Security Professionals
- ipfw add deny all from eindgebruikers to any
PGP Signing parties en Web of Trust
15-09-2023, 21:30 door Anoniem, 7 reacties
Zijn er nog mensen die waarde hechten aan PGP (nu we allerlei apps hebben met crypto ?) en in het bijzonder de PGP signing parties om een Web of Trust (WOT) mee te helpen op te bouwen, of is het WOT na 30 jaar wel een "conclusie: project mislukt" ?
Worden er nog PGP signing parties gehouden in Belgie of Nederland?
Vroeger had je een Web of Trust, maar de WoT (en zelfs PGP schijnt helemaal mislukt te zijn en wordt dood verklaard:
Artikel: " Key signing parties considered useless"
Link:https://baturin.org/notes/signing-parties/
Artikel: "PGP is dead"
Link: https://www.wired.co.uk/article/efail-pgp-vulnerability-outlook-thunderbird-smime
Worden er nog PGP signing parties gehouden in Belgie of Nederland?
Vroeger had je een Web of Trust, maar de WoT (en zelfs PGP schijnt helemaal mislukt te zijn en wordt dood verklaard:
Artikel: " Key signing parties considered useless"
Link:https://baturin.org/notes/signing-parties/
Artikel: "PGP is dead"
Link: https://www.wired.co.uk/article/efail-pgp-vulnerability-outlook-thunderbird-smime
Reacties (7)
Voor generiek email gebruik is m.i. PGP/GPG en WoT inderdaad wel dood en mislukt moeten we zeggen.
Binnen wat specifieke niche-gemeenschappen wordt PGP/GPP wel gebruikt, zichtbaar of onder water.
CERTs publiceren nog steeds PGP keys , en ik dacht dat in de wandelgangen van (security) conferenties certs/leden ook wel elkaars keys signen .
Maar hoofdzakelijk komt de trust van 'zie de key op onze officiele website - en het hele TLS mechanisme' .
Wat minder zichtbaar, maar wel gebruikt :
Linus eist dat kernel maintainers hun git-commit tags pgp-signen , en wil een key met trust van die maintainers.
Dat is (lijkt mij) een web of trust met hooguit één of twee tussenschakels tussen een nieuwe maintainer en Linus ;
Er zijn regelmatig kernel conferenties waarop (ook) keys gesigned kunnen worden dus binnen die specifieke gemeenschap is er veel verwevenheid van mensen elkaar persoonlijk ontmoet hebben en keys kunnen signen.
(Onlangs - Kent Overstreet wil bcachefs mergen in de kernel . Linus :
De rest van git garandeert allerlei integriteits zaken, dus met (alleen) een signature op een commit tag is bron en integriteit van de hele branch verder gegarandeerd.
Hopelijk zijn er buiten de Linux kernel meer belangrijke projecten die dit soort mechanismen gebruiken tussen developers/maintainers.
En nog verder onder water : RPM en DEB packages kunnen met pgp keys gesigned zijn.
De standaard distributies doen dat ook, en daarmee zijn updates betrouwbaar te downloaden ongeacht de betrouwheid van mirrors .
De trust hangt alleen af of de oorspronkelijke installatie die "de" trusted distributie key bevatte inderdaad "echt" is .
Daarvoor hangt uiteindelijk de zaak weer of die (of alleen de key) op "de echte" website van "de distributie" staat, en het hele TLS mechanisme dat de authenticiteit en integriteit van die website moet garanderen.
Dus bij elkaar : onder water in technische systemen (linux distro's) , met effectief "geen WoT" maar de basis installatie van een betrouwbare site halen.
Niches van nauw verweven communities zoals kernel developers, of CERTs .
Wat detail over wat er allemaal mis is met PGP:
https://blog.cryptographyengineering.com/2014/08/13/whats-matter-with-pgp/
(en Matthew Green heeft serieuze crypto credentials)
Binnen wat specifieke niche-gemeenschappen wordt PGP/GPP wel gebruikt, zichtbaar of onder water.
