По поводу Всемирного дня шифрования, задам #вопрос: какой должен быть правильный способ и порядок использования *отпечатков ключей*? В Гугле толкового описания не находится. Я правильно понимаю, что ими нужно предварительно *обменяться* по **дополнительному** каналу (e-mail?), а в начале диалога *сверить* с тем, что покажет мессенджер ~~ручками~~ глазками? И так для каждого устройства и периодически заново?
Выглядит не слишком «френдли юзерс» ©. Есть какие-то еще варианты (Ватсап же ничего такого не просит)?
И еще: при неподтвержденном ключе шифрование работает или нед?
@ru@lor.sh @rf #Jabber #OMEMO #Matrix #мессенджеры
@johan@qoto.org @ru@lor.sh @rf@mastodon.ml Чтобы не сверять отпечаток ключа каждый раз, в менеджере ключей есть флажок доверия. Сверив отпечатки, ставишь ключу полное доверие и пользуешься. Понятно, что при этом база ключей должна быть защищена от внешнего вмешательства.
@johan@qoto.org @rf@mastodon.ml @ru@lor.sh Технически нет никакой проблемы расшифровать сообщение недоверенным ключом. Просто результат неизвестен.
Если программа не позволяет расшифровывать им, это вопрос к программе.
В OpenPGP можно ставить разные уровни доверия, почему так не сделано в реализации Omemo, вопрос также к разработчикам.
@vovanium Ну, в Джаббере никто ничего не подписывает, в этом дело.
@johan@qoto.org А не мешало бы. Проверять каждый ключ по-отдельности слишком муторно.
@vovanium С другой стороны — привязка к устройству тоже определенный плюс?
@johan@qoto.org Это всё правильно, и хорошо, что ключи не покидают своих устройств. Но было бы удобно, если бы ключи автоматом бы отмечались валидными, если, например, их хозяин все сам подписал.
@vovanium Ну вроде в Матриксе так зделано. Там фингерпринтов нету, как я понел, и для логина на новом устройстве ключи подписываются. Как-то. Блядь. Ёбаная математика! 😠
@johan@qoto.org Там какая-то ебанина подписыванием всех сеансов со всех сеансов. В какой-то момент я всё поудалял и оставил один сеанс (прикрепленной вкладкой висит).
@vovanium Там ебанина в квадрате, потому что есть «оффлайн» и есть «дизлогин» 😠
@johan@qoto.org @rf@mastodon.ml @ru@lor.sh Я что-то вобще подзабыл, как оно там на самом деле. Trust это не совсем валидность ключа, это доверие тому, что владелец ответственно подписывает другие ключи, а пометить сам ключ как нормальный или плохой можно ещё как-то.