/usr/share/doc/gnupg-doc/mini-HOWTO/nl/GPGMiniHowto-3.html is in gnupg-doc 2003.04.06+dak1-1ubuntu1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.69">
<TITLE>GNU Privacy Guard (GnuPG) Mini Howto (Dutch): Sleutels gebruiken</TITLE>
<LINK HREF="GPGMiniHowto-4.html" REL=next>
<LINK HREF="GPGMiniHowto-2.html" REL=previous>
<LINK HREF="GPGMiniHowto.html#toc3" REL=contents>
</HEAD>
<BODY>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
<HR>
<H2><A NAME="GPG-Minihowto-Key"></A> <A NAME="s3">3.</A> <A HREF="GPGMiniHowto.html#toc3">Sleutels gebruiken</A></H2>
<H2><A NAME="ss3.1">3.1</A> <A HREF="GPGMiniHowto.html#toc3.1">Een Sleutel aanmaken</A>
</H2>
<P>Met
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-key
</PRE>
</CODE></BLOCKQUOTE>
Wordt een nieuw sleutelpaar gemaakt (sleutelpaar: geheime en publieke sleutel).
De eerste vraag is welk alogritme gebruikt wordt.
Je kunt meer lezen over de algoritmes in
<A HREF="http://www.hertreg.ac.uk/ss/pgpfaq.html">PGP DH vs. RSA FAQ</A> of in
<A HREF="GPGMiniHowto-7.html#BSchneier">Applied Cryptography</A>.
Je kunt gemakkelijk (en eigenlijk zou je dat ook moeten doen)
DSA/ ElGamal gebruiken. Deze is niet gepatenteerd.</P>
<P>De volgende vraag is de lengte van de sleutel.
Dit is afhankelijk van je eigen wensen.
Je moet een keuze maken tussen veiligheid en rekentijd.
Wanneer de sleutel langer is, is het risico dat de boodschap gekraakt
wordt minder groot.
Echter, een langere sleutel vergt ook meer rekentijd.
Als rekentijd een punt is moet je nog steeds in gedachten houden dat
je de sleutel een langere tijd gaat gebruiken.
We weten allemaal dat de snelheid van computers toeneemt omdat
processors steeds sneller en sneller worden.
Houdt dit dus in gedachten.
De minimale sleutellengte die GnuPG gebruikt is 768 bits.
Hoewel, veel mensen vinden dat je eigenlijk een sleutel lengte van
2048 bits zou moeten gebruiken, het maximum wat GnuPG momenteeel aan kan.
Voor DSA is 1024 bits de standaard lengte.
Wanneer de veiligheid de hoogste prioriteit heeft en rekentijd minder
zwaar weegt moet je natuurlijk de grootst mogelijke sleutellengte
kiezen.</P>
<P>Het systeem vraagt nu om je naam, een omschrijving en je e-mail adres
in te voeren.
De code wordt op basis van deze gegevens berekend.
Naderhand kun je deze items nog wijzigen. Zie
<A HREF="#GPG-Minihowto-KPAdministration">Sleutels Administreren</A>.</P>
<P>Tenslotte moet je een wachtwoord invoeren (eigenlijk is het meer een
'wachtzin', aangezien er ook spaties in voor mogen komen).
Dit wachtwoord wordt gebruikt om de funkties die bij je geheime
sleutel horen te kunnen gebruiken.
Een goed wachtwoord voldoet aan het volgende:
<UL>
<LI>het is lang,</LI>
<LI>het bevat speciale (niet alfanumerieke) tekens,</LI>
<LI>het is iets speciaals (niet een naam),</LI>
<LI>het is moeilijk te raden (dus GEEN namen, geboortedatums, telefoon nummers,
bankrekening nummers, namen van kinderen en dergelijke)</LI>
</UL>
Door soms HoOfdlETters te gebruiken en sOMs NieT kun je nog meer
veiligheid inbouwen.
Wanneer je je wachtwoord bedenkt, zorg er voor dat je het NOOIT MEER VERGEET,
aangezien je boodschappen dan onleesbaar zijn en je geheime sleutel
dus onbruikbaar is.
Het kan verstandig zijn om een soort certificaat met deze informatie te
maken (uiteraard wel voorzichtig zijn dat niemand je wachtwoord
in handen krijgt). Zie
<A HREF="#GPG-Minihowto-Revoke">Intrekken</A>.</P>
<P>Als alles ingevoerd is begint het systeem de sleutels te genereren.
Dit kan een tijdje duren.
