[Discussioni] Re: Anonimanto e pseudoanonimato
Leonardo Boselli
leo a dicea.unifi.it
Lun 26 Gen 2004 22:14:55 CET
On Mon, 26 Jan 2004, Marco Ermini wrote:
> Scusate se perpetuo l'OT ma vorrei rettificare delle inesattezze che non
> andrebbero IMHO lasciate così come sono il lista. Eventualmente se qualcuno
> conosce un altro luogo può rispondermi con un follow-up.
> On Mon, 26 Jan 2004 18:24:12 +0100, miKe <m.m.asciutti a email.it> wrote:
> > > Se la firma non è certificata mi faccio una firma a nome d'altri e
> > > firmo: cosa c'è di comlicato?
> Se non c'è certificazione da parte di un terzo, nessuno ti impedisce di
> firmarti come un altro - non puoi ovviamente generare la firma di un altro
> in quanto non possiedi la sua chiave privata da cui partire per generare la
> firma, ma puoi semplicemente generare una firma qualsiasi che contenga il
> nome di un altro. Quale meccanismo di gpg potrebbe mai impedirlo? e se non
> c'è un "terzo" che discrimina tra le due firme, chi mai può dire quale è
> quella originale e quale è quella falsa?
Forse non avete capito il meccanismo: chi si iscrive a una lista manda una
firma, [chiave pubblica]. questa sarà la sua firma.
O; server ha l'elenco degli iscritti alla lista e l'anello delle chiavi.
E inoltrerà il messaggio solo se la firma corrisponde a una di quelle in
suo possesso.
Il meccanismo non esclude che qualcuno si possa fare due identità, ma
senz'altro esclude che qualcuno possa mandare messaggi a firma di qualcun
altro.
>
> Fare uno stupido script bash che confronti la astratta correttezza tecnica
> di una chiave gpg non serve a nulla: è per questo che rispondevo a Leonardo
vedi sopra.
> E' necessario creare un repository (keyserver) interno in cui qualcuno
> depositi la chiave "originale" dell'utente. Questo deve a sua volta
> verificare che nel momento in cui una nuova chiave venga aggiunta essa
> corrisponda effettivamente alla persona reale a cui dice di appartenere. E'
> evidente che serve una terza persona che certifichi questa corrispondenza.
come ho detto non è essenziale per la moa apploicazione, visto che non è
essenziale verificare la corrispondenza tra persona e firma, ma solo di
evitare che qualcuno usi la firma di un altro.
More information about the discussioni
mailing list