Je hebt een klacht over de onderstaande posting:
Door Anoniem: Zie mijn posting 24 okt 23:40 - hoe kom ik eigenlijk met goede zekerheid aan de echte PGP key van de developer ? Bedenk trouwens dat - zoals je stelt - je blijkbaar zit in een situatie waarin een MITM attack mogelijk is.... Zonder de developer zelf via een ander kanaal te benaderen (met het risico dat ook de contactgegevens van dat kanaal zijn vervalst), kom je met enige creativiteit vaak een heel eind. Als een key naar verluidt al een tijd bestaat, kun je een ouder package o.i.d. downloaden en de signature daarvan verifiëren, en zo vaststellen of dezelfde key ook toen al is gebruikt. Als dat zo is, weet je in elk geval dat de key niet recentelijk door een vervalsing is vervangen. Risicovol bij PGP/GPG/GnuPG is het gebruik van 4 byte lange identifiers zoals fd431d51: met ca. 4 miljard mogelijke combinaties zijn deze allesbehalve gegarandeerd uniek, en het is ook niet onmogelijk om een andere key te genereren waarvan de "vingerafdruk" ook eindigt op fd431d51. Googlen naar de volledige ...
Beschrijf je klacht (Optioneel):