Diff for "KSP_Madrid_DebianDay2011"

Differences between revisions 10 and 11

Firma de Claves GPG

La lista de claves (ddm2011_ksp.txt) y el keyring (ddm2011_ksp.gpg) del evento se encuentran colgados en http://jonas.andradas.es/ksp/, junto con los hashes sha1, sha256 y sha512 de dichos ficheros. Los ficheros de hash se encuentran firmados con la clave GPG con ID 0xE0C69372.

Para la verificación de la lista de claves in-situ se utilizará el hash SHA-256.

Las claves que se reciban a partir de este momento, en que el plazo ha pasado, no se añadirán al keyring ni se actualizará la lista de claves publicada con ellas.

Aquellas personas que quieran participar en la firma de claves y no hayan enviado las suyas en el plazo indicado pueden llevar los fingerprint de sus claves al evento y participar en el evento de la forma tradicional, intercambiando las claves individualmente con otros asistentes.

Para optimizar el proceso de firma de claves se va a seguir la metodología habitual en las DebConf y otros eventos. Para tal fin, se ha creado un keyring en BigLumber, donde se pueden subir las claves GPG. También es posible enviar estas claves a la dirección de correo jonas@andradas.es

Con las claves recibidas se compilará una lista de claves que se colgará en esta página, junto con el hash del fichero de la lista.

La fecha máxima para la recepción de claves serán las 23:59 del lunes 15 de agosto de 2011 (15/08/2011), con el fin de poder compilar la lista definitiva, su hash y el keyring esa noche y que se encuentre disponible para su descarga por los asistentes a lo largo del martes 16.

El proceso de verificación de identidad se realizará utilizando el método propuesto por Phil Zimmerman y Len Sassman, el cual se encuentra traducido (de forma no-oficial) más abajo.

Para la exportación de claves, se recomienda seguir las instrucciones especificadas para la DebConf11, de las que se hace un resumen a continuación:

Exportación de claves

(Ejemplos obtenidos de la página de la DebConf11)

Si se dispone de más de una clave que se quiere tener firmada tras el evento, hacer un firmado cruzado entre dichas claves. Opcionalmente, enviarlas a un servidor de claves (keyserver):
- Ejemplo con dos claves, 0xfedcba98 y 0x76543210, que se suben a un servidor posteriormente:
  - gpg --local-user 0xfedcba98 --edit 0x76543210 sign
  - gpg --local-user 0x76543210 --edit 0xfedcba98 sign
  - gpg --keyserver keys.gnupg.net --send-keys 0xfedcba98 0x76543210
Envío de las claves públicas en modo ascii-armored, limpias, minimizadas y firmadas en claro (clear-signed) al keyring de BigLumber o a jonas@andradas.es, antes de las 23:49 CET del domingo 14 de agosto de 2011. El envío de múltiples claves firmadas de forma cruzada en una misma armadura es posible. Las firmas sobre las claves demuestran que el remitente tiene el control de la parte privada de las claves.
- Ejemplo con dos claves 0xfedcba98 y 0x76543210:
  - gpg --armor --export-options export-clean,export-minimal --export 0xfedcba98 0x76543210 > publickeyblock
- Firma de la exportación con ambas claves, creando el fichero publickeyblock.asc:
  - gpg --local-user 0xfedcba98 --clearsign --local-user 0x76543210 --clearsign publickeyblock

Método Zimmerman-Sassman

Antes del evento

Los participantes envían su clave pública al coordinador del evento (en este caso, se puede enviar por correo electrónico o subir al keyring de BigLumber).
El coordinador de la KSP recopila las claves en un keyring del evento.
El coordinador gemera un fichero con el listado de todas las claves y sus fingerprints, y calcula diferentes hash de dicha lista (se ofrecen SHA-1, SHA-256 y SHA-512).
El coordinador publica tanto el fichero de texto como los hashes del mismo. Los hashes se enviarán a la lista de correo además de publicarse en esta página.
Los participantes descargan el fichero y calculan los hashes correspondientes, con el fin de cotejarlos con los publicados. Si los hashes coinciden, es prueba de que la copia local es idéntica a la publicada.
Los participantes imprimen el listado de claves tras verificar que el fingerprint de su propia clave, incluído en la lista, es correcto.

En el evento

Los participantes llevan su copia de la lista, que han imprimido por su cuenta. Sólo se debería confiar en la lista que han imprimido ellos mismos del fichero que han verificado con los hashes. De este modo se asegura que cada participante utiliza una lista que él/ella sabe que no ha sido manipulada por terceros.
El organizador/coordinador del evento leerá en voz alta los hashes o los proyectará en una pantalla, de modo que todos los participantes pueden cotejarlos con los que ellos han utilizado. (En el evento se utilizará SHA-256)
Cada participante, por turno, afirmara que el fingerprint de su(s) clave(s) incluído en la lista es correcto. Para esto, basta con decir algo como "La clave XXXXX es correcta", sin necesidad de leer el fingerprint completo en voz alta: como se han calculado los hashes de las listas, el fingerprint que aparece en todas ellas debe ser el mismo. Los participantes marcan en su lista cada clave cuyo dueño haya afirmado que es correcta.
Una vez que todos los asistentes han afirmado que su fingerprint es correcto, se forma una línea en el mismo orden en el que las claves aparecen en la lista. La primera persona de la fila la recorre, verificando los documentos de identificación con la persona que tiene enfrente, mientras ésta verifica los documentos de quien está recorriendo la fila. De forma habitual, se emplean dos documentos de identificacion oficiales con foto (DNI, Pasaporte, y podría aceptarse el carnet de conducir). Tras la verificación, se hace una segunda marca en la lista de cada asistente junto a la clave de cuyo dueño se ha verificado la identidad.
Cuando todos los asistentes hayan presentado su identificación, cada uno guarda su lista de forma segura, con el fin de prevenir que las anotaciones puedan ser manipuladas.

