Keysigning Party

Ніжэй прыведзены алгарытм мерапрыемства. Гэта першая рэдакцыя, пад час накаплення практычнага досведа будуць уносіцца змены.

Падрыхтоўка

  1. Да тэрміна падачы жадаючыя паўдзельнічаць перадаюць каардынатару свае Key ID на свае публічныя ключы. Звычайна апошні тэрмін падачы заявак гэта 9 гадзін раніцы ў апошнюю пятніцу перад лінуксоўкай. Больш падрабязна глядзіце ў анонсе лінуксоўкі. Зараз каардынатараў двое:
    • Viktar Siarheichyk, vics at eq.by
    • Andrey Tataranovich, tataranovich at gmail.com

    Абавязкова трэба дасылаць таму з іх, хто прапісаны ў анонсе лінуксоўкі. Калі не ўпэўненыя, пастаўце другога каардынатара ў копію.

  2. Каардынатар аб’ядноўвае атрыманыя ключы ў нізку ключоў гэтае сустрэчы[3].
  3. Каардынатар стварае тэкставы файл, які змяшчае спіс усіх ключоў і іх адбіткаў (fingerprints) і вылічвае кантрольныя сумы MD5 і SHA1 гэтага спіса.
  4. У пятніцу каардынатар публікуе тэкставы файл разам з кантрольнымі сумамі MD5 і SHA1 альбо рассылкай яго ўсім удзельнікам, альбо выкладаючы яго на сайт.
  5. Усе удзельнікі правяраюць:
    • сапраўднасць спіса з дапамогай md5 і sha1
    • правільнасць інфармацыі пра свой ключ
  6. Усе ўдзельнікі раздрукоўваюць спіс для сябе, калі спіс прайшоў праверку. Удзельнікі павінны давяраць толькі спісу, які яны раздрукавалі самі з файла з праверанымі кантрольнымі сумамі. Гэтак гарантуецца ўпэўненасць кожнага ўдзельніка, што працуе з нескажоным спісам.
  7. Упісваюць сваю кантрольную суму ў вольныя месцы ў спісе.

Keysigning Party

  1. Удзельнікі Keysigning party прыходзяць на лінуксоўку як мінімум з пашпартам. Лепш за ўсё як мінімум два дакумента, выдадзеныя ораганамі ўлады, на якіх ёсць фотаздымак.
  2. На самой keysigning party спачатку каардынатар чытае кантрольныя сумы спіса ўдзельнікаў ці дэманструе іх на праектары, каб усе ўдзельнікі маглі параўнаць іх з тымі, што яны самі палічылі.
  3. Кожны ўдзельнік па чарзе заяўляе, што адбітак яго ключа, які знаходзіцца ў спісе, сапраўдны. Дастаткова проста сказаць: “Ключ 00000000 сапраўдны.” Няма патрэбы чытаць гэты адбітак услых: калі спісы пацверджаныя кантрольнымі сумамі, то гэты адбітак, які ёсць ува ўсіх спісах, павінен ужо быць такім самым. Удзельнікі робяць паметку на сваёй копіі спіса насупраць кожнага ключа, пра які яго ўладальнік сказаў, што ён сапраўдны. Дарэчы, адразу і адсейваюцца тыя, хто не прыйшоў
  4. Астатнія ўдзельнікі адзначаюць у спісе ў радку “Key Info Matches?” што дадзеныя на ключ сапраўдныя
  5. Пасля праверкі дадзеных на ключы правяраюцца дадзеныя ўладальнікаў:
    1. удзельнікі становяцца ў чаргу ў тым парадку, у якім іх кючы ідуць у спісе
    2. Галава чаргі затым заварочваецца і ўдзельнікі, якія праходзяць назад уздоўж чаргі, правяраюць дакументы ўдзельнікаў, якія стаяць
    3. Па выніках праверкі асобы ўладальніка ключа запаўняецца графа “Owner ID Matches?” спіса з ключамі
    4. У выніку кожны павінны праверыць дакументы ў кожнага

Afterparty

  1. Па выніках мерапрыемства ўдзельнікі Keysigning party пасля лінуксоўкі атрымліваюць публічныя ключы усіх удзельнікаў сустрэчы альбо з грамадскага сервера ключоў[4], альбо з нізкі, створанай каардынатарам[3].
  2. Удзельнікі праходзяць па сваім спісе з паметкамі і параўноўваюць адбіткі кожнага атрыманага ключа з друкаваным спісам і падпісваюць тыя ключы, што супадаюць і памечаныя як “сапраўдны адбітак”, так і “сапраўдны дакумент” (і для Key Info Matches?, і для Owner ID Matches?). Што ўключае:
    1. Подпіс UID’аў ключа, у сапраўднасці каторых пераканаўся ўдзельнік. Падпісваць можна як кожны асобны UID (калі пры асабістай сустрэчы ўдзельнік пераканаўся, што ўсе яны сапраўдныя), так і адзін (ці некалькі) са спіса.
    2. Кожны падпісаны UID асобна дасылаецца на прапісаны ў ім уладальнікам ключа адрас электроннай пошты

    Зрабіць гэта прасцей і шутчэй за ўсё можна з дапамогай праграмы caff[7] з пакета signing-party[8]. Падпісаны ключ НЕ загружаецца назад на сервер, а дасылаецца на пошту, прапісаную ў ID. Гэта дазваляе выканаць дадатковую праверку сапраўднасці рэквізітаў ключа. Выключэнне можа быць толькі для выпадкаў, калі ў ID прапісаны не паштовы адрас, а, напрыклад, Jabber ID.

  3. Подпісы, якія атрымалі ад іншых удзельнікаў, імпартуюцца ў лакальную нізку ключоў і пры жаданні заліваюцца на сервер ключоў[4][5][6].

Ключы варта загружаць на серверы, якія рэгулярна сінхранізцюцца з астатнімі. Да прыкладу pgp.mit.edu ці keys.gnupg.net. Калі вы не ўпэўненыя наконт таго, наколькі ваш сервер адпавядае гэтаму патрабаванню, калі ласка, пашукайце сябе па адрасе электронай пошты на вышэйузгаданых серверах.

Для падпісання ключоў і рассылкі вынікаў на пошту можна выкарыстоўваць гатовыя скрыпты. У Debian і Ubuntu іх можна паставіць з пакета signing-party

Спасылкі

[1] http://web.archive.org/web/20110709084228/http://sion.quickie.net/keysigning.txt
[2] http://keysigning.org/methods/sassaman-efficient
[3] http://biglumber.com/x/web?keyring=8413
[4] https://keys.gnupg.net/
[5] https://sks-keyservers.net/
[6] https://pgp.mit.edu/
[7] https://wiki.debian.org/caff
[8] http://pgp-tools.alioth.debian.org/

One Response to Keysigning Party

  1. Pingback: ЖЖ в Беларуси » Blog Archive » Октябрьская линуксовка MLUG 2015

Leave a Reply