image

Security Tip van de Week: veiliger downloaden onder Windows

maandag 14 januari 2013, 11:17 door Erik van Straten, 15 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Erik van Straten

Veiliger downloaden onder Windows: GnuPG/PGP handtekeningen

Inleiding
Een digitale handtekening onder een bestand kan je helpen bij het inschatten van de risico's die je loopt als je met dat bestand op jouw computer (of die van een familielid, vriend of klant) aan de slag gaat. Helaas biedt een geldige digitale handtekening geen volledige garantie dat het niet om malware gaat of dat het programma doet wat je beloofd is, maar middels zo'n handtekening kun je vaak wel redelijk betrouwbaar vaststellen wie de maker is van dat programma.

In de Microsoft wereld worden bestanden vaak met behulp van digitale X.509 certificaten ondertekend. De open source community daarentegen, maakt meestal gebruik van PGP of GnuPG signatures, zie bijvoorbeeld deze pagina, maar ook Windows programma's worden soms met PGP signatures verspreid, zoals KeePass en OpenVPN; vooral van belang voor de sources, alle executables hebben een Authenticode signature.

Indien je als Windows gebruiker dergelijke software zo veilig mogelijk wilt "downloaden" is het verstandig om je in de bijbehorende processen te verdiepen en geschikte software te installeren om dergelijke PGP/GnuPG signatures te kunnen controleren.

In deel 1 van artikel legt Erik van Straten uit hoe PGP en GnuPG werken; in het tweede deel zal hij beschrijven welke Windows software hiervoor beschikbaar is.

Downloaden: bron en integriteit
Hoewel er steeds meer sandbox-achtige omgevingen verschijnen, geldt standaard onder Windows dat elk programma dat jij opstart, alles kan doen wat jij onder Windows mag.

Theoretisch kan de auteur van het Windows programma "rekenmachine" deze zo hebben gemaakt dat dit programma, uit jouw naam, spam gaat versturen op het moment dat je 10 door Pi deelt. De kans op dergelijke kwaadaardige functionaliteit is natuurlijk verwaarloosbaar klein, maar is aanzienlijk groter bij bestanden die je downloadt nadat Windows is geïnstalleerd.

En dat geldt niet alleen voor uitvoerbare bestanden, want bijv. in PDF of Word documenten kunnen exploits en/of kwaadaardige scipts (of zelfs ingebedde exe bestanden) verstopt zijn. Daarom is het verstandig om van elk bestand dat je downloadt, een aantal zaken zo goed mogelijk vast te stellen:

1) Wie is de maker en/of uitgever, en hoe zeker weet ik dat?
2) In welke mate vertrouw ik hen?
3) Hebben zij hun zaken qua security goed genoeg op orde?
4) Is het bestand ongewijzigd sinds de oorspronkelijk uitgifte?

Met name het tweede aspect is erg subjectief, en het derde aspect is vaak erg lastig vast te stellen (denk bijv. aan het incident bij Adobe dit jaar waarbij een aanvaller erin slaagde hun siging infrastructure te misbruiken, zie deze pagina. In dit artikel ga ik niet verder op de middelste twee aspecten in.

Op het eerste en vierde aspect ben ik al vaker ingegaan (onder andere hier, maar heb daarbij nog nooit aandacht besteed aan PGP en GnuPG: bij deze dus!

Nb. er is op dit punt relatief weinig software en informatie in de Nederlandse taal te vinden, en in de gevallen waar wel Nederlandse vertalingen beschikbaar zijn, is dat niet altijd voor de laatste versie van de software. Ik verwijs op de meeste plaatsen dan ook naar Engelstalige resources, en ook van de onderzochte software heb ik uitsluitend de Engelstalige versies bekeken.

PGP en GnuPG
PGP staat voor Pretty Good Privacy en is in 1991 bedacht door Philip Zimmermann. PGP is volledig gebaseerd op asymmetrische (public key) cryptografie en kan zowel voor het versleutelen als digitaal ondertekenen van bestanden (waaronder e-mails) worden gebruikt. Ondertussen is Symantec eigenaar van PGP en verkoopt uitsluitend de commerciële versie.

Later heeft Werner Koch een GPL (GNU General Public License) open source variant van PGP ontwikkeld, genaamd GnuPG, ook bekend als GPG (Gnu Privacy Guard), zie GNUPG. PGP en GnuPG versleutelde en/ofgesigneerde bestanden, alsmede sleutels, zijn gelukkig prima uitwisselbaar tussen PGP en GnuPG.