CERTs publiceren nog steeds PGP keys , en ik dacht dat in de wandelgangen van (security) conferenties certs/leden ook wel elkaars keys signen .
Maar hoofdzakelijk komt de trust van 'zie de key op onze officiele website - en het hele TLS mechanisme' .
Wat minder zichtbaar, maar wel gebruikt :
Linus eist dat kernel maintainers hun git-commit tags pgp-signen , en wil een key met trust van die maintainers.
Dat is (lijkt mij) een web of trust met hooguit één of twee tussenschakels tussen een nieuwe maintainer en Linus ;
Er zijn regelmatig kernel conferenties waarop (ook) keys gesigned kunnen worden dus binnen die specifieke gemeenschap is er veel verwevenheid van mensen elkaar persoonlijk ontmoet hebben en keys kunnen signen.
(Onlangs - Kent Overstreet wil bcachefs mergen in de kernel . Linus :
No way am I pulling that without a signed tag and a pgp key with a
> chain of trust. You've been around for long enough that having such a
> key shouldn't be a problem for you, so make it happen.
> chain of trust. You've been around for long enough that having such a
> key shouldn't be a problem for you, so make it happen.
De rest van git garandeert allerlei integriteits zaken, dus met (alleen) een signature op een commit tag is bron en integriteit van de hele branch verder gegarandeerd.
Hopelijk zijn er buiten de Linux kernel meer belangrijke projecten die dit soort mechanismen gebruiken tussen developers/maintainers.
En nog verder onder water : RPM en DEB packages kunnen met pgp keys gesigned zijn.
De standaard distributies doen dat ook, en daarmee zijn updates betrouwbaar te downloaden ongeacht de betrouwheid van mirrors .
De trust hangt alleen af of de oorspronkelijke installatie die "de" trusted distributie key bevatte inderdaad "echt" is .
Daarvoor hangt uiteindelijk de zaak weer of die (of alleen de key) op "de echte" website van "de distributie" staat, en het hele TLS mechanisme dat de authenticiteit en integriteit van die website moet garanderen.
Dus bij elkaar : onder water in technische systemen (linux distro's) , met effectief "geen WoT" maar de basis installatie van een betrouwbare site halen.
Niches van nauw verweven communities zoals kernel developers, of CERTs .
Wat detail over wat er allemaal mis is met PGP:
https://blog.cryptographyengineering.com/2014/08/13/whats-matter-with-pgp/
(en Matthew Green heeft serieuze crypto credentials)
Een duidelijk antwoord kan ik niet geven, wel wat opheldering;
Binnenkort hechten er vast meer mensen waarde aan wanneer client side scanning begint, (CSS) dan gaan meer ontwikkelaars tools maken om berichten te kunnen versleutelen met PGP, eigenlijk onmisbaar voor deze toepassing.
Daarnaast wordt er ongetwijfelt nog veel gebruik van gemaakt via E-Mail.
Veel mensen vinden het aan de andere kant onhandig in het gebruik of denken het niet te snappen alvorens het te proberen...
Binnenkort hechten er vast meer mensen waarde aan wanneer client side scanning begint, (CSS) dan gaan meer ontwikkelaars tools maken om berichten te kunnen versleutelen met PGP, eigenlijk onmisbaar voor deze toepassing.
Daarnaast wordt er ongetwijfelt nog veel gebruik van gemaakt via E-Mail.
Veel mensen vinden het aan de andere kant onhandig in het gebruik of denken het niet te snappen alvorens het te proberen...
Door Anoniem: Zijn er nog mensen die waarde hechten aan PGP (nu we allerlei apps hebben met crypto ?) en in het bijzonder de PGP signing parties om een Web of Trust (WOT) mee te helpen op te bouwen, of is het WOT na 30 jaar wel een "conclusie: project mislukt" ?
Worden er nog PGP signing parties gehouden in Belgie of Nederland?
