1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
|
#use wml::debian::template title="Avainten allekirjoittaminen"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
<p>Koska useat kehittäjät tapaavat toisiaan messuilla ja
konferensseissa, ovat he ottaneet tavaksi allekirjoittaa toistensa
GnuPG-avaimia ja näin kasvattaa luottamusverkkoa. Erityisesti uusille
ihmisille projektissa avainten allekirjoittaminen ja muiden kehittäjien
tapaaminen on ollut erittäin mielenkiintoista.</p>
<p>Tämän ohjeen tarkoitus on auttaa avainten allekirjoitustilaisuuden
järjestämisessä. Huomaa, että kaikissa esimerkeissä käytetään avainpalvelinta
<code>keyring.debian.org</code>. Jos avain, jonka haluat allekirjoittaa, ei ole
Debianin avainrenkaassa, korvaa <code>keyring.debian.org</code> julkisella
avainpalvelimella, kuten <code>wwwkeys.pgp.net</code> (joka nimestä huolimatta
säilyttää myös GnuPG-avaimia).</p>
<p>Avaimia tulee allekirjoittaa vain kun on varmistuttu vähintään
näistä kahdesta ehdosta:</p>
<ol>
<li>Avaimen omistaja todistaa allekirjoittajalle, että henkilöllisyys
UID:ssa todellakin kuuluu avaimen omistajalle näyttämällä mitä tahansa
todistetta, johon allekirjoittaja suostuu luottamaan. Yleensä tämä
tarkoittaa, että avaimen omistajan tulee näyttää hallituksen
varmentama kuvallinen henkilöllisyystunniste, jonka tiedot täsmäävät
avaimen omistajaan. (Jotkut allekirjoittajat tietävät, että
hallituksien antamat henkilöllisyystodisteet on helppo väärentää ja
näitä myöntävien viranomaisten luotettavuus on usein kyseenalainen,
joten he voivat vaatia lisäksi/vaihtoehtoisesti muita todisteita
henkilöllisyydestä).
</li>
<li>Avaimen omistaja varmistaa, että allekirjoitettavan avaimen
sormenjälki ja pituus on todellakin heidän omansa.
</li>
</ol>
<p>Tärkeätä on huomata, että jos avaimen omistaja ei aktiivisesti
osallistu vaihtoon, et pysty viemään loppuun joko ensimmäistä tai
toista ehtoa. Kukaan muu ei voi täyttää ensimmäistä
ehtoa avaimen omistajan puolesta, koska silloin kuka tahansa pystyisi
varastetun henkilöllisyystodistuksen avulla saamaan allekirjoituksen
luomalleen PGP-avaimelle esittämällä olevansa avaimen omistajan
edustaja. Kukaan muu ei voi myöskään täyttää toista ehtoa avaimen
omistajan puolesta, koska tällöin edustaja pystyisi korvaamaan
sormenjäljen toisen PGP-avaimen sormenjäljellä, jossa olisi omistajan nimi,
ja saaden näin jonkun allekirjoittamaan väärän avaimen.
</p>
<ul>
<li>Tarvitset tulostettuja GnuPG-sormenjälkiä, avainpituuksia ja
henkilöllisyystodistuksen todistaaksesi henkilöllisyytesi (passi,
ajokortti tai muu vastaava).
</li>
<li>Sormenjälki ja avaimen pituus annetaan henkilölle, jonka pitäisi allekirjoittaa
avaimesi tapaamisen jälkeen.
</li>
<li>Jos sinulla ei ole vielä GnuPG-avainta, luo sellainen komennolla
<code>gpg --gen-key</code>.
</li>
<li>Allekirjoita avain ainoastaan kun allekirjoitettavan avaimen
omistaja on todistanut henkilöllisyytensä.
</li>
<li>Tapaamisen jälkeen sinun täytyy hakea GnuPG-avain
allekirjoittaaksesi sen. Seuraavasta voi olla apua:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Huomaa, että voimme käyttää sormenjäljen viimeistä kahdeksaa
heksadesimaalia tässä ja muissa GnuPG-toiminnoissa. Myös etuliite
<tt>0x</tt> on valinnainen.</p>
</li>
<li>Allekirjoittaaksesi avaimen, mene valikkoon komennolla
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li>GnuPGssä valitse kaikki allekirjoitettavat uid:t komennolla
<code>uid n</code>, jossa <code>n</code> on uid:n numero, joka näkyy
valikossa. Voit myös painaa enteriä allekirjoittaaksesi kaikki
uidit.</li>
<li>Allekirjoittaaksesi avaimen, kirjoita <code>sign</code>. Tällöin
sinulle näytetään allekirjoitettavan avaimen sormenjälki ja pituus, joita sinun
pitäisi verrata siihen, jonka sait tapaamaltasi henkilöltä.
