Contents
Introducción
La intención de esta página es explicar cómo crear y firmar una clave GPG.
Luego, para conectarse a la red de confianza, visita la página de coordinación de firmas.
Cómo
Tutoriales que explican cómo utilizar GnuPG:
Si desea que un (idealmente más de uno) desarrollador Debian firme su clave GnuPG, debe seguir los siguientes pasos.
Paso 1: Crear un "keypair" RSA
gpg --gen-key
También vea creating a keypair.
Tenga en cuenta que debido a una debilidad encontrada en el algoritmo de "hash" SHA1 Debian requiere claves RSA más fuertes que tengan como mínimo 4096 bits y de preferencia utilicen SHA2.
También vea OpenPGP Best Practices, documentación acerca de "subkeys" and migrar una clave SHA-11.
Paso 2: Generar un certificado de revocación
¡También genere un certificado de revocación aún si ya tiene uno!
gpg --gen-revoke [KEY_ID] > ~/.gnupg/revocation-[KEY_ID].crt
Paso 3: Divulgue su clave pública
gpg --send-key 1A2B3C4D
Algunos servidores públicos de claves:
Paso 4: Imprima su clave
La impresión del "figerprint" debe contener la siguiente información:
- Su(s) nombre(s)
- Su(s) apellido(s)
- Su dirección de correo electrónico (la que utiliza para la clave)
- El método de cifrado y el ID de la clave (ejm. 4096R/1A2B3C4D)
- El propio "fingerprint"
Puede utilizar esta función:
gpg -v --fingerprint 1A2B3C4D
A menudo se imprime varias copias en una hoja de papel. Cada una puede tener el tamaño de una tarjeta de presentación o negocios. También puede utilizar el programa gpg-key2ps, que forma parte del paquete signing-party, para crear estas impresiones:
gpg-key2ps -p a4 1A2B3C4D > out.ps
También puede imprimirlas en una columna para evitar problemas de impresión (en caso de claves muy grandes):
gpg-key2ps -1 -p a4 1A2B3C4D > out.ps
Si participa de un "signing party" debe enviar esta información con anticipación, los organizadores imprimirán una lista para cada participante.
TIP: para leer el fichero out.ps, puede utilizar evince, okular, ghostscript u otro visor de ?PostScript.
TIP2: También puede utilizar algunos sitios web para generar un fichero PDF del "fingerprint" GPG, como: http://openpgp.quelltextlich.at/slip.html o http://keysheet.net
Paso 5: Entregue el "fingerprint" de su clave
Las personas que firmarán su clave requieren ver algún tipo de documento de identidad emitido por el gobierno (pasaporte o similar).
Debe entregar la impresión a al menos un desarrollador Debian.
Lea la página oficial de Debian acerca de keysigning.
Un miembro del equipo CAcert requerirá ver dos documentos de identidad.
Paso 6: Haga que su clave sea firmada en digital
- obtendrá su clave desde el servidor
gpg --recv-keys 00AA11BB
- verificará que la información es correcta (el "fingerprint")
gpg --fingerprint 00AA11BB
- la firmará.
gpg --sign-key 00AA11BB
- la enviará al propietario de la clave como un correo cifrado (No enviarla directamente al servidor). Se prefiere el envío cifrado puesto que usted puede verificar que la persona puede descifrar el mensaje que recibe.
gpg --armor --output 00AA11BB-signedBy-1A2B3C4D.asc --export 00AA11BB
Paso 7: Envíe su clave firmada al servidor
Después de un tiempo de haber participado en una firma de claves, probablemente recibirá su clave firmada como un fichero adjunto. Importe las firmas:
gpg --import 1A2B3C4D-signedBy-00AA11BB.asc
Seguidamente deberá enviar su clave actualizada al servidor:
gpg --send-key 1A2B3C4D
Más allá de Debian
Aquellos interesados en expandir la red de confianza más allá de Debian deben visitar: