[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing
joop gerritse
jjge op xs4all.nl
Wo Mrt 16 21:25:36 CET 2005
On Wednesday 16 March 2005 21:10, Folkert van Heusden wrote:
> > [...]
> >
> > > > Als ik een man in the middle attack zou uitvoeren om een eigen key
> > > > met iemands naam erin door jou te laten signen knip ik die paspoort
> > > > scan uit het plaatje, plak er een stuk boven met een ander email
> > > > adres, sign dat met de eigen key en stuur het door.
> > >
> > > Ah, nee, dat kan niet: je kunt, zo heb ik ergens gelezen, zien dat er
> > > getampered is met een afbeelding door bijv. ruis/signaal verhoudingen
> > > te controleren van verschillende plaatsen van de afbeelding.
> >
> > 1. Kun jij dat? En doe je het ook?
>
> Same thing voor die man-in-the-middle attachk: gaat er echt iemand in de
> keten ik - provider - amsix - provider - andere persoon al die meoite doen?
Ja, als niemand die moeite neemt, is de betrouwbaarheid navenant, natuurlijk.
Gelukkig kun je ook kiezen voor "very casual checking" als je een sleutel
tekent ;-)
>
> > 2. Ik neem aan dat het paspoortdeel so wie so een andere S/N heeft dan
> > het blanco deel waar je je e-mailadres op schrijft.
>
> Nee, het gaat om de S/N geintroduceerd door de scanner en de jpeg-encoder.
Ik weet niet of je makkelijk onderscheid kunt maken tussen verschillende
vormen van noise. Er zullen wel wat spectrale variaties zijn, dus met echte
forensische apparatuur lukt het misschien...
Trouwens, een kopie van een paspoort heeft natuurlijk nog een nadeel. Hoe weet
je dat het niet gestolen is? Bij face-to-face kijk je of de persoon op zijn
foto lijkt. Dat gaat nu niet.
Je kunt m.i. veel beter de persoon opbellen en hem vragen zijn key fingerprint
voor te lezen. Een MITM attack over de telefoon is volgens mij veel lastiger.
--
Joop Gerritse
Mühlenstraße 11
D-47546 Kalkar-Wissel
Germany
+49 2824 971487
http://www.jjge.nl
More information about the Linux
mailing list