Gedurende die tijd wordt er veel toevallige (random) informatie
verzameld.
Door in de tussentijd op een ander scherm en met andere programma's
door te werken help je het systeem goede random informatie te verzamelen.
Je zult begrijpen dat er nooit de zelfde sleutel twee keer gegenereerd wordt.
Iedere keer is de sleutel weer anders.
Wanneer je nu een sleutel aanmaakt, en over 5 minuten weer met exact dezelfde
invoer, krijg je twee verschillende sleutels.
Nu begrijp je dus ook waarom je je wachtwoord niet moet vergeten.</P>
<H2><A NAME="ss3.2">3.2</A> <A HREF="GPGMiniHowto.html#toc3.2">Sleutels Exporteren</A>
</H2>
<P>Het commando om de sleutel van een gebruiker te exporteren is:
<BLOCKQUOTE><CODE>
<PRE>
gpg --export [UID]
</PRE>
</CODE></BLOCKQUOTE>
Als er geen UID aangegeven is worden alle aanwezige sleutels geexporteerd.
Normaliter gaat de uitvoer naar <CODE>stdout</CODE>.
Met de <CODE>-o</CODE> optie is dit naar een file te sturen.
Het kan aan te raden zijn de <CODE>-a</CODE> optie te gebruiken om de sleutel
in 7-bits ASCII te schrijven inplaats van in een binaire file.</P>
<P>Door publieke sleutels te exporteren verbreedt je je horizon.
Anderen kunnen je dan op een beveiligde manier benaderen.
Je kunt dit doen door je publieke sleutel op je homepage te publiceren,
met <CODE>finger</CODE>, met een sleutel server zoals
http://www.pca.dfn.de/dfnpca/pgpkserv/
of iedere andere methode die je kunt bedenken.</P>
<H2><A NAME="ss3.3">3.3</A> <A HREF="GPGMiniHowto.html#toc3.3">Sleutels Importeren</A>
</H2>
<P>Wanneer je iemands publieke sleutel (of diverse publieke sleutels)
hebt ontvangen, moet je ze aan je sleutel database toevoegen om ze
te kunnen gebruiken.
Het commando om een sleutel aan je database toe te voegen ziet er zo uit:
<BLOCKQUOTE><CODE>
<PRE>
gpg --import [Filename]
</PRE>
</CODE></BLOCKQUOTE>
Als je de Filename er niet bij zet wordt de informatie van <CODE>stdin</CODE>
gelezen.</P>
<H2><A NAME="GPG-Minihowto-Revoke"></A> <A NAME="ss3.4">3.4</A> <A HREF="GPGMiniHowto.html#toc3.4">Sleutels Intrekken</A>
</H2>
<P>Er zijn verscheidene redenen denkbaar waarom je een bestaande sleutel zou
willen intrekken.
De gehieme sleutel kan bij voorbeeld gestolen zijn of in verkeerde
handen gevallen, the UID is veranderd of de sleutel is niet lang
genoeg meer, etc.
In al deze gevallen is het commando om de sleutel in te trekken:
<BLOCKQUOTE><CODE>
<PRE>
gpg --gen-revoke
</PRE>
</CODE></BLOCKQUOTE>
Dit creeert een intrek-certificaat.
<EM>Om dit te doen heb je een gehieme sleutel nodig</EM>,
anders zou iedereen je certificaat kunnen intrekken.
Dit heeft een nadeel. Als ik het wachtwoord niet ken is de sleutel onbruikbaar.
Maar ik kan de sleutel niet intrekken !
Om dit probleem te voorkomen is het wijs een intrek-certificaat te maken
wanneer je een sleutelpaar maakt.
Als je dat doet, bewaar het op een veilige plaats !
Zorg er wel voor dat dit certificaat niet in verkeerde handen valt !!
Je wilt natuurlijk voorkomen dat iemand anders het intrek-certificaat
op jouw sleutel toepast en de sleutel onbruikbaar maakt.</P>
<H2><A NAME="GPG-Minihowto-KPAdministration"></A> <A NAME="ss3.5">3.5</A> <A HREF="GPGMiniHowto.html#toc3.5">Sleutels Administreren</A>
</H2>
<P>Bij het GnuPG systeem hoort een file die dienst doet als een
soort database.
In deze file wordt allerlei informatie over de sleutels opgeslagen.
Onder andere de <EM>Ownertrust</EM> waarden.
Voor meer informatie hierover, lees
<A HREF="#GPG-Minihowto-KSigning">Sleutels signeren</A>).