</li>
<li>Kun kysytään tarkistuksen vakavuutta, valitse "arkinen" ("casual").
</li>
<li>Sulje GnuPG komennolla <code>quit</code>
</li>
<li>Varmistaaksesi, että olet allekirjoittanut avaimen oikein, voit tehdä:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Tulosteessa sinun pitäisi nähdä oma nimesi ja sormenjälki (lyhyessä
muodossa).</p>
</li>
<li>Varmistettuasi, että kaikki meni hyvin, voit lähettää
allekirjoittamasi avaimen sen omistajalle komentamalla:
<pre>
gpg --export -a 0xDEADBEEF > jonkun.key
</pre>
<p>Valitsin <code>-a</code> tulostaa avaimen ASCII-muodossa, jotta se
voidaan lähettää ilman pelkoa korruptoitumisesta matkalla.</p>
</li>
<li>Jos joku allekirjoittaa sinun avaimesi tällä tavoin, voit lisätä
sen Debianin avainrenkaaseen komentamalla:
<pre>
gpg --import --import-options merge-only minunallekirjoitettu.key
gpg --keyserver keyring.debian.org --send-keys <var><avaimesi id></var>
</pre>
<p>Voi kestää jonkin aikaa ennen kuin avainrenkaan ylläpitäjät
päivittävät avaimesi, joten ole kärsivällinen. Voit myös lähettää
päivitetyn avaimesi julkisille avainpalvelimille.</p>
</li>
</ul>
<p>Debian-paketti <a
href="https://packages.debian.org/signing-party">signing-party</a> sisältää
muutamia työkaluja joilla helpottaa em. prosessia. <tt>gpg-key2ps</tt> muuntaa
GnuPG-avaimen PostScript-tiedostoksi josta voit tulostaa sormenjälkesi
sisältäviä paperiliuskoja ja <tt>gpg-mailkeys</tt> lähettää allekirjoitetun
avaimen sähköpostitse omistajalleen. Pakettiin kuuluu myös <tt>caff</tt>,
joka on hiukan edistyneempi työkalu. Lue paketin dokumentaatiosta
lisäohjeita.</p>
<h3>Mitä sinun ei pitäisi tehdä</h3>
<p>Sinun ei pitäisi koskaan allekirjoittaa sellaisen henkilön avainta,
jota et ole tavannut henkilökohtaisesti. Avaimen allekirjoittaminen
muulla kuin ensikäden tiedon perusteella tuhoaa Luottamusverkon
hyödyn. Jos ystäväsi esittää muille kehittäjille sinun
henkilöllisyystodistuksesi ja sinun sormenjälkesi, mutta sinä et ole
paikalla varmistamassa, että sormenjälki kuuluu sinulle, millä
perusteella muut kehittäjät voivat yhdistää sormenjäljen
henkilöllisyystodistukseen? Heillä on vain ystäväsi sana ja muut
allekirjoitukset avaimessasi -- tämä ei ole yhtään parempi kuin jos he
olisivat allekirjoittaneet sinun avaimesi vain siksi, koska muutkin
henkilöt ovat sen allekirjoittaneet!
</p>
<p>On toki mukavaa saada monia allekirjoituksia avaimellesi, ja siksi
on houkuttelevaa oikaista pari mutkaa matkalla. Mutta luotettavien
allekirjoitusten saaminen on tärkeämpää kuin useiden allekirjoituksien
saaminen, joten on erittäin tärkeää, että pidämme
avaimen allekirjoitusprosessin niin puhtaana kuin voimme. Jonkun
avaimen allekirjoittaminen on merkki siitä, että sinulla on ensikäden
tietoa avaimenhaltijan henkilöllisyydestä. Jos allekirjoitat avaimen
tarkoittamatta sitä, Luottamusverkkoon ei voi enää luottaa.
</p>
|
