[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing

[Hugo van der Kooij]

On Wed, 16 Mar 2005, Folkert van Heusden wrote:

> Je kunt i.i.g. 'de verantwoordelijkheid van de verificatie' opschuiven naar
> iemand die jouw key gesigned heeft: als je die 100% vertrouwd (of iig
> 95% :-]) dan kun je veilig alle personen signen (en vice versa) die hij/zij
> heeft gesigned.

Foute aanname. Ik kan iemand best vertrouwen. Maar als iemand te goed van
vertrouwen is dan is zijn handtekening niets waard want hij vertrouwd
iedereen. Het is geen bewuste misleiding van hem maar hij neemt voor alles
voor zoete koek aan.

Ik zal dan dus nooit een sleutel ondertekenen op basis van zijn
vertrouwen in iemand.


Doe vooral geen moeite om jan en alleman sleutels te ondertekenen.

Validatie van een bekende kun je best per telefoon doen. Stem herkenning
in combinatie met de juiste sleutelwoorden en vooral de herkenning van
dingen die niet gezegd of uitgelegd hoeven te worden zijn genoeg om een
fingerprint controle per telefoon te kunnen doen.

Waar je dit soort controles niet kunt doen moet je domweg niet
ondertekenen.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.