Met
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-keys
</PRE>
</CODE></BLOCKQUOTE>
worden alle aanwezige sleutels getoond.
Om ook de signaturen te zien, type:
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-sigs
</PRE>
</CODE></BLOCKQUOTE>
(zie
<A HREF="#GPG-Minihowto-KSigning">Sleutels signeren</A> voor nadere informatie).
Om de vingerafdrukken te zien, type:
<BLOCKQUOTE><CODE>
<PRE>
gpg --fingerprint
</PRE>
</CODE></BLOCKQUOTE>
Met vingerafdrukken ("Fingerprints") kun je je er van verzekeren dat
iemand werkelijk de persoon is die hij of zij beweert te zijn (bij voorbeeld
met een telefoongesprek).
Dit commando geeft een lijst van kleine getallen.</P>
<P>Om de geheime sleutels te laten zien type je:
<BLOCKQUOTE><CODE>
<PRE>
gpg --list-secret-keys
</PRE>
</CODE></BLOCKQUOTE>
Merk op dat het tonen van vingerafdrukken en signaturen van prive sleutels
geen enkel nut heeft.</P>
<P>Om een publieke sleutel te verwijderen type je:
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-key UID
</PRE>
</CODE></BLOCKQUOTE>
Om een geheieme sleutel te verwijderen type je:
<BLOCKQUOTE><CODE>
<PRE>
gpg --delete-secret-key
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Er is nog een belangrijk commando om met sleutels om te gaan.
<BLOCKQUOTE><CODE>
<PRE>
gpg --edit-key UID
</PRE>
</CODE></BLOCKQUOTE>
Hiermee kun je onder andere de afloopdatum aanpassen, een vingerafdruk toevoegen
en een sleutel signeren.</P>
<H2><A NAME="GPG-Minihowto-KSigning"></A> <A NAME="ss3.6">3.6</A> <A HREF="GPGMiniHowto.html#toc3.6">Sleutels signeren</A>
</H2>
<P>Zoals reeds vermeld in de inleiding, er is een significante Achilleshiel
in het systeem.
Dat is de authenticiteit van publieke sleutels.
Als je een verkeerde publieke sleutel hebt, kun je wel dag zeggen tegen
de waarde van de versleuteling.
Om dit risico het hoofd te bieden is er de mogelijkheid om sleutels
te signeren.
Je plaatst dan je handtekening over de sleutel, zodat je absoluut
zeker weet dat het de juiste sleutel is.
Dit geeft de situatie waarin de handtekening bevestigt dan de <EM>user ID</EM>
die in de sleutel genoemd is daadwerkelijk de eigenaar van de sleutel is.
Met deze zekerheid kun je beginnen met encrypten.</P>
<P>Gebruik makend van het <CODE>gpg --edit-key UID</CODE> commando voor de sleutel
die gesigneerd moet worden, kun je de sleutel signeren met
het <CODE>sign</CODE> commando. </P>
<P><EM>Je moet alleen een sleutel signeren als zijnde authentiek wanneer je
ABSOLUUT ZEKER bent van de authenticiteit van de sleutel !!!!!</EM>.
Dus als je zeker weet dat je de sleutel persoonlijk overhandigd hebt gekregen
(zoals op een <EM>key signing party</EM>) of je hebt de sleutel op een
andere manier verkregen en de sleutel hebt gecontroleerd (bij voorbeeld
telefonisch) met behulp van de vingerafdruk.
Je moet nooit een sleutel signeren gebaseerd op welke aanname dan ook.</P>
<P>Gebaseerd om de beschikbare signaturen en
"ownertrusts"
bepaalt GnuPG de validiteit van sleutels.
Ownertrust is een waarde waarmee je aangeeft tot op welk niveau je een
bepaalde sleutel vertrouwt.
De mogelijke waarden zijn
<UL>
<LI> 1 = Onbekend</LI>
<LI> 2 = Geen vertrouwen</LI>
<LI> 3 = Marginaal vertrouwen</LI>
<LI> 4 = Volledig vertrouwen</LI>
</UL>
Als je de signatuur niet vertrouwt kun je dat aangeven en daarmee
de signatuur negeren.
Vertrouwensinformatie wordt niet in dezelfde file opgeslagen als de sleutels,
maar in een aparte file.</P>
<HR>
<A HREF="GPGMiniHowto-4.html">Next</A>
<A HREF="GPGMiniHowto-2.html">Previous</A>
<A HREF="GPGMiniHowto.html#toc3">Contents</A>
</BODY>
</HTML>
|