## page was renamed from Madrid2011_KSP
## page was renamed from DebianDay2011/Madrid_KSP
== Firma de Claves GPG ==

{{{#!wiki important
     La lista de claves (ddm2011_ksp.txt) y el ''keyring'' (ddm2011_ksp.gpg) del evento se encuentran colgados en [[http://jonas.andradas.es/ksp/]], junto con los ''hashes'' sha1, sha256 y sha512 de dichos ficheros. Los ficheros de ''hash'' se encuentran firmados con la clave GPG con ID 0xE0C69372. 

Para la verificación de la lista de claves ''in-situ'' se utilizará el ''hash'' SHA-256.

Las claves que se reciban a partir de este momento, en que el plazo ha pasado, '''no se añadirán''' al ''keyring'' '''ni se actualizará''' la lista de claves publicada con ellas. 

Aquellas personas que quieran participar en la firma de claves y no hayan enviado las suyas en el plazo indicado pueden llevar los ''fingerprint'' de sus claves al evento y participar en el evento de la forma tradicional, intercambiando las claves individualmente con otros asistentes.
}}}

Para optimizar el proceso de firma de claves se va a seguir la metodología habitual en las DebConf y otros eventos. Para tal fin, se ha creado un ''keyring'' en [[http://biglumber.com/x/web?keyring=1888|BigLumber]], donde se pueden subir las claves GPG. También es posible enviar estas claves a la dirección de correo jonas''@''andradas.es

Con las claves recibidas se compilará una lista de claves que se colgará en esta página, junto con el hash del fichero de la lista. 

La fecha máxima para la recepción de claves serán las 23:59 del lunes 15 de agosto de 2011 (15/08/2011), con el fin de poder compilar la lista definitiva, su hash y el keyring esa noche y que se encuentre disponible para su descarga por los asistentes a lo largo del martes 16.

El proceso de verificación de identidad se realizará utilizando [[http://keysigning.org/methods/sassaman-efficient|el método propuesto por Phil Zimmerman y Len Sassman]], el cual se encuentra traducido (de forma no-oficial) más abajo.

Para la exportación de claves, se recomienda seguir las [[http://people.debian.org/~anibal/ksp-dc11/ksp-dc11.html|instrucciones especificadas para la DebConf11]], de las que se hace un resumen a continuación: 

==== Exportación de claves ====
                 ''~-(Ejemplos obtenidos de la página de la DebConf11)-~''


 * Si se dispone de más de una clave que se quiere tener firmada tras el evento, hacer un firmado cruzado entre dichas claves. Opcionalmente, enviarlas a un servidor de claves (''keyserver''): 

  . Ejemplo con dos claves, 0xfedcba98 y 0x76543210, que se suben a un servidor posteriormente:

   . gpg --local-user 0xfedcba98 --edit 0x76543210 sign 

   . gpg --local-user 0x76543210 --edit 0xfedcba98 sign 

   . gpg --keyserver keys.gnupg.net --send-keys 0xfedcba98 0x76543210 

 * Envío de las claves públicas en modo ''ascii-armored'', limpias, minimizadas y firmadas en claro (''clear-signed'') al ''keyring'' de !BigLumber o a jonas''@''andradas.es, antes de las 23:49 CET del domingo 14 de agosto de 2011. El envío de múltiples claves firmadas de forma cruzada en una misma armadura es posible. Las firmas sobre las claves demuestran que el remitente tiene el control de la parte privada de las claves. 

  . Ejemplo con dos claves 0xfedcba98 y 0x76543210: 

   . gpg --armor --export-options export-clean,export-minimal --export 0xfedcba98 0x76543210 > publickeyblock 

  . Firma de la exportación con ambas claves, creando el fichero publickeyblock.asc: 

   . gpg --local-user 0xfedcba98 --clearsign --local-user 0x76543210 --clearsign publickeyblock 



=== Método Zimmerman-Sassman ===

==== Antes del evento ====
 1. Los participantes envían su clave pública al coordinador del evento (en este caso, se puede enviar por correo electrónico o subir al ''keyring'' de !BigLumber).
 1. El coordinador de la KSP recopila las claves en un ''keyring'' del evento.
 1. El coordinador gemera un fichero con el listado de todas las claves y sus ''fingerprints'', y calcula diferentes ''hash'' de dicha lista (se ofrecen SHA-1, SHA-256 y SHA-512).
 1. El coordinador publica tanto el fichero de texto como los ''hashes'' del mismo. Los hashes se enviarán a la lista de correo además de publicarse en esta página.
 1. Los participantes descargan el fichero y calculan los ''hashes'' correspondientes, con el fin de cotejarlos con los publicados. Si los ''hashes'' coinciden, es prueba de que la copia local es idéntica a la publicada. 
 1. Los participantes imprimen el listado de claves tras verificar que el ''fingerprint'' de su propia clave, incluído en la lista, es correcto. 

==== En el evento ====
 1. Los participantes llevan su copia de la lista, que han imprimido por su cuenta. Sólo se debería confiar en la lista que han imprimido ellos mismos del fichero que han verificado con los ''hashes''. De este modo se asegura que cada participante utiliza una lista que él/ella sabe que no ha sido manipulada por terceros. 
 1. El organizador/coordinador del evento leerá en voz alta los ''hashes'' o los proyectará en una pantalla, de modo que todos los participantes pueden cotejarlos con los que ellos han utilizado. (En el evento se utilizará SHA-256)
 1. Cada participante, por turno, afirmara que el ''fingerprint'' de su(s) clave(s) incluído en la lista es correcto. Para esto, basta con decir algo como "La clave XXXXX es correcta", sin necesidad de leer el ''fingerprint'' completo en voz alta: como se han calculado los ''hashes'' de las listas, el ''fingerprint'' que aparece en todas ellas debe ser el mismo. Los participantes marcan en su lista cada clave cuyo dueño haya afirmado que es correcta.
 1. Una vez que todos los asistentes han afirmado que su ''fingerprint'' es correcto, se forma una línea en el mismo orden en el que las claves aparecen en la lista. La primera persona de la fila la recorre, verificando los documentos de identificación con la persona que tiene enfrente, mientras ésta verifica los documentos de quien está recorriendo la fila. De forma habitual, se emplean dos documentos de identificacion oficiales con foto (DNI, Pasaporte, y podría aceptarse el carnet de conducir). Tras la verificación, se hace una segunda marca en la lista de cada asistente junto a la clave de cuyo dueño se ha verificado la identidad.
 1. Cuando todos los asistentes hayan presentado su identificación, cada uno guarda su lista de forma segura, con el fin de prevenir que las anotaciones puedan ser manipuladas. 

==== Después del evento ====
 1. Los asistentes recuperan las claves públicas del resto de participantes, bien obteniéndolas de servidores de clave públicos (''keyservers'') o importando el ''keyring'' del evento.
 1. Cada persona comprueba los ''fingerprint'' de las claves recuperadas en el paso anterior con los de la lista que se encuentran marcados como verificados, y firma las claves coincidentes. 
 1. Las claves públicas firmadas se publican en un servidor e claves (''keyserver'') o se envían directamente al dueño de la clave. Algunas personas prefieren no tener sus claves públicas en un servidor de claves, por lo que se suele preferir, por cortesía, enviar la clave firmada por correo electrónico al dueño de la misma. 
 1. Las claves firmadas que cada participante reciba de otros asistentes se importan al ''keyring'' local de dicho participante.


<<Anchor(CACert)>>
== Verificación de identidad CACert ==

 * Para realizar la verificación de identidad CACert, es preciso presentar dos documentos de identidad oficiales, con foto. 
 * Los asistentes preferentemente se registrarán con anterioridad en la página de [[https://cacert.org|CACert]], aunque también es posible llevar a cabo la verificación primero y que la persona se registre posteriormente en CACert.
 * Se recomienda que cada asistente imprima un formulario WoT (''Web of Trust'') desde la página de CACert (una vez iniciada sesión), aunque los notarios llevarán algunos formularios en blanco, para ser rellenados ''in-situ'' si fuera necesario.
 * Cada notario podrá otorgar un máximo de 35 puntos de verificación, necesitándo cada persona un mínimo de 50 puntos para que CACert incluya su nombre en los certificados personales.
 * No obstante, aunque no puedan otorgar puntos de verificación, se recomienda que las personas cuya identidad es verificada por el notario, también verifiquen la de éste y la de otros asistentes, reforzando así el anillo de confianza (''Web of Trust'')
 * Se puede consultar la documentación de CACert en los siguientes enlaces: 
  * [[http://wiki.cacert.org/FAQ/Privileges|Sistema de puntos]]
  * [[http://www.cacert.org/policy/AssurancePolicy.php|Política de Verificación]]
  * [[http://wiki.cacert.org/AssuranceOrganisationalTechnicalDocuments|Proceso de Verificación]]
  * Más información en el [[http://wiki.cacert.org|Wiki]]
 * Los siguientes notarios de CACert asistirán al evento: 
  * Jonás Andradas


=== Enlaces ===

 * Keyring !BigLumber: [[http://biglumber.com/x/web?keyring=1888]]
 * Documentación KSP DebConf11: [[http://people.debian.org/~anibal/ksp-dc11/ksp-dc11.html]]
 * Método Zimmerman-Sassman (Sassman-Efficient): [[http://keysigning.org/methods/sassaman-efficient]]
 * Documentación de [[https://cacert.org|CACert]]: 
  * [[http://wiki.cacert.org/FAQ/Privileges|Sistema de puntos]]
  * [[http://www.cacert.org/policy/AssurancePolicy.php|Política de Verificación]]
  * [[http://wiki.cacert.org/AssuranceOrganisationalTechnicalDocuments|Proceso de Verificación]]
  * Más información en el [[http://wiki.cacert.org|Wiki]]