Firmado de claves

Como muchos desarrolladores se conocen en estos eventos, éstos llegan a ser una buena manera para conseguir que la gente firme una firma GnuPG y mejorar la seguridad de la red. Para la gente nueva en el proyecto es especialmente interesante firmar las claves y conocer a los desarrolladores.

Este documento intenta ayudarle a llevar a cabo una sesión de firmado de claves. Fíjese que todos los ejemplos usan keyring.debian.org como servidor de claves. Si la clave en cuestión no está en el llavero de Debian, cambie keyring.debian.org por un servidor público de claves como wwwkeys.pgp.net (que pese al nombre también almacena claves GnuPG.)

La gente sólo debería firmar una clave bajo al menos dos condiciones:

  1. El dueño de la clave convence al que firma de que la identificación en el UID es efectivamente su propia identificación por cualquier evidencia que sea aceptada por el que firma como convincente. Normalmente esto significa que el dueño de la clave debe presentar un documento identificativo expedido por las autoridades con una fotografía e información que concuerde con el dueño de la clave. (Alguna de las personas que firman saben que estos documentos son habitualmente olvidados y que la seguridad de las documentos gubernamentales a menudo es sospechosa y así es posible que se requieran evidencias alternativas y/o adicionales de la identidad).
  2. El dueño de la clave verifica que la huella de la firma y la longitud de la clave que va a ser firmada es efectivamente la suya.

Aún más importante, si el dueño de la clave no participa directamente en el intercambio, no será capaz de completar ninguno de los requisitos 1 y 2. Nadie puede completar la parte del dueño de la clave del requisito 1 en vez del dueño de la clave, porque de lo contrario cualquiera con un documento de identidad robado puede conseguir con facilidad una clave PGP para hacerse pasar por alguien mandado de parte del dueño de la clave. Nadie puede completar la parte del dueño de la clave del requisito 2 en vez del dueño de la clave, ya que la persona podría sustituir la huella por una clave PGP diferente con el nombre del dueño de la clave en él y conseguir que alguien firme la clave equivocada.

El paquete signing-party de Debian provee algunas herramientas que le ayudan en este proceso. gpg-key2ps convierte una llave GnuPG en un archivo PostScript que le permitirá imprimir tarjetas con su huella, asimismo gpg-mailkeys envia una llave firmada, por correo, a su autor. El paquete también incluye caff que es una herramienta más avanzada. Vea la documentación del paquete para mayor información.

Lo que no debería hacer

Nunca firme una clave de alguien a quien no haya conocido personalmente. Firmar una llave basándose en cualquier otra cosa que no sea el conocerse de primera mano destruye la utilidad del crédito de la red de confianza. Si unos amigos presentan a otros desarrolladores con su identificación y su huella, pero usted no está allí para comprobar que la huella le pertenece, ¿cómo pueden los otros desarrolladores asociar su huella con su identificación? Sólo tienen la palabra de los amigos, y la otra firma en su clave: ¡no es mejor que si ellos firman su clave sólo porque otra gente la haya firmado ya!

Está bien conseguir más firmas en una llave, y es tentador atajar, pero tener firmas de confianza es más importante que tener muchas, así que es muy importante mantener la pureza del proceso lo mejor que podamos. Firmar la clave de otros es una confirmación de que tiene la evidencia de primera mano de la identidad de la persona que tiene la clave. Si la firma cuando no lo conoce realmente, la confianza de la red no podrá mantenerse segura.