PGP Key Signing Party

Termín: Sobota 17. 6. od 13:00, místost bude upřesněna

Určitě jste se již setkali s PGP Pretty Good Privacy standardem. Podepisujete své emaily, commity v GITu, šifrujete svoji Jabber komunikaci? Přinejmenším Váš systém kontroluje zda balíčky které se chystáte instalovat mají validní podpis.

Přemýšleli jste ale nad tím jak ověřit veřejný klíč protistrany, případně jak bezpečně předat svůj klíč ostatním? Místo pochybných certifikačních ‘autorit’ si lidé v open source světě důvěřují navzájem a vzniká tzv. síť důvěry.

Podepsáním veřejné části cizího klíče dáte najevo, že jeho majiteli opravdu věříte - že jste si stoprocentně jisti jeho totožností. Stačí si s kamarády vyměnit otisky veřejných klíčů, porovnat je s těmi z internetu (key serveru), navzájem podepsat a uploadovat / odeslat zpět majiteli. Postupem času takhle sbíráte podpisy a Váš klíč (vy) nabývá na důvěryhodnosti.

Pojďme se na OSS víkedu potkat, prokázat si navzájem naše identity - občanský/řidičský průkaz, pas, či jiný doklad s fotografií a alespoň nějakou ochranou budou snad každému stačit. Dále si přineste malé papírky se jménem a otiskem veřejné části svého klíče aby celý proces proběhl co možná nejjednodušeji.

Jak postupovat před samotnou párty?

  1. Používejte identifikátor klíče v dlouhém formátu (důvod)
    Do souboru ~/.gnupg/gpg.conf přidejte řádek
    keyid-format 0xlong
  2. Pokud ještě klíč nemáte, vytvořte si jej
    $ gpg --gen-key
    Použijte RSA o délce 4096 bitů.
    Pokud ztratíte soukromou část klíče nelze jej už zrušit.
    Blíží-li se datum expirace můžete platnost klíče prodloužit.
  3. Zjistěte ID svého klíče
    $ gpg --list-secret-keys | grep sec
    Řetězec, který hledáte, vypadá nějak takhle: 0x65BDCDAB70974BA9
  4. Uploadujte veřejnou část svého klíče na key server
    $ gpg --keyserver pool.sks-keyservers.net --send-key 0x65BDCDAB70974BA9
  5. Vygenerujte si fingerprint se svým jménem a otiskem veřejné části klíče
    $ gpg --fingerprint 0x65BDCDAB70974BA9
  6. Vytiskněte tento fingerprint v dostatečném počtu, nastříhejte na proužky a vezměte ssebou
Jak postupovat doma po OSS víkedu?
  1. Stáhněte si z keyserveru veřejnou část klíče svého protějška
    $ gpg --keyserver pool.sks-keyservers.net --recv-keys 0xE79C9E1903ADD68E
  2. Podepište veřejnou část staženého klíče
    $ gpg --edit-key 0xE79C9E1903ADD68E
    Příkazem fpr zkontrolujte zda se fingerprint shoduje
    Příkazem sign přidejte svůj podpis
    Příkazem check zkontrolujte zda je mezi podpisy i ten váš
    Příkazem quit ukončete interaktivní režim
  3. Uploadujte klíč zpět na keyserver
    $ gpg --keyserver pool.sks-keyservers.net --send-keys 0xE79C9E1903ADD68E

V každém případě se na nás neváhejte obrátit!
Ideálně by všichni měli mít hotovo do 31. 6.

Děkujeme!