Eerste keer 'ge-key-signed'
Ik heb daarnet voor de eerste keer keys gesigneerd met GnuPG samen met Jef Pober. Het was best wel leuk en leerrijk om te doen, maar je moet er toch wel even bij nadenken omdat het uit een aantal stappen bestaat.
Maar wat is keysignen om te beginnen? En wat is GnuPG?
GnuPG is een implementatie van OpenPGP, wat de open standaard is van PGP (Pretty Good Privacy). Het is een systeem (ontwikkeld door Phill Zimmerman) waarmee je e-mails en bestanden digitaal kan ondertekenen en/of encryptioneren (zodat niemand anders het kan openen).
Om dit te kunnen doen maak je zelf een publieke (public) en een geheime (private) sleutel aan. (dit in tegenstelling tot vergelijkbare systeem waar je zo'n sleutel ieder jaar moet kopen).
Net door het feit dat je zelf een sleutel maakt en iedereen dit kan doen kan een persoon bijvoorbeeld ook een sleutel maken waarmee hij zich uitgeeft voor iemand anders en zo het systeem misbruiken.
Om dit op te lossen kunnen PGP gebruikers elkaars sleutels ondertekenen waarmee ze dus eigenlijk de sleutel van deze persoon betrouwbaarder maken (het zogenaamde 'web-of-trust' breidt hiermee uit)
Hoe gaat dat signeren nu in z'n werk (of hoe hebben wij het tenminste gedaan)?
- Eerst importeer je elkaars sleutel met gpg --recv-keys --keyserver pgp.mit.edu 0xDEADBEAF (gesteld dat 0xDEADBEAF de sleutel is van de persoon waarmee je key-signed)
- Vervolgens stuur je een mail naar deze persoon die je encryptioneerd met zijn sleutel
- Als hij de mail kan openen en lezen weet je dat hij de eigenaar is van de sleutel (hier dus 0xDEADBEAF)
- Ook hij stuurt jou een mail die met je eigen sleutel is geencryptioneerd zodat hij ook weet dat hij jou sleutel heeft.
- Om verder te gaan signeer je de sleutel gpg --sign-key 0xDEADBEAF
- Vervolgens exporteer je de gesigneerde key terug (met ascii armor)
- En mail je deze door naar de eigenaar
- De eigenaar importeert zijn eigen key, die nu gesigneerd is
- Uiteindelijk kan de eigenaar zijn sleutel versturen naar een keyserver als hij dat wil (en dat is natuurlijk aan te raden om dat te doen) en/of de sleutel op zijn website zetten, doormail,...
Comments
Jef Pober on 2004-04-14 09:00
volgend jaar op FOSDEM toch
volgend jaar op FOSDEM toch eens op de keysigningparty piepen :)
TeRanEX on 2004-04-14 11:32
Als dat volgend jaar uitkomt
Als dat volgend jaar uitkomt wil ik daar wel mee naar toe, ben wel benieuwd omdat eens mee te maken die FOSDEM en een keysigning party :-) (hoewel we die key signing party natuurlijk ergens eens zelf kunnen organiseren ook)
Comment Atom Feed