[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing - nieuw idee!

Vr Mrt 18 10:30:27 CET 2005

On Friday 18 March 2005 00:27, Hugo van der Kooij wrote:
[...]
> > Maar heeft iemand wat af te fakkelen over dit bank-als-ttp idee? Ik
> > denk dat het wel perfect is.
>
> Wat weet je dan nu?
>
> Dat iemand toegang heeft tot een email box.
> Dat iemand betalingen kan doen met een bank of giro rekening.
> Dat iemand een pgp sleutel heeft.
>
> Je hebt geen flauw idee of het wel een rechtmatige combinatie is en om
> welke persoon het gaat.

In feite weet je dat zelfs niet als je iemand face to face ontmoet. De enige 
meerwaarde is dat je kunt vaststellen dat hij op zijn pasfoto lijkt. En dat 
zijn paspoort niet al te duidelijk vervalst is. Vervolgens zul je hem ook nog 
moeten laten bewijzen dat hij daadwerkelijk toegang heeft tot zijn e-mail 
(maar als hij ook paranoïde is, wil hij dat niet doen omdat hij bang is dat 
je zijn password zult onderscheppen). Als je dat voor elkaar hebt, weet je 
dus dat de houder van dat-en-dat paspoort op dat moment toegang had tot 
dat-en-dat e-mailadres. Meer niet.

Is dat genoeg? Tja, als je het over identiteit gaat hebben... er is een 
aardige Hitchcock-film over iemand met een dubbelganger. Op het moment van de 
beslissende confrontatie heeft hij de verkeerde das om en wordt door zijn 
butler als onecht afgewezen.

En nog even afgezien van de identiteit... je weet nog steeds niet of het een 
betrouwbaar persoon is, hoogstens of je 'm aardig vindt... Het enige wat een 
PGP-certificaat eigenlijk zegt is: je kunt bij mij navraag doen. Of het 
antwoord je dan bevalt is een tweede.

De X.509-certificaten van banken geven iets meer garantie, omdat je (tot een 
bepaalde limiet) ook schadevergoeding kunt eisen. Maar als je bij Verisign 
(geen bank) in de kleine lettertjes kijkt (even uit mijn hoofd, heb even geen 
zin om dat op te zoeken) staat daar iets van $100 aan schadevergoeding 
vermeld.

>
> Als ik jouw email kan onderscheppen kan ik er voor zorgen dat een ander
> niet genoeg informatie te zien krijgt op een rekening afschrift en de
> verkeerde key aftekent.

nee, dat gaat niet, althans niet bij de Postbank. Afschriften komen gewoon per 
S-post, of via https. Met post en met https zijn ook wel trucs uit te halen, 
maar niet helemaal echt makkelijk.

> En een ander zorgen kind: Als je rekening informatie publiek rond gaat
> sturen is die rekening snel geplunderd. Dat lukt ze namelijk al jaren met
> die zielige mailtjes van weduwe zus en zo van dictator .....

Nee, ook dat lukt alleen als je iemand zijn toegangscodes weet te ontfutselen, 
ze zijn gewoon erg goed in "social engineering". Overigens heeft Folkert zijn 
rekeningnummer natuurlijk niet publiek rondgestuurd, maar gewoon via e-mail 
aan mij.

> Banken zijn notoir onveilig op dit punt.

Het probleem met banken is dat ze het risico altijd eenzijdig bij de klant 
proberen te leggen.

-- 
Joop Gerritse
Mühlenstraße 11
D-47546 Kalkar-Wissel
Germany
+49 2824 971487
http://www.jjge.nl