Re: [MASOCH-L] Opiniões sobre Assinatura do Remetente

[Lao DanTong]

On Wed, 1 Jun 2005, Roberto Alcantara wrote:

> O milter recebe a informação que o usuário foi autenticado e, no momento do 
> envio, ele acessa a sua base de chaves privadas/usuario e assina a mensagem. 
> Ele não precisa saber a senha - só o usuário e se ele é valido no sistema.

negativo. o milter recebe a informação de que a CONEXÃO foi autenticada o que 
não quer dizer que o USUÁRIO REMETENTE, o que aparece no from tenha sido. essa 
autenticação do SMTP-AUTH pode ser mesmo de máquina para máquina, nem mesmo ter 
um humano envolvido. você não pode tomar isso como base para assinar o que quer 
que seja.

voce não deve armazenar as chaves privadas do jeito que voce propõe. chave 
privada é o que o nome diz: privada. se ficar em um banco de dados ou arquivo, 
ainda que o arquivo esteja cifrado com uma chave secreta (e essa chave que o 
milter sabe, onde fica?) ela deixa de ser privada.

Chave privada, deve ser armazenada cifrada com uma frase senha que só o dono da 
chave sabe, senão ela perde totalmente sua função.