2.3 KiB
Sleutelbevestiging
Zonder bevestiging kan je niet zeker zijn dat een sleutel echt overeenkomt met een bepaald persoon. De meest eenvoudige manier om een sleutel te bevestigen is door de QR-code te scannen of de sleutel uit te wisselen via NFC. Om sleutels tussen meer dan twee personen te bevestigen stellen we voor om de sleuteluitwisselingsmethode beschikbaar voor je sleutels te gebruiken.
Sleutelstatus
Bevestigd: je hebt deze sleutel al bevestigd, bijvoorbeeld door de QR-code te scannen.
Niet bevestigd: deze sleutel is nog niet bevestigd. Je kan niet zeker zijn dat de sleutel echt overeenkomt met een bepaald persoon.
Verlopen: deze sleutel is niet meer geldig. Enkel de eigenaar kan de geldigheid verlengen.
Ingetrokken: deze sleutel is niet meer geldig. Hij is door de eigenaar ingetrokken.
Geavanceerde informatie
Een ‘sleutelbevestiging’ in OpenKeychain is geïmplementeerd door een certificatie aan te maken volgens de OpenPGP-standaard. Deze certificatie is een ‘generische certificatie (0x10)’ omschreven in de standaard als: ‘De uitgever van deze certificatie maakt geen specifieke aanname over hoe goed de certificeerder heeft nagegaan dat de eigenaar van sleutel effectief de persoon is beschreven door het gebruikers-ID.’
Traditioneel worden certificaties (ook met hogere certificatieniveau's, zoals ‘positieve certificaties’ (0x13)) georganiseerd in OpenPGP’s Web of Trust. Ons model van sleutelbevestiging is een veel eenvoudige concept om veel voorkomende gebruiksproblemen gerelateerd aan dit Web of Trust te vermijden. We nemen aan dat sleutels slechts geverifieerd zijn tot een bepaalde graad die nog steeds bruikbaar genoeg is om ‘onderweg’ uitgevoerd te worden. We implementeren ook geen (mogelijk transitieve) vertrouwensondertekeningen of een gebruikersvertrouwendatabase zoals in GnuPG. Bovendien worden sleutels die minstens een gebruikers-ID gecertificeerd door een vertrouwde sleutel bevatten aangeduid als ‘bevestigd’ in de sleutellijsten.