[Gulag] Key signing party

Carlos Rojas crojas en ual.mx
Vie Abr 13 00:07:26 CDT 2007 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alejandro Barcena Campos wrote:
> Carlos Rojas wrote:
>> Estimados amigos,
> 
>> Respondiendo a la inquietud de Taur, si así lo desean, podemos organizar
>> al final de la reunión del sábado el firmado de nuestras llaves a través
>> de una fiesta de firmado de llaves.
> 
>> Se supone que debemos seguir el procedimiento recomendado [1], por lo
>> que debe haber un coordinador que reúna los UID's y los FPR. Si quieren
>> puedo hacerlo yo, solo necesito que me envíen sus UID's, FPR, tamanyo y
>> tipo de la llave,  para generar el archivo impreso que les sera
>> entregado durante la reunión para verificar la identidad de cada uno.
>> Para el día de la reunión, deberán llevar impresa la misma información
>> (su UID + FPR + tamanyo de llave + tipo) además de una identificación
>> oficial con fotografía.
> 
>> [1] http://www.rubin.ch/pgp/kspa/gpg-party.en.html
> 
>> saludos!!
>> crojas
> 
> 
> ¿Por qué es necesario que la lleven impresa? Lo que es necesario es que
> cada quien verifique cuidadosamente que el fingerprint de cada llave
> corresponda... ¿no?
> 
> =( me la voy a perder
> 
Si, hay que verificar el fpr, lo que pasa es que se supone que durante
el firmado de llaves, el coordinador entrega una hoja con una tabla en
la que vienen los datos de cada asistente:

+--------+-------+-------------+----------+----------+--------+--------+
| Key-ID | Owner | Fingerprint | Key-size | Key-type | Match1 | match2 |
+--------+-------+-------------+----------+----------+--------+--------+

tons cada asistente tiene una hoja con los datos de todos los que van a
firmar las llaves, luego cada uno "canta" su ID y el FPR, los demás
tienen que "palomear" el match 1 si corresponde lo que tienen impreso
con lo que canta el que dice ser duenio del key-id (se supone que debes
leer tu ID y FPR de otra fuente, no de la hoja que te da el coordinador,
ahí el pedimento de llevarlo impreso, o en algún medio que te permita
verificar los datos que te proporciona el coordinador, que tal que
genere una llave para hacerse pasar por otro ;), o que haya capturado
mal la info ). El match2 se "palomea" cuando a través de una
identificación oficial, verificas que  el que canto la llave y fpr sea
quien dice ser. Solo se firman al final las llaves que tengan los dos
match "palomeados" .

Por lo menos es uno de los procedimientos que vienen en [1], y hay que
poner especial atencion a las llaves que firmas, sobre todo cuando vas
armando tu anillo de confianza.

saludos!!

crojas

_______________________________________________
Lista de correo del Grupo de Usuarios de GNU/Linux de la Laguna
usuarios en listas.gulag.org.mx
http://listas.gulag.org.mx/cgi-bin/mailman/listinfo/usuarios

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iQEVAwUBRh8QDAeN53PwX+bwAQJM/Qf+JjLU7/cgXRlstYdDTQDC80We5Y/aJA44
vM72gdC8qEY2lA/kPD4kSbb86gg3Y/GaxfE4j7sf+sY0NBwXFg6RCcQyieztVVHg
3rw46Ua0+HmOl2onPdESdBIg6flEpjhzV9ruYScYFEptVCaEuz7k3yEOLnPxuOtv
jgFbrzqdhVHhEWcnq95Mpf+aY4+StA+9OWJhKzEyVtPJOewvvuAFqVvMi2NsYZ/i
QauLAKWGV9VPorxB7qUcpxD60OC8fICp8tJahEpiX7QjcUrXRWLKGhkPj3lrcdRD
uTgjSbOxYGE9a3zxS6Qf5+7khGpIyQA1nQJdpfVjRN/oOz2beo4dKQ==
=2RtG
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución usuarios