Aktualisierte kryptographische Vertrauenspolitik

Um die Robustheit des kryptographischen Vertrauens zwischen meinen Freunden und mir weiter zu erhöhen, habe ich meine kryptographische Vertrauenspolitik aktualisiert und ein Verwaltungssystem entwickelt, um diese konsistenter und einheitlicher zu verwalten. Ab heute sind alle zuvor etablierten kryptographischen Vertrauensbeziehungen nicht mehr gültig. Jeder muss das kryptographische Vertrauen mit mir mithilfe eines gültigen OpenPGP-Schlüssels neu aufbauen. Sie sind dafür verantwortlich, Ihren privaten Schlüssel an einem sicheren Ort aufzubewahren, geschützt vor jeglicher potenzieller Kompromittierung durch Mallory.

Um kryptographisches Vertrauen mit mir aufzubauen, müssen Sie über ein gültiges OpenPGP-Schlüsselpaar verfügen, die Übereinstimmung zwischen Ihrem OpenPGP-öffentlichen Schlüssel und Ihrer ursprünglichen Identität (der Identität, die Sie bei der ersten Kontaktaufnahme mit mir verwendet haben) nachweisen und anschließend die Übereinstimmung zwischen Ihrem OpenPGP-öffentlichen Schlüssel und Ihren weiteren Identitäten belegen.

Detaillierte Richtlinien sind unten aufgeführt.

Jabber

Sie müssen die OMEMO-Fingerabdrücke verifizieren, die mit Ihrem Jabber-Konto verknüpft sind. Verwenden Sie Ihren OpenPGP-Schlüssel, um den folgenden Text zu signieren:

I hereby formally acknowledge that the Jabber/XMPP account username@example.org is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX. The following OMEMO fingerprints are hereby confirmed as valid for this account:
AAAAAAAA
BBBBBBBB
......

Ersetzen Sie username@example.org, XXXX, AAAAAAAA … durch Ihre tatsächlichen Informationen.

Matrix, Tox und Session

Sie müssen nur Ihre Identifikatoren verifizieren. Zum Beispiel bei Matrix:

I hereby formally acknowledge that the Matrix account @username:example.org is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.

Wenn Sie Tox oder Session verwenden, nutzen Sie stattdessen Ihre Tox-ID oder Session-ID anstelle Ihres Matrix-Kontos.

SimpleX

Sie müssen nur Ihren SimpleX-Sicherheitscode verifizieren. Öffnen Sie meine Kontaktseite, um den Sicherheitscode zu erhalten.

I hereby formally acknowledge that the SimpleX account with the security code YYYYYY is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.

E-Mail

Um zu beweisen, dass der Posteingang Ihnen gehört und von Ihnen vertraut wird, senden Sie einfach eine signierte (oder vorzugsweise verschlüsselte) E-Mail mit OpenPGP an meinen Posteingang .

Briar

Da Briar nur eine Anmeldung pro Konto erlaubt, beweist der Nachweis, dass das Konto Ihnen gehört, effektiv, dass niemand sonst darauf zugreifen kann. Dies ist so einfach wie das Signieren eines zufälligen Textes, den ich bereitstelle, und das Zurücksenden an mich.

Telegram, Signal, Carrier SMS/MMS usw.

Diese Kommunikationsmittel verfügen nicht über eingebaute Vertrauensverwaltung, Identitätsüberprüfungsmechanismen und lokale, nur einmalige Anmeldungen. Einige unterstützen nicht einmal Ende-zu-Ende-Verschlüsselung. Daher ist es nicht möglich, über diese Plattformen eine kryptographische Vertrauensbeziehung mit mir aufzubauen. Sie können jedoch dennoch den Besitz solcher Konten nachweisen, indem Sie einen Text signieren, der Ihre relevanten Identifikatoren enthält.

Beispielsweise, wenn Sie Telegram verwenden:

I hereby formally acknowledge that the Telegram account @username is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.

Reale Identität

Sie benötigen Ihren Personalausweis oder Aufenthaltsausweis. Es werden nur Dokumente akzeptiert, die in Festlandchina, Hongkong, Macau, Taiwan, Frankreich, Deutschland oder Japan ausgestellt wurden. Sie müssen außerdem OpenKeychain installiert haben und Ihren OpenPGP-Geheimschlüssel importiert haben.

Folgen Sie dann diesen Schritten:

1. Vereinbaren Sie einen Termin mit mir;
2. Bringen Sie Ihren Personalausweis oder Aufenthaltsausweis mit;
3. Öffnen Sie OpenKeychain und navigieren Sie zur Seite Ihres OpenPGP-Schlüssels, halten Sie Ihr Telefon in die richtige Position, und ich werde ein Foto von Ihnen machen:

4. Zeigen Sie Ihren Personalausweis/Aufenthaltsausweis vor, damit ich Ihre Identität verifizieren kann;
5. Signieren Sie einen Text mit OpenPGP.

Wenn Sie einen Aufenthaltsausweis aus Festlandchina, Hongkong, Macau, Taiwan oder Japan verwenden:

I hereby formally acknowledge that the identity card issued in the name of ZHANG SAN (张三), bearing the identification number AAAA, is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.

Andernfalls:

I hereby formally acknowledge that the identity card issued in the name of John Appleseed, bearing the identification number AAAA, is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.