Større begivenheder relateret til Debian / Nøglesignering

Nøglesignering

Da mange udviklere mødes på fagmesser og konferencer er det blevet en god måde at få andre til at signere ens GnuPG-nøgle og forbedre pålidelighedsnetværket. Specielt for folk der er nye i projektet, har nøglesignering og det at mødes med andre udviklere været meget interessant.

Dette dokument vil hjælpe dig med at afholde en nøglesigneringssession. Bemærk, at i eksemplerne anvendes keyring.debian.org som nøgleserver (keyserver). Hvis den pågældende nøgle ikke er i Debians nøglering (keyring), udskiftes keyring.debian.org med en offentlig nøgleserver såsom wwwkeys.pgp.net (der på trods af navnet også opbevarerer GnuPG-nøgler).

Man bør kun signere en nøgle under mindst to betingelser:

1. Nøglens ejer overbeviser den der skal underskrive, at identiteten i UID virkelig virkelig er vedkommendes egen, ud fra de beviser som underskriveren er villig til at tage for gode varer. Normalt betyder dette at nøglens ejer skal fremvise et myndighedsudstedt id-kort indeholdende et billede og oplysninger som svarer til nøglens ejers oplysninger. (Nogle underskrivere véd at mydighedsudstedte id-kort er nemme at forfalske og at den udstedende myndigheds troværdighed er tvivlsom, og kan derfor kræve yderligere og/eller alternativt identitetsbevis.)
2. Nøglens ejer kontrollerer at fingeraftrykket og længden på nøglen der skal signeres virkelig er vedkommendes egen.

Vigtigst af alt, hvis nøglens ejer ikke aktivt deltager i udvekslingen, vil du ikke være i stand til at fuldføre enten krav et eller to. Ingen kan på nøglens ejers vegne fuldføre krav et, da alle og enhver med et stjålent id-kort ellers nemt kunne få fat på en PGP-nøgle og give sig ud for at være en repræsentant for nøglens ejer. Ingen kan fuldføre nøgleejerens del af krav to på nøgleejerens vegne, da en repræsentant kan have udskiftet fingeraftrykket med et tilhørende en anden PGP-nøgle påsat nøgleejerens navn, og få nogen til at signere en forkert nøgle.

• Du skal bruge en udskift af GnuPG-fingeraftrykket, nøglelængden og et id-kort for at bevise din identitet (pas, kørekort, eller lignende).
• Fingeraftrykkene og nøglelængderne gives til andre mennesker som bør signere din nøgle efter mødet.
• Hvis du endnu ikke har en GnuPG-nøgle, fremstil en med gpg --gen-key.
• Signér kun en nøgle hvis identiten på den person, hvis nøgle skal signeres er bevist.
• Efter mødet skal du hente GnuPG-nøglen for at signere den. Følgende kan være en hjælp:

        gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
  

  Bemærk at vi kan bruge de sidste otte hexadecimale tal fra fingeraftrykket i denne og andre GnuPG-operationer. Det foranstillede 0x er også valgfrit.

• For at signere en nøgle skal du gå ind i edit-menuen med

         gpg --edit-key 0xDEADBEEF
  

• I GnuPG vælges alle uid'er der skal signeres med uid n, hvor n er nummeret på uid'en der vises i menuen. Du kan også vælge tasten 'enter' for at signere alle uid'erne.
• Skriv sign for at signere en nøgle. Du vil se fingeraftrykket og længden på nøglen; du skal sammenligne den med nøglen du fik fra vedkommende du mødte.
• Når du bliver spurgt om certifikationsniveauet, svar "casual".
• Afslut GnuPG med quit
• For at kontrollere at du har signeret nøglen korrekt, kan du:

         gpg --list-sigs 0xDEADBEEF
  

  Du bør se dit eget navn og fingeraftryk (i kort form) som uddata.

• Når du har sikret dig at alt gik godt, kan du indsende den signerede nøgle til dens modtager ved at gøre følgende:

        gpg --export -a 0xDEADBEEF > ennoegle.key
  

  Valgmuligheden -a eksporterer nøglen i ASCII-format så den kan sendes som e-mail uden risiko for at den bliver ødelagt.

• Hvis nogen signerer din nøgle på denne måde, kan du tilføje den til Debians nøglering ved at gøre følgende:

        gpg --import --import-options merge-only mysigned.key
        gpg --keyserver keyring.debian.org --send-keys <din nøgles id>
  

  Det kan tage et stykke tid før vedligeholderne af nøgleringen opdaterer din nøgle, så hav tålmodighed. Du bør også overfør din opdaterede nøgle til de offentlige nøgle-servere.

Debian-pakken signing-party indeholder nogle værktøjer der kan hjælpe med processen. gpg-key2ps forvandler en GnuPG-nøgle til en Postscript-fil til udskrift på papirlapper med din nøgles fingeraftryk, og gpg-mailkeys sender en signeret nøgle til sin ejermand. Pakken indeholder også caff der er et mere avanceret værktøj. Se pakkens dokumentation for flere oplysninger.

Hvad du ikke bør gøre

Du bør aldrig signere en nøgle som tilhører nogen du ikke har mødt personligt. Det ødelægger formålet med pålidelighedsnetværket at signere en nøgle baseret på andet end førstehåndsoplysninger. Hvis en af dine venner viser dit id-kort og dine fingeraftryk til andre udviklere, hvad har de som forbinder fingeraftrykket med id-kortet? De har kun din vens ord, og de andre signaturer på din nøgle -- det er lige så dårligt som at signere en nøgle bare fordi andre har gjort det!

Det er rart at få flere signaturer på sin nøgle, og det er fristende at snyde lidt. Men det er vigtigere at have troværdige signaturer, end at have mange signaturer, så det er meget vigtigt at vi er så omhyggelige som muligt med nøglesigneringsproceduren. At signere en eller andens nøgle er en bekræftelse på at du har førstehåndsbeviser på nøglens ejers identitet. Hvis du signerer nøglen uden at være overbevist kan man ikke længere stole på pålidelighedsnetværket.

Tilbage til Debian-projektets hjemmeside.