#use wml::debian::template title="Nyckelsignering" #use wml::debian::translation-check translation="c4faf7d38264352c8c2861edac022312c173ab7e"
Eftersom många utvecklare träffas på mässor eller konferenser har de blivit ett trevligt sätt att få andra att signera sina OpenPGP-nycklar och förbättra sitt tillitsnätverk. Speciellt har det varit mycket intressant att signera nycklar och möta andra utvecklare för de som är nya i projektet.
Följande lista är avsedd att hjälpa dig köra en
nyckelsigneringssession.
Observera att alla exempel använder keyring.debian.org
som
nyckelserver.
Om nyckeln i fråga inte finns i Debians nyckelring ersätter du
keyring.debian.org
med en allmän nyckelserver,
till exempel keys.openpgp.org
(som är en validerande
nyckelserver).
Man bör bara signera en nyckel som uppfyller åtminstone två villkor:
Det viktigaste är att om nyckelns ägare inte aktivt deltar i utbytet kan varken krav 1 eller 2 uppfyllas. Ingen kan utföra nyckelägarens del i krav 1, för då kan vem som helst med ett stulet ID-kort skapa en OpenPGP-nyckel till det och låtsas vara en bulvan för nyckelägaren. Ingen kan heller göra nyckelägarens del av krav 2, för då skulle bulvanen kunna byta ut fingeravtrycket till en annan OpenPGP-nyckel med nyckelägarens namn på, och få någon att signera fel nyckel.
gpg --gen-key
.
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Observera att du kan använda fingeravtryckets sista åtta hexadecimala siffror i detta kommando och i andra OpenPGP-funktioner. 0x framför talet är också frivilligt.
gpg --edit-key 0xDEADBEEF
uid n
,
där n
är numret på det användar-id som visas i menyn.
Du kan även välja att signera alla användar-id.sign
.
Du kommer därefter att visas fingeravtrycket för och längden på nyckeln,
jämför detta
med vad du fick från personen du mötte.
quit
gpg --list-sigs 0xDEADBEEF
Du skall nu se ditt namn och fingeravtryck (i sammanfattad form) i utdatat.
gpg --export -a 0xDEADBEEF > någons.key
Flaggan -a
exporterar nyckeln i ASCII-format så att den kan
sändas per e-post utan att riskera att förstöras.
gpg --import --import-options merge-only mysigned.key gpg --keyserver keyring.debian.org --send-keys <ditt nyckel-id>
Det kan ta ett tag för nyckelansvariga att uppdatera din nyckel, så var tålmodig. Du kan även sända in din uppdaterade nyckel till de allmänna nyckelservrarna.
Debianpaketet signing-party innehåller några verktyg som gör detta enklare. gpg-key2ps gör om en OpenPGP-nyckel till en PostScript-fil för att skriva ut pappersremsor med ditt fingeravtryck, och gpg-mailkeys e-postar en signerad nyckel till dess ägare. Paketet innehåller även caff som är ett mer avancerat verktyg. Se paketets dokumentation för vidare information.
Du skall aldrig signera en nyckel som tillhör någon du inte träffat personligen. Att signera en nyckel baserat på något annat än förstahandsinformation förstör användbarheten av tillitsnätverket. Om någon vän tar med ditt ID-kort och ditt fingeravtryck utan att du är där och intygar att fingeravtrycket är korrekt, hur kan andra utvecklare koppla identiteten till fingeravtrycket? Bara din väns ord och andra signaturer på din nyckel – det är lika illa som att signera nyckeln bara för att andra har gjort det!
Det är trevligt att ha fler signaturer på sin nyckel, och det är frestande att fuska lite på vägen. Men att ha pålitliga signaturer är viktigare än att ha många, så det är mycket viktigt att vi är så strikta vi kan med signeringsprocessen. Att signera någon annans nyckel är en försäkran om att du har förstahandsinformation om nyckelägarens identitet. Om du signerar utan att egentligen mena det, så är tillitsnätverket inte längre pålitligt.