> Здесь в соседней новости про взлом Github-овских экаунтов...
> Помогла аутентификация?Там, вроде как, не про GitHub была речь, а про qwerty123-подобное поведение конечных пользователей и тупо публикацию своих логинов-паролей.
При такой культуре IT никакая технологий не поможет защитить данные.
А даже если бы утекали пароли из базы GitHub-а (что вряд ли), то они поддерживают двух-факторную авторизацию (в том числе по всяким Trezor-ам). А даже если бы этот механизм был дискредитирован, то это лишь говорит о том, чтобы не использовать GitHub для этих целей (каждый сам управляет рисками и надёжностью какого-либо метода аутентификации).
В общем, IMHO, плохой пример :)
> Где эта самая достоверность в PGP/GPG ?
После того, как публичный ключ был аутентифицирован по сторонним каналам, PGP даёт достоверность автора сообщений (подписи) и безопасность содержимого от посторонних лиц (шифрование)
Ну и стоит отметить, что в PGP есть Web-Of-Trust, и при грамотном приминении это тоже является инструментом аутентификации (когда доверенные лица произвели аутентификацию по сторонним каналам за вас, а вы уже используете этот результат).
> И много вы знаете реальных людей, которые вообще смотрят за ключами и добросовестно сверяют с публичными key серверами сколько там ключей? Это хорошо если они там вообще опубликованы.
Все известные мне активные пользователи инфраструктуры PGP ведут себя именно так. Жаль только, что таких мало. Я сам являюсь самым халатным пользователем PGP из данного локального окружения, как мне кажется, но даже я проверяю при поиске/добавлении новых ключей.
> Вот именно, что кроме вызывания вопросов, текущая культура примения PGP ключей не вызывает больше ничего.
Не понял вас. Под вопросами я имел в виду вопросы одного пользователя PGP-инфраструктуры к другому по сторонним/доверенным каналам (обычно IRL или посредством почты для которой уже проведена аутентификация ключа) на тему чему именно из этого доверять.
> Элементарная MITM атака и прийдет пушистый, белый арктический зверек
Элементарная MitM-атака? Это как? Как она становится элементарной? Просто провести атаку на BGP/DNS и PKI одновременно, чтобы перехватить письмо, в надежде, что его ещё пошлют зашифровав неверным ключом?
Да, такие риски действительно присутствуют, но если мы говорим в контексте неграмотного использования PGP, то не такие уж они и высокие. Для людей, кому действительно важно сократить риски, могут тупо грамотно применять PGP, а не слать что попало куда попало и как попало.