OpenPGP Keysigning Party (KSP) будет проходить как часть восьмого ежегодного фестиваля Linux Linux Fest 2006 в Боровском районе Калужской области в субботу 29 июля в 15:00 дня (после обеда).
Keysigning party (праздник подписывания ключей) это централизованое собрание людей, использующих криптографическую систему PGP, где происходит взаимное подписывание ключей. Такие мероприятия ставят своей целью значительное расширение сети доверия (web of trust). Кроме того, KSP это отличная возможность обсудить вопросы криптографии, приватности и свободы, существующее программное обеспечение и, может даже, совместную работу по его созданию и улучшению.
Для дополнительной информации, вы можете ознакомиться с GnuPG Keysigning Party HOWTO. Планируемая процедура проведения KSP немного отличается от указаной в HOWTO и описана ниже.
KSP будет проводиться с использованием Len Sassaman's Efficient Group Key Signing Method по аналогии с большим KSP состоявшимся в 2005 году в Helsinki на Debian Conference 2005.
Если вы собираетесь принять участие в KSP, пошлите ваш ascii armored открытый OpenPGP ключ на e-mail: ksp-lf2006@i18n.ru не позднее, чем в понедельник 17 июля 2006. Вложите ключ в письмо в виде файла названного вашим e-mail адресом с расширением .asc Если вы хотите отправить несколько ключей, вы можете отправить их несколькими файлами или вложить в один. Не подписывайте и не зашифровывайте письмо с ключами, это увеличивает время обработки и не несёт никакой практической пользы.
Ваш ключ будет обработан координатором KSP, и, если с ним всё впорядке, он будет добавлен в список принятых ключей. На ваш e-mail будет отправлено подтверждение. Если по каким-либо причинам ваш ключ не может быть принят, на вам так же будет отправлено описание проблемы.
Не позднее чем в пятницу 21 июля 2006 вы сможете получить полную связку ключей (ksp-lf2006.asc.bz2) зарегистрированных для участия в KSP и текстовый файл со списком ключей (ksp-lf2006.txt) содержащий их отпечаток (fingerprint) и порядковый номер. Обратите внимание на этот номер, он будет использован для построения людей в ряды непосредственно на KSP.
Для каждого файла будут доступны MD5 и SHA1 хэши. Хэши будут подписаны PGP ключём 0xFC4FBF28, который может быть получен с сервера ключей.
Для проверки подписи файла с MD5 и SHA1 хэшами, загрузите ключ с сервера:
gpg --recv-keys --keyserver pgp.mit.edu FC4FBF28
Затем, запустите gpg с опцией verify для проверки подписи файла (например, для файла ksp-lf2006.txt.md5.asc):
gpg --verify ksp-lf2006.txt.md5.asc
Дома, проверьте fingerprint вашего ключа, который содержится в файле ksp-lf2006.txt Так же, вам нужно вычислить и записать MD5 и SHA1 хэши файла со списком ключей ksp-lf2006.txt. Эта информация понадобится вам на KSP. Не полагайтесь на хэши, которые вы скачали вместе с файлом. Они приводятся лишь для проверки правильности скачивания. Вы должны вычиcлить хэши файла сами, записать их и принести на KSP. Для вычисления хэшей вы можете использовать утилиты md5sum и sha1sum:
md5sum ksp-lf2006.txt
sha1sum ksp-lf2006.txt
Так же, можно вычислить хэши используя gpg:
gpg --print-md md5 ksp-lf2006.txt
gpg --print-md sha1 ksp-lf2006.txt
На фестиваль приезжайте взяв с собой хэши, которые вы вычислили, и распечатку файла ksp-lf2006.txt. Вам необходимо иметь с собой печатный вариант именно того файла, хэши которого вы посчитали.
На фестивале вслух будут зачитаны MD5 и SHA1 хэши файла ksp-lf2006.txt. Смотрите фотографию. Проверьте, что оба хэша совпадают с теми, которые вы подсчитали самостоятельно. Это гарантирует, что все участники KSP работают с одним и тем же списком ключей.
В соответствии с international radiotelephony spelling alphabet, буквы A, B, C, D, E и F будут читаться, как Alpha, Bravo, Charlie, Delta, Echo и Foxtrot, соответственно.
Затем, координатор спросит, у всех ли совпадают MD5 и SHA1 хэши файла ksp-lf2006.txt. Если возражений не поступит, подпишите каждую страницу вашей распечатки. Это послужит защитой от возможной подмены листов со списками ключей.
