1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
|
#use wml::debian::template title="Firmado de claves"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71" maintainer="David Moreno Garza"
<p>Como muchos desarrolladores se conocen en estos eventos, éstos
llegan a ser una buena manera para conseguir que la gente
firme una firma GnuPG y mejorar la seguridad de la red. Para la gente
nueva en el proyecto es especialmente interesante firmar las claves
y conocer a los desarrolladores.</p>
<p>Este documento intenta ayudarle a llevar a cabo una sesión de firmado
de claves. Fíjese que todos los ejemplos usan
<code>keyring.debian.org</code> como servidor de claves. Si la clave en
cuestión no está en el llavero de Debian, cambie
<code>keyring.debian.org</code> por un servidor público de claves como
<code>wwwkeys.pgp.net</code> (que pese al nombre también almacena claves
GnuPG.)</p>
<p>La gente sólo debería firmar una clave bajo al menos dos condiciones:</p>
<ol>
<li>El dueño de la clave convence al que firma de que la identificación
en el UID es efectivamente su propia identificación por cualquier
evidencia que sea aceptada por el que firma como convincente.
Normalmente esto significa que el dueño de la clave debe presentar
un documento identificativo expedido por las autoridades con una
fotografía e información que concuerde con el dueño de la clave.
(Alguna de las personas que firman saben que estos documentos son
habitualmente olvidados y que la seguridad de las documentos
gubernamentales a menudo es sospechosa y así es posible que se
requieran evidencias alternativas y/o adicionales de la identidad).
</li>
<li>El dueño de la clave verifica que la huella de la firma y la longitud
de la clave que va a ser firmada es efectivamente la suya.
</li>
</ol>
<p>
Aún más importante, si el dueño de la clave no participa directamente
en el intercambio, no será capaz de completar ninguno de los requisitos
1 y 2. Nadie puede completar la parte del dueño de la clave del
requisito 1 en vez del dueño de la clave, porque de lo
contrario cualquiera con un documento de identidad robado puede
conseguir con facilidad una clave PGP para hacerse pasar por alguien
mandado de parte del dueño de la clave. Nadie puede completar la parte
del dueño de la clave del requisito 2 en vez del dueño de la clave, ya
que la persona podría sustituir la huella por una clave PGP diferente
con el nombre del dueño de la clave en él y conseguir que alguien
firme la clave equivocada.
</p>
<ul>
<li> Necesita imprimir su huella GnuPG, longitud de las llaves y un
documento que lo identifique (pasaporte, carné de conducir o
similar).
</li>
<li> Hay que dar las huellas y las longitudes de las llaves a otras
personas que deben firmar su llave después del encuentro.
</li>
<li> Si no tiene una clave GnuPG aún, cree una con <code>gpg --gen-key</code>.
</li>
<li> Firme sólo una clave si la identidad de la persona cuya llave
firma está comprobada.
</li>
<li> Después del encuentro tendrá que ir a buscar la clave GnuPG para
firmarla. Lo siguiente le debería ayudar:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xLOQUESEA
</pre>
<p>Se pueden usar los ocho últimos dígitos hexadecimales de la huella
en ésta y otras operaciones con GnuPG. El <tt>0x</tt> también
es opcional.</p>
</li>
<li> Para firmar la llave, entre en el menú de edición con
<pre>
gpg --edit-key 0xLOQUESEA
</pre>
</li>
<li> En GnuPG seleccione todos los uids para firmar con <code>uid n</code>,
donde <code>n</code> es el número del uid mostrado en el menú. Puede
también presionar «enter» para firmar todos los uids. </li>
<li> Para firmar una llave, introduzca <code>sign</code>. Entonces
verá la huella y la longitud de la llave con la que tiene que comparar
la que consiguió con la persona con la que se encontró.
</li>
<li> Cuando se le pregunte el nivel de certificación, elija "casual".
</li>
<li> Salga de GnuPG con <code>quit</code>.
</li>
<li> Para verificar que ha firmado la clave correctamente, puede:
<pre>
gpg --list-sigs 0xLOQUESEA
</pre>
<p>Debería ver su propio nombre y su huella (en la forma corta)
en la salida.</p>
</li>
<li> Una vez que esté seguro de que todo ha ido bien, puede enviar la
clave firmada a su propietario haciendo:
<pre>
gpg --export -a 0xLOQUESEA > la_clave_de_alguien
</pre>
<p>La opción <code>-a</code> exporta la clave en ASCII, de modo que
pueda ser enviada por correo electrónico sin posibilidad de que se
corrompa.</p>
</li>
<li> Si alguien firma su clave de este modo, puede añadirla al anillo de
Debian haciendo:
<pre>
gpg --import --import-options merge-only mi_clave_firmada
gpg --keyserver keyring.debian.org --send-keys <var><su identificador de clave></var>
</pre>
<p>Puede llevar un tiempo que los mantenedores del anillo de claves
actualicen su clave, por lo que sea paciente. Debería también enviar
su clave actualizada a los servidores públicos.</p>
</li>
</ul>
<p>El paquete <a href="https://packages.debian.org/signing-party">signing-party</a>
de Debian provee algunas herramientas que le ayudan en este proceso.
<tt>gpg-key2ps</tt> convierte una llave GnuPG en un archivo PostScript que
le permitirá imprimir tarjetas con su huella, asimismo <tt>gpg-mailkeys</tt>
envia una llave firmada, por correo, a su autor. El paquete también
incluye <tt>caff</tt> que es una herramienta más avanzada. Vea la documentación
del paquete para mayor información.</p>
<h3>Lo que no debería hacer</h3>
<p>Nunca firme una clave de alguien a quien no haya conocido
personalmente. Firmar una llave basándose en cualquier otra cosa que no
sea el conocerse de primera mano destruye la utilidad del crédito de
la red de confianza. Si unos amigos presentan a otros desarrolladores
con su identificación y su huella, pero usted no está allí para
comprobar que la huella le pertenece, ¿cómo pueden los otros
desarrolladores asociar su huella con su identificación? Sólo tienen
la palabra de los amigos, y la otra firma en su clave: ¡no es mejor
que si ellos firman su clave sólo porque otra gente la haya firmado
ya!
</p>
<p> Está bien conseguir más firmas en una llave, y es tentador atajar,
pero tener firmas de confianza es más importante que tener muchas,
así que es muy importante mantener la pureza del proceso lo mejor que
podamos. Firmar la clave de otros es una confirmación de que tiene la
evidencia de primera mano de la identidad de la persona que tiene la
clave. Si la firma cuando no lo conoce realmente, la confianza de
la red no podrá mantenerse segura.
</p>
|
