大統一Debian勉強会: PGP/GPGキーサインパーティご案内

大統一Debian勉強会 2013 にて PGP/GPGキーサインパーティを行います。
キーサインパーティとは、互いの鍵に署名をすべく、PGP/GPG 鍵を持つ人々が集まるものです。
キーサインパーティは PGP/GPG 鍵を利用する上で非常に重要な概念である、 信頼の輪 (Web of Trust)を 大規模に拡張するのに有用です。 また、このようなキーサインパーティは実際に開発者と面と向かって会う良い機会でもあります。

受付は終了しました。登録された方は当日キーサイン用の紙とハッシュ値の確認、身分証明書(パスポート等)をお忘れないようお願い致します。

開催概要

  • 開催日時・会場 日時: 2013 年 6 月 29 日 (土) (開会式終了後 / 10時10分頃)
  • 会場:日本大学 駿河台キャンパス 駿河台校舎1号館
  • キーサインコーディネイタ: 岩松 信洋 / iwamatsu at {debian.org} (PGP/GPG 情報

内容

今回のキーサインパーティは、一斉に事務的に行うのではなく、 相手と軽く会話をしながらお互いのIDとPGP/GPG フィンガープリントを確認するという方法で行います。
(通常のキーサインパーティでは、参加者は印刷物に記載された番号の順に2列に並び、 対面相手のIDを確認し、その後に左に1歩ずれて次の人に、という方法を採ります。)

今回のキーサインパーティーには、Debian ProjectLinux Kernel などのフリーソフトウェア開発者の参加も予定されています。
フリーソフトウェアの世界では、ネット上で自分の存在を保証してもらうために、PGP/GPG を使ったWeb of Trust を構築しています。フリーソフトウェアの開発に参加している方、参加を考えている方はこれを機会に参加してみてはいかがでしょうか。

また、開発者以外の方にとっても、ソフトウェアの配布アーカイブに PGP/GPG 署名やハッシュが添付されていることもあり、 ソフトウェアの入手時の正当性確認の意味でも重要です。

DebianUbuntuCentOSなどでは、パッケージリポジトリの正当性を確認するために、 PGP/GPG を使ったシステムが採用されています。
この信頼性は Web of Trust に基づいているため、Web of Trust の中で各ディストリビューションのリポジトリ管理者とつながることが重要です。
これらのディストリビューションをお使いのユーザは参加することをお勧めします。

DNSSEC の署名の確認にもPGP/GPG が必要です。
DNSSEC の署名に利用されている公開鍵の確認と信頼を行うにもキーサインは必要に なってくると思われます。

本キーサインパーティを機会に Web of Trust に参加してみてはいかがでしょうか。

参加方法と注意事項

参加希望者は2013年6月23日 (日) 23時59分 までに、 キーサインに使用する自分の公開鍵を参加登録用フォームから登録してください。

公開鍵作成前に ~/.gnupg/gpg.conf に以下の内容があるか、確認してください。

	digest-algo sha256
	personal-digest-preferences SHA256
	cert-digest-algo SHA256
	default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

また、公開鍵は以下の方法でクリアサインしたものを登録してください。

	$ gpg --armor --export-options export-clean,export-minimal --export 自身の鍵ID 
                     | gpg --local-user 自身の鍵ID --clearsign

(実際には1行となります。)

鍵の登録後、登録データに問題が無ければコーディネーターが参加者の一覧に登録します。
このリストに乗った時点で登録完了とします。
なお、登録作業から24時間経過しても、コーディネーターからの連絡も無く、 かつ参加者の一覧にも掲載が無い方は、コーディネーターまでご連絡ください。

PGP/GPG 鍵について、利用されているハッシュのうちSHA-1の脆弱性が大きくクローズアップされています。
このため、今回のキーサインパーティーでは、より強い 暗号を持ったPGP/ GPG鍵に限定します。

昔からPGP/GPGを利用されている方は、まだ1024/DSAをお使いだと思います。
2048/RSA以上鍵を作成し、その鍵を利用してキーサインパーティーに参加してください。
コーディネータがあなたの鍵を確認したら、確認メッセージをメールで送信します。

もし、メッセージに書かれている情報が間違っている場合、すぐにご連絡ください。
正常に受け付けられた鍵と参加者の一覧については 参加者の一覧ページを確認してください。

Q and A

キーサインパーティとはなんですか? なぜ必要なのですか?

キーサインパーティは、互いの鍵に署名をすべく、PGP/GPG鍵を持つ人々が集まるものです。 キーサインパーティーはWeb of Trustを大規模に拡張するのに寄与します。

キーサインパーティはどのように行いますか?

