CAcert (website) bouwt wereldwijd aan een "Web of Trust" (een netwerk van mensen die elkaar vertrouwen) voor validering van X.509 digitale certificaten.
Via CAcert kun je gratis aan certificaten (keys) komen voor de beveiliging van e-mail (client) verkeer en server (domein) verkeer via SSL, en vele andere applicaties waarbij encryptie in het spel is. Natuurlijk zijn er commerciële bedrijven waarbij je deze certificaten kunt aanschaffen, maar de kosten die daarbij gemaakt moeten worden, staan een wijde verspreiding van beveiliging in de weg.
Tijdens de NLUUG en SANE conferenties, HCCNet beurzen, de recente Perl Workshop en CeBIT zijn er al veel zieltjes gewonnen. Het netwerk in Nederland is al flink gegroeid en Nederland staat momenteel op de derde plaats van landen met de meeste Assurers (waarmerkers). Vertrouwen vastleggen is erg belangrijk om Internet misbruik tegen te gaan: doe dus mee!
Als eerste meld je je aan op de website van CAcert. Daarna ga je naar een aantal mensen die al gecertificeerd zijn om vertrouwenspunten te verzamelen. Sommige personen genieten meer vertrouwen in het netwerk (tot 35 punten), en andere minder (10 punten). Je legitimeert jezelf, en tekent samen een formulier om de punten te krijgen.
In het totaal moet je 100 punten verzamelen voordat je geaccepteerd wordt. Pas dan kun je je eigen certificaten aanmaken en zelf 10 vertrouwenspunten uitdelen. Als je daarna weer zelf mensen introduceert, gaat dat aantal uit te delen punten groeien.
Meer informatie hoe je met digitale certificaten omgaat en hoe je ze kan gebruiken, vind je op de Nederlandse CAcert informatiesite.
Tijdens de NLUUG event zijn er mensen die punten kunnen uitdelen.
Waar moet je voor zorgen:
Veel van de deelnemers zullen vermoedelijk hun PGP key met je willen uitwisselen, dus als je toch al eens met PGP wilde beginnen dan is dit wel een heel goed moment om dat te doen!
Informatie voor starters is te vinden op: http://openfortress.nl/doc/essay/OpenPGP/index.nl.html
Ter voorbereiding maak je een flinke stapel strookjes met je fingerprint;
onder GPG doe je dat met gpg --fingerprint
. Een voorbeeld is:
pub 1024D/89754606 2002-03-28 Key fingerprint = CD46 B5F2 E876 A5EE 9A85 1735 1411 A9C2 8975 4606 uid Rick van Rein <rick@openfortress.nl> uid Rick van Rein (personal) <rick@vanrein.org> sub 2048g/28BD5277 2002-03-28
De lange code is een hash van je public key, en die moet je straks aan eenieder geven die jouw sleutel ondertekent. Daarbij toon je ook je paspoort of een andere identificatie als bewijs dat de naam klopt. De ander zal jou hetzelfde aanbieden. Wat je doet is kijken of het hoofd tegenover je klopt met het paspoort, en of de naam in het paspoort overeen komt met de naam op het strookje. Sommigen willen het exact laten kloppen, maar roepnamen worden meestal wel toegelaten. Dit is je persoonlijke invulling. Zo ja, dan neem je het strookje mee om later te ondertekenen. De ander neemt jouw strookje ook mee.
Thuisgekomen werk je de strookjes af door de PGP keys op te halen van de keyserver (of instructies op het strookje), de fingerprint te controleren, en als die klopt te ondertekenen en naar de ander te sturen. Anderen zullen dat met jouw sleutel doen, en je krijgt zo dus bevestigingen op je sleutel van mensen die al in het "web of trust" zitten. Hoeveel te meer handtekeningen je uitwisselt, hoeveel te beter het is.
Er zijn geweldige key statistics online te vinden. Bovenstaande key (die ook meedoet aan de key signing party) kun je bijvoorbeeld vinden op http://pgp.cs.uu.nl/stats/89754606.html -- aan de scherpe daling in de "rank" grafiek zie je hoeveel invloed een PGP key party kan hebben!
Last update: June 27 2007