Re: [lp-br-sp] Keysigning party

[Thadeu Lima de Souza Cascardo]

Ivan Sichmann Freitas <address@hidden> wrote:
>Postando aqui a proposta para a keysigning party para revisão, eu sigo
>aqui as recomendações do Debian e afins. A priori eu estava pensando em
>vinculá-la ao SFD (vulgo, no sábado) já que <egoísmo> é o dia que eu
>tenho mais tempo </egoísmo>, mas da forma que eu a proponho ela não
>precisa de uma organização centralizada, então seria possível
>realizá-la
>também durante a sexta do upstream. O que acham?
>
>BEGIN
>
>== Organização ==
>
> - Cada participante interessado deve, *antes* do evento, fazer:
>
>   - Criar o seu próprio par de chaves gpg (se já não o possuir)
>
>     $ gpg --gen-key
>
>   - Exportar a chave pública para um servidor de chaves
>
>     $ gpg --send-keys <Key ID>
>
>   - Imprimir o fingerprint da chave em tiras de papel para serem
>     distribuídas aos outros participantes interessados durante o
>    evento. Aqui, existe um pacote do Debian [1] que gera um postscript
>     a partir de uma chave, com o comando `key2ps`.
>
> - Durante o evento:
>
>   - Trazer 2 documentos com foto expedidos por órgãos governamentais.
>   - Trazer o fingerprint impresso da chave, criado anteriormente.
>   - Durante os intervalos livres do evento, procurar outros
>    participantes, e caso eles tenham se preparado para a assinatura de
>    chaves, trocar o fingerprint impresso e *conferir* os documentos da
>     pessoa, aferindo sua identidade.
>
> - Depois (ou durante) o evento:
>
>   - Obter a chave dos participantes que providenciaram identificação e
>     fingerprint
>
>     $ gpg --recv-keys <Key ID>
>
>  - Verificar se as informações da chave coincidem com a do fingerprint
>     impresso
>
>     $ gpg --fingerprint <Key ID>
>
>   - Caso as informações coincidam e foi possível garantir a identidade
>     da pessoa, assine sua chave
>
>     $ gpg --sign-key <Key ID>
>
>   - Enviar a chave de volta ao servidor de chaves
>
>    $ gpg --send-keys <Key ID>
>
>   - Ser feliz.
>
>=== Observações ===
>
>Se você não quiser publicar sua chave pública em um keyserver, traga
>também o arquivo da chave ou disponibilize-o de alguma forma àqueles
>que
>quiserem assiná-la. Se você for assinar uma chave que não está em um
>keyserver, *NÃO* envie a chave para o keyserver, mas crie uma
>assinatura
>em arquivo e envie por email ao dono da chave:
>
>    $ gpg --sign-key <Key ID>
>    $ gpg --armor --output arquivo_assinatura.asc --export <Key ID>
>

Recomendo o caff do pacote signing-party. Assina e manda o email depois de uma 
breve sessão interativa. Automatiza bem o processo.

Abraços.
Cascardo.

>== Diretivas para assinatura ==
>
>A apresentação de dois documentos de identidade com foto expedidos pelo
>governo pode parecer exagerada mas é o mínimo necessário para garantir
>a
>confiança entre duas pessoas desconhecidas. Você pode até diminuir essa
>exigência em relação à alguém que você já conheça faz tempo e que você
>confie, mas lembre-se que a veracidade e garantia das assinaturas é
>necessária à manutenção da Web of Trust, então seja responsável.
>
>Ainda, se você esqueceu documentação ou o fingerprint impresso, nada
>impede que você assine a chave de outras pessoas.
>
>[1]: http://packages.debian.org/wheezy/signing-party
>
>END