PGP og Web of Trust

I mit indlæg Kryptér din e-mail beskrev jeg blandt andet hvordan pgp-nøgler gøres troværdige ved gensidig signéring. Jeg vil her lige uddybe begrebet lidt.

Når du importerer en andens offentlige pgp-nøgle, så vil PGP/GPG automatisk betragte den som “untrusted”. Der er så to måder, hvorpå du kan gøre nøglen trusted:

  1. Sæt “Implicit trust” via “Set Key Trust”-menuen i Enigmail. Personligt sætter jeg kun trust på nøgler jeg er 100% sikre på tilhører den påståede indehaver og jeg sætter trust-level til “I trust fully”, som er det næsthøjeste.
  2. Signér nøglen med din egen nøgle.

Sidstnævnte løsning er klart den bedste, men der er et par ting man skal holde sig for øje. Nedenstående billede viser Enigmails nøgle-signéringsfunktion.

Signéring af pgp-nøgle

Først og fremmest bør man aldrig signére en pgp-nøgle med mindre man har kontrolleret dens autenticitet grundigt – det vil sige man med god samvittighed skal kunne sætte hak i “I have done very careful checking”.

Dernæst bør man aldrig signére andres pgp-nøgle, uden at have fået deres accept. Hvorfor så ikke det? Jo, for hvad er det værd for mig, hvis 20 vildt fremmede mennesker pludselig har signeret min pgp-nøgle? Det kan foranlede andre til at sætte deres tillid højt, uden der egentlig er noget at have det i. Derfor bør man altid kryds-signére nøglerne – så man aftaler med hinanden, at nu signérer vi hinandens nøgler – samtidigt. Så har man også haft en del kommunikation frem og tilbage; dermed har man en vis sikkerhed for, at ejeren af den pågældende e-mail-adresse også er ejer af den pågældende pgp-nøgle – for via e-mail udveksler man information of Key ID og Key Fingerprint og de to skal så stemme overens med den public key, som man har importeret fra en keyserver.

Hvis man nu alligevel gerne vil signére en nøgle, men ikke har ejerens accept, så kan det også lade sig gøre. Man kan nemlig signére nøgler til lokalt brug. På ovenstående billede ses et afkrydsningsfelt med teksten “Local signature (cannot be exported)” og hvis sætter hak i det, så bliver signéringen ikke uploaded til nogen key server.

PGP og spam
Det siger sig selv, at PGP er et effektivt værktøj i kampen mod spam. Vel at mærke, hvis ellers alle dem man gerne vil have e-mails fra benytter PGP. Der er dog endnu en måde, hvorpå PGP kan jælpe dig i kampen mod spam.

De fleste vil jo egentlig gerne have kontaktinformationer liggende på deres hjemmeside, men efterhånden har de fleste lært, at hvis man har sin e-mail-adresse stående der, så finder spammernes søgerobotter dem – og så har man balladen.

Løsningen er at lægge sin offentlige pgp-nøgle på siden i stedet! Så kan folk importere den og vupti – indeholdt i den er din e-mail-adresse. Pænt skjult for søgerobotterne. Desværre kræver den model større udbredelse af PGP end tilfældet er i dag – men vi kommer ikke længere ved at blive ved snakken, så lad os sammen være den lille snebold, der starter lavinen :cool:.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *