Abuse Melding

Je hebt een klacht over de onderstaande posting:

14-08-2014, 13:02 door Erik van Straten

Door Redactie: Mensen moeten echter wel de authenticiteit van een sleutel verifiëren, wat via sleutelservers en 'public key fingerprints' wordt gedaan. Het opvragen van een publieke sleutel aan de hand van een fingerprint gebeurt in het geval van GnuPG via HTTP. Daarnaast zorgde een bug in de één na laatste versie van GNuPG ervoor dat de fingerprint van ontvangen sleutels niet werd geverifieerd.Die bug (http://bugs.gnupg.org/gnupg/issue1579) is uitermate slordig, maar het verifiëren van de authenticiteit van een sleutel hoort los te staan van het verkrijgen van een public key (en hoort dus ook los te staan van de automatische fingerprint controle die door die bug niet wordt uitgevoerd). Het ophalen van een public key, bijv. vanaf een keyserver, via http (niet https) is een risico [1], maar moet niet worden overschat. Het punt is dat iedereen public keys kan uploaden naar key servers, zonder dan hun identiteit (dus authenticiteit) wordt vastgesteld. Een groot probleem, bij elk protocol dat je bedenkt, ...

Beschrijf je klacht (Optioneel):

captcha