[lcfr] wml://webwml/portuguese/events/keysigning.wml
Favor submeter (commit).
Paro por aqui, Fred
#use wml::debian::template title="Assinatura de chaves"
#use wml::debian::translation-check translation="1.12"
<p>Uma vez que diversos desenvolvedores encontram-se em roadshows
ou conferências, estes eventos se tornaram uma boa maneira de
pessoas assinarem suas chaves GnuGPG e melhorar a cadeia de confiança.
Especialmente para pessoas que são novas no projeto, assinaturas de
chaves e encontros com outros desenvolvedores são muito interessantes.
<p>Este documento tem como objetivo ajudá-lo com a organização de uma
sessão de assinatura de chaves. Note que todos os exemplos usam
keyring.debian.org como servidor de chaves. Se a chave em questão não
está no Debian Keyring, substitua keyring.debian.org por um servidor
público como wwwkeys.pgp.net, por exemplo. (Que apesar do nome também
armazena chaves GnuPG.)</p>
<p>As pessoas devem assinar uma chave somente sob pelo menos duas condições</P>
<ol>
<li>O proprietário da chave convence o assinador que a identidade no
UID é verdadeiramente sua própria identidade através de qualquer
evidência que o assinador aceite como convencedora. Normalmente isto
significa que o proprietário da chave deve apresentar uma identificação
expedida pelo governo com uma foto e informação que coincida com o
proprietário da chave. (Alguns assinadores sabem que identificações
expedidas pelo governo são facilmente forjadas e que a confiabilidade
de expedir autoridades é frequentemente suspeita e portanto podem
requerer evidências adicionais e/ou alternativas de identidade).
<li>O proprietário da chave verifica que a fingerprint e o tamanho
da chave prestes a ser assinada é verdadeiramente sua.
</ol>
<p>
Mais importante, caso o proprietário da chave não esteja participando
ativamente na troca, você não estará apto a completar os requisitos
1 ou 2. Ninguém pode completar a parte do proprietário da chave do
requisito 1 em nome do proprietário da chave, uma vez que o agente
poderia substituir a fingerprint por uma chave PGP diferente com o
nome do proprietário da chave na mesma e fazer com que alguém assine
a chave errada.
<ul>
<li> Você precisa de uma cópia impressa das fingerprint GnuPG, tamanhos
das chaves e um documento de identificação para provar sua identidade
(passaporte, carteira de motorista ou similar).
<li> As fingerprints e tamanhos são dadas para outras pessoas que devem
assinar sua chave depois do encontro.
<li> Caso você não possua uma chave GnuPG ainda, crie uma com o comando
<code>gpg --gen-key</code>.
<li> Assine uma chave somente se a identidade da pessoa a qual você vai
assinar a chave seja provada.
<li> Depois do encontro você terá que obter a chave GnuPG para assiná-la.
O comando abaixo pode ajudar :
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Note que podemos usar os últimos oito dígitos hexadecimais da
fingerprint nesta e em outras operações GnuPG. O <tt>0x</tt>
na frente também é opcional.</p>
</li>
<li> Para assinar a chave, entre no menu de edição com
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
<li> No GnuPG selecione todas as uids para assinar com o comando
<code>uid n</code>, onde <code>n</code> é o número da uid mostrada no
menu. Você pode também pressionar enter para assinar todas as uids. </li>
<li> Para assinar uma chave, digite <code>sign</code>. Será então mostrada a
fingerprint e o tamanho da chave que você deve comparar com os dados
obtidos da pessoa que você conheceu.
<li> Quando perguntado sobre o nível de certificação, escolha "casual".
<li> Feche o GnuPG com <code>quit</code>
<li> Para verificar se você assinou a chave corretamente, você pode usar :
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Você deverá ver seu próprio nome e fingerprint (na forma abreviada)
na saída.
</li>
<li> Uma vez que esteja tudo correto, você pode enviar a chave assinada
para o destinatário usando:
<pre>
gpg --export -a 0xDEADBEEF > someguys.key
</pre>
<p>A opção <code>-a</code> exporta a chave no formato ASCII assim a mesma
pode ser enviada via e-mail sem a possibilidade de corrupção.</p>
</li>
<li> Caso alguém assine sua chave desta maneira, você pode adicioná-la no
keyring Debian usando :
<pre>
gpg --import mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><your key id></var>
</pre>
<p>Pode demorar um tempo até que os mantenedores do keyring atualizem sua
chave portanto seja paciente. Você deverá também fazer o upload de sua chave
atualizada para os servidores de chaves públicos.</p>
</li>
</ul>
<p>O pacote Debian <a
href="http://packages.debian.org/signing-party">signing-party</a>
(festa de assinaturas) oferece algumas ferramentas para ajudar você
com este processo. <tt>gpg-key2ps</tt> transfora uma chave GnuPG num
arquivo PostScript para imprimir "paper slips" com sua fingerprint, e
<tt>gpg-mailkeys</tt> vai enviar uma mensagem com uma chave
assinada para seu autor. O pacote também inclui <tt>caff</tt> que é
uma ferramenta um pouco mais avançada. Veja a documentação do pacote
para mais informações.</p>
<h3>O que você não deverá fazer</h3>
<p>Você nunca deverá assinar uma chave para alguém que você não tenha
conhecido pessoalmente. Assinar uma chave baseado em qualquer outra
coisa que não seja o conhecimento pessoal destrói a utilidade da
cadeia de confiança. Caso um amigo seu apresente seu documento de identificação
e sua fingerprint para outros desenvolvedores, mas você não esteja lá
para verificar que a fingerprint pertence a você, o que outros
desenvolvedores terão para ligar a fingerprint com a identificação?
Eles têm apenas a palavra do amigo, e as outras assinaturas em sua
chave -- isto não é melhor do que se eles assinassem sua chave
somente porque outras pessoas assinaram!
</p>
<p>É legal ter mais assinaturas em sua chave e é tentador cortar alguns
passos durante o percurso. Mas possuir assinaturas confiáveis é mais
importante do que ter muitas assinaturas, portanto é muito importante
que mantenhamos o processo de assinaturas de chaves o mais puro possível.
Assinar a chave de alguém é uma confirmação de que você possui evidências
da identidade do portador da chave. Caso você a assine quando você
realmente não a conhece, a cadeia de confiança não mais poderá ser confiada.
</p>
Reply to: