreta validação de uma chave através de uma assinatura mal conferida pode trazer riscos de ataques sociais em sistemas, e é normalmente causa para sanções em grupos que dependem desse tipo de segurança. -- "One disk to rule them all, One disk to find them. One disk to bring them all and in the darkness grind them. In the Land of Redmond where the shadows lie." -- The Silicon Valley Tarot Henrique Holschuh
Attachment:
pgpDU_LwdbVEg.pgp
Description: PGP signature