Avainten allekirjoittaminen

Koska useat kehittäjät tapaavat toisiaan messuilla ja konferensseissa, ovat he ottaneet tavaksi allekirjoittaa toistensa GnuPG-avaimia ja näin kasvattaa luottamusverkkoa. Erityisesti uusille ihmisille projektissa avainten allekirjoittaminen ja muiden kehittäjien tapaaminen on ollut erittäin mielenkiintoista.

Tämän ohjeen tarkoitus on auttaa avainten allekirjoitustilaisuuden järjestämisessä. Huomaa, että kaikissa esimerkeissä käytetään avainpalvelinta keyring.debian.org. Jos avain, jonka haluat allekirjoittaa, ei ole Debianin avainrenkaassa, korvaa keyring.debian.org julkisella avainpalvelimella, kuten wwwkeys.pgp.net (joka nimestä huolimatta säilyttää myös GnuPG-avaimia).

Avaimia tulee allekirjoittaa vain kun on varmistuttu vähintään näistä kahdesta ehdosta:

  1. Avaimen omistaja todistaa allekirjoittajalle, että henkilöllisyys UID:ssa todellakin kuuluu avaimen omistajalle näyttämällä mitä tahansa todistetta, johon allekirjoittaja suostuu luottamaan. Yleensä tämä tarkoittaa, että avaimen omistajan tulee näyttää hallituksen varmentama kuvallinen henkilöllisyystunniste, jonka tiedot täsmäävät avaimen omistajaan. (Jotkut allekirjoittajat tietävät, että hallituksien antamat henkilöllisyystodisteet on helppo väärentää ja näitä myöntävien viranomaisten luotettavuus on usein kyseenalainen, joten he voivat vaatia lisäksi/vaihtoehtoisesti muita todisteita henkilöllisyydestä).
  2. Avaimen omistaja varmistaa, että allekirjoitettavan avaimen sormenjälki ja pituus on todellakin heidän omansa.

Tärkeätä on huomata, että jos avaimen omistaja ei aktiivisesti osallistu vaihtoon, et pysty viemään loppuun joko ensimmäistä tai toista ehtoa. Kukaan muu ei voi täyttää ensimmäistä ehtoa avaimen omistajan puolesta, koska silloin kuka tahansa pystyisi varastetun henkilöllisyystodistuksen avulla saamaan allekirjoituksen luomalleen PGP-avaimelle esittämällä olevansa avaimen omistajan edustaja. Kukaan muu ei voi myöskään täyttää toista ehtoa avaimen omistajan puolesta, koska tällöin edustaja pystyisi korvaamaan sormenjäljen toisen PGP-avaimen sormenjäljellä, jossa olisi omistajan nimi, ja saaden näin jonkun allekirjoittamaan väärän avaimen.

Debian-paketti signing-party sisältää muutamia työkaluja joilla helpottaa em. prosessia. gpg-key2ps muuntaa GnuPG-avaimen PostScript-tiedostoksi josta voit tulostaa sormenjälkesi sisältäviä paperiliuskoja ja gpg-mailkeys lähettää allekirjoitetun avaimen sähköpostitse omistajalleen. Pakettiin kuuluu myös caff, joka on hiukan edistyneempi työkalu. Lue paketin dokumentaatiosta lisäohjeita.

Mitä sinun ei pitäisi tehdä

Sinun ei pitäisi koskaan allekirjoittaa sellaisen henkilön avainta, jota et ole tavannut henkilökohtaisesti. Avaimen allekirjoittaminen muulla kuin ensikäden tiedon perusteella tuhoaa Luottamusverkon hyödyn. Jos ystäväsi esittää muille kehittäjille sinun henkilöllisyystodistuksesi ja sinun sormenjälkesi, mutta sinä et ole paikalla varmistamassa, että sormenjälki kuuluu sinulle, millä perusteella muut kehittäjät voivat yhdistää sormenjäljen henkilöllisyystodistukseen? Heillä on vain ystäväsi sana ja muut allekirjoitukset avaimessasi -- tämä ei ole yhtään parempi kuin jos he olisivat allekirjoittaneet sinun avaimesi vain siksi, koska muutkin henkilöt ovat sen allekirjoittaneet!

On toki mukavaa saada monia allekirjoituksia avaimellesi, ja siksi on houkuttelevaa oikaista pari mutkaa matkalla. Mutta luotettavien allekirjoitusten saaminen on tärkeämpää kuin useiden allekirjoituksien saaminen, joten on erittäin tärkeää, että pidämme avaimen allekirjoitusprosessin niin puhtaana kuin voimme. Jonkun avaimen allekirjoittaminen on merkki siitä, että sinulla on ensikäden tietoa avaimenhaltijan henkilöllisyydestä. Jos allekirjoitat avaimen tarkoittamatta sitä, Luottamusverkkoon ei voi enää luottaa.