[Lista] Gestione Licenze [was: Il principio fu il gelato]

[Alessandro Bottoni]

fabiux a fabiux.org ha scritto:
> In realta` e` sufficiente che Alex firmi il file con la sua chiave GPG.
> 
> Hai invertito il significato dell'uso delle chiavi. Quando si cifra un file,
> si usa sempre una chiave pubblica. La chiave privata viene usata in due casi:
> 1) per firmare un messaggio/file
> 2) per decifrare un messaggio/file cifrato a noi destinato
> 
> E Alex dovrebbe confidare nella chiave pubblica che sta usando (...).

Si, è vero. E' l'alzheimer, scusate.

> Per il resto, l'idea piu` naturale e` che il file possa risiedere
> ovunque, non necessariamente su un server dedicato. Meglio.

Si, anche questo è vero. Il nostro tar contiene già tutte le informazioni
necessarie al suo uso (ed altre possono essere aggiunte con facilità), per cui
l'uso di un server dedicato è solamente più comodo ma non strettamente necessario.

> Allo stesso modo mi chiedevo se la terza entita` del "garante" possa essere
> evitata usando lo stesso "network of trust" che si ha con la reciproca
> firma delle chiavi pubbliche: e` una struttura che funziona e che si
> sostiene da se`, senza bisogno di certificatori - ma qui e` probabile
> che mi stia perdendo un pezzo del problema.

Da un punto di vista logico, credo che sia perfettamente utilizzabile la
tecnica a cui tu alludi. La necessità della terza parte mi sembra dovuta più
che altro alla necessità di coinvolgere un ente certificatore esterno in grado
di garantire (realmente!) l'identificazione e la reperibilità del firmatario in
caso di contestazioni legali. Per questo, personalmente, lascerei volentieri ad
altri questa incombenza.

CU
-- 
------------------------
Alessandro Bottoni