PGPKeysigningParty
出自DebianWiki
目錄 |
[編輯] 前言
PGPKeysigningParty 是為了增進台灣自由軟體社群活絡,加強社群互信機制而舉辦。需要更多資訊請參考 Keysigning Party HOWTO。最新的一次 Party 是 2003 年 8 月 16 日連同 DebianBirthdayParty2003 舉辦。
歡迎你先取得你的 PGP Key 與大家先行交換名片,識別身份。未來即可不用特地再碰面檢驗身份。請將你的 key 放在以下表格。並帶來一份紙本的金鑰資訊。大會形式採行去中心化的金鑰簽署大會。
我們並不為打算在聚會之後馬上為每個人簽署,如果你希望誰誰幫你簽署,請先以網路徵詢他的意見。也請參加的朋友只簽署你信任的朋友,我們需要時間來驗證人格、友情與實力。
[編輯] 簽署須知
[編輯] 前戲
- 請先作一把鑰匙出來。簡單的操作請參考
- 把你的金鑰丟上 pgp.mit.edu。
gpg --keyserver key_server --send-keys keyid
[編輯] 上場表演
- 你必須到場,這件事情無法透過虛擬網絡進行,我們需要實際世界的社交經驗。
- 帶著可以證明你個人身份的證件,像是身份證、駕照或護照。上面最好有你的相片。
- 把你的 key id, hex fingerrint, type, size 等資訊列印出來成小張紙條。你可以安裝 DebianPackages:signing-party 並使用其中的指令 gpg-key2ps 來輔助你產生這種紙條的 PS(Post Script) 檔案。它看起來會像是 http://kalug.linux.org.tw/~chihchun/Profile/pgp-key.ps
- 如果你的 gpg-key2ps 跑起來相當緩慢,請暫時移掉巨大的 key-ring。
- 如果你用 windows,請準備印出 key id/fpr 的紙條即可。格式不同無妨。
- 一隻筆。紀錄一些當場的知道的訊息。
- 不需要也不用帶電腦來。千萬不在當場在電腦上進行新鑰產生或簽署。
- 你不該帶電腦來,因為執行檔的假冒或是系統的竄改是最容易破壞 PGP 機制的方法。
- 如果某個人帶了可攜式電腦出現,而且每個人都當場用那台電腦來簽署對方的金鑰,誰也不知道那台電腦是不是裝了甚麼奇怪的按鍵紀錄軟體,或是修改過的 GPG,甚至核心,更可能被置換了一個邪惡的鍵盤等任何可能竊取私鑰的東西在那電腦上。
- 帶了你的電腦來,很有機會被小惡魔入侵,或是遭受其他物理上的攻擊,像是肩窺(shoulder surfing),或是破解脆弱的私鑰,金鑰的竄改、甚至你還可能遭受病毒攻擊換掉你的 GPG 程式。也非常有可能經過無線網路而洩漏那些機要的訊息。
[編輯] 後戲
- 當你取得對方的金鑰資訊後,請在回家之後仔細的校對你的紙條與存在你的 keyring 中的金鑰是否相符。你可以這樣作
$ gpg --edit jesse[at]debian.org.tw gpg (GnuPG) 1.2.2; Copyright (C) 2003 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. pub 1024D/7B0B2308 製造於: 2003-06-23 使用期限: 永遠不過期 信任: -/- sub 2048g/A0069292 製造於: 2003-06-23 使用期限: 永遠不過期 (1). Wen-chien Jesse Sung <jesse[at]debian.org.tw> (2) Wen-chien Jesse Sung <jesse[at]cola.voip.idv.tw> 指令> check uid Wen-chien Jesse Sung <jesse[at]debian.org.tw> sig!3 7B0B2308 2003-07-02 [自我簽章] uid Wen-chien Jesse Sung <jesse[at]cola.voip.idv.tw> sig!3 7B0B2308 2003-06-23 [自我簽章] 指令> fpr pub 1024D/7B0B2308 2003-06-23 Wen-chien Jesse Sung <jesse[at]debian.org.tw> 主鑰指紋: 2A98 F5DE 5785 2C21 AEEA D7F0 959F C938 7B0B 2308
- 在你確認無誤後,便可以正式的簽署這把鑰匙,這是一個神聖的程序,所以 GPG 會詢問你相當多問題。
指令> sign
真的要簽署所有的使用者 ID 嗎? y
pub 1024D/7B0B2308 製造於: 2003-06-23 使用期限: 永遠不過期 信任: -/-
主鑰指紋: 2A98 F5DE 5785 2C21 AEEA D7F0 959F C938 7B0B 2308
Wen-chien Jesse Sung <jesse[at]debian.org.tw>
Wen-chien Jesse Sung <jesse[at]cola.voip.idv.tw>
妳有多謹慎檢查正要簽署的金鑰確實屬於上面那個人的名字呢?
如果妳不知道這個問題的答案,請輸入「0」。
(0) 我不作答。 (預設)
(1) 我根本沒有檢查過。
(2) 我隨意檢查過了。
(3) 我非常小心地檢查過了。
妳要選哪一個? 3
妳真的確定要簽署這把金鑰
用妳的金鑰: "Rex Tsai <chihchun[at]debian.org.tw>"
我非常小心地檢查過這把金鑰了。
真的要簽署嗎? y
妳需要下列使用者的密碼串,纔能解開私鑰:
"Rex Tsai <chihchun[at]debian.org.tw>"
1024 位元 DSA ID E3F86E4C 的金鑰,建立於 2002-08-13
指令> save
- 完成簽署並存檔後,如果你使用 Debian 請使用 gpg-mailkeys,參數為你剛簽署完的金鑰 UID,這個指令會將更新過的鑰匙寄給擁有者。
$ gpg-mailkeys jesse[at]debian.org.tw [jesse[at]debian.org.tw] gpg: 正在檢查信任資料庫 gpg: 正在檢查深度 0 簽署=5 ot(-/q/n/m/f/u)=0/0/0/0/0/2 gpg: 正在檢查深度 1 簽署=0 ot(-/q/n/m/f/u)=5/0/0/0/0/0 gpg: 因為 2004-03-13 進行下一個資料庫檢查 Wen-chien Jesse Sung <jesse[at]debian.org.tw>: sending done.
- 然後請你將更新過的金鑰送上 key server,以便 Keysigning Party 協調者繪出信任網。如果你可以發信通知協調者更好。
$ gpg --keyserver pgp.mit.edu --send-keys jesse[at]debian.org.tw gpg: 成功地傳送到 `pgp.mit.edu' (狀態=200)
- 如果你是金鑰擁有者,在你收到對方給你的信件後,請將信件存檔並用以下指令來匯入新金鑰資訊
gpg --import filename
- 如果為你簽署的人並未把 key 寄給你,那麼你也可以從 key server 上取得新鑰。
gpg --keyserver key_server --recv-keys your_key_id
![[Main Page]](/upload/4/49/Debian_taiwan_out.png)
