[RFR] wml://events/keysigning
#use wml::debian::template title="Sleutels tekenen"
#use wml::debian::translation-check translation="1.10"
# Last Translation update by $Author: luk $
# Last Translation update at $Date: 2004/09/21 12:53:21 $
<p>Omdat er veel ontwikkelaars elkaar ontmoeten op beurzen of conferenties
kan men daar op een leuke manier elkaars GnuPG-sleutels tekenen en het
vertrouwensweb uitbreiden. Vooral voor nieuwe mensen is sleutels tekenen
en andere ontwikkelaars ontmoeten zeer interessant.
<p>Dit document is er om u te helpen met het opzetten van een sessie om
sleutels tekenen. Merk op dat alle voorbeelden <code>keyring.debian.org</code>
gebruiken als sleutelserver. Als de sleutel in kwestie niet in de
Debian-sleutelring is, vervang dan <code>keyring.debian.org</code> door
een publieke sleutelserver zoals <code>subkeys.pgp.net</code> (die ondanks
de naam ook GnuPG-sleutels bewaard).</p>
<p>Men zou enkel sleutels mogen tekenen als tenminste twee voorwaarden zijn
vervuld:</p>
<ol>
<li>De sleuteleigenaars overtuigen de ondertekenaar dat de identiteit in het
UID inderdaad hun eigen identiteit is door bewijs voor te leggen dat
de ondertekenaar aanvaardt. Gewoonlijk betekent dit dat de sleuteleignaars
een door de overheid uitgegeven identiteitsbewijs met foto en informatie
die overeenkomt met die op de sleutel moeten voorleggen. (Sommige
ondertekenaars weten dat identiteitsbewijzen uitgegeven door de overheid
gemakkelijk worden nagemaakt en dat de betrouwenswaardigheid van de
uitgevende overheden regelmatig verdacht is en dus kunnen ze bijkomende
en/of alternatief identiteitsbewijs vereisen).
<li>De sleuteleigenaars verifiëren dat de vingerafdruk van de sleutel die
zal getekend worden inderdaad hun eigen is.
</ol>
<p>
Het belangrijkste is dat als er sleuteleigenaars zijn die niet actief
participeren in de uitwisseling, dan zijn noch vereiste 1, noch 2 vervuld.
Niemand kan het aandeel van de sleuteleigenaar van vereiste 1 doen in plaats
van de eigenaar, omdat anders iedereen met een gestolen identiteitskaart
gemakkelijk een bijhorende PGP-sleutel kan verkrijgen door zich voor te doen
als een vertegenwoordiger van de eigenaar. Niemand kan het aandeel van de
sleuteleigenaar van vereiste 2 doen in plaats van de eigenaar want de
vertegenwoordiger kan de vingerafdruk vervangen door die van een andere
sleutel die de naam van de sleuteleigenaar bevat en zo de verkeerde sleutel
laten tekenen.
<ul>
<li> U heeft uitgeprinte GnuPG-vingerafdrukken en een identiteitsbewijs nodig
(identiteitskaar, reispas, rijbewijs of gelijkaardig).
<li> De vingerafdrukken worden uitgedeeld aan diegene die uw sleutel wil
tekenen na de bijeenkomst.
<li> Als u nog geen GnuPG-sleutel heeft, maak er dan één aan met
<code>gpg --gen-key</code>.
<li> Teken de sleutel alleen als de identiteit van de eigenaar bewezen is.
<li> Na de bijeenkomst dient u de GnuPG-sleutels af te halen om ze te kunnen
tekenen. Het volgende kan hierbij helpen:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Merk op dat we de laatste acht hexadecimale cijfers van de vingerafdruk
kunnen gebruiken bij deze en andere GnuPG-bewerkingen. De <tt>0x</tt>
vooraan is ook optioneel.</p>
</li>
<li> Om de sleutel te tekenen gaat u naar het bewerkingsmenu met
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
<li> In GnuPG selecteert u alle uid's die u gaat tekenen met
<code>uid n</code>, waar <code>n</code> het volgnummer van de in het
menu getoonde uid is. U kunt ook op enter drukken om alle uid's te
tekenen.</li>
<li> Om de sleutel dan te tekenen geeft u <code>sign</code> in. Dan moet u
de vingerafdruk van de sleutel vergelijken met diegene die u gekregen
heeft van de sleuteleigenaar.
<li> Sluit GnuPG af met <code>quit</code>
<li> Om na te kijken of u de sleutel correct heeft getekend, kunt u het
volgende uitvoeren:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>U zou uw eigen naam en vingerafdruk (in de korte vorm) moeten zien
in de uitvoer.</p>
</li>
<li> Als alles er goed uitziet, kunt u de getekende sleutel verzenden door:
<pre>
gpg --export -a 0xDEADBEEF > iemand.key
</pre>
<p>De <code>-a</code>-optie exporteert de sleutel in het ASCII-formaat
zodat het verzonden kan worden zonder de mogelijkheid op corruptie.</p>
</li>
<li> Als iemand op deze manier uw sleutel tekent, kunt u de sleutel aan de
Debian-sleutelring toevoegen door:
<pre>
gpg --import getekend.key
gpg --keyserver keyring.debian.org --send-keys <var><uw sleutel-id></var>
</pre>
<p>Het kan een tijd duren vooraleer de sleutelringbeheerders uw sleutel
bijwerken, dus wees geduldig. U zendt uw sleutel best ook naar de
publieke sleutelservers.</p>
</li>
</ul>
<h3>Wat u niet mag doen</h3>
<p>U mag nooit een sleutel tekenen van iemand die u niet persoonlijk ontmoet
heeft. Een sleutel tekenen gebaseerd op iets anders dan eerstehandsinformatie
vernietigt de bruikbaarheid van het vertrouwensweb (Web of Trust). Als uw
vriend uw identiteitskaart en vingerafdruk aan andere ontwikkelaars
presenteert, maar u bent daar niet om na te kijken dat de vingerafdruk van u
is, wat moeten de andere ontwikkelaars dan doen om de vingerafdruk met uw
identiteit te linken? Ze hebben enkel het woord van uw vriend en de andere
handtekeningen op uw sleutel -- dit is niet beter dan dat ze uw sleutel
zouden tekenen omdat andere mensen ze hebben getekend!
</p>
<p>Het is leuk om meer handtekeningen op uw sleutel te krijgen en het is
aanlokkelijk om enkele hoeken af te snijden om daar te geraken. Maar
betrouwenswaardige handtekeningen zijn belangrijker dan veel handtekeningen,
dus het is zeer belangrijk dat we het sleuteltekenproces zo puur mogelijk
houden. Iemands anders sleutel tekenen is een aanwijzing dat u bewijs uit
eerste-hand heeft van de identiteit van de sleuteleigenaar. Als u de sleutel
tekent wanneer u het niet echt meent, dan kan het vertrouwensweb niet langer
vertrouwd worden.
</p>
Reply to: