PGP Key Signing Party
Termín: Neděle 4.3 od 13:00 a místo bude upřesněno
Určitě jste se již setkali s PGP (Pretty Good Privacy) standardem. Podepisujete své emaily, commity v GITu, šifrujete svoji Jabber komunikaci? Přinejmenším Váš systém kontroluje zda balíčky které se chystáte instalovat mají validní podpis.
Přemýšleli jste ale nad tím jak ověřit že veřejná část klíče vašeho protějška je opravdu jeho, případně jak bezpečně předat svoji veřejnou část lidem s kterými komunikujete? Místo pochybných certifikačních ‘autorit’ si lidé v open source světě důvěřují navzájem a vzniká tzv. síť důvěry.
Podepsáním veřejné části cizího klíče dáte najevo, že jeho majiteli opravdu věříte, že jste si stoprocentně jisti jeho totožností. Stačí si s kamarády vyměnit otisky veřejných klíčů, porovnat je s těmi z internetu (key serveru), navzájem podepsat a uploadovat / odeslat zpět majiteli. Postupem času takhle sbíráte podpisy a Váš klíč (vy) nabývá na důvěryhodnosti.
Pojďme se potkat, prokázat si navzájem naše identity - občanský/řidičský průkaz, pas, či jiný doklad s fotografií a alespoň nějakou ochranou budou snad každému stačit. Dále si přineste malé papírky se jménem a otiskem veřejné části svého klíče aby celý proces proběhl co možná nejjednodušeji.
Jak postupovat před samotnou párty?
- Používejte identifikátor klíče v dlouhém formátu (důvod)
Do souboru~/.gnupg/gpg.conf
přidejte řádek
keyid-format 0xlong
- Pokud ještě klíč nemáte, vytvořte si jej
$ gpg --gen-key
Použijte RSA o délce 4096 bitů.
Pokud ztratíte soukromou část klíče nelze jej už zrušit.
Blíží-li se datum expirace můžete platnost klíče prodloužit. - Zjistěte ID svého klíče
$ gpg --list-secret-keys | grep sec
Řetězec, který hledáte, vypadá nějak takhle:0x65BDCDAB70974BA9
- Uploadujte veřejnou část svého klíče na key server
$ gpg --keyserver pool.sks-keyservers.net --send-key 0x65BDCDAB70974BA9
- Vygenerujte si fingerprint se svým jménem a otiskem veřejné části klíče
$ gpg --fingerprint 0x65BDCDAB70974BA9
- Vytiskněte tento fingerprint v dostatečném počtu, nastříhejte na proužky a vezměte ssebou
Jak postupovat doma po InstallFestu?
- Stáhněte si z keyserveru veřejnou část klíče svého protějška
$ gpg --keyserver pool.sks-keyservers.net --recv-keys 0xE79C9E1903ADD68E
- Podepište veřejnou část staženého klíče
$ gpg --edit-key 0xE79C9E1903ADD68E
Příkazemfpr
zkontrolujte zda se fingerprint shoduje
Příkazemsign
přidejte svůj podpis
Příkazemcheck
zkontrolujte zda je mezi podpisy i ten váš
Příkazemquit
ukončete interaktivní režim - Uploadujte klíč zpět na keyserver
$ gpg --keyserver pool.sks-keyservers.net --send-keys 0xE79C9E1903ADD68E
V každém případě se na nás neváhejte obrátit!
Ideálně by vše mělo být hotovo do 31. 3.
Děkujeme!