GnuPG is beschikbaar voor bijna alle denkbare platformen, maar uitsluitend in de vorm van commandline tools, waarvan de sources eenvoudig te vinden zijn via de GPG website. Via ftp://ftp.gnupg.org/gcrypt/binary/ kun je ook verschillende Windows 32bit binaries vinden, maar op het moment van schrijven wel de 1.x maar niet de laatste GPG2 (2.x) versie.

Hoewel ik best een hands-on freak ben, gebruik ik GnuPG te weinig om alle parameters te kunnen onthouden. Deze commandline tools lenen zich dan ook bij uitstek voor een GUI (Graphical User Interface) schil. Bij het commerciële PGP pakket is dit allemaal netjes geïntegreerd, en als geld geen rol speelt, raad ik je aan dat aan te schaffen (en de jaarlijks terugkerende kosten te betalen). Voor het, af en toe, checken van een digitale handtekening is PGP echter overkill.

Meer info over verschillende PGP/GnuPG softwaremakers vind je o.a. in openpgp.org.

Werking en gebruik van PGP en GnuPG
Zoals gezegd, PGP en GnuPG maken gebruik van asymmetrische cryptografie (zie deze pagina en verder voor uitleg daarover).

Om een bestand met PGP of GnuPG digitaal te signeren moet de ondertekenaar beschikken over een eigen asymmetrisch sleutelpaar; als hij dit nog niet heeft, zal hij eerst zo'n sleutelpaar moeten genereren.

Zo'n sleutelpaar bestaat uit een private key en een public key. De eigenaar dient de private key strikt geheim te houden; de public zal hij, aangevuld met metadata zoals naam, e-mail adres, aanmaakdatum en eventueel een vervaldatum, op de een of andere wijze moeten publiceren. Iemand die een digitale handtekening onder een bestand wil controleren heeft daar namelijk de public key van de ondertekenaar voor nodig.

Wie is de maker en/of uitgever?
In onderstaande figuur zie je twee mensen die echt Erik van Straten heten, en een die zich voordoet als een van de echte Erik van Straten's. Elk van hen houdt zijn private key stikt geheim (gesymboliseerd door de kluisjes) terwijl de public keys worden gepubliceerd.


Belangrijk is dat je jezelf de vraag stelt of je de public key van de bedoelde ondertekenaar te pakken hebt. Iedereen kan public keys naar zo'n server uploaden! Het feit dat je een sleutel op zo'n server vindt zegd dus helemaal niets over de betrouwbaarheid van die sleutel.

Digitale handtekening met PGP of GnuPG
Ondertekenen van een bestand gaat als volgt: de GnuPG of PGP software berekent een cryptografische hash (bijv. SHA1SUM) over het bestand en versleutelt de hashwaarde vervolgens met de private key van de ondertekenaar.

Bij binaire bestanden wordt het resultaat als "detached signature" bij dat bestand opgeslagen, met dezelfde bestandsnaam echter met een extensie .sig (voor een binair formaat) of .asc (ASCII "armored" formaat) opgeslagen.

Voorbeelden:

Binair bestand:    winpt-1.5.3-exe.zip
Binaire signature: winpt-1.5.3-exe.zip.sig
Binair bestand: openssl-1.0.1c.tar.gz
ASCII signature: openssl-1.0.1c.tar.gz.asc

Nb. het komt voor dat een .sig bestand onverwacht een ASCII signature bevat en andersom. De meeste programma's detecteren dat automatisch waarmee dit zelden problemen oplevert (maar fraai is het niet).

De inhoud van zo'n ASCII bestand kan er uitzien als volgt (het betreft hier genoemde openssl-1.0.1c.tar.gz.asc):

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
iQEVAwUAT6vcSqLSm3vylcdZAQLlbgfZLcvRLHoZh1yHKxC1ucBSw+yYFut
OmGqSpZBfUU5y7DIA2VK6sgILBx8OCyOYA1s+6dgeCxny+Cdh/fW6RbBSo7
K3efRUhdogOlQm+t9Ns5+FsdgUMZLnYdQ81mMYbZfndO4nEZnkqQ0qKkdaY
Vz12yHkwLtn+6AIW2sUTXUESHOdzEIzAyF08RsFVsQbzrLvqgcHWxY1494O
haxEJP5JvcjWAgMC2hwkDoQbrEsOoleX/IodDydXGHspdez9BVzgSsg0QPU
wk6TxB6+9/VUSHxrqaj9Pys02ddXYj4SlohsunHmXhKsFSyxf31lvMyn2gG
Af44nuD7Mmt8U3OVqLQ===4PCl
-----END PGP SIGNATURE-----

Hier zie je bar weinig aan, het gaat om met BASE64 geëncodeerde binaire data. Je ziet zo dus niet wie het bestand heeft ondertekend!

