Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
As a side note, może chcemy zrobić repo kluczy na naszym serwerze? Może nawet w LDAPie?
On 03/28/2012 09:47 AM, viq wrote:
As a side note, może chcemy zrobić repo kluczy na naszym serwerze? Może nawet w LDAPie?
Pracuję nad tym ;).
viq dixit (2012-03-28, 09:47):
Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
Wydaje mi się, że ważniejsze jest zaufanie do kluczy. Co z tego, że sobie zassiesz automatycznie z keyserwerów czyjeś klucze po ID – ich wartość będzie mniej więcej taka sama jak ich brak.
Któregoś czwartku zawiązało się ad-hoc keysigning party, moglibyśmy zrobić bardziej zorganizowaną imprezję tego rodzaju dla większej ilości paranoików. Podpisów w keyringu nigdy za mało.
On Wed, 28 Mar 2012, antoszka wrote:
viq dixit (2012-03-28, 09:47):
Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
Wydaje mi się, że ważniejsze jest zaufanie do kluczy. Co z tego, że sobie zassiesz automatycznie z keyserwerów czyjeś klucze po ID – ich wartość będzie mniej więcej taka sama jak ich brak.
Niby tak, ale w interesie podpisującego się jest jak największa popularność poprawnego klucza publicznego.
Ktoś z was odpalił RetroShare?
Straszne dużo ma zależności GUI i nie chce mi się wrzucać na serwer.
A na razie testowo na laptopie:
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQCNAzHFMpoAAAEEALFeOOrXdg7APGaH2M1kOkqURH4d08KtbDwaaOBU7EyauYIM dO7odiEK6R/LrTPxwhF7nRtC4doKPQBZ/rheKjJQ+O31qhuzVTtXJavdoZKhXU6+ wSMwA4zeJyK/329vjf7IjCNk4YFMI0Cazs+TKepTJB5+cnpT5T2W2v2wY27ZAAUR tB9NYXJjaW4gQ2llc2xhayA8c2FwZXJAaWVzeS5uZXQ+iQCVAwUTQT7l3T2W2v2w Y27ZAQEeewP/eLjgUR2ZZkYORfO4JxL+hB+guFxVaRIQQv1cIrKOEzVSqlChZGNN QRqtm+JWXoJ9RyHv/IvtOBbDseJfPXQHWHt+zsewW7lRxAX1TLJ8v+AvA+K3YauC vJLb+rGkn5IrwlbRDQAtumg4Lvt34gDtGQJRINK8O6IcZZmUDfBKkue0IU1hcmNp biBDaWVzbGFrIDxzYXBlckBzYXBlci5pbmZvPokAlQMFEz7pyo89ltr9sGNu2QEB kY4D/3s7UHIenMk8ZMNAOJDVejwtQs7PDZmSw0JwnSdCRR+vZkS/MQjwj3L4kEK6 4iI2ga/sVQvR6qUaoLR4gvw/Ag4SYflVqNnPJw7zSXPtdGvQwqtPCS+DcgOe9ejP siFWmemd+iagZ2WEQtJ1IRaAYlxm1fvPGvYlHlCl5gFyItLltCFNYXJjaW4gQ2ll c2xhayA8c2FwZXJAc2doLndhdy5wbD6JAJUDBRAyruQKPZba/bBjbtkBAQ0+BACN dEMBXsiSwNgIsPxGCl8TBNP7HA1DOq7tUEM9kRmTCqFeEvigtwLZMzuz4lGn6iYg 0oTHgesyrImvk1WXhzfwWUehkyE2WHLRboc6LKGo8xtuNsSMde97RPH2YN+4aBKs mUvd79wXDmOaP7DoPhCEaOisQ/PYvm+KmwPMkzQiDLQgTWFyY2luIENpZXNsYWsg PHNhcGVyQHN5c3RlbS5wbD6JAJUDBTBKIEOoPZba/bBjbtkBAR/6A/9+lT6dzbW7 /wxByRCw3R4eykaZDIQk4h1jsDIcsDaMt2fZQ9GSNf7fwUj6fJR89NOJ0iUQNVE7 tUggDRKWRSAfeHU9Zda4nbBbJCqCqyPEm8F5Hbj/i3ljwFt1KyWQo9K4xoavAn2n TxJ/TBcD2iy17u9lf7KDBSc+j2OEsFjVNA== =sgX/ -----END PGP PUBLIC KEY BLOCK----- --SSLID--42b12373811a581c1ca4f92141059040
//Saper
Dnia Wednesday, 28 of March 2012 o 22:46:19 Marcin Cieslak napisał(a):
On Wed, 28 Mar 2012, antoszka wrote:
viq dixit (2012-03-28, 09:47):
Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
Wydaje mi się, że ważniejsze jest zaufanie do kluczy. Co z tego, że sobie zassiesz automatycznie z keyserwerów czyjeś klucze po ID – ich wartość będzie mniej więcej taka sama jak ich brak.
Niby tak, ale w interesie podpisującego się jest jak największa popularność poprawnego klucza publicznego.
Swoją drogą klucze publiczne wraz z podpisami, leżące sobie grzecznie na serwerach kluczy, to całkiem niezłe źródło valid adresów pocztowych dla spammerów.
Ciekawe czy ktoś już wpadł na ten pomysł.
rysiek:
Swoją drogą klucze publiczne wraz z podpisami, leżące sobie grzecznie na serwerach kluczy, to całkiem niezłe źródło valid adresów pocztowych dla spammerów.
