image

Mag ik mijn GPG-sleutel van het werk gebruiken voor mijn nieuwe sleutel van mijn nieuwe werk?

woensdag 22 maart 2023, 11:34 door Arnoud Engelfriet, 20 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG-sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.

Antwoord: GPG, voor wie het niet wist, is het vrijesoftwarealternatief voor PGP, oftewel Pretty Good Privacy, het encryptie- en digitalehandtekeningenpakket waarmee ineens iedereen cryptografie kon toepassen. (Lees er alles over in mijn nieuwe boek.) De opzet is decentraal, er is geen hiërarchische autoriteit die bepaalt wie wie is of onder welke naam je mag werken.

Daarom kent het systeem een eigen, decentraal web of trust, waarbij je iemands sleutel kunt voorzien van een testimonial: “Dit is inderdaad Arnouds sleutel”. Als je dan een sleutel vindt die vermeldt van mij te zijn, en je ziet testimonials van mensen die jij vertrouwt, dan mag je er vanuit gaan dat het mijn sleutel is. Je kunt dan handtekeningen onder berichten van mij verifiëren met die sleutel.

Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden. Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.

Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn. Maar een heel welwillende lezing van het goed werknemerschap zou met zich meebrengen dat de werknemer zo’n werksleutel niet meer gebruikt als hij er niet meer werkt. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (20)
22-03-2023, 12:16 door Anoniem
Is het niet zo dat er een 'stukje' trust van de werkgever wordt overgedragen op de werknemer door het (mede)tekenen van een nieuwe sleutel?

Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.
De wereld is in rep en roer, plotseling wordt de oud werkgever erop aangesproken, want ze zijn betrokken bij de trust van die sleutel...

Wat mij betreft mogen zakelijke en prive sleutels niet vermengd worden, geen van beide richtingen op.
22-03-2023, 12:24 door Anoniem
Wat ook een mogelijkheid zou zijn is om de nieuwe PGP sleutel naar iedereen die de oude sleutel heeft ondertekend te sturen, met PGP encryptie en de handtekening van de oude sleutel op het bericht. Met het verzoek de nieuwe sleutel in het bericht te ondertekenen en terug te sturen.

Zo zou ik het doen. Dit is ook een manier om sleutels uit te wisselen zonder dat dit zichtbaar is voor de buitenwereld.

Vroeger, toen nog niet bekend was dat PGP zou floppen voor algemeen e-mail gebruik, waren sommige gebruikers bang voor geëncrypte spam in hun mailbox. Zelf heb ik heel lang een PGP sleutel gebruikt zonder e-mail adres erop maar dat bleek toch onhandig voor sommige ontvangers in verband met hun mail programma.
22-03-2023, 13:48 door Anoniem
Je PGP sleutel is in feite je digitale handtekening (technisch niet helemaal maar dat is mijn punt niet). Als ik naar een nieuwe werkgever ga en ik dingen op papier moet ondertekenen gebruik ik nog steeds mijn oude handtekening. Die bewijst dat ik het ben. Waarom zou ik dan een nieuwe digitale handtekening nemen?
22-03-2023, 16:23 door Anoniem
Veel werkgevers staan het ook toe je mobiele nummer mee te nemen.
Lijkt mij in dezelfde lijn te zitten?
22-03-2023, 17:09 door Anoniem
Door Anoniem: Is het niet zo dat er een 'stukje' trust van de werkgever wordt overgedragen op de werknemer door het (mede)tekenen van een nieuwe sleutel?

Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.
De wereld is in rep en roer, plotseling wordt de oud werkgever erop aangesproken, want ze zijn betrokken bij de trust van die sleutel...

Wat mij betreft mogen zakelijke en prive sleutels niet vermengd worden, geen van beide richtingen op.
Ik krijg de indruk dat je niet snapt hoe GPG en PGP werken.

Stel dat je voor e-mail (net als voor websites), sleutels laat ondertekenen door een CA — een certificaat dus. Denk je dat daarmee de CA aangeeft achter de inhoud van jouw e-mails of jouw website te staan? Natuurlijk niet, de CA geeft alleen maar aan dat de ondertekende sleutel inderdaad bij dat e-mailadres of bij de domeinnaam van die website hoort, meer niet. Ik denk niet dat jij of je werkgever een CA gaat aankijken op het verstrekken van certificaten aan websites die je niet bevallen, toch?

