[nie po kolei...]
> Ty wez przeczytaj o czym inni pisza dobrze?
>

Point. Nie próbuję być ekspertem, którym nie jestem, może być, że
nie wszystko od razu rozumiem.

Przy czym, staram się trzymać tematu "dla ubogich", co może naiwnie
rozumiem jako "bez sprzętowego sekretu" i bez jednorazowych haseł
na zdrapce czy czymś podobnym.
Sprzętowy sekret psuje zabawę o tyle, że z nim jest o niebo łatwiej.
Zdrapka czy inne jednorazowe hasła też.

Tak przy okazji sprzętu, był kiedyś szyfrowany USB z małą klawiaturką.
Działał tak, że przy wpisaniu złego hasła odcinał zasilanie któregoś z
chipów... . To wbrew pozorom było _jakieś_ zabezpieczenie, nie przed
zgubieniem.


>>>> Utrata klucza prywatnego powoduje, że trzeba zmienić klucz
>>>> publiczny też.
>>>
>>> Kazdy system ma revoke.
>>
>> Utrata != poznanie przez osobę niepowołaną. Poza tym, stare dokumenty
>> przy revoke trzeba by podpisać jeszcze raz, chyba że mają stempel
>> czasu i ktoś magicznie wie, że klucz prywatny nie upublicznił się
>> przed tą datą, wtedy można zrobić revoke od jakiejś daty. Można
>> też mieć inny mechanizm, ale sam podpis PGP nie wystarczy.
>>
>> Czasami myli się revoke kluczy SSL z revoke kluczy podpisu. To
>> drugie wpada w tą samą kategorię, co perfect forward secrecy.
>
> Jsli utraciles kontrole nad kluczem to znaczy ze jest publicznie znany.
>

Nie jestem ekspertem, ale chyba jednak nie.

Ok: na USB (typu pendrive z plikami) jest klucz owinięty
hasłem usera owinięty jednorazowym kluczem serwera podpisującego
(wszystko symetrycznym).

Samo zgubienie USB nie powoduje poznania klucza: bez hasła
jest totalnie bezużyteczny. Natomiast powoduje jego utratę.
Nie da się też łamać hasła bez znajomości klucza serwera.

Czyli: można czytając A podpisać B, albo zamiast NIE AKCEPTUJE
podpisać AKCEPTUJE.

Ale też:
jak ktoś skopiuje USB i ma hasło i podpisze C, to serwer nie podpisze
kolejnego dokumentu D przy użyciu USB. Ktoś musiałby podmienić na
oryginalnym USB ciasteczko na to "po podpisaniu C". Przy kontroli
nad jednym komputerem (czytaj: OS) jest to banalne, przy kilku OS,
np jednym Thin Client, sprawa szybko się rypnie.
Serwer może od usera wymagać, żeby raz na kiedyś z czystego systemu
przejrzał listę dokumentów. Wymaga chwili, żeby przejrzeć możliwości
"podrzucenia" podpisanego dokumentu.

To trochę tak jak nie wpisywanie całego hasła, ale kilku znaków
z hasła: daleko do ideału, ale przy sensownym wyborze kolejnych
znaków prawdopodobieństwo jest mniejsze. A inne o tyle, że
tutaj zmniejsza czas wykrycia przejęcia klucza [1] (nie utraty).

Czego nie zauważyłem?

Jedyne, co widzę, to to, że nawet czytający podpisany dokument
może czytać coś innego niż było podpisane. Pytanie jest o
niezbędny poziom paranoi. Trzymam się wersji "dla ubogich".

Edek

[1] A tak naprawdę nie klucza, tylko ciasteczka. Klucz jest bezpieczny
w środku.