[Lista] Gestione Licenze [was: Il principio fu il gelato]
fabiux a fabiux.org
fabiux a fabiux.org
Gio 10 Ago 2006 19:48:57 CEST
On Thu Aug 10, 2006 - 19:16 Alessandro Bottoni wrote:
...
> Alex deve agire in questo modo:
...
> - per ogni file che vuole mettere a disposizione, crea un tar (comando Unix che
> crea un singolo file partendo da piĆ¹ file, per i tossicondipendenti di windows)
> contenente l'hash del file e l'hash/ID univoco della licenza.
> - cifra con la sua chiave privata (via GPG, con RSA o quello che gli pare) il
> tar e lo firma digitalmente
> - ci spedisce il filettino risultante. Noi lo decrittiamo con la sua chiave
> pubblica, in modo da assicurarci che provenga proprio da Alex e che non sia
> stato alterato, e lo mettiamo a disposizione del pubblico su un server (sotto
> forma di un record di database adatto all'uso).
In realta` e` sufficiente che Alex firmi il file con la sua chiave GPG.
Hai invertito il significato dell'uso delle chiavi. Quando si cifra un file,
si usa sempre una chiave pubblica. La chiave privata viene usata in due casi:
1) per firmare un messaggio/file
2) per decifrare un messaggio/file cifrato a noi destinato
E Alex dovrebbe confidare nella chiave pubblica che sta usando (...).
Per il resto, l'idea piu` naturale e` che il file possa risiedere
ovunque, non necessariamente su un server dedicato. Meglio.
Allo stesso modo mi chiedevo se la terza entita` del "garante" possa essere
evitata usando lo stesso "network of trust" che si ha con la reciproca
firma delle chiavi pubbliche: e` una struttura che funziona e che si
sostiene da se`, senza bisogno di certificatori - ma qui e` probabile
che mi stia perdendo un pezzo del problema.
Maggiori informazioni sulla lista
Lista