Keysigning

Versie van 31 jan 2010 om 14:10

PGP- en CAcert-waarmerking bij Stack

Zo af en toe wordt de SHoBo bij Stack gecombineerd met een zogeheten 'PGP key singing party'. Bij een keysigning komen mensen bij elkaar die geïnteresseerd zijn in beveiliging om vast te stellen dat een bepaalde (PGP) sleutel daadwerkelijk bij een bepaald persoon hoort. Die sleutel kan gebruikt worden voor het zetten van (rechtsgeldige) digitale handtekeningen, bijvoorbeeld in e-mails of onder andere electronische documenten (PDF). Als je deel wilt nemen aan een keysigning, is het nuttig om vooraf je publieke PGP fingerprint op te sturen naar pgp@stack.nl. De organisatoren zorgen er dan voor dat er voor alle deelnemers kopieën hiervan beschikbaar zijn.

Naast de PGP-gebruikers, zijn er standaard ook CAcert-gebruikers aanwezig. De 'CAcert assurers' kunnen je identiteit verifiëren en je punten geven voor het CAcert web-of-trust. Via CAcert kun je gratis SSL certificaten verkrijgen (mits je identiteit gecontroleerd is). Deze certificaten kunnen ook gebruikt worden voor digitale handtekeningen bij e-mail en andere documenten (als alternatief voor PGP), maar ook zijn SSL-server-certificaten te krijgen, voor het opzetten van bijvoorbeeld een HTTPS-webserver. Ben je geïnteresseerd in deze CAcert-certificaten, zorg er dan voor dat je jezelf vooraf aanmeldt op de CAcert-website. De waarmerkers kunnen je identiteit dan direct na de controle bij Stack bevestigen via die website.

Zowel voor PGP als CAcert is het gewenst om een geldig legitimatiebewijs te tonen om je identiteit te bevestigen. Meerdere identificatie-documenten zijn een pré.

Wat is PGP?

PGP, Pretty Good Privacy, is een standaard voor de versleuteling van electronisiche berichten, zo dat niemand behalve de aangegeven ontvanger het bericht kan lezen. Het is ook mogelijk om PGP te gebruiken om je (e-mail) berichten te ondertekenen met een digitale handtekening, zodat de ontvanger kan verifiëren dat het gehele bericht inderdaad door de afzender geschreven is - en het niet door iemand anders later aangepast is.

GPG, GNU Privacy Guard, is een opensource programma om PGP sleutels te beheren en om berichten te versleutelen en ondertekenen. Voor wie nog niet bekend is met GPG is de website GnuPG in 5 minuten een echte aanrader. Deze pagina geeft een goede introductie in het gebruik van GPG met een overzicht van alle belangrijke commando's.

PGP sleutels zijn 'betrouwbaarder' wanneer de correctheid door meerdere mensen bevestigd is. Als mensen tijdens een PGP keysigning hebben gecontroleerd dat een sleutel daadwerkelijk bij een bepaald persoon (identiteit) hoort, kunnen zij dat aangeven door de publieke sleutel te 'ondertekenen' met hun digitale handtekening. Deze getekende PGP-sleutels kunnen gepubliceerd worden via een publieke PGP keyserver, dat is een soort telefoonboek voor PGP-sleutels. Sleutels die bevestigd (ondertekend) zijn door mensen die je al kent, horen waarschijnlijk echt bij de genoemde persoon. Maar over de echtheid van een sleutel die je 'zomaar' ergens op internet tegenkomt, kun je nog twijfelen...

Wil je meedoen met een PGP-keysigning tijdens een SHoBo, stuur dan vooraf je publieke 'fingerprint' op naar de organisatoren, op pgp@stack.nl. Je kunt deze fingerprint genereren met het commando gpg --fingerprint 'mijnemail'. Merk op dat de volledige uitvoer van dit commando nuttig is voor anderen, dus stuur het in zijn geheel op (en niet alleen de regel met 'fingerprint' ervoor). Voor meer informatie over het gebruik van PGP in het algemeen en de Stack keysignings in het bijzonder kun je altijd contact opnemen met de experts, via het genoemde adres.

What is CAcert?

CAcert is een vrijwilligersorganisatie die gratis X.509 certificaten uitgeven. Een client-certificaat kan gebruikt worden voor digitale handtekeningen of versleuteling van de tekst bij e-mail. Daarnaast geeft CAcert ook server-certificaten uit die gebruikt kunnen worden om versleutelde verbindingen op te zetten met internetservers, bijvoorbeeld een webserver die https gebruikt.

Er zijn veel organisaties die dergelijke SSL-certificaten uitgeven (zoals KPN en Verisign), maar de meesten vragen veel geld voor deze dienst. CAcert biedt een goed alternatief, waarbij de gebruikers zelf de indentiteit an andere gebruikers controleren. Vertrouwen wordt opgebouwd via een zogenaamd 'web-of-trust', wat vergelijkbaar is met de manier waarop PGP-sleutels vertrouwd worden. Dit wil zeggen dat het 'vertrouwen' in een bepaalde identiteit groter wordt als meer mensen bevestigingen dat die electronische identiteit daadwerkelijk bij een bepaald persoon hoort.

Voor waarmerking tijdens een SHoBo dienen CAcert gebruikers een waarmerkingsformulier in te vullen. Blanco formulieren zijn standaard beschikbaar bij een SHoBo. Hierop moet je invullen je naam, geboortedatum en e-mailadres. Dit e-mailadres moet corresponderen met het adres dat je bij CAcert als accountnaam hebt opgegeven (je digitale identiteit). Ook dien je een geldig identificatiebewijs mee te nemen (liefst twee zelfs), zodat de waarmerkers je naam en geboortedatum ook kunnen controleren.