#use wml::debian::template title="Avainten allekirjoittaminen" #use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
Koska useat kehittäjät tapaavat toisiaan messuilla ja konferensseissa, ovat he ottaneet tavaksi allekirjoittaa toistensa GnuPG-avaimia ja näin kasvattaa luottamusverkkoa. Erityisesti uusille ihmisille projektissa avainten allekirjoittaminen ja muiden kehittäjien tapaaminen on ollut erittäin mielenkiintoista.
Tämän ohjeen tarkoitus on auttaa avainten allekirjoitustilaisuuden
järjestämisessä. Huomaa, että kaikissa esimerkeissä käytetään avainpalvelinta
keyring.debian.org
. Jos avain, jonka haluat allekirjoittaa, ei ole
Debianin avainrenkaassa, korvaa keyring.debian.org
julkisella
avainpalvelimella, kuten wwwkeys.pgp.net
(joka nimestä huolimatta
säilyttää myös GnuPG-avaimia).
Avaimia tulee allekirjoittaa vain kun on varmistuttu vähintään näistä kahdesta ehdosta:
Tärkeätä on huomata, että jos avaimen omistaja ei aktiivisesti osallistu vaihtoon, et pysty viemään loppuun joko ensimmäistä tai toista ehtoa. Kukaan muu ei voi täyttää ensimmäistä ehtoa avaimen omistajan puolesta, koska silloin kuka tahansa pystyisi varastetun henkilöllisyystodistuksen avulla saamaan allekirjoituksen luomalleen PGP-avaimelle esittämällä olevansa avaimen omistajan edustaja. Kukaan muu ei voi myöskään täyttää toista ehtoa avaimen omistajan puolesta, koska tällöin edustaja pystyisi korvaamaan sormenjäljen toisen PGP-avaimen sormenjäljellä, jossa olisi omistajan nimi, ja saaden näin jonkun allekirjoittamaan väärän avaimen.
gpg --gen-key
.
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Huomaa, että voimme käyttää sormenjäljen viimeistä kahdeksaa heksadesimaalia tässä ja muissa GnuPG-toiminnoissa. Myös etuliite 0x on valinnainen.
gpg --edit-key 0xDEADBEEF
uid n
, jossa n
on uid:n numero, joka näkyy
valikossa. Voit myös painaa enteriä allekirjoittaaksesi kaikki
uidit.sign
. Tällöin
sinulle näytetään allekirjoitettavan avaimen sormenjälki ja pituus, joita sinun
pitäisi verrata siihen, jonka sait tapaamaltasi henkilöltä.
quit
gpg --list-sigs 0xDEADBEEF
Tulosteessa sinun pitäisi nähdä oma nimesi ja sormenjälki (lyhyessä muodossa).
gpg --export -a 0xDEADBEEF > jonkun.key
Valitsin -a
tulostaa avaimen ASCII-muodossa, jotta se
voidaan lähettää ilman pelkoa korruptoitumisesta matkalla.
gpg --import --import-options merge-only minunallekirjoitettu.key gpg --keyserver keyring.debian.org --send-keys <avaimesi id>
Voi kestää jonkin aikaa ennen kuin avainrenkaan ylläpitäjät päivittävät avaimesi, joten ole kärsivällinen. Voit myös lähettää päivitetyn avaimesi julkisille avainpalvelimille.
Debian-paketti signing-party sisältää muutamia työkaluja joilla helpottaa em. prosessia. gpg-key2ps muuntaa GnuPG-avaimen PostScript-tiedostoksi josta voit tulostaa sormenjälkesi sisältäviä paperiliuskoja ja gpg-mailkeys lähettää allekirjoitetun avaimen sähköpostitse omistajalleen. Pakettiin kuuluu myös caff, joka on hiukan edistyneempi työkalu. Lue paketin dokumentaatiosta lisäohjeita.
Sinun ei pitäisi koskaan allekirjoittaa sellaisen henkilön avainta, jota et ole tavannut henkilökohtaisesti. Avaimen allekirjoittaminen muulla kuin ensikäden tiedon perusteella tuhoaa Luottamusverkon hyödyn. Jos ystäväsi esittää muille kehittäjille sinun henkilöllisyystodistuksesi ja sinun sormenjälkesi, mutta sinä et ole paikalla varmistamassa, että sormenjälki kuuluu sinulle, millä perusteella muut kehittäjät voivat yhdistää sormenjäljen henkilöllisyystodistukseen? Heillä on vain ystäväsi sana ja muut allekirjoitukset avaimessasi -- tämä ei ole yhtään parempi kuin jos he olisivat allekirjoittaneet sinun avaimesi vain siksi, koska muutkin henkilöt ovat sen allekirjoittaneet!
On toki mukavaa saada monia allekirjoituksia avaimellesi, ja siksi on houkuttelevaa oikaista pari mutkaa matkalla. Mutta luotettavien allekirjoitusten saaminen on tärkeämpää kuin useiden allekirjoituksien saaminen, joten on erittäin tärkeää, että pidämme avaimen allekirjoitusprosessin niin puhtaana kuin voimme. Jonkun avaimen allekirjoittaminen on merkki siitä, että sinulla on ensikäden tietoa avaimenhaltijan henkilöllisyydestä. Jos allekirjoitat avaimen tarkoittamatta sitä, Luottamusverkkoon ei voi enää luottaa.