1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
|
#use wml::debian::template title="Nøglesignering"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
<p>Da mange udviklere mødes på fagmesser og konferencer er det blevet en god
måde at få andre til at signere ens GnuPG-nøgle og forbedre
pålidelighedsnetværket. Specielt for folk der er nye i projektet, har
nøglesignering og det at mødes med andre udviklere været meget interessant.</p>
<p>Dette dokument vil hjælpe dig med at afholde en nøglesigneringssession.
Bemærk, at i eksemplerne anvendes <code>keyring.debian.org</code> som
nøgleserver (keyserver). Hvis den pågældende nøgle ikke er i Debians nøglering
(keyring), udskiftes <code>keyring.debian.org</code> med en offentlig
nøgleserver såsom <code>wwwkeys.pgp.net</code> (der på trods af navnet også
opbevarerer GnuPG-nøgler).</p>
<p>Man bør kun signere en nøgle under mindst to betingelser:</p>
<ol>
<li>Nøglens ejer overbeviser den der skal underskrive, at identiteten i UID
virkelig virkelig er vedkommendes egen, ud fra de beviser som
underskriveren er villig til at tage for gode varer. Normalt betyder dette
at nøglens ejer skal fremvise et myndighedsudstedt id-kort indeholdende et
billede og oplysninger som svarer til nøglens ejers oplysninger. (Nogle
underskrivere véd at mydighedsudstedte id-kort er nemme at forfalske og
at den udstedende myndigheds troværdighed er tvivlsom, og kan derfor kræve
yderligere og/eller alternativt identitetsbevis.)</li>
<li>Nøglens ejer kontrollerer at fingeraftrykket og længden på nøglen der skal
signeres virkelig er vedkommendes egen.</li>
</ol>
<p>Vigtigst af alt, hvis nøglens ejer ikke aktivt deltager i udvekslingen, vil du
ikke være i stand til at fuldføre enten krav et eller to. Ingen kan på nøglens
ejers vegne fuldføre krav et, da alle og enhver med et stjålent id-kort ellers
nemt kunne få fat på en PGP-nøgle og give sig ud for at være en repræsentant
for nøglens ejer. Ingen kan fuldføre nøgleejerens del af krav to på
nøgleejerens vegne, da en repræsentant kan have udskiftet fingeraftrykket med
et tilhørende en anden PGP-nøgle påsat nøgleejerens navn, og få nogen til at
signere en forkert nøgle.</p>
<ul>
<li>Du skal bruge en udskift af GnuPG-fingeraftrykket, nøglelængden og et
id-kort for at bevise din identitet (pas, kørekort, eller lignende).
</li>
<li>Fingeraftrykkene og nøglelængderne gives til andre mennesker som bør signere
din nøgle efter mødet.
</li>
<li>Hvis du endnu ikke har en GnuPG-nøgle, fremstil en med
<code>gpg --gen-key</code>.
</li>
<li>Signér kun en nøgle hvis identiten på den person, hvis nøgle skal signeres
er bevist.</li>
<li>Efter mødet skal du hente GnuPG-nøglen for at signere den. Følgende kan
være en hjælp:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Bemærk at vi kan bruge de sidste otte hexadecimale tal fra
fingeraftrykket i denne og andre GnuPG-operationer. Det foranstillede
<tt>0x</tt> er også valgfrit.</p>
</li>
<li>For at signere en nøgle skal du gå ind i edit-menuen med
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li>I GnuPG vælges alle uid'er der skal signeres med <code>uid n</code>, hvor
<code>n</code> er nummeret på uid'en der vises i menuen. Du kan også vælge
tasten 'enter' for at signere alle uid'erne.</li>
<li>Skriv <code>sign</code> for at signere en nøgle. Du vil se fingeraftrykket
og længden på nøglen; du skal sammenligne den med nøglen du fik fra
vedkommende du mødte.
</li>
<li>Når du bliver spurgt om certifikationsniveauet, svar "casual".</li>
<li>Afslut GnuPG med <code>quit</code></li>
<li>For at kontrollere at du har signeret nøglen korrekt, kan du:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Du bør se dit eget navn og fingeraftryk (i kort form) som uddata.</p>
</li>
<li>Når du har sikret dig at alt gik godt, kan du indsende den signerede nøgle
til dens modtager ved at gøre følgende:
<pre>
gpg --export -a 0xDEADBEEF > ennoegle.key
</pre>
<p>Valgmuligheden <code>-a</code> eksporterer nøglen i ASCII-format så den
kan sendes som e-mail uden risiko for at den bliver ødelagt.</p>
</li>
<li>Hvis nogen signerer din nøgle på denne måde, kan du tilføje den til Debians
nøglering ved at gøre følgende:
<pre>
gpg --import --import-options merge-only mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><din nøgles id></var>
</pre>
<p>Det kan tage et stykke tid før vedligeholderne af nøgleringen opdaterer
din nøgle, så hav tålmodighed. Du bør også overfør din opdaterede nøgle
til de offentlige nøgle-servere.</p>
</li>
</ul>
<p>Debian-pakken <a href="https://packages.debian.org/signing-party">\
signing-party</a> indeholder nogle værktøjer der kan hjælpe med processen.
<tt>gpg-key2ps</tt> forvandler en GnuPG-nøgle til en Postscript-fil til
udskrift på papirlapper med din nøgles fingeraftryk, og <tt>gpg-mailkeys</tt>
sender en signeret nøgle til sin ejermand. Pakken indeholder også <tt>caff</tt>
der er et mere avanceret værktøj. Se pakkens dokumentation for flere
oplysninger.</p>
<h3>Hvad du ikke bør gøre</h3>
<p>Du bør aldrig signere en nøgle som tilhører nogen du ikke har mødt
personligt. Det ødelægger formålet med pålidelighedsnetværket at signere en
nøgle baseret på andet end førstehåndsoplysninger. Hvis en af dine venner
viser dit id-kort og dine fingeraftryk til andre udviklere, hvad har de som
forbinder fingeraftrykket med id-kortet? De har kun din vens ord, og de andre
signaturer på din nøgle -- det er lige så dårligt som at signere en nøgle bare
fordi andre har gjort det!
</p>
<p>Det er rart at få flere signaturer på sin nøgle, og det er fristende at
snyde lidt. Men det er vigtigere at have troværdige signaturer, end at have
mange signaturer, så det er meget vigtigt at vi er så omhyggelige som muligt
med nøglesigneringsproceduren. At signere en eller andens nøgle er en
bekræftelse på at du har førstehåndsbeviser på nøglens ejers identitet. Hvis
du signerer nøglen uden at være overbevist kan man ikke længere stole på
pålidelighedsnetværket.
</p>
|
