Subject: Re: Använda QR-koder för att skriva under kontrakt?

Re: Använda QR-koder för att skriva under kontrakt?

From: Mattias Ekholm <mattias_at_ekholm.se>
Date: Wed, 23 May 2012 08:36:45 +0200

rätta mig om jag har fel, men att signera varandras nycklar bevisar
ingenting annat än att *ni två* vet att respektive har tillgång till de
privata nyckel som hör till den publika...
det är inte där problemet är, problemet blir när du vill bevisa att det är
jag och endast jag som besitter den privata nyckeln som används vid en
signatur.
Det kan *du* göra omm det finns någon tredje part eller något *utöver*
korssignerade nycklar som visar vem som äger den privata nyckeln.

Det handlar alltså inte (enbart) om att *du* ska veta vem som signerat ett
dokument, utan också att du ska kunna *bevisa* vem som signerat det.

/M

-----Ursprungligt meddelande-----
From: Per Andersson
Sent: Tuesday, May 22, 2012 9:17 PM
To: FOSS-folk i Stockholm
Subject: Re: Använda QR-koder för att skriva under kontrakt?

2012/5/22 Mattias Ekholm <mattias_at_ekholm.se>:
> problemet utan en pålitlig infrastruktur är att du inte kan bevisa att det
> är din motpart som signerat med PGP?
> denna behöver ju bara låta bli att använda/visa sin privata nyckel för att
> du ska ha problem att visa att motparten verkligen har signerat...
> Det är därför det krävs en infrastruktur som säkerställer vems de publika
> nycklarna är.

Såklart måste man verifiera att nyckeln tillhör den man tror den tillhör.
För det behövs ingen infrastruktur, det är ju bara att signera varandras
nycklar så är saken klar.

Den privata nyckeln ska man ju ALDRIG VISA FÖR NÅGON(!) men det
är den man signerar med och sedan kan alla verifiera med den publika
nyckeln.

Jag förstår inte riktigt vad problemet är som ska lösas tror jag. Ska man
kunna signera i blindo utan att veta vem avsändaren är och utan att lita
på dem?

Jag trodde bara att det var problemet med att verifiera att det man läst
hemma är samma sak man skriver under.

Inga kontrakt i hela världen kan ju hindra från fulspel, hur
verifierade de än är.

--
Per
> mvh
>
> -----Ursprungligt meddelande----- From: Per Andersson
> Sent: Monday, May 21, 2012 9:32 PM
> To: FOSS-folk i Stockholm
>
> Subject: Re: Använda QR-koder för att skriva under kontrakt?
>
> 2012/5/18 Mattias Ekholm <mattias_at_ekholm.se>:
>>
>>
>> jo, men digitala signaturer kräver en relativt omfattande infrastruktur.
>> Någon måste signera din signatur, som i sin tur ska vara signerad... och
>> alla vet ju hur det gick för webben för ett tag sedan när rot nycklarna
>> kom
>> på avvägar...
>>
>> Med andra ord för att verifiera ett signerat dokument behöver du lita på
>> en
>> hel rad okända personer... Tanken med "qr-sign" är att du inte behöver
>> lita
>> mer på eller på fler personer än de/den du ingår kontrakt med. Precis som
>> "vanligt" alltså.
>> Samt då förstås, att du litar på att hash funktionen är säker...
>
>
> Med OpenPGP t ex krävs det ju ingen centraliserad infrastruktur som med
> certifikat, som du väl syftar på?
>
> En infrastruktur kommer ju såklart fina saker som web of trust etc men det
> räcker ju att två parter litar på varandra och signerar dokumenten för att
> sedan
> kunna verifiera dem.
>
>
> --
> Per
>
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
> _______________________________________________
> http://www.foss-sthlm.se/
> http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm 
_______________________________________________
http://www.foss-sthlm.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2012-05-23