¿Cuándo? ¿Dónde?

El sábado 8 de noviembre durante la junta del Gulag en las instalaciones de la Universidad Autónoma de la Laguna se llevará a cabo el firmado de llaves OpenPGP (pgp/gpg).

¿Qué es un Grupo de Firmas y por qué hacerlo?

Un Grupo de Firmas (keysigning party) es una reunión de dos o más individuos que usen sistemas criptográficos tipo PGP con el propósito de permitirles firmar las llaves de los demás. Los Grupos de Firmas sirven para ampliar la red de confianza (web of trust (WoT)) en gran grado. Una medida útil del WoT es el promedio de la distancia más corta (mean shortest distance (MSD)) de una llave.

Por favor lee los capítulos uno y dos del GnuPG Grupos de Firmas COMO (GnuPG Keysigning Party HOWTO). La actividad será un poco diferente de modo que el resto de los capítulos no aplican completamente.

¿Cómo se llevará a cabo?

El Grupo de Firmas se realizará basándonos en el Método de Firmado de Llaves de Grupo Eficiente (Efficient Group Key Signing Method) de Len Sassaman y Phil Zimmermann que es un protocolo para realizar el firmado de llaves de una manera más rápida que el método tradicional.

Los pasos para participar en el Grupo de Firmas son los siguientes:

• Envía tu llave pública: limpia, minimizada, con blindaje ascii (ascii armored (Radix-64)) y con una firma clara (clear sign), a m77_at_gulag_dot_org_dot_mx antes del 6 de noviembre, 2008. La firma probará que el dueño de la llave controla la llave privada.
  
  

  Ejemplo:

  gpg --armor --export-options export-clean,export-minimal --export 0xCAE274D6 > bloque_publico

  
  Ahora firmamos de forma clara el archivo bloque_publico creando bloque_publico.asc:

  gpg --clearsign bloque_publico

  
  Luego lo mandas por correo:

  mail -s "Grupo de Firmas" m77_at_gulag_dot_org_dot_mx < bloque_publico.asc

  
  
  
• Tu llave será procesada manualmente y si es válida, te enviaremos un correo con tus datos y aparecerás en http://ksp.gulag.org.mx. Si encuentras algún error, escríbenos de inmediato a uresti_at_gulag_dot_org_dot_mx o m77_at_gulag_dot_org_dot_mx_dot_
  
  

  Si quieres que en http://ksp.gulag.org.mx tu nombre sea una liga a tu foto, manda un correo a m77_at_gulag_dot_org_dot_mx_dot_

  
  
  
• El viernes 7 de noviembre de 2008, podrás descargar el anillo[0] completo (ksp_2008.gpg.bz2) con todas las llaves que fueron recibidas, junto con un archivo de texto (ksp_2008.txt) que traerá la huella de cada una de las llaves del anillo.
  
  

  En http://ksp.gulag.org.mx/archivos/ tanto el anillo como el archivo de texto tendrán sus archivos correspondientes con la suma de verificación SHA256. Los archivos SHA256 estarán firmados con la llave pública 0xCAE274D6, que puede ser descargada de: pgp.mit.edu o pgp.surfnet.nl.

  
  Para verificar la firma de los archivos SHA256, descarga mi llave:

  gpg --keyserver pgp.surfnet.nl --recv-keys 0xCAE274D6

  
  Después ejecuta gpg con la opción de verificación (usando ksp_2008.txt.sha256.asc como ejemplo):

  gpg --verify ksp_2008.txt.sha256.asc

  
  
  
• Comprueba que la huella de tu llave sea correcta en el archivo ksp_2008.txt. También calcula el resultado de la función hash SHA256 del archivo ksp_2008.txt. Una manera de hacerlo es:
  
  

  sha256sum ksp_2008.txt

  
  
  
• Trae a la junta del Gulag el resultado de la función hash que calculaste y una copia impresa del archivo ksp_2008.txt.
  
  

  Es muy importante que hayas verificado con anterioridad la huella de tu llave en la copia impresa.

  También es muy importante que hayas hecho el cálculo de la función hash en tu casa.

  
  
  
• El resultado del cálculo de la función hash SHA256 del archivo ksp_2008.txt será leído al inicio del Grupo de Firmas para que cada quien compruebe que estamos trabajando con el mismo listado de llaves.
  
  
• Durante el Grupo de Firmas deberás hacer lo siguiente con cada participante:
  
  
  1. Preguntarle si su huella en el archivo ksp_2008.txt es correcta.
  2. Verificar su identidad por medio de alguna identificación oficial con fotografía (pasaporte o credencial de elector).
  3. Si quedas satisfecho con la identificación, marca en tu copia impresa que la huella del otro participante es correcta, así como que se ha identificado debidamente.
  
  
  
• Más tarde, y desde tú computadora, puedes firmar las llaves de quienes se hayan identificado a tu satisfacción.
  
  

  Por favor emplea las herramientas gpg (gpg-tools) de Peter Palfrader para poder firmar las llaves usando caff, uno de los scripts. También están disponibles como un paquete para Debian: signing-party.

  
  
  

Descargas

• ksp_2008.txt - Lista de los participantes (archivo de texto).
• ksp_2008.gpg.bz2 - Llaves participantes (anillo).

Resumen

Deberás traer:

• Una copia impresa de ksp_2008.txt; y verificar que tu huella sea la correcta.
• Una pluma.
• El cálculo de la función hash SHA256 que hiciste del archivo ksp_2008.txt para asegurarte que estamos trabajando con la misma lista.
• Una identificación oficial con fotografía.
• Si éste es tu primer Grupo de Firmas, una copia de esta página web y los documentos enlazados podrían ser útiles.

Preguntas

Si tienes cualquier duda al respecto, por favor contacta a Jesús Uresti Rangel (uresti_at_gulag_dot_org_dot_mx) o a Alejandro Bárcena Campos (m77_at_gulag_dot_org_dot_mx) ya sea por correo o en el canal de IRC.

Nota

Grupo de Firmas y documento ampliamente basados en el KSP del DebConf8 organizado por Anibal Monsalve Salazar y Don Armstrong.


[0] Creo que el término llavero quedaría mejor, sin embargo usé anillo para que concuerde con la documentación en español.