23/3/2014
Fałszywe klucze GPG (tj. wygenerowane na te same dane co oryginalne) zauważyli w internecie: Erin Clark z TOR-a oraz Gavin Andresen z Bitcoina.
Certyfikaty SSL nie są idealne, ale model zaufania oparty o klucze GPG (czyli tzw. Web of Trust) też ma pewne “słabości” — aby zweryfikować poprawność kluczy w wiarygodny sposób należy mieć pewność, że klucz danej osoby został podpisany zgodnie z odpowiednimi procedurami (m.in. wymianą jego fingerprintu przez inny kanał komunikacji) oraz przede wszystkim ufać osobie, która go podpisała.
Rozpocznij dyskusję, bądź pierwszy... ;-)
Dodaj komentarz