#use wml::debian::template title="Firmado de claves" #use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71" maintainer="David Moreno Garza"
Como muchos desarrolladores se conocen en estos eventos, éstos llegan a ser una buena manera para conseguir que la gente firme una firma GnuPG y mejorar la seguridad de la red. Para la gente nueva en el proyecto es especialmente interesante firmar las claves y conocer a los desarrolladores.
Este documento intenta ayudarle a llevar a cabo una sesión de firmado
de claves. Fíjese que todos los ejemplos usan
keyring.debian.org
como servidor de claves. Si la clave en
cuestión no está en el llavero de Debian, cambie
keyring.debian.org
por un servidor público de claves como
wwwkeys.pgp.net
(que pese al nombre también almacena claves
GnuPG.)
La gente sólo debería firmar una clave bajo al menos dos condiciones:
Aún más importante, si el dueño de la clave no participa directamente en el intercambio, no será capaz de completar ninguno de los requisitos 1 y 2. Nadie puede completar la parte del dueño de la clave del requisito 1 en vez del dueño de la clave, porque de lo contrario cualquiera con un documento de identidad robado puede conseguir con facilidad una clave PGP para hacerse pasar por alguien mandado de parte del dueño de la clave. Nadie puede completar la parte del dueño de la clave del requisito 2 en vez del dueño de la clave, ya que la persona podría sustituir la huella por una clave PGP diferente con el nombre del dueño de la clave en él y conseguir que alguien firme la clave equivocada.
gpg --gen-key
.
gpg --keyserver keyring.debian.org --recv-keys 0xLOQUESEA
Se pueden usar los ocho últimos dígitos hexadecimales de la huella en ésta y otras operaciones con GnuPG. El 0x también es opcional.
gpg --edit-key 0xLOQUESEA
uid n
,
donde n
es el número del uid mostrado en el menú. Puede
también presionar «enter» para firmar todos los uids. sign
. Entonces
verá la huella y la longitud de la llave con la que tiene que comparar
la que consiguió con la persona con la que se encontró.
quit
.
gpg --list-sigs 0xLOQUESEA
Debería ver su propio nombre y su huella (en la forma corta) en la salida.
gpg --export -a 0xLOQUESEA > la_clave_de_alguien
La opción -a
exporta la clave en ASCII, de modo que
pueda ser enviada por correo electrónico sin posibilidad de que se
corrompa.
gpg --import --import-options merge-only mi_clave_firmada gpg --keyserver keyring.debian.org --send-keys <su identificador de clave>
Puede llevar un tiempo que los mantenedores del anillo de claves actualicen su clave, por lo que sea paciente. Debería también enviar su clave actualizada a los servidores públicos.
El paquete signing-party de Debian provee algunas herramientas que le ayudan en este proceso. gpg-key2ps convierte una llave GnuPG en un archivo PostScript que le permitirá imprimir tarjetas con su huella, asimismo gpg-mailkeys envia una llave firmada, por correo, a su autor. El paquete también incluye caff que es una herramienta más avanzada. Vea la documentación del paquete para mayor información.
Nunca firme una clave de alguien a quien no haya conocido personalmente. Firmar una llave basándose en cualquier otra cosa que no sea el conocerse de primera mano destruye la utilidad del crédito de la red de confianza. Si unos amigos presentan a otros desarrolladores con su identificación y su huella, pero usted no está allí para comprobar que la huella le pertenece, ¿cómo pueden los otros desarrolladores asociar su huella con su identificación? Sólo tienen la palabra de los amigos, y la otra firma en su clave: ¡no es mejor que si ellos firman su clave sólo porque otra gente la haya firmado ya!
Está bien conseguir más firmas en una llave, y es tentador atajar, pero tener firmas de confianza es más importante que tener muchas, así que es muy importante mantener la pureza del proceso lo mejor que podamos. Firmar la clave de otros es una confirmación de que tiene la evidencia de primera mano de la identidad de la persona que tiene la clave. Si la firma cuando no lo conoce realmente, la confianza de la red no podrá mantenerse segura.