Keysigning ld06
Da MontelLUG WIKI.
Dove
Durante l'edizione trevigiana del "Linux Day 2006 - sesta giornata nazionale di Linux e del software libero" presso l'ITIS E.Barsanti, via dei Carpani 19/b, Castelfranco Veneto (TV)
Quando
Sabato 28 Ottobre 2006 dalle ore 15.00 alle ore 16.00. Si raccomanda la puntualità!
Cos'è e a cosa serve
Un key-signing party è un incontro tra persone che utilizzano OpenPGP (ad esempio con il programma GPG) durante il quale ognuno ha la possibilità verificare le identità e le chiavi degli altri partecipanti allo scopo di firmarne le chiavi crittografiche e di farsi firmare la propria chiave.
Ciò consente di espandere il "web of trust" (rete della fiducia). E più questa diventa profonda e interconnessa, più risulta difficile comprometterla.
Questo è molto importante per la comunità del software libero, sia per gli sviluppatori che per gli utenti. I membri della comunità usano la tecnologia OpenPGP per proteggere crittograficamente i loro pacchetti software, gli annunci, i comunicati riguardanti la sicurezza. La forza e la protezione che OpenPGP fornisce alla comunità sono direttamente proporzionali alla forza e la robustezza della rete della fiducia.
Come partecipare
Prima del key-signing party
- Avere (o creare una propria chiave).
- Rendere disponibile la propria chiave pubblica:
- inviandola ad un keyserver (scelta consigliata),
- pubblicandola sul proprio sito web.
- Entro le ore 12 di venerdì 27 ottobre 2006 registrarsi comunicando all'indirizzo info@montellug.it i seguenti dati:
- nome e cognome,
- key ID della chiave (esempio: 0xF17110BE),
- dimensione e tipo della chiave (esempio: 1024 DSA),
- fingerprint della chiave (esempio: A8D3 5033 58BC 564F 36DF C95D CB3C 5267 F171 10BE),
- dove è reperibile la chiave pubblica (nome del keyserver o URL del proprio sito),
- se si desidera che chi firma la vostra chiave la spedisca ad un keyserver (scelta consigliata) o ve la mandi via e-mail.
ATTENZIONE: i dati inviati saranno divulgati a tutti i partecipanti al key-signing party. Un'email di conferma sarà inviata entro 24 ore.
Il giorno del key-signing party
Ricordarsi di:
- essere presenti :-)
- portare un documento d'identità valido,
- portare un foglio con key ID, dimensione, tipo, fingerprint della propria chiave,
- portare una penna.
Non è necessario portare un computer.
Come si svolge
Durante il party
- Gli organizzatori distribuiscono ad ognuno un elenco. Ogni riga dell'elenco conteiene:
- nome e cognome di un partecipante
- dati della sua chiave (key ID, dimensione, tipo e fingerprint)
- dove è reperibile la chiave (keyserver o URL)
- se la chiave firmata va inviata ad un keyserver od al proprietario
- due caselle: esse andranno sbarrate quando si siano verificati:
- l'esattezza dei dati della chiave (prima casella)
- l'identità del proprietario (seconda casella)
- Tutti i partecipanti si mettono in fila
- Il primo della fila:
- legge ad alta voce i dati della propria chiave (ID, tipo, dimensione e fingerprint) dal proprio foglio e non dall'elenco
- ognuno controlla che i dati siano corretti e mette il primo segno di spunta di fianco alle chiavi che intende verificare.
- la persona cammina lungo la fila mostrando ai partecipanti il proprio documento d'identità
- ognuno controlla il documento e mette il secondo segno di spunta
- l'ex primo prende posto all'ultimo posto della fila
- la seconda persona segue la prima appena possibile e fa le stesse cose.
- Quando la prima persona torna a essere la prima della riga ognuno ha controllato ogni altro.
Dopo il party
- I partecipanti scaricheranno le chiavi che intendono firmare
- controlleranno il fingerprint delle chiavi
- firmeranno le chiavi verificate (con tutte e due le caselle spuntate)
- invieranno le chiavi firmate secondo le modalità indicate dal proprietario della chiave (keyserver o via e-mail)
Ulteriori informazioni
È consigliatissima la lettura del Manuale GNU sulla privacy (GnuPG Handbook) ed in particolare di:
- come creare una propria chiave
- come importare, firmare, esportare una chiave
- come pubblicare e/o scaricare una chiave da un keyserver
- cos'è il web of trust (rete della fiducia)
Altra lettura consigliata: il GnuPG Keysigning Party HOWTO
Molta altra documentazione in italiano ed in inglese è disponibile sul sito http://www.gnupg.org
Grazie al LugRoma per il testo qui presente