OSC2013 Hokkaido PGP/GPG キーサインパーティのご案内

今年もオープンソースカンファレンス実行委員会主催の OSC 2013 Hokkaido が開催されます。 これにあわせてイベントの開催場所をお借りして、コミュニティーベースのイベント企画 - キーサインパーティーを開催します。

フリーソフトウェアの世界では、ネット上で自分の存在を保証してもらうため に、PGP/GPG を使った Web of Trust を構築しています。 フリーソフトウェアの開発に参加している方、参加を考えている方はこれを機会に参加してみてはいかがでしょうか。

また、DNSSEC の署名の確認にもPGP/GPG が必要です。 DNSSEC の署名に利用されている公開鍵の確認と信頼を行うにもキーサインは必要になってくると思われます。 本キーサインパーティを機会に Web of Trust に参加してみてはいかがでしょうか。

開発者以外の方にとっても、 ソフトウェアの配布アーカイブに PGP/GPG 署名やハッシュが添付されていることもあり、ソフトウェアの入手時の正当性確認の意味でも重要です。 Debian、Ubuntu、CentOSなどでは、パッケージリポジトリの正当性を確認するために、 PGP/GPG を使ったシステムが採用されています。 この信頼性は Web of Trust に基づいているため、Web of Trust の中で各ディストリビューションのリポジトリ管理者とつながることが重要です。 これらのディストリビューションをお使いの方々にも参加をお勧めします。

開催概要

開催日時

• 日時: 2013年9月14日 (土) 12:00 - 12:15
• 会場: 札幌コンベンションセンター
• キーサインコーディネイタ: 佐々木洋平 / uwabami at {debian.or.jp}

内容

今回のキーサインパーティは、一斉に事務的に行うのではなく、 相手と軽く会話をしながらお互いの ID と PGP/GPG フィンガープリントを確認するという方法で行います。

参加方法と注意事項

参加希望者は2013年9月11日(水) 23時59分 までに、 キーサインに使用する自分の公開鍵を 登録サイト から登録してください。

なお、公開鍵を登録前に ~/.gnupg/gpg.conf に以下の内容があるか、 確認してください。

digest-algo sha256 personal-digest-preferences SHA256 cert-digest-algo SHA256 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

また、公開鍵は以下の方法でクリアサインしたものを登録してください。

$ gpg --armor --export-options export-clean,export-minimal --export "自身の鍵ID" \ | gpg --local-user "自身の鍵ID" --clearsign

鍵の登録後、登録データに問題が無ければコーディネーターが 参加者の一覧に登録します。 このリストに乗った時点で登録完了とします。 なお、登録作業から24時間経過しても、1)コーディネーターからの連絡も無く、 かつ、2)参加者の一覧にも掲載が無い方は、コーディネーターまでご連絡ください。

PGP/GPG 鍵について、利用されているハッシュのうちSHA-1の脆弱性が大きくクローズアップされています。 このため、今回のキーサインパーティーではより強い暗号を持ったPGP/ GPG鍵を推奨します。 昔からPGP/GPGを利用されている方は、まだ1024/DSAをお使いだと思います。 2048/RSA以上の鍵(可能であれば 4096/RSA以上の鍵)を作成し、その鍵を利用してキーサインパーティーに参加してください。 コーディネータがあなたの鍵を確認したら、確認メッセージをメールで送信します。 もし、メッセージに書かれている情報が間違っている場合、すぐにご連絡ください。 正常に受け付けられた鍵と参加者の一覧については 確認用参加者の一覧ページ をそちらを確認してください。

登録後の当日までの流れ

事前配布物の確認

2013年9月11日(水) 23時59分 の締め切り後、翌日朝までに 鍵一覧用ファイル がアップロードされます。 鍵一覧用ファイルにあるあなたの鍵のフィンガープリントが正しいかどうか照合してください。 さらに、ファイルの SHA256 ハッシュ値を計算してください。 たとえば sha256sum コマンドを使って次のように求められます。

$ sha256sum osc2013-do-ksp.txt

または、gpg のコマンドでも確認することができます。

$ gpg --print-md sha256 osc2013-do-ksp.txt

一覧用ファイルを印刷して、計算したハッシュ値を書き込んでください。 当日は、このハッシュ値を書き込んだ紙が必要となります。

キーサイン当日

当日何を持ってくるべきか

• 鍵一覧用ファイルの印刷物。 印刷物にあるあなたの名前、フィンガープリントおよびメールアドレスが正しいことを確認してください。
• 一覧用の SHA256 ハッシュ値。これで、全員が同じ印刷物を持っていることを保証できます。
• 政府発行の「顔写真」の入った ID - パスポート、運転免許証、住基カードなど。
• 鉛筆、あるいはボールペン
• あなたにとってこれが最初のキーサインであれば、このサイトを印刷したものや、 GnuPG README 日本語訳も役に立つでしょう。

当日の流れ

1. 本キーサインパーティは OSC2013 Hokkaido の GPGキーサインパーティ で行ないます。
2. 当日、コーディネーターが用意したスライドに SHA256 ハッシュ値が表示されます。 このハッシュ値とあなたの計算したものが合致していることを確認します。 これで、全参加者が同じ鍵リストに基いての参加であることを保証できます。
3. 会場で皆さんが集合したところで、 コーディネーターがファイルのSHA256ハッシュ値が全員同じであることを尋ね、 全参加者が同じリストを持っていることを確認します。 この確認の際に、 印刷物の各ページに照合した旨のチェックをつけておいてください。
4. 次のステップは、各参加者の同一性保証です。 参加者の免許書・パスポート等による ID 書類によって確認します。 この確認は、懇親会を含めたイベント中に随時行っていただけます。
5. イベント後、 鍵の持ち主の確認とフィンガープリントが印刷物のどのフィンガープリントに合うというチェックが付いていれば、 ID確認済みの鍵です。PGP/ GPG鍵にサインした後、その鍵の所有者に送ります。

Q and A

キーサインとはなんですか? なぜ必要なのですか?

キーサインパーティーは、互いの鍵に署名をすべく、PGP/GPG鍵を持つ人々が集まるものです。 キーサインパーティーはWeb of Trustを大規模に拡張するのに寄与します。

キーサインはどのように行いますか?

パーティーは「Len Sassaman の効果的なグループキーサイン方式」を使って進めます。 これは、皆さんが知っているやり方よりもいくぶん早くキーサインできる手順です。

登録用データの作成方法はどうすればよいですか？

参加登録用ウェブページ から登録する PGP/GPG 鍵の情報については、

gpg --armor --export-options export-clean,export-minimal --export "自身の鍵ID" \ | gpg --local-user "自身の鍵ID" --clearsign

という ascii形式で出力したものをそのまま貼り付けてください。 サンプル のようなものが出力されているはずです。

コマンドラインが使えない環境の方は、別途コーディネイタにご相談ください。

当日の飛び込み参加できます？

飛び込み参加は基本的には 推奨しません 。できる限り、参加希望者は 2013年9月11日 (水) 23時59分 までに登録を完了してください。

どうしても参加したい方は、名前、鍵、メールアドレス、 フィンガープリントが書かれた紙を用意して参加してください。 なおこの紙は、キーサインパーティーで確認をする際に相手に1枚ずつ配っていただきますので、それなりの数をご用意ください。作成方法は、キーサイン用データの作り方 を参照してください。

GnuPG鍵の作り方

• GnuPG鍵の作り方を参考にしてください。4096R の鍵の作り方になっています。
• 既に GnuPG 鍵を持っており、4096/RSA に更新したい人は 4096/RSA 鍵 の追加方法 を参照してください。