Större evenemang med betydelse för Debian / Nyckelsignering

Nyckelsignering

Eftersom många utvecklare träffas på mässor eller konferenser har de blivit ett trevligt sätt att få andra att signera sina OpenPGP-nycklar och förbättra sitt tillitsnätverk. Speciellt har det varit mycket intressant att signera nycklar och möta andra utvecklare för de som är nya i projektet.

Följande lista är avsedd att hjälpa dig köra en nyckelsigneringssession. Observera att alla exempel använder keyring.debian.org som nyckelserver. Om nyckeln i fråga inte finns i Debians nyckelring ersätter du keyring.debian.org med en allmän nyckelserver, till exempel keys.openpgp.org (som är en validerande nyckelserver).

Man bör bara signera en nyckel som uppfyller åtminstone två villkor:

1. Nyckelns ägare övertygar den som skall signera att identiteten i UID verkligen är sin egen identitet, på ett sätt som den som skall signera är villig att acceptera. Vanligtvis innebär detta att nyckelägaren måste visa ett ID-kort med bild utgivet av en myndighet, som stämmer med nyckelns ägare. (Somliga känner till att myndigheternas ID-kort är lätta att förfalska, och att trovärdigheten hos den utgivande myndigheten är tvivelaktig, så de kan begära andra och/eller alternativa identitetsbevis.)
2. Nyckelägaren verifierar att nyckelns fingeravtryck och längden på nyckeln som skall signeras faktiskt är sin egen.

Det viktigaste är att om nyckelns ägare inte aktivt deltar i utbytet kan varken krav 1 eller 2 uppfyllas. Ingen kan utföra nyckelägarens del i krav 1, för då kan vem som helst med ett stulet ID-kort skapa en OpenPGP-nyckel till det och låtsas vara en bulvan för nyckelägaren. Ingen kan heller göra nyckelägarens del av krav 2, för då skulle bulvanen kunna byta ut fingeravtrycket till en annan OpenPGP-nyckel med nyckelägarens namn på, och få någon att signera fel nyckel.

• Du behöver utskrivna OpenPGP-fingeravtryck, nyckellängder och ett identitetskort som kan bevisa din identitet (pass, körkort, eller liknande).
• Fingeravtrycken och nyckellängderna ges till de som borde signera din nyckel efter mötet.
• Om du ännu inte har en OpenPGP-nyckel, skapa en med gpg --gen-key.
• Signera bara en nyckel om identiteten hos den person vars nyckel du signerar har bevisats.
• Efter mötet måste du hämta OpenPGP-nyckeln för att signera den. Följande kan vara till hjälp:

         gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
  

  Observera att du kan använda fingeravtryckets sista åtta hexadecimala siffror i detta kommando och i andra OpenPGP-funktioner. 0x framför talet är också frivilligt.

• För att signera nyckeln, gå in i redigeringsmenyn med

         gpg --edit-key 0xDEADBEEF
  

• I GnuPG väljer du alla användar-id som skall signeras med uid n, där n är numret på det användar-id som visas i menyn. Du kan även välja att signera alla användar-id.
• För att signera en nyckel skriver du sign. Du kommer därefter att visas fingeravtrycket för och längden på nyckeln, jämför detta med vad du fick från personen du mötte.
• När du ombeds välja på vilken nivå du vill bevittna nyckeln, välj ”casual”.
• Avsluta GnuPG med quit
• För att verifiera att du har signerat nyckeln korrekt kan du köra:

         gpg --list-sigs 0xDEADBEEF
  

  Du skall nu se ditt namn och fingeravtryck (i sammanfattad form) i utdatat.

• När du har säkerställt att allt fungerade som det skulle kan du sända den signerade nyckeln till sin mottagare genom att köra:

         gpg --export -a 0xDEADBEEF > någons.key
  

  Flaggan -a exporterar nyckeln i ASCII-format så att den kan sändas per e-post utan att riskera att förstöras.

• Om någon signerar din nyckel på detta sätt kan du lägga till den till Debians nyckelring genom att köra:

         gpg --import --import-options merge-only mysigned.key
         gpg --keyserver keyring.debian.org --send-keys <ditt nyckel-id>
  

  Det kan ta ett tag för nyckelansvariga att uppdatera din nyckel, så var tålmodig. Du kan även sända in din uppdaterade nyckel till de allmänna nyckelservrarna.

Debianpaketet signing-party innehåller några verktyg som gör detta enklare. gpg-key2ps gör om en OpenPGP-nyckel till en PostScript-fil för att skriva ut pappersremsor med ditt fingeravtryck, och gpg-mailkeys e-postar en signerad nyckel till dess ägare. Paketet innehåller även caff som är ett mer avancerat verktyg. Se paketets dokumentation för vidare information.

Vad du inte skall göra

Du skall aldrig signera en nyckel som tillhör någon du inte träffat personligen. Att signera en nyckel baserat på något annat än förstahandsinformation förstör användbarheten av tillitsnätverket. Om någon vän tar med ditt ID-kort och ditt fingeravtryck utan att du är där och intygar att fingeravtrycket är korrekt, hur kan andra utvecklare koppla identiteten till fingeravtrycket? Bara din väns ord och andra signaturer på din nyckel – det är lika illa som att signera nyckeln bara för att andra har gjort det!

Det är trevligt att ha fler signaturer på sin nyckel, och det är frestande att fuska lite på vägen. Men att ha pålitliga signaturer är viktigare än att ha många, så det är mycket viktigt att vi är så strikta vi kan med signeringsprocessen. Att signera någon annans nyckel är en försäkran om att du har förstahandsinformation om nyckelägarens identitet. Om du signerar utan att egentligen mena det, så är tillitsnätverket inte längre pålitligt.

Ytterligare information

• Wikiartikel om nyckelsignering

Tillbaka till Debianprojektets ingångssida.