参加予定者の鍵情報(名前、メールアドレス、PGP/GPGフィンガープリント等)が書かれたファイルのハッシュ値(SHA256)を参加者で確認し、
その後確認した人達同士でお互いにキーサインを行うという方式を取ります。

登録用データの作成方法はどうすればよいですか?

参加登録用フォーム から登録する PGP/GPG 鍵の情報については、

	gpg --armor --export-options export-clean,export-minimal --export 自身の鍵ID 
                   | gpg --local-user 自身の鍵ID --clearsign
(実際には1行となります。)

というAscii形式で出力したものをそのまま貼り付けてください。 サンプル のようなものが出力されているはずです。 コマンドラインが使えない環境の方は、別途コーディネイタにご相談ください。

当日の飛び込み参加できますか?

飛び込み参加は基本的には 推奨しません 。参加希望者は 2013年6月23日 (日) 23時59分 までに登録を完了してください。 どうしても参加したい方は、名前、鍵、メールアドレス、 フィンガープリントが書かれた紙を用意して参加してください。 なおこの紙は、キーサインパーティーで確認をする際に相手に1枚ずつ配っていただきますので、それなりの数をご用意ください。作成方法は、キーサイン用データの作り方 を参照してください。

登録後の当日までの流れ

事前配布物の確認

2013年6月23日(日) 23時59分 の締め切り後、翌日朝までに 鍵一覧用ファイル (鍵一覧用ファイルハッシュ値, コーディネイターによる署名ファイル) がアップロードされます。 鍵一覧用ファイルにあるあなたの鍵のフィンガープリントが正しいかどうか照合してください。 さらにファイルの SHA256 ハッシュ値を計算してください。 たとえば sha256sum コマンドを使って次のように求められます。

	$ sha256sum gum2013-debian-ksp.txt

または、gpg のコマンドでも確認することができます。

	$ gpg --print-md sha256 gum2013-debian-ksp.txt

一覧用ファイルを印刷して、計算したハッシュ値を書き込んでください。 当日は、このハッシュ値を書き込んだ紙が必要となります。

当日の流れ

大統一Debian勉強会 2013の開会式後と昼休みにファイルのハッシュ確認を行います。

  1. 当日、コーディネーターが用意したスライドに SHA256 ハッシュ値が表示されます。 このハッシュ値とあなたの計算したものが合致していることを確認します。 これで、全参加者が同じ鍵リストに基いての参加であることを保証できます。
  2. 会場で皆さんが集合したところで、コーディネーターがファイルのSHA256ハッシュ値が、 全員同じであることを尋ね、全参加者が同じリストを持っていることを確認します。 この確認の際に、印刷物の各ページに照合した旨のチェックをつけておいてください。
  3. この後、確認された人にキーサイン用のネームタグを配布します。
  4. 次のステップは、各参加者の同一性保証です。 参加者の免許書・パスポート等による ID 書類によって確認します。 この確認は、懇親会を含めたイベント中に随時行っていただけます。 注意事項:ネームタグを持っている人のみとPGP/GPG鍵交換することができます。 ネームタグを持っていない人のハッシュ値は間違っている可能性があるからです。
  5. イベント後、 鍵の持ち主の確認とフィンガープリントが印刷物のどのフィンガープリントに合うというチェックが付いていれば、 ID確認済みの鍵です。PGP/ GPG鍵にサインした後、その鍵の所有者に送ります。

当日何を持ってくるべきか

  • 一覧用ファイルの印刷物。印刷物にあるあなたの名前、フィンガープリントおよびメールアドレスが正しいことを確認してください。
  • 一覧用の SHA256 ハッシュ値。これで、全員が同じ印刷物を持っていることを保証できます。
  • 政府発行の何らかの ID - パスポートや運転免許証など。
  • 鉛筆、あるいはボールペン
  • あなたにとってこれが最初のキーサインであれば、このサイトを印刷したものや、 GnuPG README 日本語訳も役に立つでしょう。

GnuPG鍵の作り方

GnuPG鍵の作り方を参考にしてください。4096R の鍵の作り方になっています。 既に GnuPG 鍵を持っており、2048/RSA または 4096/RSA に更新したい人は 4096/RSA 鍵 の追加方法 を参照してください。

お問い合わせ

何か不明な点があれば、iwamatsu _at_ debian.org または gum2013 _at_ debian.or.jp までお気軽にお問い合わせください。