Firma de Claves GPG/PGP del VI Congreso Hispalinux (Sept. 2003)

El método aquí descrito es una traducción del descrito en esta página, con la modificación de usar GPG en lugar de PGP para los ejemplos de los comandos a usar.

Gracias a Jesús Cea Avión por sugerirme el uso de este método.

Antes de la reunión

1. Cada participande envía por email la salida de ejecutar "gpg --export --armor id_usuario" (donde id_usuario es el identificador de su propia clave pública) a la persona designada como Repositorio de Claves (RC) para la reunión (en este caso, a Iñaki Arenaza en la dirección repositorio.claves@escomposlinux.org)

2. El RC envía una copia de cada clave que recibe al resto de participantes, de forma que todo el mundo tenga las claves pertinentes.

3. El RC añade cada clave pública recibida (incluyendo la suya propia) a un llavero especial (llavero_reunion.gpg) haciendo "gpg --import fichero_con_clave llavero_reunion.gpg", una vez que se han recibido todas las claves públicas para la reunión. El RC puede opcionalmente enviar este llavero a todos los participantes o publicarlo en la web.

Durante la reunión

1. Los participantes se juntan y el RC distribuye fotocopias de la impresión de la salida del comando "gpg --list-keys --fingerprint --keyring llavero_reunion.gpg", de forma que todo el mundo tenga una lista de las huellas dactilares (fingerprints) de las claves.

2. Cada participante, por turnos, lee en voz alta la huella dactilar de su propia clave. Esta huella debe ser la obtenida al haber ejecutado "gpg --list-keys --fingerprint" sobre su propia clave pública, no la escrita en la fotocopia recibida en la reunión. Todo el mundo compara la huella que se ha leído en alto con las huellas de la fotocopia repartida en la reunión y busca la huella que se supone corresponde a la leída.

3. Todos los participantes deben mostrar una identificación de si mismos al resto. Aquellos que acepten dicha identificación marcarán la huella verificada de dicha persona en la fotocopia, para indicar que la clave pública en cuestión puede ser firmada.

Tras la reunión

1. Aquellos participantes que quieran verificar no sólo la identidad del resto de los participantes, sino tambien la validez de las direcciones de correo que aparecen el en campo id_usuario de la clave pública a ser firmada pueden dar el paso adicional de intercambiar contraseñas secretas que han intercambiado en persona durante la reunión de firma de claves, a traves de las direcciones de correo electrónico de las claves públicas.

2. De forma privada, cada participante firma aquellas claves que había marcado como firmables. Extrae una por una la clave recien firmada usando "gpg --export --armor id_usuario_firmado" y envia por correo electrónico la nueva clave firmadas a su dueño.

3. Cada participante que recibe una nueva copia firmada de su propia clave pública debería añadir esa clave a su llavero público usando "gpg --import fichero_clave_firmada". Cuando se hayan recibido todas las firmas esperadas, el participante debería (re)enviar su clave pública a un servidor de claves, de forma que las nuevas firmas sean accesibles por cualquiera, o publicarla en el lugar donde lo haga habitualmente (página web o similar).

4. El RC debería borrar el llavero llavero_reunion.gpg, puesto que ya no es necesario.

Plazos a cumplir para la reunión de firmas del VI Congreso Hispalinux.

Para garantizar que las claves de todos los participantes en la reunión están diponibles con suficiente antelación y poder llevar a cabo la reunión adecuadamente, los participantes deberán respetar los siguientes plazos:

1. Las claves se podrán enviar al RC a partir del 1 de Julio de 2003, a la dirección repositorio.claves@escomposlinux.org

2. La fecha límite de recepción de claves es el 15 de Septiembre de 2003, inclusive. Esto garantiza que el RC pueda enviar el anillo completo con las claves de todos los participantes a tiempo para la reunión, así como facilitárselo a la Organización del Congreso para su impresión y fotocopiado.