N.B. Het origineel is recenter dan de vertaling.
Sleutels tekenen
Omdat veel ontwikkelaars elkaar ontmoeten op beurzen of conferenties kan men daar op een leuke manier elkaars OpenPGP-sleutels tekenen en het vertrouwensweb uitbreiden. Vooral voor nieuwe mensen is sleutels tekenen en andere ontwikkelaars ontmoeten zeer interessant.
Dit document is er om u te helpen met het opzetten van een sessie om
sleutels te tekenen. Merk op dat alle voorbeelden keyring.debian.org
gebruiken als sleutelserver. Als de sleutel in kwestie niet in de
Debian-sleutelring is, vervang dan keyring.debian.org
door
een publieke sleutelserver zoals keys.openpgp.org
(die een
validerende sleutelserver is).
Men zou enkel sleutels mogen tekenen als tenminste twee voorwaarden zijn vervuld:
- De sleuteleigenaars overtuigen de ondertekenaar dat de identiteit in het UID inderdaad hun eigen identiteit is door bewijs voor te leggen dat door de ondertekenaar aanvaard wordt. Gewoonlijk betekent dit dat de sleuteleignaars een door de overheid uitgegeven identiteitsbewijs met foto en informatie die overeenkomt met die op de sleutel moeten voorleggen. (Sommige ondertekenaars weten dat identiteitsbewijzen uitgegeven door de overheid gemakkelijk worden nagemaakt en dat de betrouwbaarheid van de uitgevende overheden regelmatig verdacht is en dus kunnen ze bijkomend en/of alternatief identiteitsbewijs vereisen).
- De sleuteleigenaars verifiëren dat de vingerafdruk en de lengte van de sleutel die zal getekend worden inderdaad hun eigen is.
Het belangrijkste is dat als er sleuteleigenaars zijn die niet actief participeren in de uitwisseling, dan zijn noch vereiste 1, noch 2 vervuld. Niemand kan het aandeel van de sleuteleigenaar van vereiste 1 doen in plaats van de eigenaar, omdat anders iedereen met een gestolen identiteitskaart gemakkelijk een bijhorende OpenPGP-sleutel kan verkrijgen door zich voor te doen als een vertegenwoordiger van de eigenaar. Niemand kan het aandeel van de sleuteleigenaar van vereiste 2 doen in plaats van de eigenaar want de vertegenwoordiger kan de vingerafdruk vervangen door die van een andere OpenPGP-sleutel die de naam van de sleuteleigenaar bevat en zo de verkeerde sleutel laten tekenen.
- U heeft uitgeprinte OpenPGP-vingerafdrukken, sleutellengtes en een identiteitsbewijs nodig (identiteitskaart, reispas, rijbewijs of gelijkaardig).
- De vingerafdrukken en sleutellengtes worden uitgedeeld aan diegene die uw sleutel wil tekenen na de bijeenkomst.
- Als u nog geen OpenPGP-sleutel heeft, maak er dan één aan met
gpg --gen-key
. - Teken de sleutel alleen als de identiteit van de eigenaar bewezen is.
- Na de bijeenkomst dient u de OpenPGP-sleutels af te halen om deze te kunnen
tekenen. Het volgende kan hierbij helpen:
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Merk op dat we de laatste acht hexadecimale cijfers van de vingerafdruk kunnen gebruiken bij deze en andere GnuPG-bewerkingen. De 0x vooraan is ook optioneel.
- Om de sleutel te tekenen gaat u naar het bewerkingsmenu met
gpg --edit-key 0xDEADBEEF
- In GnuPG selecteert u alle uid's die u gaat tekenen met
uid n
, waarn
het volgnummer van de in het menu getoonde uid is. U kunt ook op enter drukken om alle uid's te tekenen. - Om de sleutel dan te tekenen geeft u
sign
in. Dan moet u de vingerafdruk en de sleutellengte van de sleutel vergelijken met diegene die u gekregen heeft van de sleuteleigenaar. - Wanneer u gevraagd wordt naar het certificatieniveau, kies dan "casual".
- Sluit GnuPG af met
quit
- Om na te kijken of u de sleutel correct heeft getekend, kunt u het
volgende uitvoeren:
gpg --list-sigs 0xDEADBEEF
U zou uw eigen naam en vingerafdruk (in de korte vorm) moeten zien in de uitvoer.
- Als alles er goed uitziet, kunt u de getekende sleutel verzenden door:
gpg --export -a 0xDEADBEEF > iemand.key
De
-a
-optie exporteert de sleutel in het ASCII-formaat zodat het verzonden kan worden zonder de mogelijkheid op corruptie. - Als iemand op deze manier uw sleutel tekent, kunt u de sleutel aan de
Debian-sleutelring toevoegen door:
gpg --import --import-options merge-only getekend.key gpg --keyserver keyring.debian.org --send-keys <uw sleutel-id>
Het kan een tijd duren voordat de sleutelringbeheerders uw sleutel bijwerken, dus wees geduldig. U zendt uw sleutel best ook naar de publieke sleutelservers.
Het signing-party Debian-pakket bevat enkele hulpprogramma's voor dit proces. gpg-key2ps maakt een PostScript-bestand uit een OpenPGP-sleutel om papieren strookjes te printen met uw vingerafdruk. gpg-mailkeys zal een ondertekende sleutel verzenden naar de eigenaar. Het pakket bevat ook caff: een geavanceerder hulpprogramma. Zie de pakketdocumentatie voor meer informatie.
Wat u niet mag doen
U mag nooit een sleutel tekenen van iemand die u niet persoonlijk ontmoet heeft. Een sleutel tekenen gebaseerd op iets anders dan eerstehandsinformatie vernietigt de bruikbaarheid van het vertrouwensweb (Web of Trust). Als uw vriend uw identiteitskaart en vingerafdruk aan andere ontwikkelaars presenteert, maar u bent daar niet om na te kijken dat de vingerafdruk van u is, wat moeten de andere ontwikkelaars dan doen om de vingerafdruk met uw identiteit te linken? Ze hebben enkel het woord van uw vriend en de andere handtekeningen op uw sleutel -- dit is niet beter dan dat ze uw sleutel zouden tekenen omdat andere mensen ze hebben getekend!
Het is leuk om meer handtekeningen op uw sleutel te krijgen en het is aanlokkelijk om enkele hoeken af te snijden om daar te geraken. Maar betrouwbare handtekeningen zijn belangrijker dan veel handtekeningen, dus het is zeer belangrijk dat we het sleuteltekenproces zo puur mogelijk houden. Iemands anders sleutel tekenen is een aanwijzing dat u bewijs uit eerste-hand heeft van de identiteit van de sleuteleigenaar. Als u de sleutel tekent wanneer u het niet echt meent, dan kan het vertrouwensweb niet langer vertrouwd worden.