今年もオープンソースカンファレンス実行委員会主催の OSC 2013 Kansai@Kyoto が開催されます。これにあわせてイベントの開催場所をお借りして、コミュニティーベースのイベント企画 - キーサインパーティーを開催します。キーサインパーティーとは、互いの鍵に署名をすべく、PGP/GPG 鍵を持つ人々が集まるものです。キーサインパーティーは PGP/GPG 鍵を利用する上で非常に重要な概念である、信頼の輪(Web of Trust)を大規模に拡張するのに有用です。また、このようなキーサインパーティーは実際に開発者と面と向かって会う良い機会でもあります。
今回のキーサインパーティは、一斉に事務的に行うのではなく、相手と軽く会話をしながらお互いのIDとPGP/GPG フィンガープリントを確認するという方法で行います。(通常のキーサインパーティでは、参加者は印刷物に記載された番号の順に2列に並び、対面相手のIDを確認し、その後に左に1歩ずれて次の人に、という方法を採ります。)
フリーソフトウェアの世界では、ネット上で自分の存在を保証してもらうために、PGP/GPG を使った Web of Trustを構築しています。フリーソフトウェアの開発に参加している方、参加を考えている方はこれを機会に参加してみてはいかがでしょうか。また、開発者以外の方にとっても、ソフトウェアの配布アーカイブに PGP/GPG 署名やハッシュが添付されていることもあり、ソフトウェアの入手時の正当性確認の意味でも重要です。そして、Debian、Ubuntu、CentOSなどでは、パッケージリポジトリの正当性を確認するために、 PGP/GPG を使ったシステムが採用されています。この信頼性はWeb of Trust に基づいているため、Web of Trust の中で各ディストリビューションのリポジトリ管理者とつながることが重要です。これらのディストリビューションをお使いのユーザは参加することをお勧めします。そして、DNSSEC の署名の確認にもPGP/GPG が必要です。DNSSEC の署名に利用されている公開鍵の確認と信頼を行うにもキーサインは必要になってくると思われます。本キーサインパーティを機会に Web of Trust に参加してみてはいかがでしょうか。
参加希望者は2013年7月30日(火) 23時59分 までに、 キーサインに使用する自分の公開鍵を 登録サイトから登録してください。公開鍵を登録前に ~/.gnupg/gpg.conf に以下の内容があるか、確認してください。
digest-algo sha256
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
また、公開鍵は以下の方法でクリアサインしたものを登録してください。
$ gpg --armor --export-options export-clean,export-minimal --export "自身の鍵ID" \ | gpg --local-user "自身の鍵ID" --clearsign
鍵の登録後、登録データに問題が無ければコーディネーターが参加者の一覧に登録します。 このリストに乗った時点で登録完了とします。なお、登録作業から24時間経過しても、コーディネーターからの連絡も無く、 かつ参加者の一覧にも掲載が無い方は、コーディネーターまでご連絡ください。PGP/GPG 鍵について、利用されているハッシュのうちSHA-1の脆弱性が大きくクローズアップされています。 このため、今回のキーサインパーティーではより強い暗号を持ったPGP/ GPG鍵を推奨します。昔からPGP/GPGを利用されている方は、まだ1024/DSAをお使いだと思います。2048/RSA以上鍵を作成し、その鍵を利用してキーサインパーティーに参加してください。コーディネータがあなたの鍵を確認したら、確認メッセージをメールで送信します。 もし、メッセージに書かれている情報が間違っている場合、すぐにご連絡ください。 正常に受け付けられた鍵と参加者の一覧については 確認用参加者の一覧ページをそちらを確認してください。
キーサインパーティーは、互いの鍵に署名をすべく、PGP/GPG鍵を持つ人々が集まるものです。 キーサインパーティーはWeb of Trustを大規模に拡張するのに寄与します。
パーティーは「Len Sassaman の効果的なグループキーサイン方式」を使って進めます。 これは、皆さんが知っているやり方よりもいくぶん早くキーサインできる手順です。
参加登録用ウェブページ から登録する PGP/GPG 鍵の情報については、
gpg --armor --export-options export-clean,export-minimal --export "自身の鍵ID" \ | gpg --local-user "自身の鍵ID" --clearsign
というAscii形式で出力したものをそのまま貼り付けてください。 サンプル のようなものが出力されているはずです。
コマンドラインが使えない環境の方は、別途コーディネイタにご相談ください。
飛び込み参加は基本的には 推奨しません 。できる限り、参加希望者は 2013年7月30日 (火) 23時59分 までに登録を完了してください。 どうしても参加したい方は、名前、鍵、メールアドレス、 フィンガープリントが書かれた紙を用意して参加してください。 なおこの紙は、キーサインパーティーで確認をする際に相手に1枚ずつ配っていただきますので、それなりの数をご用意ください。作成方法は、キーサイン用データの作り方 を参照してください。
2013年7月30日(火) 23時59分 の締め切り後、翌日朝までに 鍵一覧用ファイル がアップロードされます。 鍵一覧用ファイルにあるあなたの鍵のフィンガープリントが正しいかどうか照合してください。 さらに、ファイルの SHA256 ハッシュ値を計算してください。 たとえば sha256sum コマンドを使って次のように求められます。
$ sha256sum osc2013-kyoto-ksp.txt
または、gpg のコマンドでも確認することができます。
$ gpg --print-md sha256 osc2013-kyoto-ksp.txt
一覧用ファイルを印刷して、計算したハッシュ値を書き込んでください。 当日は、このハッシュ値を書き込んだ紙が必要となります。