Bij PGP en GPG is dat niet anders. Alleen is er niet een beperkt aantal centrale CA's maar kan iedereen die het gebruikt als een mini-CA optreden voor degenen van wie hij persoonlijk heeft kunnen vaststellen dat een e-mailadres en een persoon inderdaad bij elkaar horen. Een handtekening zegt niets over wat je van iemand vindt, die zegt alleen maar dat je erop vertrouwt dat dat e-mailadres inderdaad bij die persoon hoort.

Hier gaat het er alleen om dat iemand als werknemer verklaart dat zijn eigen privésleutel inderdaad bij hem als privépersoon hoort. Dat is geen vermenging van sleutels en het is geen positie die de werkgever inneemt over wat iemand privé allemaal uitspookt.

Ik denk dat je mag verwachten dat als een bedrijf ervoor kiest GPG of PGP te gebruiken dat men daar snapt wat een handtekening op een sleutel betekent. Als men dat niet snapt dan snapt men op een fundamenteel niveau niet waarmee men werkt.
22-03-2023, 18:08 door Anoniem
Door Anoniem: Is het niet zo dat er een 'stukje' trust van de werkgever wordt overgedragen op de werknemer door het (mede)tekenen van een nieuwe sleutel?

Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.
De wereld is in rep en roer, plotseling wordt de oud werkgever erop aangesproken, want ze zijn betrokken bij de trust van die sleutel...

Wat mij betreft mogen zakelijke en prive sleutels niet vermengd worden, geen van beide richtingen op.

Het begint dan met de vraag: Identifeert de sleutel een persoon of een organisatie? Verder meen ik begrepen te hebben dat hij de sleutel van zijn huidige (oude) werkgever wil gebruiken om een nieuw (persoonlijk?) certificaat te tekenen. Als de persoon in kwestie dan met het nieuwe certificaat tekent, dan is dat sowieso niet meer namens de oude werkgever.

Nu ken ik PGP / GPG onvoldoende, maar het lijkt me dat het ook mogelijk is sleutels/certificaten in te trekken. Het tekenen uit naam van een voormalig werkgever zou daarmee ook onmogelijk moeten zijn.
22-03-2023, 18:13 door Anoniem
Door Anoniem: Je PGP sleutel is in feite je digitale handtekening (technisch niet helemaal maar dat is mijn punt niet). Als ik naar een nieuwe werkgever ga en ik dingen op papier moet ondertekenen gebruik ik nog steeds mijn oude handtekening. Die bewijst dat ik het ben. Waarom zou ik dan een nieuwe digitale handtekening nemen?
Hangt er vanaf of in de PGP sleutel de naam van het bedrijf is opgenomen of niet. Uit Arnoud zijn betoog begrijp ik dat als ID het mailadres wordt gebruikt. In dat geval valideer je niet een persoon, maar een mailadres. En dat zal vast een zakelijk mailadres zijn. Tekenen met een mailadres van je voormalig werkgever kan niet de bedoeling zijn.

Maar dat is hier niet de vraag. Wat ik begrepen heb ik dat hij een nieuw certificaat wil tekenen met zijn oude certificaat. Dan kom je op tekenbevoegdheid. In de KVK is geregeld wie namens een bedrijf het mandaat heeft om formele stukken te tekenen.
22-03-2023, 18:18 door Anoniem
@Arnoud:
....Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.

Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn....

Een ondertekend getuigschrift afgeven klinkt als een formele handeling dat door een tekenbevoegd persoon moet worden gedaan. Tekenbevoegdheid binnen bedrijven is beperkt en via het handelsregister geborgd. Gaat het daar niet op spaak?
22-03-2023, 18:28 door Anoniem
In zowel de vraagstelling als de beantwoording ontbreekt of de werkgever hier een beleid voor heeft opgesteld in bijv een personeelshandboek of e-mail reglement. Als daarin geen signing policy staat zie ik ook geen probleem waarom je je nieuwe key niet met je oude zou signen. Je bent dan immers ook al jaren vrij geweest om de keys van al je professionele relaties te signen. Waarom zou dat voor een eigen nieuwe key dan niet mogen?
22-03-2023, 18:29 door Anoniem
Door Anoniem: Is het niet zo dat er een 'stukje' trust van de werkgever wordt overgedragen op de werknemer door het (mede)tekenen van een nieuwe sleutel?

Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.
De wereld is in rep en roer, plotseling wordt de oud werkgever erop aangesproken, want ze zijn betrokken bij de trust van die sleutel...

Wat mij betreft mogen zakelijke en prive sleutels niet vermengd worden, geen van beide richtingen op.

Oneens.

Ook al is het een publicitair probleem - de trust slaat niet op de persoon of diens denkbeelden, of kwaliteit van werk, maar slechts op gevalideerde identiteit van de sleutelhouder .

Je zou mogen hopen dat in het obscure hoekje van security professionals dat PGP/GPG gebruikt men dat snapt .

(ok - in de hype dagen van PGP snapte niet iedereen dat. Massa's pubertjes gingen de sleutel van Phil Zimmerman zitten tekenen, vrijwel zeker zonder dat ze iets gevalideerd hadden dat die betreffende sleutel echt van hem was. Ze vonden het blijkbaar leuk om hun naam als signer in een keyring te zien )
22-03-2023, 19:04 door Anoniem
Door Anoniem: Is het niet zo dat er een 'stukje' trust van de werkgever wordt overgedragen op de werknemer door het (mede)tekenen van een nieuwe sleutel?

Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.

Volgens mij niet. Een sleutel geeft aan dat je bent wie je zegt te zijn, dwz dat de zaken die met jouw sleutel getekend zijn van jou afkomstig zijn en niet van iemand anders.
Anderen (in dit geval een werkgever maar dat hoeft helemaal niet) bevestigen dat jij de persoon bent die deze sleutel in bezit heeft.
Dit heeft echter niets te maken met een instemming in wat die persoon vervolgens met die sleutel tekent. Als dat wel zo was dan zou het onmogelijk worden om anderen jouw PGP sleutel te laten tekenen...
23-03-2023, 08:59 door Anoniem
Als de sleutel ook werd gebruikt om mails te versleutelen dan lijkt een heel andere reactie gepast. Ik denk dat dit weer niet goed gebrepen is door onze jurist, zoals helaas wel vaker
23-03-2023, 09:34 door Anoniem
Hey, als het meenemen van een PGP sleutel blijkbaar dus niet "not done" is...
kunnen we het dan nu eindelijk eens gaan hebben over nummer-portabiliteit?

"Dat 020 nummer is bekend bij veel mensen uit mijn vakgebied, dus belangrijk voor mij"
23-03-2023, 10:47 door Anoniem
Door Anoniem: Als de sleutel ook werd gebruikt om mails te versleutelen dan lijkt een heel andere reactie gepast. Ik denk dat dit weer niet goed gebrepen is door onze jurist, zoals helaas wel vaker

Wel een grote broek, geen clue .

Je laat zien dat je de hele vraag - en het concept van het tekenen van *SLEUTELS* niet snapt.

Arnoud heeft in jonger dagen uitgebreide handleidingen voor PGP (gebruik) geschreven - dit stukje technische security tooling snapt hij beduidend beter dan menigeen , en zeker beter dan jij.
23-03-2023, 11:01 door Anoniem
Door Anoniem: Hey, als het meenemen van een PGP sleutel blijkbaar dus niet "not done" is...
kunnen we het dan nu eindelijk eens gaan hebben over nummer-portabiliteit?

"Dat 020 nummer is bekend bij veel mensen uit mijn vakgebied, dus belangrijk voor mij"

Ik merk dat 06 nummers van werknemers tegenwoordig steeds vaker meegenomen worden naar de volgende werkgever...
Dat kan soms een heel gedoe zijn, omdat ze vallen onder zakelijke contracten en dan moeten ze ineens naar een
ander contract en zelfs een andere provider worden overgezet, terwijl er geen sprake is van eind contract. Daar kunnen
providers soms behoorlijk moeilijk over doen.
Maar kennelijk is het heel belangrijk voor die mensen.

