Actos importantes relacionados con Debian / Firmado de claves

Firmado de claves

Como muchos desarrolladores se conocen en estos eventos, éstos llegan a ser una buena manera para conseguir que la gente firme una firma GnuPG y mejorar la seguridad de la red. Para la gente nueva en el proyecto es especialmente interesante firmar las claves y conocer a los desarrolladores.

Este documento intenta ayudarle a llevar a cabo una sesión de firmado de claves. Fíjese que todos los ejemplos usan keyring.debian.org como servidor de claves. Si la clave en cuestión no está en el llavero de Debian, cambie keyring.debian.org por un servidor público de claves como wwwkeys.pgp.net (que pese al nombre también almacena claves GnuPG.)

La gente sólo debería firmar una clave bajo al menos dos condiciones:

1. El dueño de la clave convence al que firma de que la identificación en el UID es efectivamente su propia identificación por cualquier evidencia que sea aceptada por el que firma como convincente. Normalmente esto significa que el dueño de la clave debe presentar un documento identificativo expedido por las autoridades con una fotografía e información que concuerde con el dueño de la clave. (Alguna de las personas que firman saben que estos documentos son habitualmente olvidados y que la seguridad de las documentos gubernamentales a menudo es sospechosa y así es posible que se requieran evidencias alternativas y/o adicionales de la identidad).
2. El dueño de la clave verifica que la huella de la firma y la longitud de la clave que va a ser firmada es efectivamente la suya.

Aún más importante, si el dueño de la clave no participa directamente en el intercambio, no será capaz de completar ninguno de los requisitos 1 y 2. Nadie puede completar la parte del dueño de la clave del requisito 1 en vez del dueño de la clave, porque de lo contrario cualquiera con un documento de identidad robado puede conseguir con facilidad una clave PGP para hacerse pasar por alguien mandado de parte del dueño de la clave. Nadie puede completar la parte del dueño de la clave del requisito 2 en vez del dueño de la clave, ya que la persona podría sustituir la huella por una clave PGP diferente con el nombre del dueño de la clave en él y conseguir que alguien firme la clave equivocada.

• Necesita imprimir su huella GnuPG, longitud de las llaves y un documento que lo identifique (pasaporte, carné de conducir o similar).
• Hay que dar las huellas y las longitudes de las llaves a otras personas que deben firmar su llave después del encuentro.
• Si no tiene una clave GnuPG aún, cree una con gpg --gen-key.
• Firme sólo una clave si la identidad de la persona cuya llave firma está comprobada.
• Después del encuentro tendrá que ir a buscar la clave GnuPG para firmarla. Lo siguiente le debería ayudar:

         gpg --keyserver keyring.debian.org --recv-keys 0xLOQUESEA
  

  Se pueden usar los ocho últimos dígitos hexadecimales de la huella en ésta y otras operaciones con GnuPG. El 0x también es opcional.

• Para firmar la llave, entre en el menú de edición con

         gpg --edit-key 0xLOQUESEA
  

• En GnuPG seleccione todos los uids para firmar con uid n, donde n es el número del uid mostrado en el menú. Puede también presionar «enter» para firmar todos los uids.
• Para firmar una llave, introduzca sign. Entonces verá la huella y la longitud de la llave con la que tiene que comparar la que consiguió con la persona con la que se encontró.
• Cuando se le pregunte el nivel de certificación, elija "casual".
• Salga de GnuPG con quit.
• Para verificar que ha firmado la clave correctamente, puede:

  	gpg --list-sigs 0xLOQUESEA
  

  Debería ver su propio nombre y su huella (en la forma corta) en la salida.

• Una vez que esté seguro de que todo ha ido bien, puede enviar la clave firmada a su propietario haciendo:

         gpg --export -a 0xLOQUESEA > la_clave_de_alguien
  

  La opción -a exporta la clave en ASCII, de modo que pueda ser enviada por correo electrónico sin posibilidad de que se corrompa.

• Si alguien firma su clave de este modo, puede añadirla al anillo de Debian haciendo:

         gpg --import --import-options merge-only mi_clave_firmada
         gpg --keyserver keyring.debian.org --send-keys <su identificador de clave>
  

  Puede llevar un tiempo que los mantenedores del anillo de claves actualicen su clave, por lo que sea paciente. Debería también enviar su clave actualizada a los servidores públicos.

El paquete signing-party de Debian provee algunas herramientas que le ayudan en este proceso. gpg-key2ps convierte una llave GnuPG en un archivo PostScript que le permitirá imprimir tarjetas con su huella, asimismo gpg-mailkeys envia una llave firmada, por correo, a su autor. El paquete también incluye caff que es una herramienta más avanzada. Vea la documentación del paquete para mayor información.

Lo que no debería hacer

Nunca firme una clave de alguien a quien no haya conocido personalmente. Firmar una llave basándose en cualquier otra cosa que no sea el conocerse de primera mano destruye la utilidad del crédito de la red de confianza. Si unos amigos presentan a otros desarrolladores con su identificación y su huella, pero usted no está allí para comprobar que la huella le pertenece, ¿cómo pueden los otros desarrolladores asociar su huella con su identificación? Sólo tienen la palabra de los amigos, y la otra firma en su clave: ¡no es mejor que si ellos firman su clave sólo porque otra gente la haya firmado ya!

Está bien conseguir más firmas en una llave, y es tentador atajar, pero tener firmas de confianza es más importante que tener muchas, así que es muy importante mantener la pureza del proceso lo mejor que podamos. Firmar la clave de otros es una confirmación de que tiene la evidencia de primera mano de la identidad de la persona que tiene la clave. Si la firma cuando no lo conoce realmente, la confianza de la red no podrá mantenerse segura.

Volver a la página principal de Debian.