[linux] Re: key signatures

Hugo van der Kooij hvdkooij op vanderkooij.org
Zo Feb 27 21:09:16 CET 2005 

On Sun, 27 Feb 2005, Hans Paijmans wrote:

> joop gerritse wrote:
> > On Sunday 27 February 2005 19:45, Hugo van der Kooij wrote:
>
> ...
>
>
> >>We praten toch over een 'web of trust'? Hoeveel vertrouwen heb je in een
> >>wildvreemde die met een papiertje wappert? Zelfs als dat een rijbewijs of
> >>paspoort is.
> >>
> >>De bedoeling is dat je sleutels van bekenden aftekent. Die ken je. Daar
> >>ken je het email adres van. En voor DIE informatie wil je in staan.
> >>
> >>In dat plaatje zie ik geen plek voor een wildvreemde.
> >
> >
> > In wezen heb je gelijk --en het is ook de essentie van wat Phil Zimmerman
> > bedoelde-- maar in de praktijk moet je natuurlijk wel eens compromissen
> > sluiten.
>
> Ik ben misschien een beetje dom, maar PGP en GnuPG zijn toch goed zoals
> ze zijn? Waarvoor is dat 'web of trust' ueberhaupt nodig?
> Op dat ogenblik dat ik PGP /echt/ nodig heb, is dat web of trust me
> ook te link.

Hangt er van af. Als ik een bericht krijg over een software probleem met
Cisco software (en dat gebeurd toch nog wel eens) dan wil ik graag weten
of het bericht echt is.

Ik kan zien wie er zich sterk maken dat de key echt bij het security team
van cisco hoort. Ik ken niemand van het security team maar wel iemand die
voor die key instaat (heeft hem getekend). Dan is het redelijk om aan te
nemen dat een security announcement met die key via die indirecte link te
te traceren is tot het team in kwestie en de waarschuwing dus echt is.

Als ik die indirecte stap niet had heb ik dus minder controle middelen om
de echtheid te controleren.

Indien je encryptie gaat doen dan is het indirecte verhaal natuurlijk
minder relevant maar een groot deel van het gebruik gpg/pgp is om de
berichten te waarmerken. Je kunt zien of ze bij de juiste persoon vandaan
komen (met een wisselende graad van betrouwbaarheid) en of er aan het
bericht onderweg wel of niet is geknoeid.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.

More information about the Linux mailing list