1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
|
#use wml::debian::template title="Подписывание ключей"
#use wml::debian::translation-check translation="c4faf7d38264352c8c2861edac022312c173ab7e" maintainer="Lev Lamberov"
<p>Поскольку многие разработчики встречаются на торговых выставках или конференциях, последние
представляют собой хорошую возможность получения подписи OpenPGP ключа и
улучшения сети доверия. Подписывание ключей и встреча с другими разработчиками
в особенности очень интересны для новых людей в
Проекте.</p>
<p>Этот документ поможет вам с проведением сессии
по подписыванию ключей. Заметьте, все примеры используют <code>keyring.debian.org</code> в качестве
сервера ключей. Если ключ отсутствует в брелоке Debian,
замените <code>keyring.debian.org</code> публичным
сервером ключей, например <code>keys.openpgp.org</code> (который явялется
проверяющим сервером ключей)</p>
<p>Люди должны подписывать ключ лишь при выполнении по меньшей мере двух следующих условий:</p>
<ol>
<li>Владелец ключа убеждает того, кто подписывает ключ, что личность, указанная в UID,
в действительности совпадает с его личностью, вне зависимости от того, какое доказательство
желает получить подписывающий. Обычно это означает, что владелец ключа
должен представить выданный правительством документ, идентифицирующий личность, с фотографией и информацией,
которая совпадает с информацией о владельце ключа. (Некоторые подписывающие знают, что
выданные правительством документы легко изготовить и что следует с подозрением
относиться к властям, выдающим документы, и поэтому они могут потребовать
дополнительное и/или альтернативное доказательство личности).
</li>
<li>Владелец ключа подтверждает, что отпечаток и длина ключа,
который должен быть подписан, в действительности принадлежат ему.
</li>
</ol>
<p>
Наиболее важно, что если владелец ключа не участвует активно в
обмене, то вы не сможете завершить выполнение требований 1 или 2.
Никто не может завершить часть требования 1 со стороны владельца ключа
от лица владельца ключа, поскольку в противном случае всякий с украденным документом, подтверждающим
личность, мог бы легко получить OpenPGP-ключ, притворившись агентом владельца
ключа. Никто не может завершить часть требования 2 со стороны владельца ключа от
лица владельца ключа, поскольку агент мог бы подставить
отпечаток другого OpenPGP-ключа с именем владельца ключа на
этом отпечатке, что привело бы к тому, что был бы подписан неправильный ключ.
</p>
<ul>
<li> Вам следует напечатать отпечатки OpenPGP, длины ключей и
документ, удостоверяющий личность (паспорт, водительские права
или подобное).
</li>
<li> Отпечатки и длины ключей передаются другим людям, которые
должны подписать ваш ключ после встречи.
</li>
<li> Если у вас ещё нет OpenPGP-ключа, создайте его с помощью команды <code>gpg --gen-key</code>.
</li>
<li> Подписывайте ключ только в том случае, если личностью владельца ключа
установлена.
</li>
<li> После встречи вы должны загрузить ключ OpenPGP для того, чтобы
подписать его. Следующее может помочь:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Заметьте, что мы можем использовать последние восемь шестнадцатеричных числа отпечатка при выполнении этой
и остальных операций GnuPG. <tt>0x</tt> в начале так же можно опустить.</p>
</li>
<li> Чтобы подписать ключ, войдите в меню редактирования с помощью команды
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li> В GnuPG выберите все uid для подписи с помощью <code>uid n</code>, где
<code>n</code> — номер uid, показываемый в меню. Вы можете
также нажать Enter, чтобы подписать все uid. </li>
<li> Чтобы подписать ключ, введите <code>sign</code>. Затем вам будут
показаны отпечаток и длина тех ключей, которые вам следует сравнить с
теми, которые вы получили от владельца ключа.
</li>
<li> Когда вас спросят об уровне сертифицирования, выберите «casual» (неофициальный).
</li>
<li> Выйдете из GnuPG с помощью <code>quit</code>
</li>
<li> Чтобы проверить, что вы правильно подписали ключ, вы можете выполнить следующую команду:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>В выводе вы должны будете увидеть своё имя и отпечаток
(в краткой форме).</p>
</li>
<li> Если всё правильно, вы можете отправить подписанный ключ
получателю, выполнив следующую команду:
<pre>
gpg --export -a 0xDEADBEEF > someguys.key
</pre>
<p>Параметр <code>-a</code> указывает экспортировать ключ в формат ASCII, так что он может быть
отправлен по почте без повреждения.</p>
</li>
<li> Если кто-то подписывает таким образом ваш ключ, вы можете добавить его в брелок Debian,
выполнив следующую команду:
<pre>
gpg --import --import-options merge-only mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><your key id></var>
</pre>
<p>Для обновления вашего ключа сопровождающим может потребоваться
некоторое время, будьте терпеливы. Вам также следует загрузить ваш обновлённый ключ на публичные
серверы ключей.</p>
</li>
</ul>
<p>Пакет Debian <a href="https://packages.debian.org/signing-party">signing-party</a>
предоставляет некоторые инструменты, которые могут помочь вам с
этим процессом. <tt>gpg-key2ps</tt> превращает ключ OpenPGP в файл PostScript,
чтобы печатать полоски с вашим отпечатком, а
<tt>gpg-mailkeys</tt> отправляет подписанные ключи авторам. Этот пакет
также содержит <tt>caff</tt>, который является более продвинутым инструментом. Дополнительную
информацию см. в документации пакета.</p>
<h3>Чего вам не следует делать</h3>
<p>Вы никогда не должны подписывать ключ тому, кого вы не встречали
лично. Подписывание ключа без личного знакомства
разрушает полезность Сети доверия. Если чей-то друг
представляется другим разработчикам с вашим документом, удостоверяющим личность, и вашим отпечатком, но
вас нет по близости, чтобы подтвердить, что этот отпечаток принадлежит вам, как
должны эти разработчики связать отпечаток и личность? У них есть
только слово друга и другие подписи на вашем ключе — это
не лучше, чем если бы они подписали ваш ключ просто потому, что другие люди
его подписали!
</p>
<p>Чем больше подписей у ключа, тем лучше, и на этом пути
соблазнительно срезать несколько углов. Но иметь надёжные подписи
более важно, чем иметь много подписей, поэтому важно,
что мы сохраняем процесс подписывания ключей насколько чистым, насколько мы можем. Подписывание
чьего-то ключа является подтверждением того, что вы лично проверили
личность владельца ключа. Если вы подписываете ключ, а на самом деле не проверили личность
владельца ключа, то Сети доверия больше нельзя доверять.
</p>
|
