Meu primeiro wml... =~) -ZehOliveira -- José Oliveira <oliveira@ofm.com.br> Graduando em Ciência da Computação Universidade Federal de Alagoas lynx -source www.tci.ufal.br/~jbon/zeh.pub | gpg --import
#use wml::debian::template title="Assinatura de chaves" #use wml::debian::translation-check translation="1.9" translation_maintainer="Andre Luis Lopes" <p>Uma vez que diversos desenvolvedores encontram-se em roadshows ou conferências, estes eventos se tornaram uma boa maneira de pessoas assinarem suas chaves GnuGPG e melhorar a cadeia de confiança. Especialmente para pessoas que são novas no projeto, assinaturas de chaves e encontros com outros desenvolvedores são muito interessantes. <p>Este documento tem como objetivo ajudá-lo com a organização de uma sessão de assinatura de chaves. Note que todos os exemplos usam keyring.debian.org como servidor de chaves. Se a chave em questão não está no Debian Keyring, substitua keyring.debian.org por um servidor público como wwwkeys.pgp.net, por exemplo. (Que apesar do nome também armazena chaves GnuPG.)</p> <p>As pessoas devem assinar uma chave somente sob pelo menos duas condições</P> <ol> <li>O proprietário da chave convence o assinador que a identidade no UID é verdadeiramente sua própria identidade através de qualquer evidência que o assinador aceite como convencedora. Normalmente isto significa que o proprietário da chave deve apresentar uma identificação expedida pelo governo com uma foto e informação que coincida com o proprietário da chave. (Alguns assinadores sabem que identificações expedidas pelo governo são facilmente forjadas e que a confiabilidade de expedir autoridades é frequentemente suspeita e portanto podem requerer evidências adicionais e/ou alternativas de identidade). <li>O proprietário da chave verifica que a fingerprint da chave prestes a ser assinada é verdadeiramente sua. </ol> <p> Mais importante, caso o proprietário da chave não esteja participando ativamente na troca, você não estará apto a completar os requisitos 1 ou 2. Ninguém pode completar a parte do proprietário da chave do requisito 1 em nome do proprietário da chave, uma vez que o agente poderia substituir a fingerprint por uma chave PGP diferente com o nome do proprietário da chave na mesma e fazer com que alguém assine a chave errada. <ul> <li> Você precisa de uma cópia impressa de sua fingerprint GnuPG e um documento de identificação para provar sua identidade (passaporte, carteira de motorista ou similar). <li> As fingerprints são dadas para outras pessoas que devem assinar sua chave depois do encontro. <li> Caso você não possua uma chave GnuPG ainda, crie uma com o comando <code>gpg --gen-key</code>. <li> Assine uma chave somente se a identidade da pessoa a qual você vai assinar a chave seja provada. <li> Depois do encontro você terá que obter a chave GnuPG para assiná-la. O comando abaixo pode ajudar : <pre> gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF </pre> <p>Note que podemos usar os últimos oito dígitos em hexadecimal da chave nesta e em outras operações GnuPG. O <tt>0x</tt> na frente também é opcional.</p> </li> <li> Para assinar a chave, entre no menu de edição com <pre> gpg --edit-key 0xDEADBEEF </pre> <li> No GnuPG selecione todas as uids para assinar com o comando <code>uid n</code>, onde <code>n</code> é o número da uid mostrada no menu. Você pode também pressionar enter para assinar todas as uids. </li> <li> Para assinar uma chave, digite <code>sign</code>. Será então mostrada a fingerprint da chave a qual você tem que comparar com aquela que você obteve da pessoa que você conheceu. <li> Feche o GnuPG com <code>quit</code> <li> Para verificar se você assinou a chave corretamente, você pode usar : <pre> gpg --list-sigs 0xDEADBEEF </pre> <p>Você deverá ver seu próprio nome e fingerprint (na forma abreviada) na saída. </li> <li> Uma vez que esteja tudo correto, você pode enviar a chave assinada para o destinatário usando: <pre> gpg --export -a 0xDEADBEEF > someguys.key </pre> <p>A opção <code>-a</code> exporta a chave no formato ASCII assim a mesma pode ser enviada via e-mail sem a possibilidade de corrupção.</p> </li> <li> Caso alguém assine sua chave desta maneira, você pode adicioná-la no keyring Debian usando : <pre> gpg --import mysigned.key gpg --keyserver keyring.debian.org --send-keys <var><your key id></var> </pre> <p>Pode demorar um tempo até que os mantenedores do keyring atualizem sua chave portanto seja paciente. Você deverá também fazer o upload de sua chave atualizada para os servidores de chaves públicos.</p> </li> </ul> <h3>O que você não deverá fazer</h3> <p>Você nunca deverá assinar uma chave para alguém que você não tenha conhecido pessoalmente. Assinar uma chave baseado em qualquer outra coisa que não seja o conhecimento pessoal destrói a utilidade da cadeia de confiança. Caso um amigo seu apresente seu documento de identificação e sua fingerprint para outros desenvolvedores, mas você não esteja lá para verificar que a fingerprint pertence a você, o que outros desenvolvedores terão para ligar a fingerprint com a identificação? Eles têm apenas a palavra do amigo, e as outras assinaturas em sua chave -- isto não é melhor do que se eles assinassem sua chave somente porque outras pessoas assinaram! </p> <p>É legal ter mais assinaturas em sua chave e é tentador cortar alguns passos durante o percurso. Mas possuir assinaturas confiáveis é mais importante do que ter muitas assinaturas, portanto é muito importante que mantenhamos o processo de assinaturas de chaves o mais puro possível. Assinar a chave de alguém é uma confirmação de que você possui evidências da identidade do portador da chave. Caso você a assine quando você realmente não a conhece, a cadeia de confiança não mais poderá ser confiada. </p>
Attachment:
signature.asc
Description: Esta =?ISO-8859-1?Q?=E9?= uma parte de mensagem assinada digitalmente