[linux] Re: pgp/gpg signen zonder face-to-face ontmoeten oplossing - nieuw idee!

[joop gerritse]

On Friday 18 March 2005 11:09, Folkert van Heusden wrote:
> > > Maar heeft iemand wat af te fakkelen over dit bank-als-ttp idee? Ik
> > > denk dat het wel perfect is.
> >
> > Wat weet je dan nu?
> > Dat iemand toegang heeft tot een email box.
> > Dat iemand betalingen kan doen met een bank of giro rekening.
> > Dat iemand een pgp sleutel heeft.
> > Je hebt geen flauw idee of het wel een rechtmatige combinatie is
>
> Die combinatie kan ik verifieren door de persoon in kwestie me z'n
> rekeningnummer in een met die key gesignde e-mail te laten sturen vanaf
> dat adres.

Dat is op zich wel aardig, maar dan komt er dus wel een stap bij. Geeft verder 
niet, natuurlijk; ik heb het idee dat hier best een aardig alternatief voor 
face-to-face uit gaat komen.

>
> > en om welke persoon het gaat.
>
> Dat staat op het afschrift toch?

Even afgezien van het --inderdaad geldige-- punt van Kees Theunissen over 
machtigingen.

Ik denk dat je toch nog eens moet nadenken over de vraag, wat je precies zegt 
met een ondertekening van iemands sleutel. In de GPG SiGn Key kun je kiezen 
voor "I will not answer", "I have done no/casual/careful checking". Ik denk 
dat dat een beetje de essentie aangeeft: je stelt je beschikbaar voor 
navraag. Wat zeg je als iemand navraag doet? Ik heb 'm zelf gezien. En zijn 
paspoort. Of: ik heb geld met 'm uitgewisseld. Of ... Het maakt niet eens 
zoveel uit wat je antwoord precies is, denk ik. De vraag is of je enige 
moeite gedaan hebt, en hoeveel. En PGP laat ook meerdere ondertekeningen per 
sleutel toe, om de redundantie te verhogen. (Als tegenstelling: X.509 is 
strikt hiërarchisch)

-- 
Joop Gerritse
Mühlenstraße 11
D-47546 Kalkar-Wissel
Germany
+49 2824 971487
http://www.jjge.nl