PGP Global Directory
PGP Keyserver 新增 email 認證機制。
其實這消息之前就出現在 slashdot 上,也有長輩開示過了,但是我一直忘了去 upload 我的 key,沒想到今天早上突然收到好幾封信,原來是這個系統會把舊的 keyserver 上面的 key 給轉移過來新的 server,並透過認證程序發信;不過很神祕的是我明明登錄了五個 email,但是卻只有收到四封信,而我另外新增了兩個 email 還沒 upload 上 keyserver 的,現在也不能直接 upload,說是前一輪的認證尚未完成,叫我等 24 小時後再試一次。這個認證措施其實蠻不錯的,一來是可以藉機幹掉一些沒用的 key,例如 email 早已不存在的或是密碼忘記的 (我相信大部份的人都沒有做 revoke key,就算有也沒把它放在另外的安全地方 XD),二來是以後要 revoke key 應該也比較簡單了,可能直接填 email 進去,再回一封確認信,這樣就搞定了吧 ? 不過它這次改版還新增了一個邪惡的功能,多了一個 “Download Verification Key”,照它的說法是叫大家把 key 載下來以後加到自己的 keyring 然後 sign as Trust,不過這樣一來根據 web of trust 的原則,該 key 所 trust 的任何 key 對我們而言也會同樣是 trust,有點像是開了個小後門的感覺 :p
Write a comment