Вступ

Мета цієї сторінки — пояснити, як можна створити і підписати ключ OpenPGP.

Потім, щоб приєднатися до мережі довіри, перейдіть на сторінку координації підпису ключів.

Як зробити

Уроки пояснюють як використовувати GnuPG:

Якщо Ви бажаєте, щоб Ваш ключ OpenPGP був підписаний принаймні одним (але в ідеалі кількома) розробниками Debian, Вам потрібно виконати наведені нижче дії.

Крок 1: Створити пару ключів RSA

gpg --full-gen-key

Дивіться також створення пари ключів.

/!\ Зверніть увагу, що через недоліки, виявлені в алгоритмі хешування SHA1 Debian потребує сильніших ключів RSA, що мають не менше 4096 біт і надають перевагу SHA2, хоча Ed25519 навіть краще.

Також дивіться Хороша практика OpenPGP, документація про підключі та міграція ключа SHA-1.

Крок 2: Створити сертифікат відкликання

Створіть також сетрифікат відкликання, якщо у Вас вже є ключ!

gpg --gen-revoke [KEY_ID] > ~/.gnupg/revocation-[KEY_ID].crt

Крок 3: Зробіть свій відкритий ключ публічним

gpg --send-key 1A2B3C4D5E6F7G8H

Деякі публічні сервери ключів:

Крок 4: Роздрукуйте свій ключ

Роздруківка вашого відбитка повинна містити таку інформацію:

Можна використовувати таку функцію:

gpg -v --fingerprint 1A2B3C4D5E6F7G8H

Зазвичай, робиться кілька роздруківок на куску паперу. Вона може бути розміром візитної картки. Для створення роздруківок також можна використовувати gpg-key2ps, який є частиною пакунка signing-party:

gpg-key2ps -p a4 1A2B3C4D5E6F7G8H > out.ps

Альтернативно, ви можете роздрукувати в одній колонці, щоб уникнути проблем із друком (для надшироких ключів):

gpg-key2ps -1 -p a4 1A2B3C4D5E6F7G8H > out.ps

Якщо ви підете на вечірку з підписання ключів, вам доведеться надіслати цю інформацію заздалегідь, а потім вони надрукують список для кожного учасника.

ПІДКАЗКА: для читання файлу out.ps можна використовувати evince, okular, ghostscript або інший переглядач ?PostScript.

ПІДКАЗКА2: Можна також використовувати деякі вебсайти для ґенерування PDF із відбитка OpenPGP, такі як: http://openpgp.quelltextlich.at/slip.html або http://keysheet.net

ПІДКАЗКА3: якщо вам подобається файл pdf замість postscript, можна передати вихід gpg2ps через ghostscript.

gpg-key2ps -p a4 1A2B3C4D5E6F7G8H | gs -sDEVICE=pdfwrite -sOutputFile=out.pdf

Альтернативно, ви можете вивести свій відбиток(ки) на екран вашого лептопа:

LANG=C gpg --list-secret-keys --fingerprint --keyid-format long | grep -Po 'fingerprint = \K.*' | sed 's/$/\n/; s/  /\n/' | sm -i -

Крок 5: Роздайте відбиток свого ключа

Люди, що підписують ваш ключ повинні бачити якусь форму державного ідентифікування (паспорт чи щось таке).

Вам потрібно надати роздруківку принаймні одному Розробнику Debian.

Читайте офіційну сторінку Debian про підпис ключа.

Член CAcert повинен бачити два ідентифікатори.

Крок 6: Отримайте свій ключ із цифровим підписом

Розробник Debian

gpg --recv-keys 00AA11BB22CC33DD

gpg --fingerprint 00AA11BB22CC33DD

gpg --sign-key 00AA11BB22CC33DD

gpg --armor --export 00AA11BB22CC33DD | gpg --encrypt -r 00AA11BB22CC33DD --armor --output 00AA11BB22CC33DD-signedBy-1A2B3C4D5E6F7G8H.asc

Альтернативно, інструмент caff із пакунка signing-party автоматизує весь цей процес:

caff 00AA11BB22CC33DD

Крок 7: Надішліть свій підписаний ключ на сервер

Через деякий час після участі в підписанні ключів, Ви можливо отримаєте свій підписаний ключ як вкладення до email-листа. Імпортувати сиґнатури:

gpg -d 1A2B3C4D5E6F7G8H-signedBy-00AA11BB22CC33DD.asc | gpg --import

Після цього надішліть оновлений ключ на сервер:

gpg --send-key 1A2B3C4D5E6F7G8H

За межами Debian

Зацікавленим у розширенні мережі довіри за межі Debian, слід відвідати:

Дивіться також


CategoryCommunity CategoryDeveloper