Facebook doneert tienduizenden euro's aan GnuPG-project

Die gasten hogerop en die uiteraard supergoeie programmeurs bij Facebook snappen echt wel dat privacy belangrijk is. Ook begrijpen ze dat goede software belangrijk is. Ook begrijpen ze dat goeie OS'en belangrijk zijn.

Ook weten ze dat dit project niet in de weg zal staan van hun bedrijfsmodel. Wie op FaceBook wil gaat natuurlijk niet allerlei rare OS'en installeren met vreemde browsers die met vage vragen komen om de haverklap.

Win-win situatie dus.
Facebook houdt van goede progsels, en daar staat privacy hoog in het vaandel. Maar zolang het maar niet clashed met hun verdienmodel. En dat zal in dit geval uiteraard niet het geval zijn.

Ik ga er vanuit dat die programmeurs bij FB dit ook prachitg vinden.
Niet zozeer om dat dan (of in anti-mode) in hun FB code te stoppen (geen Alu dit keer ) maar gewoon omdat het prachitige code betreft, welke verder ontwikkeld moet worden.

Facebook zal het niets uitmaken of emails niet door derden te onderscheppen zijn. Deze donatie zal alleen uit PR overwegingen niet veel kwaad kunnen.

Wat je ook van Facebook vind, ik ben blij met deze donatie.

Nee. Facebook vindt dat alles wat je binnen de Facebook omgeving deelt en publiceert openbaar is volgens hun regels dus is er geen privacy (in feite hetzelfde dan als jij wat doet op een dorpsplein anderen het ook weten; het enige verschil is de schaalgrootte). Dat wil niet zeggen dat zij die informatie ook buiten de Facebook omgeving beschikbaar willen hebben.

Als ze bijvoorbeeld deze encryptie binnen Messenger gebruiken is dat voor veel mensen een reden om nog meer binnen het FB ecosysteem te blijven.

Geen Ironie.

Met 44.000 euro krijgen ze wereldwijd free publicity ter waarde van tonnen en een imago as "good guys"

niets is ook gratis, als je naar de AH-gaat en je koopt in de bonus 1+1 gratis is dat 2e product ook echt NIET gratis.

ergens heeft iemand er voor betaald in geld of in natura...

het hele punt is dat er in OSS meer mogelijkheden zijn om te betalen,
het testen en debuggen van software kost MS ook geld, daar moeten mensen voor worden ingehuurd waar die mensen dat bij andere ontwikkelmodellen wellicht doen als betaling voor het gebruik van de software (lees vrijwillige contributies)...

Ben alweer van plan om mijn key te verwijderen voordat ik het wachtwoord vergeet. Ik heb het nog nooit "kunnen" gebruiken.

Dat ligt dan grotendeels aan jouw eigen toepassing van GnuPG. Voor e-mail wordt het nog altijd weinig gebruikt. Gelukkig beperkt GnuPG/GPG/PGP (voor het gemak noem ik maar even PGP) zich niet tot e-mail, maar zijn er veel meer heel interessante toepassingen waardoor je het dagelijks kunt gebruiken.

- Backup -
Automatisch *incrementeel* versleutelde backups naar een locatie X door het gebruik van het programma `duplicity', waarbij gebruik wordt gemaakt van PGP. Privésleutel hoeft niet op een externe server te staan om de sleutel toe te passen voor de versleuteling.

Resultaat: alleen degene met de privésleutel kan de backup ontsleutelen, dus de integriteit van de opslaglocatie wordt van minder belang. Erg fijn, zeker bij externe virtuele servers of USB harde schijven.

- Documenten ondertekenen -
Traditioneel contract opstellen met handtekeningen.
Scan het bestand.

Daarna de PDF ondertekenen met PGP:

gpg --detach-sign contract-X.pdf

Output: contract-X.pdf.sig

Totaal bestanden:
contract-X.pdf
contract-X.pdf.sig

In het contract staat dat het contract alleen geldig is met in achtneming van clausule X.

Wat staat er in clausule X?
Het contract `contract-X.pdf' is alleen betrouwbaar en geldig met in achteneming van een correcte cryptografische ondertekening van de PDF (contract-X.pdf.sig versus contract-X.pdf), waarbij de gebruikte PGP sleutel het id XXXXXXXX heeft en waarbij de datum van ondertekening 09-02-2015 moet zijn en als tijd van ondertekening tussen 12:00 - 13:00.
Resultaat? Veel succes met het vervalsen van het contract. Ofwel: erg fijn.

- Chat -
Gajim (desktop) / Conversaties (Android) en nog meer apps hebben integratie met PGP voor inhoudelijke versleuteling.

- Beheer privé sleutel -
Schaf een smartcard aan waar je de privésleutel op de smartcard plaatst. (Yubikey heeft bijvoorbeeld ondersteuning voor PGP, naast gelijktijdig OTP en U2F.) De privésleutel is daardoor niet op je computer aanwezig en je hoeft alleen de pin in te geven. Een aanvaller heeft drie pogingen voordat de smartcard blokkeert.

Maak tevens gebruik van PGP subsleutels voor ondertekening, versleuteling en authentificatie (ssh). Bekijk http://blog.josefsson.org...on-yubikey-neo-smartcard/ bijvoorbeeld eens en zoek verder voor meer informatie. Goede handleiding voor starters is bijvoorbeeld: http://spin.atomicobject....25/gpg-gnu-privacy-guard/ (meerdere delen).

- Trust chain -
Handhaving van chain of trust was altijd een issue, want er is geen sprake van een centrale vaststelling van het identiteit achter PGP id X en dit moet door bekenden worden ondervangen. Keysigning parties zijn echter niet meer nodig, want anderen zijn met een oplossing gekomen, welke naast een `trust chain' oplossing ook nog andere functies biedt (hoewel ik nooit mijn privésleutel aan ze zal geven voor het via de website kunnen ondertekenen van X, maar dat hoeft ook niet): https://keybase.io.

- Password manager -
Kijk eens naar het programma `pass' http://www.passwordstore.org/. Alle ingaves worden met PGP versleuteld.

- Bonus? -
PGPAuth

[Reactie gewijzigd door DigiNezer op 24 juli 2024 06:07]