web of trust고 자시고 아는놈이 있어야 검증을 하던 말던 하지
[%] gpg키 수집 어디서 함?
익명(117.111)
2021-05-27 14:46
추천 0
댓글 8
다른 게시글
-
깃붕이 전화 인터뷰 하고왔다.. [2][%] 익명(221.157) | 21.05.27추천 0
-
깃붕이 곧 전화 인터뷰임 [9][%] 익명(110.70) | 21.05.27추천 0
-
에휴ㅠ 맥에서 버그 터져서 [7][%] black7375(58.227) | 21.05.27추천 0
-
이 문제 아무리 생각해도 이해가 안된다 [8][질문] 익명(125.130) | 21.05.27추천 0
-
만화보는데 왜 갑자기 짜증나냐.jpg [3][⚠애니짤] 익명(222.233) | 21.05.27추천 2
-
한컴 deb 링크로 다운로드하는건 어떨지 모르겠네 [3][%] 익명(223.62) | 21.05.27추천 0
-
저거 념글 수정한거임? [4][%] 익명(223.62) | 21.05.27추천 0
-
docker alpine 쓰는게 좋음? [5][%] 익명(175.223) | 21.05.27추천 0
-
개념 간 한컴 저 새끼 내가 법무팀에 메일 보냄 [9][%] 익명(8.47) | 21.05.27추천 6
-
Freenode 사태 갈수록 커지노 [10][%] 익명(8.47) | 21.05.27추천 1
web of trust는 니네 이 키를 얼마나 신뢰할 수 있느냐 그 레벨을 말하는거고 키는 반드시 만든 사람이 배포해야함 (WKD나 공개 키서버로)
키 수집은 당연히 다운로드 사이트에 올라온 걸로 해야함 혹여나 apt 레포 때문에 gpg키 필요한 거면 걔네 레포 링크 들어가서 release.key 다운 받으셈
그니까 걔네가 공개키 제공을 안하면 얘네보고 공개하라고 해야지 아무데나 다운 받아서 제공하면 gpg 보안 그 근본부터 무너진 거임
https://pgp.mit.edu/
https://keyserver.ubuntu.com/
근데 공개 키서버도 솔직히 신뢰할 수 있는지 의문임 애초에 한번 올리면 마음대로 삭제도 못하고 그냥 revoke하는 게 끝인 데다가 누구나 마음대로 내 공개키라며 올릴 수 있는데 그걸 누가 신뢰할 수 있을까 싶다
근본적인 해결책은 WKD 말고는 없다고 봄 아니면 공개키 인증을 하는 keys.openpgp.org 을 쓰던지
keybase도 좋은데 얘네는 hkps 프로토콜 지원 안함