Maestro di chiavi: Zeus Kissakie'

Key Signing Party di Hack-It 98

Il party ha lo scopo di certificare la corrispondenza tra una chiave pubblica PGP e una persona fisica. Non e' necessario che durante il party vengano scambiati fisicamente i disketti con le chiavi pubbliche, e' sufficiente la lettura pubblica di user id, fingerprint e lunghezza della chiave (questi tre parametri determinano univocamente una chiave) associata alla dichiarazione "questa e' la mia chiave".
Le fasi:

  1. Prima del meeting (almeno due settimane prima): creazione di una pagina web dove pubblicizzare l'iniziativa e spiegare i dettagli su come partecipare;
  2. creazione di un indirizzo e-mail dove chi intende partecipare possa inviare la propria chiave (anche questo PRIMA del meeting);
  3. uno o due giorni prima del meeting: raccolta di tutte le chiavi pervenute e stampa dell'elenco di user ID, fingerprint e lunghezza in byte.
  4. il giorno (o la notte ;-) del signing party: riunione di tutti i partecipanti e distribuzione dello stampato con la lista di chiavi; una persona legge userID, fingerprint, lunghezza della prima chiave; se il proprietario e' presente, si alza in piedi e si fa riconoscere (tralascio qui i dettagli folkloristici); chi intende firmare la chiave di quella persona, potra' annotarsi l'user ID sul foglio da noi distribuito. Fine del party.
  5. uno o due giorni dopo il meeting: pubblicazione immediata sulla pagina web di tutte le chiavi dei partecipanti, con relativo fingerprint ecc.
  6. chi intende "firmare" una chiave di una persona incontrata fisicamente al party a questo punto puo' prelevare da web la chiave, firmarla, nonche' rispedirla all'indirizzo e-mail;
  7. un paio di settimane dopo (o, se ci riesco, man mano che le firme arrivano): termine della fase di certificazione e pubblicazione su web di tutte le chiavi firmate, in modo che il rispettivo proprietario possa scaricare la sua debitamente certificata.

Alcune considerazioni sparse:
- L'installazione di un keyserver semplificherebbe di molto le operazioni, pero'

  1. non so se vale la pena per i presumibilmente pochi partecipanti al party, tanto vale gestire il tutto manualmente
  2. non ho voglia e tempo di imparare come si installa/gestisce un keyserver :-) ... se lo vuol fare qualcun altro, e' benvenuto.
      - Cosa succede se uno non ha inviato prima del party la propria chiave? Costui puo' innanzitutto partecipare al party e firmare le chiavi di quelli che conosce; nel caso in cui al momento del party sia in possesso di disketto con propria chiave pubblica, potremmo accettarlo comunque, dando lettura dei relativi fingerprint/user id/lenght, a patto che durante il party ci sia un pc a disposizione con pgp installato. Se invece il pc non e' disponibile (o se non abbiamo voglia di sbatterci a tal punto), che si fotta: doveva pensarci prima e inviare la chiave prima della scadenza dei termini. In ogni caso, al party verranno presentate SOLO le chiavi pervenute via e-mail entro il termine stabilito; se poi si vorra' fare uno strappo alla regola, lo si decidera' sul posto, compatibilmente con i mezzi a disposizione.

      Torna alle FAQ.IT

      Torna all'HACK.IT98

      Torna al PROGRAMMA