> ~20% с используемых мною пакетов исходников ~1500 штук имеют подпись разработчиков.Блин, как вы не понимаете простой вещи - нет в PGP реального механизма проверки достоверности подписи???
Ну подписали, а где гарантии что подписал и правда тот за кого себя выдает?
Я лет 10 назад продемонстрировал FreeBSD проекту, став секурити офицером, что самоподписывание - это само-обман.
Если бы человек при мне, личо на моих глазах сделал бы подпись, тогда это правда.
В банках, выдают подписанные ключи только при наличии реальной, физической подписи.
А где в PGP можно быть увереным, что ключ подписан и правда не казачком ? PGP публик сервера?
И теперь идите на любой PGP сервер и смотрите на кучу этих ключей неизвестно от кого залитых.
Нет в PGP механизма проверки подписи за исключением этузиастов-любителей верующих в комунизм и именно поэтомы Веб-О-Траст практичски мертв, а по сему все подписи что вы "проверяли" - нет никакой гарантии, что ключи подписанны правда теми за кого себя выдают.
> И ~10% из 100 делают это правильно.
Что в вашем понятии есть - "правильно" ?
> При использовании WoT можна в настройках указать требование не менее 3-5 разных
> цепочек подписей к одному публичному ключу.
A-a-a, вы про этот WoT, так он еще мертвее чем про который я подумал (https://en.wikipedia.org/wiki/WOT_Services) в преддыдущем посте...
Ну указали 3-5 разных цепочек подписей, и что ? Мне верить трем неизвестным чувакам из-за бугра ? Кто они? А они-ли ?
Кто мне мешает сэмулировать да хоть 100 кросс подписей ??? Нагенерировать с ИИ кучу лиц с крутыми заслугами и публикануть на разных площадках как будто это живые люди...
> Да, ошибки в проверке паспортных данных (фотографии, Ф.И.О.) и верификации E-mail будут.
В том то и дело, что не просто будут, а гарантированно будут, потому как нет механизама доверия.
У меня в легитимной власти куча емаил серваков раскиданых по всему миру (также как у пацанят из даркнета которые дырявят емаил серваки и юзают на всю катушку). Как вы думаете, тяжело мне будет сэмулировать кросс-подписи с емаил адрессов принадлежащих очень известным конторам???
> Поддельные ключи будут!!! Если вы лично будете аккуратно проверять паспорт и
> верифицировать почту, то их будет меньше.
Коммунизм к сожалению - это утопия, так как всегда найдется говнюшок и кинет остальных, верящих в честность.
Если бы господа из всех вами приведенных дистров не были бы жмотами, то просто навсего получили бы официальный EVV сертификат(который не так уж и дорог, тем более для контор), прошедий проверку через легитимный центр сертификации, где у них (у СА) не просто бы проверили паспорт, а также несли бы ответственность в пол лимона зелени, что они не ошиблись с проверкой, а потом бы этим ключом подписывали PGP-шные ключи, вот тогда бы уровень доверия можо было бы поднять, а так, сорри, наивность и не более...