Después del evento

Los asistentes recuperan las claves públicas del resto de participantes, bien obteniéndolas de servidores de clave públicos (keyservers) o importando el keyring del evento.
Cada persona comprueba los fingerprint de las claves recuperadas en el paso anterior con los de la lista que se encuentran marcados como verificados, y firma las claves coincidentes.
Las claves públicas firmadas se publican en un servidor e claves (keyserver) o se envían directamente al dueño de la clave. Algunas personas prefieren no tener sus claves públicas en un servidor de claves, por lo que se suele preferir, por cortesía, enviar la clave firmada por correo electrónico al dueño de la misma.
Las claves firmadas que cada participante reciba de otros asistentes se importan al keyring local de dicho participante.

Verificación de identidad CACert

Para realizar la verificación de identidad CACert, es preciso presentar dos documentos de identidad oficiales, con foto.
Los asistentes preferentemente se registrarán con anterioridad en la página de CACert, aunque también es posible llevar a cabo la verificación primero y que la persona se registre posteriormente en CACert.
Se recomienda que cada asistente imprima un formulario WoT (Web of Trust) desde la página de CACert (una vez iniciada sesión), aunque los notarios llevarán algunos formularios en blanco, para ser rellenados in-situ si fuera necesario.
Cada notario podrá otorgar un máximo de 35 puntos de verificación, necesitándo cada persona un mínimo de 50 puntos para que CACert incluya su nombre en los certificados personales.
No obstante, aunque no puedan otorgar puntos de verificación, se recomienda que las personas cuya identidad es verificada por el notario, también verifiquen la de éste y la de otros asistentes, reforzando así el anillo de confianza (Web of Trust)
Se puede consultar la documentación de CACert en los siguientes enlaces:
- Sistema de puntos
- Política de Verificación
- Proceso de Verificación
- Más información en el Wiki
Los siguientes notarios de CACert asistirán al evento:
- Jonás Andradas

Enlaces

Keyring BigLumber: http://biglumber.com/x/web?keyring=1888
Documentación KSP DebConf11: http://people.debian.org/~anibal/ksp-dc11/ksp-dc11.html
Método Zimmerman-Sassman (Sassman-Efficient): http://keysigning.org/methods/sassaman-efficient
Documentación de CACert:
- Sistema de puntos
- Política de Verificación
- Proceso de Verificación
- Más información en el Wiki

-  ⇤ ← Revision 10 as of 2011-08-15 15:07:17 → 
  Size: 9092
  Editor: ?JonasAndradas
  Comment: Añadidas referencias al keyring y lista de claves, y sus respectivos hashes
+   ← Revision 11 as of 2011-08-15 22:54:12 → ⇥
  Size: 9703
  Editor: ?JonasAndradas
  Comment: Se notifica el cierre del plazo y la ubicación de los ficheros definitivos para obtener el keyring y la lista de claves.
-Deletions are marked like this.
+Additions are marked like this.
 Line 4:
+{{{#!wiki important
     La lista de claves (ddm2011_ksp.txt) y el ''keyring'' (ddm2011_ksp.gpg) del evento se encuentran colgados en [[http://jonas.andradas.es/ksp/]], junto con los ''hashes'' sha1, sha256 y sha512 de dichos ficheros. Los ficheros de ''hash'' se encuentran firmados con la clave GPG con ID 0xE0C69372. 

Para la verificación de la lista de claves ''in-situ'' se utilizará el ''hash'' SHA-256.

Las claves que se reciban a partir de este momento, en que el plazo ha pasado, '''no se añadirán''' al ''keyring'' '''ni se actualizará''' la lista de claves publicada con ellas. 

Aquellas personas que quieran participar en la firma de claves y no hayan enviado las suyas en el plazo indicado pueden llevar los ''fingerprint'' de sus claves al evento y participar en el evento de la forma tradicional, intercambiando las claves individualmente con otros asistentes.
}}}
-Line 10:
+Line 20:
-{{{#!wiki important
     La lista provisional de claves ddm2011_ksp.txt y el ''keyring'' provisional ddm2011_ksp.gpg pueden descargarse de [[http://jonas.andradas.es/ksp/]], junto con los ''hashes'' sha1, sha256 y sha512 de dichos ficheros. Los ficheros de ''hash'' se encuentran firmados con la clave GPG con ID 0xE0C69372
}}}
-Line 50:
+Line 56:
-. El coordinador gemera un fichero con el listado de todas las claves y sus ''fingerprints'', y calcula diferentes ''hash'' de dicha lista (se calcularan SHA1 y SHA256).
+. El coordinador gemera un fichero con el listado de todas las claves y sus ''fingerprints'', y calcula diferentes ''hash'' de dicha lista (se ofrecen SHA-1, SHA-256 y SHA-512).
-Line 57:
+Line 63:
-. El organizador/coordinador del evento leerá en voz alta los ''hashes'' o los proyectará en una pantalla, de modo que todos los participantes pueden cotejarlos con los que ellos han utilizado.
+. El organizador/coordinador del evento leerá en voz alta los ''hashes'' o los proyectará en una pantalla, de modo que todos los participantes pueden cotejarlos con los que ellos han utilizado. (En el evento se utilizará SHA-256)