In onderstaande figuur 2 is je het proces van ondertekenen en controleren van een handtekening gevisualiseerd.


PGP en GnuPG Key ID's en fingerprints
De GnuPG software (plus grafische schillen) kunnen uit een signature (zoals in bovenstaand voorbeeld) een Key ID extraheren. Op Internet zijn meerdere publieke keyservers beschikbaar waar je op basis van zo'n Key ID de bijbehorende public key en de gegevens van de eigenaar kunt vinden.

Er bestaan meerdere lengtes en notatiewijzes voor Key ID's, bijvoorbeeld:

4 byte=32 bit Key ID:           0x4F25E3B6
8 byte=64 bit Key ID: B5249B39D24F25E3B6
0xD8692123C4065DEA5E0F3AB5249B39D24F25E3B6
Het onderste getal (hexadecimaal, aangeduid door een leidende "0x") is de zogenaamde "fingerprint" van de public key. Deze wordt vaak met spaties tussen elke twee bytes geschreven, als volgt:

D869 2123 C406 5DEA 5E0F 3AB5 249B 39D2 4F25 E3B6

Zoals je kunt zien zijn de korte (32 bits) en lange (64 bits) Key ID's niets anders dan de laatste zoveel bytes van de fingerprint.

Met een Key ID van slechts 32 bits is de kans dat meer dan 1 persoon toevallig dezelfde Key ID heeft, allesbehalve verwaarloosbaar (er zijn immers meer dan 2^32 mensen op deze aarde). Die kans is aanzienlijk kleiner bij een Key ID met een lengte van 64 bits, en verwaarloosbaar bij de getoonde 160 bits. Zie https://en.wikipedia.org/wiki/Public_key_fingerprint voor meer info.

Zoeken en downloaden van de public key van de ECHTE auteur
Hier bestaan twee aanvliegroutes voor:

1) Zoeken op basis van de Key ID uit de signature
De Key ID extraheren uit de signature en die Key ID opzoeken op keyservers. Dat is handig, maar dit is niet zonder risico: een aanvaller die het binaire bestand heeft weten te wijzigen en terugzetten op een downloadserver, kan zelf een sleutelpaar aanmaken, daar de naam van de oordpronkelijke auteur aan verbinden, de public key met nepgegevens uploaden naar keyservers en het gewijzigde bestand met de nieuwe private key ondertekenen.

Eigenlijk is dit vergelijkbaar met het publiceren van een cryptografische hash naast een bestand op dezelfde server: een aanvaller die toegang tot die server weet te krijgen kan het bestand en de gepubliceerde hash wijzigen! De mweerwaarde van een digitale handtekening is zo erg klein.

2) Zoeken op basis van de naam van de auteur
Zoek op internet naar de public key van de auteur (op basis van haar of zijn naam). Als die key op een geheel andere server staat dan de binaries en signatures, is de kans kleiner dat de aanvaller alle drie weet te wijzigen. Dit is een veiliger methode dan methode 1.

Je kunt jouw vertrouwen in het feit dat de gevonden key daadwerkelijk toebehoort aan de echte auteur vergroten door oudere versies van de software en/of bijv. gesigneerde e-mails met gevonden public key te controleren. De kans dat de aanvaller de boel vervalst heeft, neemt af met de hoeveelheid moeite die dde aanvaller daarvoor heeft moeten doen.

Voorbeeld: de public key van Werner Koch met Key ID 0x4F25E3B6 kun je zowel vanaf http://www.gnupg.org/signature_key.en.html als vanaf http://werner.eifelkommune.de/mykey.asc downloaden. Dat exact dezelfde key (0x4F25E3B6 ) in een bestand op twee verschillende servers te vinden is, biedt al enig vertrouwen.

De vraag is hoe paranoïde je moet zijn bij het zoeken en vinden van de public van de ondertekenaar; mijn advies is om dit te laten afhangen van het type applicatie en de omgeving waar deze zal worden toegepast.