I’ll bite: so?
Ideą adresu email jest jego publiczna dostępność; problem spamu to nie jest problem tajności tych adresów czy upierdliwej dla wszystkich obfuskacji typu „foo(at)bar(dot)net” (srsly WTF‽), tylko właściwego filtrowania po stronie odbiorcy.
<anecdata>Jednego ze swoich adresów używam niezmiennie od 1996 i dostaję na niego praktycznie sam spam, ale nie mam problemu z filtrowaniem</anecdata> – działanie dobrego filra antyspamowego (np. Bogofilter albo CRM114) jest fundamentalnie zależne od tego, czy dociera do niego wystarczająco dużo spamu, na podstawie którego może na bieżąco wychwytywać trendy w zmianach wyglądu/struktury/treści takich wiadomości.
Ukrywanie adresu przed spambotami jest ryzykowne, bo jeśli faktycznie się uda, to znaczy, że filtr antyspamowy jest niewytrenowany, a wtedy jedna „życzliwa” osoba podsyłająca nasz adres spamerom potrafi załatwić skrzynkę na kilka dni.
Poza tym niestety ciągle trzeba zakładać, że część z naszych adresatów (albo ludzi, którym nasi adresaci sforwardowali maile od nas) używa zainfekowanych komputerów (*cough*OEnaWindows*cough*) wysyłających komu się da swoje książki adresowe, więc nawet przy chuchaniu i dmuchaniu adres i tak prędzej czy później wycieknie do spamerów.
BTW: Raz na tydzień zaglądam do spamboxa i sprawdzam, czy nie ma tam jakichś „false positives” – dużo łatwiej je znaleźć wśród kilku tysięcy spamów niż wśród kilkuset, bo przy posortowaniu po temacie faktyczny spam grupuje się po kilkanaście/kilkadziesiąt z rzędu, a „false positives” są pojedyncze i dobrze widoczne.
— Piotr </rant> Szotkowski
On Wed, Mar 28, 2012 at 11:09:01PM +0200, rysiek wrote:
Dnia Wednesday, 28 of March 2012 o 22:46:19 Marcin Cieslak napisał(a):
On Wed, 28 Mar 2012, antoszka wrote:
viq dixit (2012-03-28, 09:47):
Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
Wydaje mi się, że ważniejsze jest zaufanie do kluczy. Co z tego, że sobie zassiesz automatycznie z keyserwerów czyjeś klucze po ID – ich wartość będzie mniej więcej taka sama jak ich brak.
Niby tak, ale w interesie podpisującego się jest jak największa popularność poprawnego klucza publicznego.
Tak, i nie. Jeśli chodzi o podpisy, patrz poniżej. Bardziej myślę o, nazwijmy to, powtarzalności. Czy mój klucz jest podpisany przez 1000 osób, czy przez nikogo - nie zmienia to faktu, że wiadomości są podpisywane tym samym nickiem i tym samym kluczem od n lat. A zaufanie do klucza możesz (musisz?) i tak sobie ustawić lokalnie.
Swoją drogą klucze publiczne wraz z podpisami, leżące sobie grzecznie na serwerach kluczy, to całkiem niezłe źródło valid adresów pocztowych dla spammerów.
Ciekawe czy ktoś już wpadł na ten pomysł.
Wydaje mi się, że gdzieś słyszałem, że tak. Ale to to ma również znacznie ciekawsze konotacje. Kto kiedy podpisał czyj klucz? Kto zna kogo? Dużo podpisów w krótkim czasie? O, pewnie byłeś na konferencji czy innym spotkaniu. Itp.
(Na przykład klucz black hat'a podpisany nagle przez FBI czy coś podobnego. Kto mu teraz zaufa ze środowiska?)
-- Pozdr rysiek
Co miesiąc w ostatni piątek odbywa się Linux w Bramie, najbliższy jest 30, zapraszam. Przynajmniej kilka podpisów można zebrać (; 28-03-2012 22:39 użytkownik "antoszka" antoni@chopin.edu.pl napisał:
viq dixit (2012-03-28, 09:47):
Bardzo, bardzo proszę tych, co podpisują maile aby wrzucali swoje klucze na serwery. Drażniące jest dostawanie "tak, ta wiadomość jest podpisana. Nie, nie mam pojęcia czy poprawnie, bo nie mogę nigdzie znaleźć klucza."
Wydaje mi się, że ważniejsze jest zaufanie do kluczy. Co z tego, że sobie zassiesz automatycznie z keyserwerów czyjeś klucze po ID – ich wartość będzie mniej więcej taka sama jak ich brak.
Któregoś czwartku zawiązało się ad-hoc keysigning party, moglibyśmy zrobić bardziej zorganizowaną imprezję tego rodzaju dla większej ilości paranoików. Podpisów w keyringu nigdy za mało.
-- [アントシカ]
General mailing list General@lists.hackerspace.pl http://lists.hackerspace.pl/listinfo/general
Dnia Wednesday, 28 of March 2012 o 23:02:40 Marcin Karpezo napisał(a):
Co miesiąc w ostatni piątek odbywa się Linux w Bramie, najbliższy jest 30, zapraszam. Przynajmniej kilka podpisów można zebrać (;
Und Das Link: http://lwb.elka.pw.edu.pl/
-
antoszka -
Marcin Cieslak -
Marcin Karpezo -
Piotr Szotkowski -
rysiek -
Sergiusz Bazanski -
viq