[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing

[Jelle Boomstra]

On Wednesday 16 March 2005 12:48, Folkert van Heusden wrote:
> If you would like to have a signature from me on your PGP/GPG key, please
> do the following: * This only to people who own a Dutch passport or drivers
> license as I don't know how the ones from elsewhere on the planet look
> like! * send me a color scan of your passport or drivers license
>     * on the same scanned page: write your e-mail address and your key-id
> (handwritten!) * sign the e-mail in which you send all of this to me with
> your PGP/GPG key * preferably make sure there's a picture of yourself in
> your GPG-key (not mandatory) * send things to: folkert op vanheusden.com
>
> Schiet maar lek! :-)

Je hebt niet gezegd dat je de persoon wiens key je wil tekenen wel vertrouwd. 
Voor een web of trust lijkt me dat het eerste uitganspunt. En vertrouwen 
alleen op basis van een digitaal manipuleerbaar bestand lijkt mij niet 
helemaal de juiste weg.  Ook geef je niet aan in welk formaat je de scan wilt 
ontvangen. de meeste zullen een bewerking op het bestand betekenen, en het is 
de vraag of je dat wil. En als laatste stel je geen eisen aan de orginele 
email. Daar ben je nog steeds kwetsbaar voor een man in the middle attack.

Als je toch alleen maar nederlanders wil verifieren, waarom gebruik je dan 
gewoon de post niet? Een kopie van mijn paspoort was voldoende om een domein 
in nederland te kunnen kopen, dat zou voor jou verificatie ook genoeg kunnen 
zijn. (maar ik geef toe dat je een zwartwit kopie nog veel makkelijker 
manipuleerd dan een kleurenscan. een zw kopie kan ik zo bij de supermarkt 
maken, een kleurenscan wordt al een stuk moeilijker...)

Maar gewoon face to face lijkt mij veruit de beste manier. 

Slechts mijn EUR 0.02 

-- 
met vriendelijke groeten,
Jelle Boomstra

http://linux-studie.nl