(zelf denk ik dan: kennelijk wordt die zakelijk ter beschikking gestelde telefoon vooral prive gebruikt. immers als het om zakelijk gebruik ging dan zou het vaak zelfs ongewenst zijn om dat nummer mee te nemen in plaats van aan de opvolger in dezelfde functie te geven...)
23-03-2023, 11:09 door Anoniem
Door Anoniem: Als de sleutel ook werd gebruikt om mails te versleutelen dan lijkt een heel andere reactie gepast. Ik denk dat dit weer niet goed gebrepen is door onze jurist, zoals helaas wel vaker
Kun je dit wat beter onderbouwen? Volgens mij heb je de vraag niet helemaal begrepen.
24-03-2023, 04:48 door Anoniem
Wat als de oude werkgever over een tijdje het mail adres van de vraagsteller opnieuw uitgeeft aan een nieuwe medewerker?

Mijn punt is: vraagsteller heeft geen “controle” meer over dat oude werkadres (had ie al niet, dat was de werkgever). Juridisch zie ik ook geen probleem, maar technisch?
24-03-2023, 10:14 door Anoniem
Door Anoniem: Wat als de oude werkgever over een tijdje het mail adres van de vraagsteller opnieuw uitgeeft aan een nieuwe medewerker?

Mijn punt is: vraagsteller heeft geen “controle” meer over dat oude werkadres (had ie al niet, dat was de werkgever). Juridisch zie ik ook geen probleem, maar technisch?

Nog steeds niet begrepen wat er gevraagd wordt, zie ik. Lees het nog een keer goed:
Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG-sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.
24-03-2023, 11:00 door Anoniem
Door Anoniem:
Door Anoniem: Wat als de oude werkgever over een tijdje het mail adres van de vraagsteller opnieuw uitgeeft aan een nieuwe medewerker?

Mijn punt is: vraagsteller heeft geen “controle” meer over dat oude werkadres (had ie al niet, dat was de werkgever). Juridisch zie ik ook geen probleem, maar technisch?

Nog steeds niet begrepen wat er gevraagd wordt, zie ik. Lees het nog een keer goed:
Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG-sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.

Inderdaad .
Voor een security site valt het erg tegen, hoeveel onkunde er bestaat over PGP - en hoe slecht mensen hier lezen.
Voor de doelgroep die vindt het gewoon eigen schuld is als er een hack ontstaat uit een verkeerd permissie bitje, een verkeerd vinkje ergens is dat slordige lezen van een duidelijke vraag en duidelijk antwoord erg genant .

Een PGP/GPG key *doet* helemaal niks met een mail adres.
Er is gewoon een vrij tekst veld waarin de eigenaar van de key zichzelf kan aanduiden .

Het is natuurlijk verstandig (maar niet technisch vereist) - om dat op een herkenbare en wereldwijd unieke manier te doen ;Er zijn meer John Smith'en op de wereld .

Dus kiest vrijwel iedereen ervoor om zich met (ook) het email adres aan te duiden op de key .
Logisch vanuit de droom dat PGP vooral voor alle email gebruikt zou worden, dan is een key precies ook op het mail adres op te zoeken .

Je zou ook gewoon naam , nationaliteit en BSN (/SSN etc) kunnen gebruiken - ook wereldwijd uniek, en niet gekoppeld aan een werkgever. Alleen niet zo verstandig qua privacy . En niet zo makkelijk te zoeken als je (slechts) een naam en email kent waar je wat aan wilt sturen.
Of naam en telefoonnummer , nu dat (mobiel) portable geworden is.

Dus - email adres ; En dat stukje "identiteit" kan wijzigen.
29-03-2023, 15:39 door Anoniem
Door Anoniem:
Dus, stel de werknemer verlaat de werkgever...
Jaren later wordt er iets getekend met de sleutel van de werknemer dat echt 'not done' is.
De wereld is in rep en roer, plotseling wordt de oud werkgever erop aangesproken, want ze zijn betrokken bij de trust van die sleutel...
Dit is niet hoe een chain of trust werkt als het gaat om GPG/PGP sleutels. Je verifiëer namelijk enkel iemand zijn identiteit. Niet zijn betrouwbaarheid, expertise, of wat dan ook.

Als ik ooit een keer gezegd heeft "Dit is inderdaad Pietje", en jaren later doet Pietje (of iemand wiens identiteit door Pietje bevestigd is) doet iets ongeoorloofd, dan heb ik daar echt 0,0 mee te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.