Sleutels tekenen

Omdat veel ontwikkelaars elkaar ontmoeten op beurzen of conferenties kan men daar op een leuke manier elkaars GnuPG-sleutels tekenen en het vertrouwensweb uitbreiden. Vooral voor nieuwe mensen is sleutels tekenen en andere ontwikkelaars ontmoeten zeer interessant.

Dit document is er om u te helpen met het opzetten van een sessie om sleutels tekenen. Merk op dat alle voorbeelden keyring.debian.org gebruiken als sleutelserver. Als de sleutel in kwestie niet in de Debian-sleutelring is, vervang dan keyring.debian.org door een publieke sleutelserver zoals subkeys.pgp.net (die ondanks de naam ook GnuPG-sleutels bewaart).

Men zou enkel sleutels mogen tekenen als tenminste twee voorwaarden zijn vervuld:

  1. De sleuteleigenaars overtuigen de ondertekenaar dat de identiteit in het UID inderdaad hun eigen identiteit is door bewijs voor te leggen dat door de ondertekenaar aanvaard wordt. Gewoonlijk betekent dit dat de sleuteleignaars een door de overheid uitgegeven identiteitsbewijs met foto en informatie die overeenkomt met die op de sleutel moeten voorleggen. (Sommige ondertekenaars weten dat identiteitsbewijzen uitgegeven door de overheid gemakkelijk worden nagemaakt en dat de betrouwbaarheid van de uitgevende overheden regelmatig verdacht is en dus kunnen ze bijkomend en/of alternatief identiteitsbewijs vereisen).
  2. De sleuteleigenaars verifiëren dat de vingerafdruk en de lengte van de sleutel die zal getekend worden inderdaad hun eigen is.

Het belangrijkste is dat als er sleuteleigenaars zijn die niet actief participeren in de uitwisseling, dan zijn noch vereiste 1, noch 2 vervuld. Niemand kan het aandeel van de sleuteleigenaar van vereiste 1 doen in plaats van de eigenaar, omdat anders iedereen met een gestolen identiteitskaart gemakkelijk een bijhorende PGP-sleutel kan verkrijgen door zich voor te doen als een vertegenwoordiger van de eigenaar. Niemand kan het aandeel van de sleuteleigenaar van vereiste 2 doen in plaats van de eigenaar want de vertegenwoordiger kan de vingerafdruk vervangen door die van een andere sleutel die de naam van de sleuteleigenaar bevat en zo de verkeerde sleutel laten tekenen.

Het signing-party Debian-pakket bevat enkele hulpprogramma's voor dit proces. gpg-key2ps maakt een PostScript-bestand uit een GnuPG-sleutel om papieren strookjes te printen met uw vingerafdruk. gpg-mailkeys zal een ondertekende sleutel verzenden naar de eigenaar. Het pakket bevat ook caff: een geavanceerder hulpprogramma. Zie de pakketdocumentatie voor meer informatie.

Wat u niet mag doen

U mag nooit een sleutel tekenen van iemand die u niet persoonlijk ontmoet heeft. Een sleutel tekenen gebaseerd op iets anders dan eerstehandsinformatie vernietigt de bruikbaarheid van het vertrouwensweb (Web of Trust). Als uw vriend uw identiteitskaart en vingerafdruk aan andere ontwikkelaars presenteert, maar u bent daar niet om na te kijken dat de vingerafdruk van u is, wat moeten de andere ontwikkelaars dan doen om de vingerafdruk met uw identiteit te linken? Ze hebben enkel het woord van uw vriend en de andere handtekeningen op uw sleutel -- dit is niet beter dan dat ze uw sleutel zouden tekenen omdat andere mensen ze hebben getekend!

Het is leuk om meer handtekeningen op uw sleutel te krijgen en het is aanlokkelijk om enkele hoeken af te snijden om daar te geraken. Maar betrouwbare handtekeningen zijn belangrijker dan veel handtekeningen, dus het is zeer belangrijk dat we het sleuteltekenproces zo puur mogelijk houden. Iemands anders sleutel tekenen is een aanwijzing dat u bewijs uit eerste-hand heeft van de identiteit van de sleuteleigenaar. Als u de sleutel tekent wanneer u het niet echt meent, dan kan het vertrouwensweb niet langer vertrouwd worden.