On Wed, 23 May 2001, Carlos Laviola wrote: > Devo concordar nesse ponto. Recomendo o seguinte: > http://carlos.debian.net/keysign.html > > É o "Protocolo de assinatura de chaves" que Manoj Srivastava usa, adaptado por > John H. Robinson, IV para HTML. Achei bem interessante a idéia dele, é > parecida > com a do hmh em alguns pontos, mas oferece uma segurança adicional, eu acho.
Gostei da URL, eu tinha ouvido falar dele, mas nunca tinha lido o protocolo do Manoj. Quanto ao texto, está em inglês e assume que a pessoa tem real consciência de que não pode sair assinando chaves exceto se seguir um protocolo como aquele... Coisa que eu JAMAIS assumiria quando me dirigindo a uma pessoa considerada leiga. Durante 3 anos como tradutor do PGP e tradutor das (talvez agora extintas) páginas em www.pgpi.org (e vítima incidental de tudo quanto é duvida de usuários de todo canto do país), eu aprendi que em 90% dos casos, ninguém presta tanta atenção nem toma os necessários cuidados. Fora isso, o método do Manoj é bem mais organizado e detalhado que o meu, e otimizado ainda por cima. Acho que vou usá-lo em lugar do meu protocolo mais simples, mas vai ser chato explicar pra todo mundo como funciona :) O nível de segurança é o mesmo: garantia da possessão da chave secreta, email e nome, e possível falha se o usuário não tiver consciência que uma chave pode ter mais de uma UID (e você só deve assinar aquelas cuja email e nome verificar), ou se os documentos apresentados forem falsificados. Acho difícil pedir dois documentos com foto, no Brasil normalmente só andamos com um: o RG... ao contrário dos americanos, que tem foto na carteira do seguro social e na carta de motorista (que lá todo mundo tem). Aqui dá mais futuro pedir o cartão do banco ou conta de luz/telefone/água como comprovante de residência, mais o CPF e o RG. -- "One disk to rule them all, One disk to find them. One disk to bring them all and in the darkness grind them. In the Land of Redmond where the shadows lie." -- The Silicon Valley Tarot Henrique Holschuh
