1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
|
#use wml::debian::template title="Sleutels tekenen"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
# Last Translation update by $Author$
# Last Translation update at $Date$
<p>Omdat veel ontwikkelaars elkaar ontmoeten op beurzen of conferenties
kan men daar op een leuke manier elkaars GnuPG-sleutels tekenen en het
vertrouwensweb uitbreiden. Vooral voor nieuwe mensen is sleutels tekenen
en andere ontwikkelaars ontmoeten zeer interessant.</p>
<p>Dit document is er om u te helpen met het opzetten van een sessie om
sleutels tekenen. Merk op dat alle voorbeelden <code>keyring.debian.org</code>
gebruiken als sleutelserver. Als de sleutel in kwestie niet in de
Debian-sleutelring is, vervang dan <code>keyring.debian.org</code> door
een publieke sleutelserver zoals <code>subkeys.pgp.net</code> (die ondanks
de naam ook GnuPG-sleutels bewaart).</p>
<p>Men zou enkel sleutels mogen tekenen als tenminste twee voorwaarden zijn
vervuld:</p>
<ol>
<li>De sleuteleigenaars overtuigen de ondertekenaar dat de identiteit in het
UID inderdaad hun eigen identiteit is door bewijs voor te leggen dat
door de ondertekenaar aanvaard wordt. Gewoonlijk betekent dit dat de
sleuteleignaars een door de overheid uitgegeven identiteitsbewijs met foto en
informatie die overeenkomt met die op de sleutel moeten voorleggen. (Sommige
ondertekenaars weten dat identiteitsbewijzen uitgegeven door de overheid
gemakkelijk worden nagemaakt en dat de betrouwbaarheid van de
uitgevende overheden regelmatig verdacht is en dus kunnen ze bijkomend
en/of alternatief identiteitsbewijs vereisen).
</li>
<li>De sleuteleigenaars verifiëren dat de vingerafdruk en de lengte van de
sleutel die zal getekend worden inderdaad hun eigen is.
</li>
</ol>
<p>
Het belangrijkste is dat als er sleuteleigenaars zijn die niet actief
participeren in de uitwisseling, dan zijn noch vereiste 1, noch 2 vervuld.
Niemand kan het aandeel van de sleuteleigenaar van vereiste 1 doen in plaats
van de eigenaar, omdat anders iedereen met een gestolen identiteitskaart
gemakkelijk een bijhorende PGP-sleutel kan verkrijgen door zich voor te doen
als een vertegenwoordiger van de eigenaar. Niemand kan het aandeel van de
sleuteleigenaar van vereiste 2 doen in plaats van de eigenaar want de
vertegenwoordiger kan de vingerafdruk vervangen door die van een andere
sleutel die de naam van de sleuteleigenaar bevat en zo de verkeerde sleutel
laten tekenen.
</p>
<ul>
<li> U heeft uitgeprinte GnuPG-vingerafdrukken, sleutellengtes en een
identiteitsbewijs nodig (identiteitskaart, reispas, rijbewijs of
gelijkaardig).
</li>
<li> De vingerafdrukken en sleutellengtes worden uitgedeeld aan diegene die uw
sleutel wil tekenen na de bijeenkomst.
</li>
<li> Als u nog geen GnuPG-sleutel heeft, maak er dan één aan met
<code>gpg --gen-key</code>.
</li>
<li> Teken de sleutel alleen als de identiteit van de eigenaar bewezen is.
</li>
<li> Na de bijeenkomst dient u de GnuPG-sleutels af te halen om ze te kunnen
tekenen. Het volgende kan hierbij helpen:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Merk op dat we de laatste acht hexadecimale cijfers van de vingerafdruk
kunnen gebruiken bij deze en andere GnuPG-bewerkingen. De <tt>0x</tt>
vooraan is ook optioneel.</p>
</li>
<li> Om de sleutel te tekenen gaat u naar het bewerkingsmenu met
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li> In GnuPG selecteert u alle uid's die u gaat tekenen met
<code>uid n</code>, waar <code>n</code> het volgnummer van de in het
menu getoonde uid is. U kunt ook op enter drukken om alle uid's te
tekenen.</li>
<li> Om de sleutel dan te tekenen geeft u <code>sign</code> in. Dan moet u
de vingerafdruk en de sleutellengte van de sleutel vergelijken met diegene
die u gekregen heeft van de sleuteleigenaar.
</li>
<li> Wanneer u gevraagd wordt naar het certificatieniveau, kies dan "casual".
</li>
<li> Sluit GnuPG af met <code>quit</code>
</li>
<li> Om na te kijken of u de sleutel correct heeft getekend, kunt u het
volgende uitvoeren:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>U zou uw eigen naam en vingerafdruk (in de korte vorm) moeten zien
in de uitvoer.</p>
</li>
<li> Als alles er goed uitziet, kunt u de getekende sleutel verzenden door:
<pre>
gpg --export -a 0xDEADBEEF > iemand.key
</pre>
<p>De <code>-a</code>-optie exporteert de sleutel in het ASCII-formaat
zodat het verzonden kan worden zonder de mogelijkheid op corruptie.</p>
</li>
<li> Als iemand op deze manier uw sleutel tekent, kunt u de sleutel aan de
Debian-sleutelring toevoegen door:
<pre>
gpg --import --import-options merge-only getekend.key
gpg --keyserver keyring.debian.org --send-keys <var><uw sleutel-id></var>
</pre>
<p>Het kan een tijd duren voordat de sleutelringbeheerders uw sleutel
bijwerken, dus wees geduldig. U zendt uw sleutel best ook naar de
publieke sleutelservers.</p>
</li>
</ul>
<p>Het <a href="https://packages.debian.org/signing-party">signing-party</a>
Debian-pakket bevat enkele hulpprogramma's voor dit proces.
<tt>gpg-key2ps</tt> maakt een PostScript-bestand uit een GnuPG-sleutel om
papieren strookjes te printen met uw vingerafdruk. <tt>gpg-mailkeys</tt> zal
een ondertekende sleutel verzenden naar de eigenaar. Het pakket bevat ook
<tt>caff</tt>: een geavanceerder hulpprogramma. Zie de pakketdocumentatie
voor meer informatie.</p>
<h3>Wat u niet mag doen</h3>
<p>U mag nooit een sleutel tekenen van iemand die u niet persoonlijk ontmoet
heeft. Een sleutel tekenen gebaseerd op iets anders dan eerstehandsinformatie
vernietigt de bruikbaarheid van het vertrouwensweb (Web of Trust). Als uw
vriend uw identiteitskaart en vingerafdruk aan andere ontwikkelaars
presenteert, maar u bent daar niet om na te kijken dat de vingerafdruk van u
is, wat moeten de andere ontwikkelaars dan doen om de vingerafdruk met uw
identiteit te linken? Ze hebben enkel het woord van uw vriend en de andere
handtekeningen op uw sleutel -- dit is niet beter dan dat ze uw sleutel
zouden tekenen omdat andere mensen ze hebben getekend!
</p>
<p>Het is leuk om meer handtekeningen op uw sleutel te krijgen en het is
aanlokkelijk om enkele hoeken af te snijden om daar te geraken. Maar
betrouwbare handtekeningen zijn belangrijker dan veel handtekeningen,
dus het is zeer belangrijk dat we het sleuteltekenproces zo puur mogelijk
houden. Iemands anders sleutel tekenen is een aanwijzing dat u bewijs uit
eerste-hand heeft van de identiteit van de sleuteleigenaar. Als u de sleutel
tekent wanneer u het niet echt meent, dan kan het vertrouwensweb niet langer
vertrouwd worden.
</p>
|
