Mag ik mijn GPG sleutel van het werk gebruiken voor mijn nieuwe sleutel van mijn nieuwe werk, of: wat is een GPG sleutel onder de wet eigenlijk?

Een lezer vroeg me:

Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.
GPG, voor wie het niet wist, is het vrijesoftwarealternatief voor PGP, oftewel Pretty Good Privacy, het encryptie- en digitalehandtekeningenpakket waarmee ineens iedereen cryptografie kon toepassen. (Lees er alles over in mijn nieuwe boek.) De opzet is decentraal, er is geen hiërarchische autoriteit die bepaalt wie wie is of onder welke naam je mag werken.

Daarom kent het systeem een eigen, decentraal web of trust, waarbij je iemands sleutel kunt voorzien van een testimonial: “Dit is inderdaad Arnouds sleutel”. Als je dan een sleutel vindt die vermeldt van mij te zijn, en je ziet testimonials van mensen die jij vertrouwt, dan mag je er vanuit gaan dat het mijn sleutel is. Je kunt dan handtekeningen onder berichten van mij verifiëren met die sleutel.

Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden. Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.

Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn. Maar een heel welwillende lezing van het goed werknemerschap zou met zich meebrengen dat de werknemer zo’n werksleutel niet meer gebruikt als hij er niet meer werkt. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken? (<- Dit is een serieuze vraag)

Arnoud

23 reacties

  1. Het verschil tussen gebruik van spullen op je werk voor privé zaken (e.g. opzoeken van een adres op je werkcomputer) en het gebruik van een GPG sleutel op deze manier, is dat hoewel je beide als gereedschap voor het werk kan zien, de GPG sleutel met reputatie te maken heeft en een waterpas niet.

    Wat nu als de vraagsteller vervolgens spam gaat versturen dat ondertekent is door de nieuwe GPG sleutel? Dat lijkt me slecht voor de reputatie van de werkgever, want zijn bedrijf is als testimonial gekoppeld.

    Een werkgever zou bij GPG spam sterker staan met zijn klacht dan als bijvoorbeeld de spam-email (zonder GPG) zou zeggen: “Koop nu deze [nep-medicijn]. Ik weet dat het werkt omdat ik vroeger in ziekenhuis A heb gewerkt.” Hoewel er dan ook een link naar een werkgever in de spam staat, zie ik de GPG sleutel als erger voor de reputatie omdat daar een actieve handeling vanuit de werkgever voor nodig was.

    1. Is het niet zo dat de GPG-sleutel alleen identificatie is? Dus dat het alleen zekerheid biedt, dat je met een bepaalde persoon communiceert? Het lijkt me niet dat een GPG-sleutel een soort VOG is, die ook iets zegt over jouw persoon en of je betrouwbaar bent.

    2. De GPG sleutel is direct gekoppeld aan een email adres en bevat de publieke (encryptie) sleutel voor dat adres. Je kunt deze sleutels opzoeken via publiek toegankelijke “keyservers”, maar hoe bepaal je dan of de verkregen sleutel de correcte is (en niet een die door de NSA is ingestuurd voor een MITM aanval)?

      Daarvoor dient de “chain of trust” waarbij personen een “PGP-handtekening” zetten op de sleutel van een ander en daarmee verklaren “Deze sleutel hoort bij het vermelde email adres en ik vertrouw deze persoon goed genoeg dat hij serieus is met het zetten van handtekeningen op sleutels.” Als je dan (eventueel met een of twee tussenstappen) ziet dat een sleutel is ondertekend door een persoon die jij vertrouwt kun je er redelijkerwijs van uitgaan dat je de correcte sleutel te pakken hebt.

      Wat je doet wanneer je een privé-sleutel ondertekent met jouw werksleutel is dat je zegt “Deze sleutel hoort bij de persoon.” Het is geen steun aan de inhoud van wat die persoon (ook al ben je het zelf) zegt. En ja, ik denk dat een werkgever dit gebruik van de werk-PGP sleutel dient toe te staan. Ik pleit in dit soort gevallen voor kruislings ondertekenen waarbij je zowel je werk-sleutel met je privé-sleutel als je privé-sleutel met je werk-sleutel ondertekent. Ons kent ons.

  2. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken?

    Op de sportschool! Oude sport polo doet het nog prima, dus het zou zonde zijn deze weg te doen. Dat is dan ook wel weer de enige uitzondering want ik vindt het nogal twijfelachtig als je privé rond loopt in zakelijke kleding. De scheiding tussen werk en privé is mij dierbaar.

  3. Ik heb mij 06 steeds steeds meegenomen: van prive naar werkgever naar prive naar BYOD werk-nummer naar volgende werkgever. Als ik oude werkcontacten bel zou ik kunnen worden herkend als Frank van bedrijfX. Ik zie dat als vergelijkbaar.

    Het is aan mij om bij contacten duidelijk te maken dat ik niet meer namens bedrijfX bel. Maar dat ‘web of trust’ is er nog wel als ik namens bedrijfY bel.

  4. Tja, uiteindelijk ben je wie je bent. Als je Arnoud bent als je namens bedrijf X iets ondertekent, ben je nog steeds Arnoud als je prive iets ondertekent, of volgende maand namens bedrijf Y iets ondertekent.

    Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden.

    Ik ben geen PGP-GPG deskundige, maar dat lijkt me dan toch een ontwerpfout in het systeem? Als het gaat over MIJN identiteit, waarom moet die dan gekoppeld zijn aan zoiets vluchtigs als een emailadres.

