[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

PGP keysign party at NetBSD BOF



曽田さんの代理投稿です。

今週末 7/12 土曜日の NetBSD BOF で、PGP の key sign party を開催したいと思います。

以前に key sign party に参加されている方も、鍵の有効期限が切れていたり、
鍵長が1024bitと短い場合があると思いますので、ご確認ください。

参加される方は、下記の準備をお願いします。


a. BoF 当日の朝6時までに、下記の準備を行ってください。

  1. まだ PGP 鍵をお持ちでない方は、自身の PGP 鍵ペアを作成して
     ください。
     新たに作成される方には、Key type: RSA, Key size: 2048 以上で、
     暗号化用と署名用に別々の鍵を利用されることをお勧めします。
     pkgsrc/security/gnupg をインストールし、下記の手順に従うと
     良いでしょう。
        http://www.NetBSD.org/developers/pgp.html
     鍵の expire 期限を設定される場合は、5年程度が適当だと思います。
     (すなわち「Key is valid for? (0)」という質問に「5y」と答えます。)
     作成にあたって、NetBSDを使う場合はメール末尾の注意もご確認ください。

  2. 既に PGP 鍵をお持ちの方も、鍵の期限が切れてないか確認してください。
     たとえば、以下のコマンドを実行して表示される expires: の日付が
     過去のものであれば、期限切れです。
        $ gpg --list-keys 自身の鍵ID

     以下の表示例では、2008年3月16日に期限が切れています。
        pub   2048R/15974EB9 2004-03-17 [expires: 2008-03-16]
        uid                  SODA Noriyuki <soda@NetBSD.org>
        sub   2048R/C410EE55 2004-03-17 [expires: 2008-03-16]

     期限切れの場合には、鍵を再発行するか、期限を延長してください。

     以下は、鍵ID「soda@NetBSD.org」の期限を、gpg の expire コマンドを
     使って 4 年延長する例です。1. の手順に従って鍵を作成した場合、
     暗号化用と署名用で 2つの鍵があるので、「key 1」コマンドで副鍵を
     指定し、expire コマンドを 2回利用していることにご注意ください。

        $ gpg --edit-key soda@NetBSD.org

        Secret key is available.

        pub  2048R/15974EB9  created: 2004-03-17  expired: 2008-03-16  usage: SC
                             trust: unknown       validity: expired
        sub  2048R/C410EE55  created: 2004-03-17  expired: 2008-03-16  usage: E
        [ expired] (1). SODA Noriyuki <soda@NetBSD.org>

        Command> expire
        Changing expiration time for the primary key.
        Please specify how long the key should be valid.
                 0 = key does not expire
              <n>  = key expires in n days
              <n>w = key expires in n weeks
              <n>m = key expires in n months
              <n>y = key expires in n years
        Key is valid for? (0) 4y
        Key expires at Sat Mar 31 05:51:24 2012 JST
        Is this correct? (y/N) y

        You need a passphrase to unlock the secret key for
        user: "SODA Noriyuki <soda@NetBSD.org>"
        2048-bit RSA key, ID 15974EB9, created 2004-03-17


        pub  2048R/15974EB9  created: 2004-03-17  expires: 2012-03-30  usage: SC
                             trust: unknown       validity: unknown
        sub  2048R/C410EE55  created: 2004-03-17  expired: 2008-03-16  usage: E
        [ unknown] (1). SODA Noriyuki <soda@NetBSD.org>

        Command> key 1

        pub  2048R/15974EB9  created: 2004-03-17  expires: 2012-03-30  usage: SC
                             trust: unknown       validity: unknown
        sub* 2048R/C410EE55  created: 2004-03-17  expired: 2008-03-16  usage: E
        [ unknown] (1). SODA Noriyuki <soda@NetBSD.org>

        Command> expire
        Changing expiration time for a subkey.
        Please specify how long the key should be valid.
                 0 = key does not expire
              <n>  = key expires in n days
              <n>w = key expires in n weeks
              <n>m = key expires in n months
              <n>y = key expires in n years
        Key is valid for? (0) 4y
        Key expires at Sat Mar 31 06:08:37 2012 JST
        Is this correct? (y/N) y

        You need a passphrase to unlock the secret key for
        user: "SODA Noriyuki <soda@NetBSD.org>"
        2048-bit RSA key, ID 15974EB9, created 2004-03-17


        pub  2048R/15974EB9  created: 2004-03-17  expires: 2012-03-30  usage: SC
                             trust: unknown       validity: unknown
        sub* 2048R/C410EE55  created: 2004-03-17  expires: 2012-03-30  usage: E
        [ unknown] (1). SODA Noriyuki <soda@NetBSD.org>

        Command> save

  3. 作成された公開鍵を、 <soda-keysign-2014@yuruyuru.net> 宛に
     メールで送付してください。BoF当日の朝6時必着です。
     具体的には、下記のコマンドを実行します。

     gpg --armor --export 自身の鍵ID | mail soda-keysign-2013@yuruyuru.net

    (NetBSD マシンからメールを出す設定をされてない方は、
     コマンド「gpg --armor --export 自身の鍵ID」の出力を、
     soda-keysign-2014@yuruyuru.net 宛へお送りください。)

b. 当日、BOF 会場に、下記のものをご持参ください。

  1. 写真付きの身分証明書、できれば2通
        運転免許証とパスポートの組合せがベストですが、片方のみでも構いません。

  2. 鉛筆あるいはボールペン

  3. ご自身の PGP 鍵に関する、下記の値のメモ:
        Key ID, HEX fingerprint, Key size, Key type

    例: GnuPG を利用している場合、
      $ gpg --fingerprint 自身の鍵ID
      を実行すると、下記のような結果が得られる筈です。

      pub   2048R/15974EB9 2004-03-17 [expires: 2012-03-30]
           Key fingerprint = 2340 92E5 398B 85BB C959  0A55 D558 BC2A 1597 4EB9
      uid                  SODA Noriyuki <soda@NetBSD.org>
      sub   2048R/C410EE55 2004-03-17 [expires: 2012-03-30]

      この例では、
        Key ID: 15974EB9
        Hex Fingerprint: 2340 92E5 398B 85BB C959  0A55 D558 BC2A 1597 4EB9
        Key Size: 2048
        Key Type: RSA
      となります。

  (なお、当日、コンピュータは不要です。)

c. 当日、会場で下記の作業を行っていただくことになります。

  1. 当日、私の方から、参加者の鍵の情報をリストにして印刷したものを
    お配りします。この印刷物に記載されている、ご自身の鍵に関する情報
    が正しいかどうか確認していただきます。
    (b3. はこのために必要となります。)

  2. 参加者全員の鍵の情報が正しいかどうか、確認していただきます。
    (b2. はこのために必要となります。)

  3. 参加者全員が、身分証明書と同一人物かどうか、確認していただきます。
    (b1. b2. はこのために必要となります。)


注意:

  NetBSD 6.0 および NetBSD 6.0.1 には
  http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2013-003.txt.asc
  のような問題があります。
  このため、鍵の生成は、以下のいずれかで行なうようにしてください。
  ・NetBSD 6.0.2 ないし NetBSD 6.1 以降で行なう
  ・NetBSD 5.2 以前で行なう
  ・6.0 ないし 6.0.1 からバージョンを上げられない場合は、上記の URL に
    ある方法でパッチを当ててから行なう

参考:
        http://www.hyuki.com/gnu/gnupg-v12-readme.html
                GnuPG README 日本語訳
        http://cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html
                The Keysigning Party HOWTO
        http://www.netbsd.org/developers/pgp.html
                PGP Key Management Guide for NetBSD developers