|
El método aquí descrito es una
traducción del descrito en
esta página, con la modificación
de usar GPG en lugar de PGP para los ejemplos de los
comandos a usar.
Gracias a Jesús Cea Avión por sugerirme
el uso de este método.
Antes de la reunión
-
Cada participande envía por email la salida
de ejecutar
"gpg --export --armor
id_usuario" (donde id_usuario es
el identificador de su propia clave pública)
a la persona designada como Repositorio de Claves
(RC) para la reunión (en este caso, a
Iñaki Arenaza en la dirección
repositorio.claves@escomposlinux.org)
-
El RC envía una copia de cada clave que
recibe al resto de participantes, de forma que todo
el mundo tenga las claves pertinentes.
-
El RC añade cada clave pública
recibida (incluyendo la suya propia) a un llavero
especial (
llavero_reunion.gpg ) haciendo
"gpg --import fichero_con_clave
llavero_reunion.gpg" , una vez que se han
recibido todas las claves públicas para la
reunión. El RC puede opcionalmente enviar
este llavero a todos los participantes o publicarlo
en la web.
Durante la reunión
-
Los participantes se juntan y el RC distribuye
fotocopias de la impresión de la salida del
comando
"gpg --list-keys --fingerprint
--keyring llavero_reunion.gpg" , de forma que
todo el mundo tenga una lista de las huellas
dactilares (fingerprints) de las claves.
-
Cada participante, por turnos, lee en voz alta la
huella dactilar de su propia clave. Esta huella debe
ser la obtenida al haber ejecutado
"gpg
--list-keys --fingerprint" sobre su propia
clave pública, no la escrita en la fotocopia
recibida en la reunión. Todo el mundo
compara la huella que se ha leído en alto con
las huellas de la fotocopia repartida en la
reunión y busca la huella que se supone
corresponde a la leída.
-
Todos los participantes deben mostrar una
identificación de si mismos al
resto. Aquellos que acepten dicha
identificación marcarán la huella
verificada de dicha persona en la fotocopia, para
indicar que la clave pública en
cuestión puede ser firmada.
Tras la reunión
-
Aquellos participantes que quieran verificar no
sólo la identidad del resto de los
participantes, sino tambien la validez de las
direcciones de correo que aparecen el en campo
id_usuario de la clave pública a
ser firmada pueden dar el paso adicional de
intercambiar contraseñas secretas que han
intercambiado en persona durante la reunión
de firma de claves, a traves de las direcciones de
correo electrónico de las claves
públicas.
-
De forma privada, cada participante firma aquellas
claves que había marcado como
firmables. Extrae una por una la clave recien
firmada usando
"gpg --export --armor
id_usuario_firmado" y envia por correo
electrónico la nueva clave firmadas a su
dueño.
-
Cada participante que recibe una nueva copia firmada
de su propia clave pública debería
añadir esa clave a su llavero público
usando
"gpg --import
fichero_clave_firmada" . Cuando se
hayan recibido todas las firmas esperadas, el
participante debería (re)enviar su clave
pública a un servidor de claves, de forma que
las nuevas firmas sean accesibles por cualquiera, o
publicarla en el lugar donde lo haga habitualmente
(página web o similar).
-
El RC debería borrar el llavero
llavero_reunion.gpg, puesto que ya no es necesario.
Plazos a cumplir para la reunión de firmas del
VI Congreso Hispalinux.
Para garantizar que las claves de todos los
participantes en la reunión están
diponibles con suficiente antelación y poder
llevar a cabo la reunión adecuadamente, los
participantes deberán respetar los siguientes
plazos:
-
Las claves se podrán enviar al RC a partir
del 1 de Julio de 2003, a la dirección
repositorio.claves@escomposlinux.org
-
La fecha límite de recepción de
claves es el 15 de Septiembre de 2003,
inclusive. Esto garantiza que el RC pueda enviar
el anillo completo con las claves de todos los
participantes a tiempo para la reunión,
así como facilitárselo a la
Organización del Congreso para su
impresión y fotocopiado.
Copyleft © 2003 Ignacio Arenaza
Última actualización: 2020.05.03 - 21:02:59
|