Следующий этап - проверка личности участников KSP. Для этого, каждый участник должен принести с собой документ удостоверяющий личность государственного образца с фотографией (лучше всего паспорт). Пожалуйста, не приносите и не подписывайте ключи людей, показывающих очень старый, сомнительный или легко подделываемый документ. При большом количестве участников теряется бдительность. Убедитесь, что вы знаете какого рода документ вам предъявлен и кем он выдан. Проверьте, что фотография в документе соответствует внешнему облику человека, его предъявившего. Проверьте, что фамилия и имя, указанные в документе совпадают с теми, что указаны в PGP ключе. Если у вас возникли сомнения, попросите показать другой документ. Не подписывайте ключи участников, чью личность вы не проверили, или она вызывает у вас сомнения. После проверки личности, спросите, совпали ли у очередного участника хэши файлов и корректно ли записан fingerprint его ключа в файле со списком ключей. В случае положительных ответов, отметьте этот ключ в вашей копии как правильный. Перечёркивайте ключи, которые вы не собираетесь подписывать, что бы исключить возможность отметить их как проверенные в дальнейшем.
Для того, что бы каждый участник KSP смог встретиться с каждым, найдите порядковый номер вашего ключа в файле со списком ключей. Распечатайте этот номер и принесите с собой вместе с заколкой, что бы прицепить этот номер в виде бейджа. Если другие участники смогут узнать ваш номер не спрашивая вас об этом, то время, которое требуется для построения в ряды существенно сократиться, что сделает KSP более быстрым. Смотрите фотографию и фотографию.
Половина участников (общее количество которых "n"), чьи номера попадают в отрезок от 1 до n/2 встают в линию по порядку. Оставшаяся половина, чьи номера начинаются с (n/2)+1 вплоть до n, встают в другую линию так, что бы человек с номером n/2 стоял напротив человека с номером (n/2)+1, номер (n/2)-1 должен встать лицом к номеру (n/2)+2, и т. д.
После того, как каждая пара участников, стоящих лицом друг к другу, закончит проверку личности, ряд сдвигается влево на одну позицию. Поцедура повторяется до тех пор, пока каждый участник не встретится со всеми остальными и не проверит их личность для последующего подписывания ключей. Смотрите фотографию.
Позже, когда вы вернётесь домой, вы можете подписать ключи, которые вы смогли проверить на фестивале, на основании отметок, сделанных вами в вашей копии списка ключей. Для облегчения процедуры подписывания большого количества ключей вы можете использовать утилиту caff от Peter Palfrader, входящую в состав pgp-tools. Не отправляйте вашу подпись на сервер ключей, вы должны отправить её зашифрованным письмом на e-mail указанный в ключе, что бы проверить, что этот e-mail существует и действительно принадлежит человеку, владеющим ключём, который вы подписали. Если ключ содержит несколько identity с разными e-mail адресами, то подпишите каждую identity по отдельности и отправьте подпись в виде зашифрованного письма на e-mail, указанный в этой identity. Если вы используете caff, то ваша задача сводится лишь к проверке соответствия fingerprintа ключа, который вы подписываете, с тем, который указан в вашей копии списка ключей, отправку зашифрованной подписи на нужный e-mail caff берёт на себя. В Dеbian caff входит в пакет signing-party. Будьте внимательны, убедитесь, что вы подписываете именно тот ключ, который указан в вашей копии списка ключей, и, что вы действительно проверили личность его владельца и принадлежность ключа.
ksp-lf2006.txt - Список ключей участников (текстовый файл, кодировка UTF-8).
ksp-lf2006.txt.md5 - MD5 сумма файла ksp-lf2006.txt
ksp-lf2006.txt.md5.asc - PGP подпись файла ksp-lf2006.txt.md5
ksp-lf2006.txt.sha1 - SHA1 сумма файла ksp-lf2006.txt
ksp-lf2006.txt.sha1.asc - PGP подпись файла ksp-lf2006.txt.sha1
ksp-lf2006.asc.bz2 - Ключи участников (keyring).
Распечатка файла ksp-lf2006.txt; проверьте, что fingerprint вашего ключа указан верно.
Ручка.
MD5 и SHA1 хэши, которые вы вычислили для файла ksp-lf2006.txt, что бы убедиться, что все участники работают с идентичной копией.
Документ удостоверяющий личность государственного образца с фотографией (лучше всего паспорт).
Если это ваш первый KSP, вы можете взять с собой этот и любой другой справочный документ, который покажется вам полезным.
Если у вас есть вопросы, вы можете задать их координатору KSP Марчукову Антону в течении фестиваля или до него по электронной почте public@martchukov.com или любым другим способом, указаным на сайте.
Вопросы по PGP и процедуре проведения KSP можно задавать в рассылке фестиваля fest-discuss@lrn.ru. Так же, вопросы по использованию PGP можно задать на ресурсах соответствующей тематики.
Этот документ составлен на основе документа написаного Anibal Monsalve Salazar для Debconf6 KSP,
Anibal выражает благодарности:
Special thanks goes to Amaya Rodrigo Sastre who provided the photos of the KSP at Debconf5, Benjamin Mako Hill who provided the scripts and text used at Debconf4, Peter Palfrader who provided the scripts and text used at Debconf3 and LinuxTag (2003 and 2004) whose reuse made putting together this keysigning easy and possible.
