#use wml::debian::template title="Nøglesignering" #use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
Da mange udviklere mødes på fagmesser og konferencer er det blevet en god måde at få andre til at signere ens GnuPG-nøgle og forbedre pålidelighedsnetværket. Specielt for folk der er nye i projektet, har nøglesignering og det at mødes med andre udviklere været meget interessant.
Dette dokument vil hjælpe dig med at afholde en nøglesigneringssession.
Bemærk, at i eksemplerne anvendes keyring.debian.org
som
nøgleserver (keyserver). Hvis den pågældende nøgle ikke er i Debians nøglering
(keyring), udskiftes keyring.debian.org
med en offentlig
nøgleserver såsom wwwkeys.pgp.net
(der på trods af navnet også
opbevarerer GnuPG-nøgler).
Man bør kun signere en nøgle under mindst to betingelser:
Vigtigst af alt, hvis nøglens ejer ikke aktivt deltager i udvekslingen, vil du ikke være i stand til at fuldføre enten krav et eller to. Ingen kan på nøglens ejers vegne fuldføre krav et, da alle og enhver med et stjålent id-kort ellers nemt kunne få fat på en PGP-nøgle og give sig ud for at være en repræsentant for nøglens ejer. Ingen kan fuldføre nøgleejerens del af krav to på nøgleejerens vegne, da en repræsentant kan have udskiftet fingeraftrykket med et tilhørende en anden PGP-nøgle påsat nøgleejerens navn, og få nogen til at signere en forkert nøgle.
gpg --gen-key
.
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Bemærk at vi kan bruge de sidste otte hexadecimale tal fra fingeraftrykket i denne og andre GnuPG-operationer. Det foranstillede 0x er også valgfrit.
gpg --edit-key 0xDEADBEEF
uid n
, hvor
n
er nummeret på uid'en der vises i menuen. Du kan også vælge
tasten 'enter' for at signere alle uid'erne.sign
for at signere en nøgle. Du vil se fingeraftrykket
og længden på nøglen; du skal sammenligne den med nøglen du fik fra
vedkommende du mødte.
quit
gpg --list-sigs 0xDEADBEEF
Du bør se dit eget navn og fingeraftryk (i kort form) som uddata.
gpg --export -a 0xDEADBEEF > ennoegle.key
Valgmuligheden -a
eksporterer nøglen i ASCII-format så den
kan sendes som e-mail uden risiko for at den bliver ødelagt.
gpg --import --import-options merge-only mysigned.key gpg --keyserver keyring.debian.org --send-keys <din nøgles id>
Det kan tage et stykke tid før vedligeholderne af nøgleringen opdaterer din nøgle, så hav tålmodighed. Du bør også overfør din opdaterede nøgle til de offentlige nøgle-servere.
Debian-pakken \ signing-party indeholder nogle værktøjer der kan hjælpe med processen. gpg-key2ps forvandler en GnuPG-nøgle til en Postscript-fil til udskrift på papirlapper med din nøgles fingeraftryk, og gpg-mailkeys sender en signeret nøgle til sin ejermand. Pakken indeholder også caff der er et mere avanceret værktøj. Se pakkens dokumentation for flere oplysninger.
Du bør aldrig signere en nøgle som tilhører nogen du ikke har mødt personligt. Det ødelægger formålet med pålidelighedsnetværket at signere en nøgle baseret på andet end førstehåndsoplysninger. Hvis en af dine venner viser dit id-kort og dine fingeraftryk til andre udviklere, hvad har de som forbinder fingeraftrykket med id-kortet? De har kun din vens ord, og de andre signaturer på din nøgle -- det er lige så dårligt som at signere en nøgle bare fordi andre har gjort det!
Det er rart at få flere signaturer på sin nøgle, og det er fristende at snyde lidt. Men det er vigtigere at have troværdige signaturer, end at have mange signaturer, så det er meget vigtigt at vi er så omhyggelige som muligt med nøglesigneringsproceduren. At signere en eller andens nøgle er en bekræftelse på at du har førstehåndsbeviser på nøglens ejers identitet. Hvis du signerer nøglen uden at være overbevist kan man ikke længere stole på pålidelighedsnetværket.