Michal Čihař - Jak nepodepisovat pgp klíče

Jak nepodepisovat pgp klíče

Asi jsem objevil ameriku, ale nedá mi to o tom nenapsat. PGP Global Directory je služba honosící se podtitulem Verified Key Service. Jejich představa je taková, že kdokoliv si je schopný přečíst mail, tak je určitě majitelem tohoto klíče.

To je sice jednoduchá metoda, ale nic nezajistí. Kdyby ten mail byl alespoň zašifrovaný oním pgp klíčem, tak by došlo alespoň k ověření, jestli majitel klíče používá danou emailovou adresu, ale takhle význam fakt nechápu…

Ještě lepší však je jejich rada, jak zajistit důvěryhodnost jejich podpisů v PGP programu:

To ensure that your PGP software trusts keys verified by this directory, you must download and trust this directory's Verification Key.

After downloading, import the Verification Key into your PGP software. Then, sign the key with your key and mark it as Trusted. Please see the documentation for your PGP software for specific instructions on trusting a key.

Proč bych měl podepisovat nějaký naprosto neznámý klíč? Proč bych měl důvěřovat klíči, kterým si může nechat kdokoliv podepsat cokoliv, stačí přístup k mailu?

New Comment

You can not add new comments to old blog posts.