Festa de firmes GPG

Propera festa de firmes

• El 5 de maig de 2018, en qualsevol moment de la Festa Biònica.

Observacions prèvies

Abans de començar caldria comprovar que teniu instal·lat GPG2:

gpg --version

Si amb l'ordre anterior observeu que teniu la versió 1, totes les ordres següents hauran de ser "gpg2" en lloc de "gpg" per tal d'utilitzar GPG 2.

També esmentar que els passos realitzats a continuació són per fer-ho el més simple possible. Si es vol realitzar una configuració una mica més segura podeu consultar les transparències del DLP (veure Enllaços d'interès).

Procediment de firma tradicional

Creació d'una nova clau

La creació és molt senzilla. Executeu això i seguiu les indicacions:

gpg --gen-key

Preparació prèvia

Signar una clau comporta molta responsabilitat ja que la confiança del sistema es basa en què tothom segueixi el procediment de forma correcta. Així doncs, abans de començar a seguir totes les passes que s'indiquen llegiu-vos tota l'explicació sencera (hi ha algunes observacions al final) i si n'hi ha cap que no l'enteneu o teniu dubtes, pregunteu a l'expert més proper.

Coses imprescindibles

Abans de signar la clau d'una altra persona heu d'haver fet 2 coses:

1. Assegurar-vos que aquesta persona és qui diu ser amb un document d'identitat amb una foto prou acceptable, per exemple el DNI.
2. Haver copiat el fingerprint i l'adreça de correu de la clau d'aquesta persona en un paper.

Per tal que us signin la vostra clau haureu d'haver fet això altre:

1. Haver donat les vostres dades de la clau als interessats.
2. Haver mostrat un document identificatiu conforme sou qui dieu ser.
3. Haver enviat la clau pública a un servidor o individualment per correu als interessats, si no voleu que la vostra clau estigui en cap dels servidors.

Difusió de les claus

De servidors de claus n'hi ha molts, però normalment es van passant les claus els uns als altres (tot i que no sempre passa). D'entre els més comuns hi ha els següents:

• subkeys.pgp.net: diversos servidors distribuïts geogràficament que comparteixen el mateix nom però tenen adreces IP diferents.

• pgp.mit.edu: un clàssic i el primer servidor de claus que es va crear.

• keyserver.ubuntu.com: per al cas dels ubuntaires que han signat el CodeOfConduct d'Ubuntu.

Tingueu en compte que l'identificador (ID) d'una clau són els 8 (o per més seguretat, 16) caràcters finals del fingerprint. Així, per enviar una clau pública al servidor cal fer això:

gpg --keyserver subkeys.pgp.net --send-keys VOSTREID

Per exportar la clau pública a un fitxer per a poder-la enviar per correu només heu de fer:

gpg --export VOSTREID > clau.gpg

Firma de les claus

Un cop hem completat totes les passes anteriors ja podeu procedir a signar les claus que us interessa. Per a cadascuna d'elles haureu de seguir les passes següents.

Cercar la clau

Si us han enviat la clau pública a signar per correu, descarregueu-la en un fitxer i importeu-la:

gpg --import clau.gpg

Però si la clau que voleu està en un servidor de claus, podeu importar-la directament del servidor:

gpg --keyserver subkeys.pgp.net --recv-keys ALTREID1 ALTREID2 ...

Fins i tot podeu cercar directament amb l'adreça de correu del propietari (normalment resulta més fàcil d'escriure i recordar que l'identificador de la clau):

gpg --keyserver subkeys.pgp.net --search-keys nom.cognom@example.com

Signar la clau

Un cop heu arribat fins aquí ja podeu realitzar el procediment de la signatura de la clau importada:

gpg --sign-key ALTREID1

Seguiu les indicacions que anireu trobant però sobretot llegiu atentament les preguntes, especialment quan us demani si heu verificat que les dades de la clau (l'adreça de correu i el fingerprint) són correctes. Si no sabeu què respondre i existeix un valor predeterminat a la pregunta, podeu acceptar-lo.

Difusió de la clau signada

Un cop signada la clau, la signatura només està al vostre ordinador i cal enviar-la, com a mínim al propietari original de la clau. Això es pot fer per correu, amb el procediment descrit anteriorment per a exportar una clau a un fitxer o a través d'un servidor de claus, si el propietari original ja hi tenia la clau publicada.

Eines d'ajuda

Existeixen diverses eines que ens faciliten la feina a les festes de signatures. La més destacable és el paquet signing-party, que es pot instal·lar des dels repositoris d'Ubuntu.

Exportar la clau per imprimir

Podem exportar la clau a un fitxer PostScript per tal d'imprimir-lo i portar-lo a la festa:

gpg-key2ps -1 -p a4 1A2B3C4D5E6F7G8H > out.ps

Aquest paquet també inclou l'eina caff, que automatitza el procés de signar i enviar claus, però si no estàs acostumat a treballar amb GPG no és massa trivial.

Eines d'entorn gràfic

• GTK: Seahorse
• Qt: KGpg

Enllaços d'interès

Si amb el breu resum d'aquesta pàgina no en teniu prou podeu consultar la wiki de Debian [0] o les transparències del taller realitzat al DLP 2017 [1].

[0]: https://wiki.debian.org/Keysigning

[1]: https://ftp.caliu.cat/pub/caliu/other/dlp2017/gpg.pdf