¿Debo firmar la clave PGP de un proyecto?

5

Si quiero verificar las firmas de un proyecto cuyos paquetes descargo & verificar con frecuencia, ¿sería razonable para mí firmar la clave de firma de ese proyecto?

Actualmente, verifico la firma con GPG, luego tengo que verificar manualmente la huella digital de la firma con la huella digital publicada en línea. ¿Es este un caso de uso correcto para firmar una clave? No tengo amigos en la web de confianza a través de los cuales puedo confiar en estas claves.

Por supuesto, nunca he conocido a nadie en persona para verificar la clave, pero he verificado varias firmas de la misma clave durante un par de semanas. Creo que puedo estar razonablemente seguro de que la clave de firma es la de ellos.

    
pregunta Rosa Richter 16.11.2016 - 04:45
fuente

2 respuestas

4

Si confía en las descargas de sus proyectos y en su firma, puede reflejar esta confianza firmando la clave PGP del proyecto. Entonces, más tarde sabrás que confiaste en esta clave.

Sin embargo, si no está seguro de confiar en esta clave de proyecto, no la firme.

Tanto si confía en la clave del proyecto como si no, es solo su elección. Usar PGP es solo una forma de mantener un rastro de su confianza.

    
respondido por el A. Hersean 16.11.2016 - 11:34
fuente
3

Si no comparte la clave con nadie, la firma es únicamente para su conveniencia y diversión. Tengo un perfil gpg específicamente para verificar las firmas del proyecto y firmo las claves del proyecto que descargo. La aplicación de niveles de confianza adecuados en función de cómo obtuvo las claves también es probablemente prudente.

Sus amigos podrían estar interesados en reutilizar el trabajo que ha realizado, ¡e incluso podría compartir sus claves de proyecto firmadas con el descargo de responsabilidad de cómo las obtuvo!

    
respondido por el trognanders 16.11.2016 - 07:37
fuente

Lea otras preguntas en las etiquetas