[bcn-pm] 27N - Signatures PGP/GPG i la web de Barcelona.pm

[Carlos Escribano]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Viernes 28 Noviembre 2003 12:09, Francesc Guasch escribió:
> Si treballo amb diferents PCs, un portàtil, a casa, a
>    la feina ... , com ho faig ? he de tenir el mateix
>    fitxer privat en tots els llocs ? Vaig sempre amb un
>    diskette ? 

La clau es pot passar a d'altres equips.

>
> - Tinc un company que diu que és una seguretat molt dèbil,
>    que pot ser que et refiis d'una clau sospitosa, d'algú
>    que no coneixes, per que en algun moment algú que sí
>    coneixes la ha validat. Diu que es molt millor que el
>    sistema tipus verising. Alguna explicació poc tècnica
>    que li pugui donar ?

El problema de la credibilitat d'una clau és sempre difícil. Quina confiança 
en mereix un certificador? Són empreses privades, i per cert molt cares, i 
qui em diu que algú de l'empresa no ha fet trampa, o que per buscar alguna 
més barata no l'he pifiada? La credibilitat és un joc del gat i el ratolí, i 
la fortalessa d'un sistema privat de certificació, com la signatura de les 
claus és el reforçament: Si jo veig una signatura dins d'un anell de 
confiança dels membres de barcelona-pm la veig més fiable que una signatura 
només d'un dels seus membres, encara que només conegui a un d'ells. 

Per això és important que sigin moltes les signatures; es més difícil el frau. 
El cas que tu em comentas es típic de claus amb poques signatures, peró si 
tens un dubte entre dos claus candidates, es difícil que la falsa hagi 
aconseguit un recolçament similar a la verdadera, especialment perquè el 
temps juga en contra d'una clau falsa, que per força és efímera.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE/xyNucrdYjP8t0J0RAt+6AKDyPOt12QHvNtIhrYS2nxVDzOjLHgCfRclc
V9k6Yvddx4TiiDzsg35bpDk=
=BTdS
-----END PGP SIGNATURE-----