𝕵𝖔𝖍𝖆𝖓 ⛧

По поводу Всемирного дня шифрования, задам : какой должен быть правильный способ и порядок использования *отпечатков ключей*? В Гугле толкового описания не находится. Я правильно понимаю, что ими нужно предварительно *обменяться* по **дополнительному** каналу (e-mail?), а в начале диалога *сверить* с тем, что покажет мессенджер ~~ручками~~ глазками? И так для каждого устройства и периодически заново?

Выглядит не слишком «френдли юзерс» ©. Есть какие-то еще варианты (Ватсап же ничего такого не просит)?

И еще: при неподтвержденном ключе шифрование работает или нед?
@ru@lor.sh @rf

1+
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org @ru@lor.sh @rf@mastodon.ml Чтобы не сверять отпечаток ключа каждый раз, в менеджере ключей есть флажок доверия. Сверив отпечатки, ставишь ключу полное доверие и пользуешься. Понятно, что при этом база ключей должна быть защищена от внешнего вмешательства.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vovanium @rf @ru@lor.sh Получается, даже если я *не могу* сверить отпечатки, я тем не менее *должен* ставить галочку доверия, чтобы сообщения ходили, верно?

1
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org @rf@mastodon.ml @ru@lor.sh Технически нет никакой проблемы расшифровать сообщение недоверенным ключом. Просто результат неизвестен.
Если программа не позволяет расшифровывать им, это вопрос к программе.
В OpenPGP можно ставить разные уровни доверия, почему так не сделано в реализации Omemo, вопрос также к разработчикам.

1+
𝕵𝖔𝖍𝖆𝖓 ⛧

@vovanium @rf @ru@lor.sh Ну это вообще ракетная наука :blobcatwinktongue:

1
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org @rf@mastodon.ml @ru@lor.sh Я что-то вобще подзабыл, как оно там на самом деле. Trust это не совсем валидность ключа, это доверие тому, что владелец ответственно подписывает другие ключи, а пометить сам ключ как нормальный или плохой можно ещё как-то.

1
𝕵𝖔𝖍𝖆𝖓 ⛧
Follow

@vovanium Ну, в Джаббере никто ничего не подписывает, в этом дело.

· · 1 · 0 · 0
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org А не мешало бы. Проверять каждый ключ по-отдельности слишком муторно.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vovanium С другой стороны — привязка к устройству тоже определенный плюс?

1
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org Это всё правильно, и хорошо, что ключи не покидают своих устройств. Но было бы удобно, если бы ключи автоматом бы отмечались валидными, если, например, их хозяин все сам подписал.

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vovanium Ну вроде в Матриксе так зделано. Там фингерпринтов нету, как я понел, и для логина на новом устройстве ключи подписываются. Как-то. Блядь. Ёбаная математика! 😠

1
vꙮvᴀɴıᴜᴍ⁺

@johan@qoto.org Там какая-то ебанина подписыванием всех сеансов со всех сеансов. В какой-то момент я всё поудалял и оставил один сеанс (прикрепленной вкладкой висит).

1
𝕵𝖔𝖍𝖆𝖓 ⛧

@vovanium Там ебанина в квадрате, потому что есть «оффлайн» и есть «дизлогин» 😠

0
Sign in to participate in the conversation
Qoto Mastodon

QOTO: Question Others to Teach Ourselves
An inclusive, Academic Freedom, instance
All cultures welcome.
Hate speech and harassment strictly forbidden.

Trending now

Resources

Developers

What is Mastodon?

qoto.org

More…

v3.5.19-qoto · Privacy policy