Zodra je de -waarschijnlijk- juiste public key gevonden hebt, download je deze en voeg je deze toe aan jouw "keyring" (sleutelbos). Als je een los bestand gedownload hebt (bijv. key.asc vanaf de website van de auteur) kun je deze importeren in de PGP/GnuPG software die je gebruikt. Maar de meeste software kan ook direct dergelijke keys importeren vanaf een keyserver.

Web of Trust
Hiermee bedoel ik niet WOT voor webbrowsers (van http://www.mywot.com/) maar wat op deze pagina beschreven is.

In tegenstelling tot bij een PKI (Public Key Infrastructure), zijn er bij PGP en GnuPG geen certificate authorities die (meer of minder nauwkeurig) vaststellen of een public key daadwerkelijk aan een persoon of instantie toebehoort. In plaats daarvan kan een public keys van "iemand" door anderen (vaak meerdere personen) digitaal worden ondertekend, waarmee die andere personen aangeven dat zij er enig vertrouwen in hebben dat een public key daadwerkelijk aan de bestreffende persoon of instantie toebehoort. Aan een public key hangt dus vaak een lijstje met gegevens van personen die een dergelijk vertrouwen daarin hebben uitgesproken; zie figuur 3.


Een punt van zorg daarbij is dat je vaak geen idee hebt wie die mensen zijn en op welke wijze zij de identiteit van de eigenaar van de public key hebben vastgesteld. Persoonlijk probeer ik er daarom op verschillende manieren achter te komen of een public key daadwerkelijk van de bedoelde persoon is. Bijvoorbeeld in het geval van KeePass levert Googlen naar Dominik Reichl signature interessante pagina's; hierin is informatie uit 2011 te vinden waarvan het niet voor de hand ligt dat deze door een aanvaller daar is geplaatst.

Echter, aan feit dat de public key van Dominique Reichl van schijnbaar verschillende servers kan worden gedownload, namelijk http://keepass.info/integrity/Dominik_Reichl.asc en http://www.dominik-reichl.de/Dominik_Reichl.asc, heb je niks, want zowel keepass.info als www.dominik-reichl.de hebben 46.252.18.237 als IP-adres (het gaat dus om dezelfde server), waarbij je bijvoorbeeld in http://ip.robtex.com/46.252.18.237.html kunt zien dat er nog meer websites draaien op die server.

Een wat lastig aspect van PGP en GnuPG is dat je het vertrouwen dat ook jij hebt in het feit dat een public key daadwerkelijk van de bedoelde persoon is, moet formaliseren, door zelf ook de public key van die persoon te signeren. Het doel hiervan is:

1) Dat het een bewuste actie van jou is die je pas zou moeten uitvoeren op het moment dat je er voldoende vertrouwen in hebt dat de sleutel aan de bedoelde specifieke eigenaar toebehoort;

2) Mocht een aanvaller onbedoeld toegang krijgen tot jouw PC, hij sleutels niet zomaar kan vervangen (mits de aanvaller geen toegang krijgt tot jouw private key);

3) Je kunt de eigenaar van de betreffende sleutel helpen door deze te voorzien van een exportable signature. Dat zou ik alleen doen als ik de sleutel persoonlijk en handmatig (via een USB stick bijvoorbeeld) van de betreffende persoon zou krijgen.

Keyring
Met PGP of GnuPG bouw je al snel een sleutelring (keyring) op. Wat zit er normaal gesproken aan zo'n ring, ook als je slechts digitale handtekeningen wilt controleren? In Figuur 4 zie je bovenin jouw eigen private- en public key. De private key is alleen toegankelijk middels een wachtwoord. De publieke sleutels van Erik en Piet zijn door jou gesigneerd, terwijl die van Erik ook door anderen gesigneerd is. De publieke sleutels van Jan en die van jouzelf zijn nog niet voorzien van handtekeningen.


In het tweede deel van deze serie vertel ik welke Windows software bruikbaar is voor het controleren van PGP/GnuPG handtekeningen onder bestanden.

Erik van Straten is werkzaam bij TriOpSys b.v. als Systems Consultant, met security als bijtaak en vooral als "uit de hand gelopen" hobby. Het voornemen van TriOpSys is dat Erik vanaf 2013 meer voor beveiligingstaken zal worden ingezet.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (15)
14-01-2013, 12:08 door [Account Verwijderd]
[Verwijderd]
14-01-2013, 15:27 door Fwiffo
'Trust' (trust) is het moeilijkste bij het gebruik van pgp. Het betekent namelijk niet of je iemand vertrouwt, of aardig vindt, of het vaak met hem eens bent, maar of je vertrouwt dat hij snapt hoe hij sleutels van anderen moet ondertekenen (en dit ook goed doet).

