Mag ik mijn GPG sleutel van het werk gebruiken voor mijn nieuwe sleutel van mijn nieuwe werk, of: wat is een GPG sleutel onder de wet eigenlijk?


Een lezer vroeg me:

Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.

GPG, voor wie het niet wist, is het vrijesoftwarealternatief voor PGP, oftewel Pretty Good Privacy, het encryptie- en digitalehandtekeningenpakket waarmee ineens iedereen cryptografie kon toepassen. (Lees er alles over in mijn nieuwe boek.) De opzet is decentraal, er is geen hiërarchische autoriteit die bepaalt wie wie is of onder welke naam je mag werken.

Daarom kent het systeem een eigen, decentraal web of trust, waarbij je iemands sleutel kunt voorzien van een testimonial: “Dit is inderdaad Arnouds sleutel”. Als je dan een sleutel vindt die vermeldt van mij te zijn, en je ziet testimonials van mensen die jij vertrouwt, dan mag je er vanuit gaan dat het mijn sleutel is. Je kunt dan handtekeningen onder berichten van mij verifiëren met die sleutel.

Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden. Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.

Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn. Maar een heel welwillende lezing van het goed werknemerschap zou met zich meebrengen dat de werknemer zo’n werksleutel niet meer gebruikt als hij er niet meer werkt. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken? (<- Dit is een serieuze vraag)

Arnoud



https://blog.iusmentis.com/2023/03/22/mag-ik-mijn-gpg-sleutel-van-het-werk-gebruiken-voor-mijn-nieuwe-sleutel-van-mijn-nieuwe-werk-of-wat-is-een-gpg-sleutel-onder-de-wet-eigenlijk/