CAcert op de meeting van 16 April 2005

Zoals ik al in het meetingtopic had aangegeven zou ik een apart topic opentrekken over CAcert, met name met betrekking tot de meeting van 16 April.

Wat is CAcert, en wat kan ik ermee?

CAcert is een zogenaamde "central authority" (CA). Het is een organisatie die X.509 certificaten verstrekt. Deze certificaten kun je gebruiken met gangbare e-mail clients (mutt, Thunderbird, KMail, Evolution, etc.) om e-mails to ondertekenen en te coderen. Daarnaast is het, mits je genoeg punten hebt, ook mogelijk certificaten aan te vragen voor je eigen SSL-enabled webserver.

Wat is het voordeel van X.509/CAcert boven PGP/GPG?

Elk systeem kent z'n voor en nadelen, maar een systeem met X.509 certificaten en CAcert heeft een aantal voordelen:

* Het certificaat is getekent door een central authority (in dit geval CAcert), dit betekent dat je met certificaten geen trust op hoeft te bouwen als bij GPG. De identiteitsgarantie wordt gegeven door de central authority.

Zonder enig werk kun je al een account aanmaken op http://www.cacert.org/, en een certificaat aanmaken. Dit is een certificaat op e-mail adres, er wordt een zogenaamde 'e-mail ping' uitgevoerd, waarmee getest wordt of je werkelijk de eigenaar van het account bent. Het nadeel van dit type certificaat is dat alleen het e-mail adres van de afzender gecontroleerd is en daarmee authentiek is. 

Omdat een e-mail certificaat wat beperkt is qua authenticiteit is het ook mogelijk een certificaat op naam te krijgen. Natuurlijk kan er niet zomaar een certificaat op naam verstrekt worden, omdat er eerst vastgesteld moet worden of jij wel de persoon bent die je voordoet dat je bent. Dit kun je doen door bij een CAcert notary (zeg maar vrij vertaald 'notaris') een formulier in te leveren, en de notary je identiteit te laten controleren door je paspoort/rijbewijs/ID kaart te laten zien (bij voorkeur twee vormen van identificatie). Als de notary je gegevens/identiteit vertrouwt kan hij/zij je punten toekennen. Zodra je 50 punten hebt kun je een certificaat op naam maken. Als je 100 punten hebt kun je ook zelf 'notary' worden.

* Je identiteit en de bijbehorende punten zijn opgeslagen in je CAcert profiel. Dat betekent dat je gewoon een nieuwe certificaat (op naam) kunt maken als je van e-mail adres wisselt, zonder dat je een nieuwe web of trust op hoeft te bouwen (als bij PGP).

* X.509 en S/MIME (de standaard voor het tekenen/coderen van e-mails) wordt breed ondersteund, ook op Windows. Zo heeft bijvoorbeeld ook Outlook Express ondersteuning voor S/MIME.

Wat zijn de nadelen van CAcert?

De voornaamste nadelen zijn:

* Je moet wat moeite doen om een certificaat op naam te krijgen. Het kan soms wat tijd kosten om je punten bijelkaar te sprokkelen. Aan de andere kant kun je tijdelijk gewoon met een certificaat op e-mail adres werken.

* CAcert is niet een $$$ bedrijf als Thawte. En het CAcert root certificaat zit daarom nog niet in de standaard bundle van een aantal big-name programma's. Dat neemt niet weg dat het heel erg simpel is, met de meeste browsers kun je het certificaat automatisch installeren via deze pagina:

http://www.cacert.org/index.php?id=3

En je kunt de root certificaat in veel e-mail programma's gewoon importeren. Bovendien hoef je dit slechts een maal te doen. Omdat de certificaten van andere mensen met de root certificaat getekend zijn, hoef je nooit sleutels van andere gebruikers van een key server te halen (als bij PGP).

Hoe gebruik ik een X.509 certifictaat?

Dit verschilt per e-mail client, maar meestal is het erg simpel.

Thunderbird: Kies -> Ga naar de account editor, en kies het 'security' tabblad, hier kun je een certificaat importeren, en kiezen welke certificaat je wilt gebruiken.
Evolution Ga naar de account editor, en klik op het 'security' tabblad. Onder het kopje 'S/MIME' kun je een knop vinden waarmee je een certificaat kunt kiezen.

Als je een met een certificaat getekende e-mail stuurt naar iemand die een e-mail client zonder S/MIME ondersteuning heeft, gebeurt er niets ernstigs . De e-mail zal gewoon een extra attachment hebben die de signature bevat.

Hoe verzamel ik punten?

Door je te laten controleren door een 'notary'. Zelf ben ik een 'notary', en zal ik aanwezig zijn op de meeting van 16 april. Zorg dat je minstens 1 officieel erkende identiteitsbewijs mee hebt, het liefst twee. Met een studentenkaart, OV-kaart, bankpasje, of wat dan ook krijg je geen punten(!). Ik zal zelf een aantal formulieren meenemen. Daarnaast zijn er in Nederland relatief veel notaries (eind November zelfs meer dan in de VS), dus als je meer punten nodig hebt kun je altijd naar een notary uit de buurt toe.

Ik kan niet op de meeting komen

Als je in de buurt van Groningen woont kunnen we wel een tijd en plek vinden om een afspraak te maken. Ik ben vrijwel elke weekdag in het centrum van de stad. Als je niet in de buurt van Groningen woont -> zoek een notary in de buurt via de CAcert site .

Meer informatie

http://www.cacert.org/
http://www.cacert.nl/

Voetnoot

Het zou handig zijn als mensen die interesse hebben even een bericht kunnen plakken. Dan kan ik rekening houden met hoeveel formulieren ik mee moet nemen.