[wml] /events/keysigning.wml
Oi pessoal,
mais um.
--
Luis Flavio Rocha <luis@x3ng.com.br>
#use wml::debian::template title="Assinatura de chaves"
#use wml::debian::translation-check translation="1.7" translation_maintainer="Andre Luis Lopes"
<p>Uma vez que diversos desenvolvedores encontram-se em shows
viajantes ou conferências estes se tornaram uma boa maneira de
pessoas assinarem suas chaves GnuGPG e melhorar a Web of Trust.
Especialmente para pessoas que são novas no projeto, assinaturas de
chaves e encontros com outros desenvolvedores são muito interessantes.
<p>Este documento tem como objetivo ajudá-lo com a organização de uma
sessão de assinatura de chaves. As pessoas devem assinar uma chave
somente sob pelo menos duas condições :
<ol>
<p>
<li>O proprietário da chave convence o assinador que a identidade no
UID é verdadeiramente sua própria identidade através de qualquer
evidência que o assinador aceite como convencedora. Normalmente isto
significa que o proprietário da chave deve apresentar uma identificação
expedida pelo governo com uma foto e informação que coincida com o
proprietário da chave. (Alguns assinadores sabem que identificações
expedidas pelo governo são facilmente forjadas e que a confiabilidade
de expedir autoridades é frequentemente suspeita e portanto podem
requerer evidências adicionais e/ou alternativas de identidade).
<li>O proprietário da chave verifica que a fingerprint da chave prestes
a ser assinada é verdadeiramente sua própria.
</ol>
Mais importante, caso o proprietário da chave não esteja participando
ativamente na troca, você não estará apto a completar os requisitos
1 ou 2. Ninguém pode completar a parte do proprietário da chave do
requisito 1 em nome do proprietário da chave, uma vez que o agente
poderia substituir a fingerprint por uma chave PGP diferente com o
nome do proprietário da chave na mesma e fazer com que alguém assine
a chave errada.
<ul>
<li> Você precisa de uma cópia impressa de sua fingerprint GnuPG e um
documento de identificação para provar sua identidade (passaporte,
carteira de motorista ou similar).
<li> As fingerprints são dadas para outras pessoas que devem assinar sua
chave depois do encontro.
<li> Caso você não possua uma chave GnuPG ainda, crie uma com o comando
<code>gpg --gen-key</code>.
<li> Assine uma chave somente se a identidade da pessoa a qual você vai
assinar a chave seja provada.
<li> Depois do encontro você terá que obter a chave GnuPG para assiná-la.
O comando abaixo pode ajudar :
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Caso a pessoa a qual a chave você quer assinar não esteja no
keyring Debian, substitua <code>keyring.debian.org</code> por um
keyserver público como <code>wwwkeys.pgp.net</code> (o qual, apesar do
nome, também armazena chaves GnuPG.)</p>
<p>Note que podemos usar os últimos oito dígitos em hexadecimal da
chave nesta e em outras operações GnuPG. O <tt>0x</tt> na frente também
é opcional.</p>
</li>
<li> Para assinar a chave, entre no menu de edição com
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
<li> No GnuPG selecione todas as uids para assinar com o comando
<code>uid n</code>, onde <code>n</code> é o número da uid mostrada no
menu. Você pode também pressionar enter para assinar todas as uids. </li>
<li> Para assinar uma chave, digite <code>sign</code>. Será então mostrada a
fingerprint da chave a qual você tem que comparar com aquela que você
obteve da pessoa que você conheceu.
<li> Feche o GnuPG com <code>quit</code>
<li> Para verificar se você assinou a chave corretamente, você pode usar :
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Você deverá ver seu próprio nome e fingerprint (na forma abreviada)
na saída.
</li>
<li> Uma vez que você tenha se certificado que tudo ocorreu corretamente, você
pode enviar a chave assinada para o destinatário usando :
<pre>
gpg --export -a 0xDEADBEEF > someguys.key
</pre>
<p>A opção <code>-a</code> exporta a chave no formato ASCII assim a mesma
pode ser enviada via e-mail sem a possibilidade de corrupção.</p>
</li>
<li> Caso alguém assine sua chave desta maneira, você pode adicioná-la no
keyring Debian usando :
<pre>
gpg --import mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><your key id></var>
</pre>
<p>Pode demorar um tempo até que os mantenedores do keyring atualizem sua
chave portanto seja paciente. Você deverá também fazer o upload de sua chave
atualizada para os servidores de chaves públicos.</p>
</li>
</ul>
<h3>O que você não deverá fazer</h3>
<p>Você nunca deverá assinar uma chave para alguém que você não tenha
conhecido pessoalmente. Assinar uma chave baseado em qualquer outra
coisa que não seja o conhecimento pessoal destrói a utilidade da
Web of Trust. Caso um amigo seu apresente seu documento de identificação
e sua fingerprint para outros desenvolvedores, mas você não esteja lá
para verificar que a fingerprint pertence a você, o que outros
desenvolvedores terão para ligar a fingerprint com a identificação ?
Eles têm apenas a palavra do amigo, e as outras assinaturas em sua
chave -- isto não é melhor do que se eles assinassem sua chave
somente porque outras pessoas assinaram !
</p>
<p>É legal ter mais assinaturas em sua chave e é tentador cortar alguns
passos durante o percurso. Mas possuir assinaturas confiáveis é mais
importante do que ter muitas assinaturas, portanto é muito importante
que mantenhamos o processo de assinaturas de chaves o mais puro possível.
Assinar a chave de alguém é uma confirmação de que você possui evidências
da identidade do portador da chave. Caso você a assine quando você
realmente não a conhece, a Web of Trust não mais pode ser confiada.
</p>
Reply to: