#use wml::debian::template title="Sleutels tekenen" #use wml::debian::translation-check translation="c4faf7d38264352c8c2861edac022312c173ab7e" # Last Translation update by $Author$ # Last Translation update at $Date$
Omdat veel ontwikkelaars elkaar ontmoeten op beurzen of conferenties kan men daar op een leuke manier elkaars OpenPGP-sleutels tekenen en het vertrouwensweb uitbreiden. Vooral voor nieuwe mensen is sleutels tekenen en andere ontwikkelaars ontmoeten zeer interessant.
Dit document is er om u te helpen met het opzetten van een sessie om
sleutels tekenen. Merk op dat alle voorbeelden keyring.debian.org
gebruiken als sleutelserver. Als de sleutel in kwestie niet in de
Debian-sleutelring is, vervang dan keyring.debian.org
door
een publieke sleutelserver zoals keys.openpgp.org
(die een
validerende sleutelserver is).
Men zou enkel sleutels mogen tekenen als tenminste twee voorwaarden zijn vervuld:
Het belangrijkste is dat als er sleuteleigenaars zijn die niet actief participeren in de uitwisseling, dan zijn noch vereiste 1, noch 2 vervuld. Niemand kan het aandeel van de sleuteleigenaar van vereiste 1 doen in plaats van de eigenaar, omdat anders iedereen met een gestolen identiteitskaart gemakkelijk een bijhorende OpenPGP-sleutel kan verkrijgen door zich voor te doen als een vertegenwoordiger van de eigenaar. Niemand kan het aandeel van de sleuteleigenaar van vereiste 2 doen in plaats van de eigenaar want de vertegenwoordiger kan de vingerafdruk vervangen door die van een andere OpenPGP-sleutel die de naam van de sleuteleigenaar bevat en zo de verkeerde sleutel laten tekenen.
gpg --gen-key
.
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Merk op dat we de laatste acht hexadecimale cijfers van de vingerafdruk kunnen gebruiken bij deze en andere GnuPG-bewerkingen. De 0x vooraan is ook optioneel.
gpg --edit-key 0xDEADBEEF
uid n
, waar n
het volgnummer van de in het
menu getoonde uid is. U kunt ook op enter drukken om alle uid's te
tekenen.sign
in. Dan moet u
de vingerafdruk en de sleutellengte van de sleutel vergelijken met diegene
die u gekregen heeft van de sleuteleigenaar.
quit
gpg --list-sigs 0xDEADBEEF
U zou uw eigen naam en vingerafdruk (in de korte vorm) moeten zien in de uitvoer.
gpg --export -a 0xDEADBEEF > iemand.key
De -a
-optie exporteert de sleutel in het ASCII-formaat
zodat het verzonden kan worden zonder de mogelijkheid op corruptie.
gpg --import --import-options merge-only getekend.key gpg --keyserver keyring.debian.org --send-keys <uw sleutel-id>
Het kan een tijd duren voordat de sleutelringbeheerders uw sleutel bijwerken, dus wees geduldig. U zendt uw sleutel best ook naar de publieke sleutelservers.
Het signing-party Debian-pakket bevat enkele hulpprogramma's voor dit proces. gpg-key2ps maakt een PostScript-bestand uit een OpenPGP-sleutel om papieren strookjes te printen met uw vingerafdruk. gpg-mailkeys zal een ondertekende sleutel verzenden naar de eigenaar. Het pakket bevat ook caff: een geavanceerder hulpprogramma. Zie de pakketdocumentatie voor meer informatie.
U mag nooit een sleutel tekenen van iemand die u niet persoonlijk ontmoet heeft. Een sleutel tekenen gebaseerd op iets anders dan eerstehandsinformatie vernietigt de bruikbaarheid van het vertrouwensweb (Web of Trust). Als uw vriend uw identiteitskaart en vingerafdruk aan andere ontwikkelaars presenteert, maar u bent daar niet om na te kijken dat de vingerafdruk van u is, wat moeten de andere ontwikkelaars dan doen om de vingerafdruk met uw identiteit te linken? Ze hebben enkel het woord van uw vriend en de andere handtekeningen op uw sleutel -- dit is niet beter dan dat ze uw sleutel zouden tekenen omdat andere mensen ze hebben getekend!
Het is leuk om meer handtekeningen op uw sleutel te krijgen en het is aanlokkelijk om enkele hoeken af te snijden om daar te geraken. Maar betrouwbare handtekeningen zijn belangrijker dan veel handtekeningen, dus het is zeer belangrijk dat we het sleuteltekenproces zo puur mogelijk houden. Iemands anders sleutel tekenen is een aanwijzing dat u bewijs uit eerste-hand heeft van de identiteit van de sleuteleigenaar. Als u de sleutel tekent wanneer u het niet echt meent, dan kan het vertrouwensweb niet langer vertrouwd worden.