    Als de GPG sleutels gaat over mijn identiteit ALS WERKNEMER van bedrijf A, is het natuurlijk een ander verhaal.

    Het antwoord op de vraag in de blog hangt eigenlijk af van: wat is de bedoeling van het GPG systeem? Maakt iemand (de vraagsteller of zijn werkgever) er misschien oneigenlijk gebruik van?

  5. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken? (<- Dit is een serieuze vraag)

    Hoeveel kan ik je natuurlijk niet zeggen, maar ik ken er persoonlijk vrij veel die in hun vrije tijd nog shirts van oude werkgevers dragen. Mijn eerste werkgever gaf bij alles shirts en nu ik flink afgevallen ben pas ik ze weer.

  6. Van een oude werkgever heb ik nog een baseball-cap, een stressbal en een vlaggenstokje. En ik heb daarnaast ook nog broncode waar ikzelf aan heb gewerkt! Oh, ze zijn mij ook nog geld verschuldigd in achterstallige salaris. Probleem voor het bedrijf is alleen dat ze in een paar maanden na mijn vertrek failliet gingen en dat brengt mij op een ander probleem met een GPG die door een ex-werkgever is getekend. Deze is nu immers failliet, dus is die GPG sleutel dan nog de moeite?

    1. Het brengt mij op een heel andere off topic vraag over faillissementen.

      Een curator mag aan overeenkomsten zitten. Ik heb vaak overeenkomsten gezien waarbij levering van milestones is gekoppeld aan het betaald hebben van de rekening tot dat moment.

      Kan een curator zeggen tegen en zzp-er met een dergelijk contract: Jouw rekening is EUR 100, de schuldeisers krijgen 20% uit de boedel, dus hier is jouw EUR 20. Daarmee is de rekening voldaan dus hier met die code!

      Of kan je de code achterhouden en als de curator het contract breek zeggen dat er bij contractbreuk helemaal geen leveringsplicht meer is?

  7. Wat ik altijd deed als ik wat voor een werkgever moest tekenen, klein eronder zetten i.o. ofwel in opdracht. En uiteraard zorgen dat het paper trail klopt.

    Probleem opgelost. Geleerd van een advocaat.

    1. Als je een advocaat zie t die zo een handtekening zet, en je vraagt wat dat i.o betekend onder jouw contract. En je krijgt dan het antwoord dat hij dan voor ‘het kantoor’ getekend heeft zodat hij niet persoonlijk verantwoordelijk is….

      Verbazend wat mensen je vertellen als je er gewoon om vraagt:-)

        1. Alles? Groot woord in deze context, ik ga ook nog wel eens naar het toilet in werktijd, is dat ook opdracht van de werkgever?

          Zat situaties die discutabel zijn in werkgever werknemer situatie. Als het allemaal zo duidelijk is zijn er ook geen juristen meer nodig

          1. Flauw. Als het werk is, dan doe je het namens je werkgever. Over die regel is geen discussie. Je kunt prima discussies voeren over wanneer iets je werk was, maar als jij op je werk dingen gaat ondertekenen dan zie ik niet hoe die discussie redelijkerwijs kan ontstaan. (Wat natuurlijk geen jurist tegenhoudt hem toch te gaan voeren.)

            En in ieder geval, áls iemand er een punt van maakt dan heeft die “i.o.” juridisch geen relevantie. 1) Het was privé: dan klopt het niet dat je in opdracht werkgever tekende 2) Het was werk: dan is het niet nodig te zeggen dat je in opdracht tekende 3) Het was privé maar iemand zegt nu dat het werk is: dan gaan we feitelijk vaststellen of het privé was, de i.o. boeit niet 4) Het was werk maar iemand zegt nu dat het privé was: zie 3, de i.o. kan hier hooguit bijdragen aan bewijs dat je de boel wilde oplichten

              1. Zoals Arnoud zegt:

                – dan zie ik niet hoe die discussie redelijkerwijs kan ontstaan.

                – Wat natuurlijk geen jurist tegenhoudt hem toch te gaan voeren.

                Logische conclusie:

                – Juristen zijn onredelijk.

      1. Als je een advocaat zie t die zo een handtekening zet, en je vraagt wat dat i.o betekend onder jouw contract. En je krijgt dan het antwoord dat hij dan voor ‘het kantoor’ getekend heeft zodat hij niet persoonlijk verantwoordelijk is…. Verbazend wat mensen je vertellen als je er gewoon om vraagt:-)

        Je kent onevenredig veel gezag toe aan het antwoord van een advocaat (zeker voor een anarchist…).

        1. Ben ik wel met je eens, heel erg zelfs. Maar om wat gedaan te krijgen moet je het spelletje meespelen helaas. Maar dat was voor mijn inzicht in anarchie en democratie, democratie is de slechtste vorm van landsbestuur voor het volk. Maar dat is een andere discussie die Arnoud hier niet wil hebben.

  8. Je tekent (in de rol van werknemer / uit naam van de werkgever) iets dat wáár is: Die nieuwe sleutel is van jou. Dat is toch zo? Het is geen zero-sum game. Dat jouw nieuwe sleutel een soort ‘extra vertrouwen’ krijgt betekent niet dat op het saldo van de werkgever in mindering wordt gebracht.

    Ik denk dat je teveel doordenkt en de GPG sleutels iets spannender vindt dan ze in werkelijkheid zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.