[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing

[Johan Wevers]

Jelle Boomstra wrote:

>Je hebt niet gezegd dat je de persoon wiens key je wil tekenen wel vertrouwd.

Dat is ook niet van belang.

>Voor een web of trust lijkt me dat het eerste uitganspunt.

Nee, wat je met een signature zegt is dat je garandeert dat die key ook
echt bij die persoon hoort. Niet dat je die persoon ook toevertrouwd met
gevoelige gegevens over jezelf.

>En als laatste stel je geen eisen aan de orginele email. Daar ben je nog
>steeds kwetsbaar voor een man in the middle attack.

Dat ben je zowiezo bij deze aanpak.

>Als je toch alleen maar nederlanders wil verifieren, waarom gebruik je dan 
>gewoon de post niet?

Vereist uitwisseling van echte adressen. Dat is toch weer een stukje
gevoeliger dan email adressen. Om te voorkomen dat iemand een MIT attack
met een ander adres uithaalt zou het nog beter zijn beide methoden te
combineren.

>Een kopie van mijn paspoort was voldoende om een domein 
>in nederland te kunnen kopen,

Niet bepaald een high security zaak. Het enige risico dat ze lopen is
dat je niet betaald, en het gaat niet om hoge bedragen.

>(maar ik geef toe dat je een zwartwit kopie nog veel makkelijker 
>manipuleerd dan een kleurenscan. een zw kopie kan ik zo bij de supermarkt 
>maken, een kleurenscan wordt al een stuk moeilijker...)

Veel supermarkten hebben ook kleurencopiers staan.

>Maar gewoon face to face lijkt mij veruit de beste manier. 

Inderdaad. Ook niet 100% tamperproof, maar goed, ik hang toch niet erg
aan dat hele WOT. Tenslotte wissel ik pas gevoelige informatie uit als
ik iemand in het echt vertrouw, en dan heb je de ander gewoonlijk wel
een keer in het echt gezien.

-- 
ir. J.C.A. Wevers         //  Physics and science fiction site:
johanw op vulcan.xs4all.nl   //  http://www.xs4all.nl/~johanw/index.html
PGP/GPG public keys at http://www.xs4all.nl/~johanw/pgpkeys.html