Исходное сообщение
"Представлен более эффективный метод определения префиксов ко..." Отправлено OpenEcho, 14-Май-19 19:36
> Не обязательно из рук в руки. По любому (хоть открытому) каналу с > аутентификацией отправителя и гарантей сохранности сообщения. > Многие проекты публикуют свои PGP ID тупо на сайте с HTTPS, полагаясь > на надёжность PKI. Но вообще способов много: аутентифицировать по логину-паролю Здесь в соседней новости про взлом  Github-овских экаунтов... Помогла аутентификация? > , другому ключу (владелец которого достоверно известен) и т.п. Где эта самая достоверность в PGP/GPG ? > Да и вообще в культуре использования PGP (из того что видел я) > два одновременных валидных ключа на один ящик вызывают вопросы и повышенную > осторожность. И много вы знаете реальных людей, которые вообще смотрят за ключами и добросовестно сверяют с публичными key серверами сколько там ключей? Это хорошо если они там вообще опубликованы. Вот именно, что кроме вызывания вопросов, текущая культура примения PGP ключей не вызывает больше ничего. Ну да, механизм криптографии высок, а толку от него если origin unknown ? Видимость надежности, но не надежность т.к. без достоверной 100% гарантии принадлежности ключа - это не надежней чем просто верить на слово > Кроме того, вы ведь письмо-то всё равно не получите. Его получит всё > равно правильный получатель, только прочесть не сможет (ибо оно преднозначалось для > вашего закрытого ключа). Элементарная MITM атака и прийдет пушистый, белый арктический зверек