Ivan Sichmann Freitas <[email protected]> wrote: >Postando aqui a proposta para a keysigning party para revisão, eu sigo >aqui as recomendações do Debian e afins. A priori eu estava pensando em >vinculá-la ao SFD (vulgo, no sábado) já que <egoísmo> é o dia que eu >tenho mais tempo </egoísmo>, mas da forma que eu a proponho ela não >precisa de uma organização centralizada, então seria possível >realizá-la >também durante a sexta do upstream. O que acham? > >BEGIN > >== Organização == > > - Cada participante interessado deve, *antes* do evento, fazer: > > - Criar o seu próprio par de chaves gpg (se já não o possuir) > > $ gpg --gen-key > > - Exportar a chave pública para um servidor de chaves > > $ gpg --send-keys <Key ID> > > - Imprimir o fingerprint da chave em tiras de papel para serem > distribuídas aos outros participantes interessados durante o > evento. Aqui, existe um pacote do Debian [1] que gera um postscript > a partir de uma chave, com o comando `key2ps`. > > - Durante o evento: > > - Trazer 2 documentos com foto expedidos por órgãos governamentais. > - Trazer o fingerprint impresso da chave, criado anteriormente. > - Durante os intervalos livres do evento, procurar outros > participantes, e caso eles tenham se preparado para a assinatura de > chaves, trocar o fingerprint impresso e *conferir* os documentos da > pessoa, aferindo sua identidade. > > - Depois (ou durante) o evento: > > - Obter a chave dos participantes que providenciaram identificação e > fingerprint > > $ gpg --recv-keys <Key ID> > > - Verificar se as informações da chave coincidem com a do fingerprint > impresso > > $ gpg --fingerprint <Key ID> > > - Caso as informações coincidam e foi possível garantir a identidade > da pessoa, assine sua chave > > $ gpg --sign-key <Key ID> > > - Enviar a chave de volta ao servidor de chaves > > $ gpg --send-keys <Key ID> > > - Ser feliz. > >=== Observações === > >Se você não quiser publicar sua chave pública em um keyserver, traga >também o arquivo da chave ou disponibilize-o de alguma forma àqueles >que >quiserem assiná-la. Se você for assinar uma chave que não está em um >keyserver, *NÃO* envie a chave para o keyserver, mas crie uma >assinatura >em arquivo e envie por email ao dono da chave: > > $ gpg --sign-key <Key ID> > $ gpg --armor --output arquivo_assinatura.asc --export <Key ID> >
Recomendo o caff do pacote signing-party. Assina e manda o email depois de uma breve sessão interativa. Automatiza bem o processo. Abraços. Cascardo. >== Diretivas para assinatura == > >A apresentação de dois documentos de identidade com foto expedidos pelo >governo pode parecer exagerada mas é o mínimo necessário para garantir >a >confiança entre duas pessoas desconhecidas. Você pode até diminuir essa >exigência em relação à alguém que você já conheça faz tempo e que você >confie, mas lembre-se que a veracidade e garantia das assinaturas é >necessária à manutenção da Web of Trust, então seja responsável. > >Ainda, se você esqueceu documentação ou o fingerprint impresso, nada >impede que você assine a chave de outras pessoas. > >[1]: http://packages.debian.org/wheezy/signing-party > >END
