[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing

[Johan Wevers]

Folkert van Heusden wrote:

>    * send me a color scan of your passport or drivers license on the same
>    * scanned page: write your e-mail address and your key-id
>    * (handwritten!)

Deze aanpak is niet bestand tegen een man in the middle attack door iemand
die een andere key door jou wil laten signen.

Als ik een man in the middle attack zou uitvoeren om een eigen key met
iemands naam erin door jou te laten signen knip ik die paspoort scan uit het
plaatje, plak er een stuk boven met een ander email adres, sign dat met de
eigen key en stuur het door.

>    * preferably make sure there's a picture of yourself in your GPG-key
>    * (not mandatory)

Ik prefereer geen foto in die key. We hoeven het de CIA niet nog
makkelijker te maken... (al staat er wel een foto op m'n site, maar
toch). En extra veiligheid biedt het ook niet: als ik de foto uit die
paspoort scan knip en als foto in die valse key stop wordt je op die
manier ook gefopt.

>Schiet maar lek! :-)

Bij deze.

-- 
ir. J.C.A. Wevers         //  Physics and science fiction site:
johanw op vulcan.xs4all.nl   //  http://www.xs4all.nl/~johanw/index.html
PGP/GPG public keys at http://www.xs4all.nl/~johanw/pgpkeys.html