On Wednesday 04 of May 2011 16:27:53 Andraz Brodnik wrote:
Hm kako pa to zgleda. Si ljudje izmenjajo fingerprinte ali kaj ? Ali imaš en štant, ki valificira public keye, če folk pokaže osebne pa svojo faco.
Načelo vem kako kluči funkcionirajo. Samo ne vem kako zgleda party?
Na tistem, na katerem sem bil, je zgledalo cca. tako, da se pa naredit tut lažji (ampak zato z manjšo mero zaupanja):
1) vsak je uploadal svoj public key na nek za to postavljen server; 2) na določen datum in uro se je exportiralo imena in fingerprinte, ki so bili pravočasno oddani na server; 3) ta seznam je bil poslan vsem udeležencem; 4) vsak udeleženec si je zračunal hash(e) seznama, ga natisnil in zapisal na list(e) prej omenjen(e) hash(e); 5) natiskan seznam in (vsaj en) osebni dokument je vsak vzel na party; 6) na začetku partya je organizator glasno prebral hash(e) seznama, da so vsi preverili, da imajo pravilen seznam; 7) vsak je na svojem seznamu preveril, da je njegov fingerprint pravi (itak imajo vsi isti seznam zaradi hashov); 8) nato so se postavili v dve vrsti s cca. enakim številom ljudi in gledali ena proti drugi (gre tudi z eno, ampak dve sta hitrejši); 8) nato so po vrsti vsak pri vsakem preverili osebni dokument, ga primerjal z obrazom in imenom na seznamu, drugi mu je pa potrdil, če je njegov fingerprint na seznamu pravilen; 9) na svoj seznam si zato sproti odkljukaval za vsakega, če je fingerprint osebe pravi in če si preveril identiteto; 10) doma nato z 'gpg' (ali kar s skriptico), downloadaš javne ključe s prej omenjenega serverja, jih podpišeš in se pri tem še izjasniš svoje zaupanje o identiteti (t.i. certification level¹); 11) odvisno od dogovora je potem, ali vsak te podpisane javne ključe pošlje na server(je) ali pa po e-mailu individualno vsakemu od udeležencev njegovega. Bolj pogost je baje slednji dogovor; 12) svoje javne ključe, ki jih dobiš podpisane nazaj po e-mailu (oz. prek serverja) potem importiraš z 'gpg' in to je to.
...za veliko večino teh točk obstaja skriptica² in ni treba delat na roke:
Kot rečeno, stvar je v praksi *zelo* bolj enostavna in intuitivna, kot se sliši.
lp, Matija -.-.- [1] moj key signing policy in kako se vedem do certification level: http://matija.suklje.name/?q=node/194 opomba: čeprav ponekod piše tu „trust“ to ni isto kot trust level, ki ga zračuna GPG/PGP po nekem algoritmu v skladu s številom in trust levelom podpisov, ki jih posamičen ključ ima. [2] PGP Tools — predvsem je tu uporaben „caff“: http://pgp-tools.alioth.debian.org/