Met de command line versie van gpg:
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

1 = I don't know or won't say
2 = I do NOT trust
3 = I trust marginally
4 = I trust fully
5 = I trust ultimately
m = back to the main menu

Your decision?
Je ondertekent (sign) een sleutel van iemand als je zeker weet dat hij is wie hij op de sleutel zegt dat hij is. Dit kan ook gelden voor pseudoniemen. Is de persoon wie hij zegt dat hij is. Er is niet iemand anders die werkelijk bij het pseudoniem hoort.

Maar moeilijk blijft het. Zelf heb ik enigmail in thunderbird zo ingesteld dat hij niet over trust klaagt.

@Erik: Enkele jaren terug kon je een trail versie downloaden bij symantec die na 30 dagen automatisch in de freeware versie veranderde. Zou mij niet verbazen als symantec de freeware versie ondertussen om zeep heeft geholpen :-(
14-01-2013, 17:23 door Anoniem
kijk een voordeel van Linux,daar zat het al een hele tijd ingebouwd.
Met wat geconfigureer ben je er al.
14-01-2013, 17:37 door Anoniem
Zoals Erik schrijft: het grootste probleem van PGP bij bestandverificatie zie je direct op de site van GPG: de ongetekende key staat op de web server die de bestanden aanbiedt. Je kunt niet controleren of de key de juiste is. Dus moet je o.a. afgaan op ouderdom van de key in combinatie met vermeldingen elders, maar dat is weer moeilijk als de key een beperkte geldigheid heeft. Daarom is het praktisch zinvoller de key langdurig te gebruiken en pas te vervangen als daar een goede reden voor is.

Er zal vast wel een partij zijn die de key kan kraken, maar dat risico valt voor velen in het niet bij een aantoonbare historie: provenance. Authenticeren op grond van een historie. Heel normaal bij waardevol antiek en het zou ook normaal moeten zijn bij PGP keys.
14-01-2013, 18:07 door Anoniem
@Anoniem om 17:23

Dat vind ik een non-argument. Ik gebruik Windows 7 en was op een half uurtje ook klaar om PGP te gebruiken onder Thunderbird. Ik heb nou een PGP/GPG-key maar ken niemand die PGP/GPG gebruikt. Ik zie dan ook het nut er niet van in PGP/GPP te gebruiken.
14-01-2013, 20:36 door KwukDuck
Veel GNU/Linux distro's zijn beschikbaar in het Nederlands, komen standaard met GnuPG, en de front-ends zijn ook Nederlands.
Onder windows is GPGshell een mooie front-end die in vrijwel alle veel voorkomende talen beschikbaar is en ook lekker intuitief werkt en een leuke tray-tool beschikbaar heeft.

@Anoniem 18:07
Het nut is dat je de mogelijkheid hebt om veilig te communiceren, dat anderen daar geen behoefte aan hebben is vervelend, maar je kan het in ieder geval voorstellen als mogelijkheid.
Misschien is het voor jou juist handig voor het verifieren van signatures bij programmas die je download van een mirror. Veel vrije/open-source software wordt vaak gemirrored op verschillende locaties en er is geen enkele garantie dat deze mirrors te vertrouwen zijn. Hier is de gpg-signature uitermate handig en zelfs belangrijk als je 't mij vraagt.

@Hugo
Web-of-trust is alleen nuttig als je communiceert met mensen die je niet persoonlijk kent, om GPG goed te gebruiken heb je maar 2 mensen nodig. Ik durf eigenlijk zelfs te zeggen dat je het alleen voor jezelf kan gebruiken om je bestanden versleuteld te backuppen. (ja daar zijn legio andere mogelijkheden voor uiteraard)
15-01-2013, 10:04 door Erik van Straten
Dank voor jullie reacties!

@Hugo en @Anoniem van 2013-01-14 om 18:07: correct dat weinigen PGP/GnuPG gebruiken en daardoor het Web of Trust vaak slecht werkt. In overeenstemming met wat @Anoniem van 2013-01-14 om 17:37 schrijft: feit is dat sommige softwaremakers er gebruik van maken; wat ik wil laten zien is hoe je de integriteit van met PGP/GnuPG gesigneerde bestanden zo goed mogelijk kunt controleren na download (ik pleit er nergens voor om PGP/GnuPG te gebruiken voor het signeren/versleutelen van eigen bestanden of e-mails).

