On 29-Mar-2001 Henrique M Holschuh wrote: > CC: pra vocês dois porque developer debian não pode deixar de entender o > GNUpg de dentro pra fora :P > > On Thu, 29 Mar 2001, Carlos Laviola wrote: >> On 28-Mar-2001 Gustavo Noronha Silva (KoV) wrote: >> > de eu ter o meu outro email... essas assinaturas vao ser perdidas ou >> > vao ser passadas pro debian.org? > > Perdidas. Mas você pode escrever para os que assinaram a chave antes usando > uma email assinada, pedindo para assinarem sua nova UID. Uma vez que a > chave não foi revogada (só algumas das UID), essas pessoas poderiam assinar > a UID faltante e enviar a chave assinada para o endereço de email na nova > UID (--> NÃO PARA OS KEYSERVERS!!!! <--). > > Por essas e por outras eu tenho duas chaves, uma para coletar assinaturas, e > outra pra uso normal. > >> Bom, isso realmente pode parecer assim. Mas, segundo o meu entendimento, é >> coerente assumir que a assinatura que eles deram foi na sua key, e não no >> UID >> dela. Ou seja, apesar de você estar revogando o UID em que eles assinaram >> sua > > Você não assina chaves. Assina uma chave + UID(s). E isso realmente > significa que você deveria não só ter absoluta certeza do nome da pessoa, > mas também do endereço de email... você está assinando embaixo que OS DOIS > são verdadeiros.
Isso não faz o menor sentido, tendo em vista que apenas eu posso revogar um UID
e adicionar novos UIDs. Ou seja, se alguém assina a minha chave, essa pessoa
não está falando que eu sou Carlos Laviola em [EMAIL PROTECTED], mas sim
que eu sou Carlos Laviola. Seria o mesmo que o meu pai dizer que não acredita
mais que eu sou filho dele porque eu me mudei.
>> Inclusive, eu também tenho minha chave assinada por você e pelo Gleydson, e
>> o
>> GPA (GNU Privacy Assistant), um frontend pra GnuPG, mostra ambas as
>> assinaturas
>> como válidas, mesmo com o UID original revogado. Se você ainda estiver com
>
> Hmm? Se apenas o UID revogado continha essas assinaturas, isso é um problema
> de segurança no GPA. Favor verificar e reportar o bug. Por essas e por
> outras eu não uso frontends...
>
>> >> recomendo o wwwkeys.pgp.net e o keyring da debian, se bem que o último
>> >> está sincronizando dados com o primeiro periodicamente).
>
> Bleh, eu tenho minhas dúvidas quanto a isso. Da última vez que dei um
> merge-only do keyring do Debian com o dos keyservers, foram incluídas umas
> 40 assinaturas novas...
--
Carlos Laviola - ICQ 55799523
pub 1024D/3516D372 2000-06-05 Carlos Laviola <[EMAIL PROTECTED]>
Key fingerprint = 3BE1 6591 C78C 2AA4 31DD AEEF 6406 0227 3516 D372
I have a solar vocal ail!
pgpkhFB5bwgny.pgp
Description: PGP signature
