[gnupg-ru] Стандарты интернет-общения с PGP/GnuPG

Maxim Britov udjinrg на forenet.by
Чт Май 6 09:27:22 CEST 2004 

> Я не к тому что именно встроенная в письмо подпись никак не отображается
> в Sylpheed-Claws, хотя у меня по ним даже коментариев никаких не

К Sylpheed-claws можно подкрутить такую проверку, через Actions (Действия).
Просто сообщество пытается таким образом продвинуть новый стандарт подписей.

> выводится о том что это подпись. А вот если подпись в PGP/MIME - видит,
> и даже выводит какие-то комментарии, если конечно импортирован ключик.

> А как его лучше импортировать? Все вокруг да около консоли и разных
> серверов ключей. Вот если бы каждый пользователь PGP взял за правило
> указывать расположение своего ключа в Интернет... А так какая-то
> околесица - подписываю незнаю зачем и по какому случаю... В общем-то
> даже [gnupg-ru] никаких стандартизующих предложений на этот счет не
> вносит... а жаль :(
> Разве не важна возможность убедится пользователя PGP/GnuPG в том что
> именно ты, а не кто-то другой, написал это сообщение? У кого на этот
> счет есть свои методики импорта ключей с разных серверов, и как вы
> информируете других где ваш ключ расположен в сети? Пора, хоть негласно,
> консолидировать сообщество русскоязычных пользователей в этом вопросе.

В GnuPG есть параметр автоматической загрузки ключей при проверке.
В новой ветке 1.3/1.4 есть возможность задать в ключе предпочитаемый
сервер ключей. (Кто-нить бользовался? Работает это? Как?)
Werner Koch предложил использовать дополнительные заголовки
для добавления данной информации. См. мои например.
Найду его письмо - перешлю сюда.

По поводу подписи. Для меня это самая интересная функциаональность GnuPG.
Вы проверяете достоверность ключей и сертифицируете их, а другие исходя
из Ваших действий назначают для себя степень доверия к ВАМ.
т.е. если Вы все подписываете не глядя - то для Вашего ключа
будет стоять trust=1 (не доверяю) и Ваша подпись будет иметь значение
только для Вас лично :(
Для себя подписать можно и через lsign, если очень надо. Эта подпись
не уйдет на сервер и на экспорт (т.е. при export, а не export-all).

Разработчики не первое место ставят надежность и безопасность, а не удобство,
отсюда и дополнительные предупреждения об отсутствии сертификата на ключе.
Вам решать - нужно его подписать или устроит и так. Вам ведь говорят,
что подпись действительна. А для сертификатов существует несколько уровней
и ничто не мешает Вам указать "1-не проверял совсем" :)

-- 
MaxBritov

GnuPG KeyID 0x4580A6D66F3DB1FB Keyserver hkp://keyserver.kjsl.com
Fingerprint: 4059 B5C5 8985 5A47 8F5A 8623 4580 A6D6 6F3D B1FB
  JABBER: maxbritov on jabber.org/jabber.ru   ICQ 198171258
-------------- next part --------------
A non-text attachment was scrubbed...
Name: отсутствует
Type: application/pgp-signature
Size: 485 bytes
Desc: отсутствует
Url : /pipermail/attachments/20040506/31755d2b/attachment.bin

Подробная информация о списке рассылки Gnupg-ru