@Fwiffo: ik kan me niet voorstellen dat Symantec iets gratis aanbiedt. Van de commerciële PGP software verloopt de licentie na 1 jaar. Als ik me niet vergis kun je dan gewoon singatures blijven checken en e-mails decrypten, maar er zelf niks meer mee signeren en/of versleutelen. Een versleutelde drive is, na verlopen van de licentie, meen ik, slechts read-only toegankelijk.

@Anoniem van 2013-01-14 om 17:23: Microsoft Authenticode is aanzienlijk gebruiksvriendelijker dan PGP/GnuPG. Helaas kampt het ook met vetrouwensproblemen (door bugs in code, gehackte Certificate Authorities en, net als GnuPG/GPG trouwens, slecht bewaakte private keys).

@KwukDuck: binnenkort meer over Windows frontends! (de planning is nu maandag 28 jan. maar pin me er niet op vast),
15-01-2013, 12:15 door Fwiffo
Door Erik van Straten: @Fwiffo: ik kan me niet voorstellen dat Symantec iets gratis aanbiedt. Van de commerciële PGP software verloopt de licentie na 1 jaar. Als ik me niet vergis kun je dan gewoon singatures blijven checken en e-mails decrypten, maar er zelf niks meer mee signeren en/of versleutelen. Een versleutelde drive is, na verlopen van de licentie, meen ik, slechts read-only toegankelijk.
Ik heb op het forum van symantec een recente post over PGP Freeware gevonden (ook ivm met deel 2 van je tip ;-) ):
http://www.symantec.com/connect/forums/pgp-windows-7
15-01-2013, 13:36 door Anoniem
ik vrees dat een doorsnee gebruiker bij de tweede alinea al afgehaakt is.
15-01-2013, 14:38 door Erik van Straten
Door Fwiffo: Ik heb op het forum van symantec een recente post over PGP Freeware gevonden (ook ivm met deel 2 van je tip ;-) ):
http://www.symantec.com/connect/forums/pgp-windows-7
Dank voor het uitzoekwerk + melden! Ik probeer dit nog mee te nemen in deel 2.
15-01-2013, 15:39 door Ramon.C
Goed artikel. Voor diegene die PGP/GPG gratis op Windows willen hebben zie GPG4Win. Gratis en werkt naar behoren.
15-01-2013, 23:38 door Anoniem
Gewoon na dnldn ff scannen.. :P

Doe dit al jaren zo en nooit problemen
17-01-2013, 10:23 door Anoniem
Door Erik van Straten:
Door Fwiffo: Ik heb op het forum van symantec een recente post over PGP Freeware gevonden (ook ivm met deel 2 van je tip ;-) ):
http://www.symantec.com/connect/forums/pgp-windows-7
Dank voor het uitzoekwerk + melden! Ik probeer dit nog mee te nemen in deel 2.

Nog een weetje :

Bij Linux distributies (zowel RPM als DPKG gebaseerde) wordt GPG onder water gebruikt om de packages te controleren/authenticeren.
De keys van de distributie bakker zitten er bij installatie bij, en daarmee kunnen updates e.d. gecontroleerd worden, ook als die van een 'vage' repository afkomstig zijn.
De enige schakel is dat de oorspronkelijke installatie 'echt' moet zijn, maar voor veel gebruikte distributies zijn md/sha1 hashes van het install image op enorm veel verschillende plekken te vinden, dus dat is makkelijk te controleren.
18-01-2013, 00:43 door Anoniem
Dit doen wij al veel langer op SkyDrive bij MS en elders. Onze openbare/(public) files hebben allemaal onze digitale handtekening. Wij gebruiken gewoon certifikaten V3 (2048bits of hoger) hiervoor, geen PGP. Onze public key is dan nodig om de files te openen. Dit alles incl. CRL. De certifikaten worden natuurlijk ook gebruikt om bestanden te versleutelen. Voor ons is dit een veiliger manier om onze bestanden te beveiligen. Het werkt 100% goed! We gaan niet in op alle technische details. Kost teveel tijd.

RjSeeker.c.c / Tim Luo.
ELD
22-01-2013, 11:44 door Anoniem
gpg is niet alles, kan ook gewoon md5deep, hashdeep gebruiken voor windows, zeg maar sha512 met 3des of anderzins sterk https cert via goeie uitgever.

groetjes!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.