Firma de Claves GPG

  • La lista de claves (ddm2011_ksp.txt) y el keyring (ddm2011_ksp.gpg) del evento se encuentran colgados en http://jonas.andradas.es/ksp/, junto con los hashes sha1, sha256 y sha512 de dichos ficheros. Los ficheros de hash se encuentran firmados con la clave GPG con ID 0xE0C69372.

Para la verificación de la lista de claves in-situ se utilizará el hash SHA-256.

Las claves que se reciban a partir de este momento, en que el plazo ha pasado, no se añadirán al keyring ni se actualizará la lista de claves publicada con ellas.

Aquellas personas que quieran participar en la firma de claves y no hayan enviado las suyas en el plazo indicado pueden llevar los fingerprint de sus claves al evento y participar en el evento de la forma tradicional, intercambiando las claves individualmente con otros asistentes.

Para optimizar el proceso de firma de claves se va a seguir la metodología habitual en las DebConf y otros eventos. Para tal fin, se ha creado un keyring en BigLumber, donde se pueden subir las claves GPG. También es posible enviar estas claves a la dirección de correo jonas@andradas.es

Con las claves recibidas se compilará una lista de claves que se colgará en esta página, junto con el hash del fichero de la lista.

La fecha máxima para la recepción de claves serán las 23:59 del lunes 15 de agosto de 2011 (15/08/2011), con el fin de poder compilar la lista definitiva, su hash y el keyring esa noche y que se encuentre disponible para su descarga por los asistentes a lo largo del martes 16.

El proceso de verificación de identidad se realizará utilizando el método propuesto por Phil Zimmerman y Len Sassman, el cual se encuentra traducido (de forma no-oficial) más abajo.

Para la exportación de claves, se recomienda seguir las instrucciones especificadas para la DebConf11, de las que se hace un resumen a continuación:

Exportación de claves

Método Zimmerman-Sassman

Antes del evento

  1. Los participantes envían su clave pública al coordinador del evento (en este caso, se puede enviar por correo electrónico o subir al keyring de BigLumber).

  2. El coordinador de la KSP recopila las claves en un keyring del evento.

  3. El coordinador gemera un fichero con el listado de todas las claves y sus fingerprints, y calcula diferentes hash de dicha lista (se ofrecen SHA-1, SHA-256 y SHA-512).

  4. El coordinador publica tanto el fichero de texto como los hashes del mismo. Los hashes se enviarán a la lista de correo además de publicarse en esta página.

  5. Los participantes descargan el fichero y calculan los hashes correspondientes, con el fin de cotejarlos con los publicados. Si los hashes coinciden, es prueba de que la copia local es idéntica a la publicada.

  6. Los participantes imprimen el listado de claves tras verificar que el fingerprint de su propia clave, incluído en la lista, es correcto.

En el evento

  1. Los participantes llevan su copia de la lista, que han imprimido por su cuenta. Sólo se debería confiar en la lista que han imprimido ellos mismos del fichero que han verificado con los hashes. De este modo se asegura que cada participante utiliza una lista que él/ella sabe que no ha sido manipulada por terceros.

  2. El organizador/coordinador del evento leerá en voz alta los hashes o los proyectará en una pantalla, de modo que todos los participantes pueden cotejarlos con los que ellos han utilizado. (En el evento se utilizará SHA-256)

  3. Cada participante, por turno, afirmara que el fingerprint de su(s) clave(s) incluído en la lista es correcto. Para esto, basta con decir algo como "La clave XXXXX es correcta", sin necesidad de leer el fingerprint completo en voz alta: como se han calculado los hashes de las listas, el fingerprint que aparece en todas ellas debe ser el mismo. Los participantes marcan en su lista cada clave cuyo dueño haya afirmado que es correcta.

  4. Una vez que todos los asistentes han afirmado que su fingerprint es correcto, se forma una línea en el mismo orden en el que las claves aparecen en la lista. La primera persona de la fila la recorre, verificando los documentos de identificación con la persona que tiene enfrente, mientras ésta verifica los documentos de quien está recorriendo la fila. De forma habitual, se emplean dos documentos de identificacion oficiales con foto (DNI, Pasaporte, y podría aceptarse el carnet de conducir). Tras la verificación, se hace una segunda marca en la lista de cada asistente junto a la clave de cuyo dueño se ha verificado la identidad.

  5. Cuando todos los asistentes hayan presentado su identificación, cada uno guarda su lista de forma segura, con el fin de prevenir que las anotaciones puedan ser manipuladas.

Después del evento

  1. Los asistentes recuperan las claves públicas del resto de participantes, bien obteniéndolas de servidores de clave públicos (keyservers) o importando el keyring del evento.

  2. Cada persona comprueba los fingerprint de las claves recuperadas en el paso anterior con los de la lista que se encuentran marcados como verificados, y firma las claves coincidentes.

  3. Las claves públicas firmadas se publican en un servidor e claves (keyserver) o se envían directamente al dueño de la clave. Algunas personas prefieren no tener sus claves públicas en un servidor de claves, por lo que se suele preferir, por cortesía, enviar la clave firmada por correo electrónico al dueño de la misma.

  4. Las claves firmadas que cada participante reciba de otros asistentes se importan al keyring local de dicho participante.

Verificación de identidad CACert

Enlaces