› Articles › Contact › Download › Misc › Home

Nyckelsignering

E-post: thomas[at]northernsecurity.net
Url: www.northernsecurity.net

Dokumentet uppdaterat 040517

Detta är en kort sammanfattning hur deltagande i ett nyckelsigneringsparty kan gå till.
För mer information vänligen läs GnuPG Keysigning Party HOWTO.

Varför?

Förutom att du får din nyckel signerat och på så vis ökar dess tillförlitlighet [Läs mer här] har du chansen att träffa folk och diskutera GPG/PGP, krypto eller Linux (och liknande system) i allmänhet.

1. Innan mötet

• Installera GnuPG och skapa dina nycklar om du inte redan gjort det.
• Ladda upp din publika nyckel på en nyckelserver, exempelvis keys.se.linux.org.
• Skicka nyckelinformationen (resultatet av gpg --fingerprint <ditt ID>) till organisatören.
  Informationen sammanställs oftast i en lista som delas ut under mötet för att underlätta kontrolleringen av ID och nyckels fingeravtryck.
  När du har fått svar att din information är mottagen och upplagd bör du kontrollera den mot listan som bör finnas publicerad.
• Skriv ut din lokala nyckelinformation på papper och ta med den till mötet tillsammans med godkänd fotolegitimation.

1.1 Ytterligare faktor för identifiering

• Generera en kontrollsumma och associera en epost-adress till denna som tillhör personen eller personerna vars nyckel du planerar att signera. Om det finns flera användar-ID:s på en nyckel, generera en unik kontrollsumma för varje tillgänglig epost-adress.
• Skicka kontrollsumman till den associerade adressen i ett krypterat och signerat meddelande. Det är fördelaktigt att meddela mottagaren varför du gör detta och att mottagaren ska skriva ut kontrollsumman för att ta med denna till nyckelsigneringen.

Exempelskript:

#!/bin/sh

HASH=sha1sum
NO_ARGS=0 

if [ $# -eq "$NO_ARGS" ]
then
  echo "USAGE: ./checksum.sh <email>"
      exit 0
fi

for i in  $@
      do 
      echo "`ps awwXxe | $HASH` $i"
      done
exit 0

Resultat från ovanstående skript:

$ ./checksum.sh thomas[a]northernsecurity.net thomas[a]se.linux.org
392aaee5dd46c56dd15b9a09325ba923a075b41c  - thomas[a]northernsecurity.net
c53970cd3bfaed51de03744c9d1df611c8c0025a  - thomas[a]se.linux.org

2. Under mötet

• Verifiera din egen nyckelinformation för de andra deltagarna och visa id.
• Verifiera de andra deltagarnas nyckelinformation.
• Verifiera de andra deltagarnas legitimation.
• Verifiera den kontrollsumma du skickade till personens e-postadress(er) om du följde punkt 1.1.

3. Efter mötet

När du kommit hem kan du signera de nycklar som du anser ha passerat kontrollen.
Utför följande steg för varje nyckel du har verifierat fingeravtryck och legitimation för:

• gpg --keyserver <Nyckelserver> --recv-keys <Nyckel ID>
• gpg --sign-key <Nyckel ID>

De steg som presenterades under punkt 2 är till för att fastställa att en viss nyckel tillhör en viss person. Detta förhindrar dock inte att personens epost-adress är felaktig eller falsk. Du bör skicka ett krypterat och signerat e-postmeddelande innehållande personens nyckel som du signerat. Detta är till för två anledningar. Alla deltagare vill kanske inte ha sina nycklar publicerade, fråga personen under mötet, och du verifierar samtidigt att e-postadressen eller e-postadresserna är giltig och fungerande.
Om du har fått tillstånd att skicka nyckeln direkt till en nyckelserver utför du följande:

• gpg --keyserver <Nyckelserver> --send-keys <Nyckel ID>

Efter ett par dagar kan du ladda ner din egen nyckel och se hur många signaturer du har fått.

4. Sammanfattning

Detta är en sammanfattning över vad du ska ta med dig till signeringen:

• Dig själv, enbart fysisk närvaro räknas
• Godkänd fotolegitimation
• Utskrift av din lokala nyckelinformation
• Penna

5. Ytterligare information

GnuPG Keysigning Party HOWTO
The GNU Privacy Handbook

Denna artikel är publicerad under en Creative Commons Licens.