>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
> нет, надо просто подписать пачку ключей неглядя.
> Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.Чем больше цепочек доверия и чем они короче тем выше доверие к ключу.
PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак.
> Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат.
Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь.
А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт.
>> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
> нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
Так все и делают. Разные пользователи, разные ключи, разные кейринги.
Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить.
Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.me/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT.
> А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить.
> Но этого сделать никто уже не сможет потому что во-первых старперы не дадут,
Не дадут, ибо не в серверном ПО ошибка!
> во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.me/openforum/vsluhforumID3/117786.html#61
> Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.me/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран.
Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании.
Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!