Vroeger had je een Web of Trust, maar de WoT (en zelfs PGP schijnt helemaal mislukt te zijn en wordt dood verklaard:
Worden er nog PGP signing parties gehouden in Belgie of Nederland?
Vroeger had je een Web of Trust, maar de WoT (en zelfs PGP schijnt helemaal mislukt te zijn en wordt dood verklaard:
PGP key signing parties lijken mij vooral nuttig voor de TLA. Je kan van elke PGP enthousiasteling of Remailer Operator een foto maken en een handje schudden. Voor toekomstig gebruik.
Op de hacker festivals als CCC waren ook altijd veel mensen van de 'overheid'. Die ook een praatje kwamen maken met iedereen (heb ik van horen zeggen).
Niet elke overheid in de wereld is even vriendelijk als de onze. Laat ik het daar bij laten.
Zelf vind ik dat je iemand kan leren kennen door zijn of haar berichten te lezen of door met hem of haar te mailen met encryptie. Dan krijg je vanzelf een band. Niet met iemands naam of foto op zijn paspoort, maar wel met zijn of haar pseudoniem waarvan je hem of haar kent. Dat is veel waardevoller als een key signing party.
Wat mij betref is WoT dood geboren. Maar gelukkig kan je het rustig negeren en de rest van PGP gebruiken zoals je wilt. Ik gebruik PGP om random 'base64' wachtwoorden te genereren uit 'pgp -ea' ascii armor.
Door Anoniem: Een duidelijk antwoord kan ik niet geven, wel wat opheldering;
Binnenkort hechten er vast meer mensen waarde aan wanneer client side scanning begint, (CSS) dan gaan meer ontwikkelaars tools maken om berichten te kunnen versleutelen met PGP, eigenlijk onmisbaar voor deze toepassing.
Daarnaast wordt er ongetwijfelt nog veel gebruik van gemaakt via E-Mail.
Veel mensen vinden het aan de andere kant onhandig in het gebruik of denken het niet te snappen alvorens het te proberen...
Binnenkort hechten er vast meer mensen waarde aan wanneer client side scanning begint, (CSS) dan gaan meer ontwikkelaars tools maken om berichten te kunnen versleutelen met PGP, eigenlijk onmisbaar voor deze toepassing.
Daarnaast wordt er ongetwijfelt nog veel gebruik van gemaakt via E-Mail.
Veel mensen vinden het aan de andere kant onhandig in het gebruik of denken het niet te snappen alvorens het te proberen...
Ik vind het wel ironisch dat Phil Zimmerman, de bedenker van PGP, zelf geen PGP meer gebruikt.
Er zijn ook nauwelijks nog keyservers online.
Het gebruil van PGP met email op een mobieltje is best omslachtig, zeker als je met meerdere partijen werkt.
Een text file op de computer encrypten of signen is geen problem maar de PC wordt ook steeds minder gebruikt.
Door Anoniem:
Ik vind het wel ironisch dat Phil Zimmerman, de bedenker van PGP, zelf geen PGP meer gebruikt.
Er zijn ook nauwelijks nog keyservers online.
Het gebruil van PGP met email op een mobieltje is best omslachtig, zeker als je met meerdere partijen werkt.
Een text file op de computer encrypten of signen is geen problem maar de PC wordt ook steeds minder gebruikt.
Ik vind het wel ironisch dat Phil Zimmerman, de bedenker van PGP, zelf geen PGP meer gebruikt.
Er zijn ook nauwelijks nog keyservers online.
Het gebruil van PGP met email op een mobieltje is best omslachtig, zeker als je met meerdere partijen werkt.
Een text file op de computer encrypten of signen is geen problem maar de PC wordt ook steeds minder gebruikt.
Keyservers is ook niet meer van deze tijd en de keys niet altijd meer even betrouwbaar.
Misschien moet je eens naar WKD kijken.
Met de juiste tools is ook op een mobiel gnupg goed te gebruiken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
