[linux] Re: key signatures

[joop gerritse]

On Sunday 27 February 2005 21:09, Hugo van der Kooij wrote:
[...]
> > >>We praten toch over een 'web of trust'? Hoeveel vertrouwen heb je in
> > >> een wildvreemde die met een papiertje wappert? Zelfs als dat een
> > >> rijbewijs of paspoort is.
[...]
> Hangt er van af. Als ik een bericht krijg over een software probleem met
> Cisco software (en dat gebeurd toch nog wel eens) dan wil ik graag weten
> of het bericht echt is.
>
> Ik kan zien wie er zich sterk maken dat de key echt bij het security team
> van cisco hoort. Ik ken niemand van het security team maar wel iemand die
> voor die key instaat (heeft hem getekend). Dan is het redelijk om aan te
> nemen dat een security announcement met die key via die indirecte link te
> te traceren is tot het team in kwestie en de waarschuwing dus echt is.

Het is redelijk, ja. Niet waterdicht (niet dat je dat beweerd hebt).

Phil Zimmerman heeft het heel goed onder woorden gebracht: "ik ken iemand die 
ik onvoorwaardelijk vertrouw. Hij zal me niet bedriegen. Hij heeft maar één 
zwak punt: hij laat zich alles wijsmaken, zelfs dat de president (toen Nixon) 
de waarheid spreekt".

Een meer recent voorbeeld is Verisign, dat certificaten heeft uitgegeven op de 
naam van Microsoft, aan een hacker. Het kan dus nog steeds heel fors misgaan.

[...]
> Indien je encryptie gaat doen dan is het indirecte verhaal natuurlijk
> minder relevant maar een groot deel van het gebruik gpg/pgp is om de
> berichten te waarmerken. Je kunt zien of ze bij de juiste persoon vandaan
> komen (met een wisselende graad van betrouwbaarheid) en of er aan het
> bericht onderweg wel of niet is geknoeid.

Volgens mij gaat het ook bij encryptie op. De echtheid van een publieke 
sleutel kan van groot belang zijn. Iemand die daarmee weet te knoeien kan 
heel aardig "man in the middle" worden.

-- 
Joop Gerritse
Mühlenstraße 11
D-47546 Kalkar-Wissel
Germany
+49 2824 971487
http://www.jjge.nl