Re: [lp-br-sp] Keysigning party

[Ivan Sichmann Freitas]

On Fri, Sep 06, 2013 at 12:30:26AM -0300, Sergio Durigan Junior did gyre and 
gimble:

> >> Um toque: a palestra do Matheus será às 11h, e de acordo com o que eu
> >> conversei com ele, não é garantido que ele consiga falar durante 1h.  Ou
> >> seja, é possível que tenhamos um tempo extra (lembrei do ISS...) antes
> >> do almoço, e talvez esse seja um bom momento pra fazer isso.

Boa ideia.

Texto V2 (essencialmente, só coloquei o --keyserver e a introdução):

(define keysign-party

address@hidden,

Todos participantes do Software Freedom Day 2013 estão convidados para a
festa de assinatura de chaves GPG que ocorrerá durante o evento. O
sub-evento não possui horário fixo, ocorrendo durante os intervalos das
palestras. Se desejar participar, leia o texto abaixo:

== Organização ==

 - Cada participante interessado deve, *antes* do evento, fazer:

   - Criar o seu próprio par de chaves gpg (se já não o possuir)

     $ gpg --gen-key

   - Exportar a chave pública para um servidor de chaves

     $ gpg --send-keys --keyserver hkp://keys.gnupg.net <Key ID>

   - Imprimir o fingerprint da chave em tiras de papel para serem
     distribuídas aos outros participantes interessados durante o
     evento. Aqui, existe um pacote do Debian [1] que gera um postscript
     a partir de uma chave, com o comando `key2ps`.

 - Durante o evento:

   - Trazer 2 documentos com foto expedidos por órgãos governamentais.
   - Trazer o fingerprint impresso da chave, criado anteriormente.
   - Durante os intervalos livres do evento, procurar outros
     participantes, e caso eles tenham se preparado para a assinatura de
     chaves, trocar o fingerprint impresso e *conferir* os documentos da
     pessoa, aferindo sua identidade.

 - Depois (ou durante) o evento:

   - Obter a chave dos participantes que providenciaram identificação e
     fingerprint

     $ gpg --recv-keys --keyserver hkp://keys.gnupg.net <Key ID>

   - Verificar se as informações da chave coincidem com a do fingerprint
     impresso

     $ gpg --fingerprint <Key ID>

   - Caso as informações coincidam e foi possível garantir a identidade
     da pessoa, assine sua chave

     $ gpg --sign-key <Key ID>

   - Enviar a chave de volta ao servidor de chaves

    $ gpg --send-keys --keyserver hkp://keys.gnupg.net <Key ID>

   - Ser feliz.

=== Observações ===

Se você não quiser publicar sua chave pública em um keyserver, traga
também o arquivo da chave ou disponibilize-o de alguma forma àqueles que
quiserem assiná-la. Se você for assinar uma chave que não está em um
keyserver, *NÃO* envie a chave para o keyserver, mas crie uma assinatura
em arquivo e envie por email ao dono da chave:

    $ gpg --sign-key <Key ID>
    $ gpg --armor --output arquivo_assinatura.asc --export <Key ID>

== Diretivas para assinatura ==

A apresentação de dois documentos de identidade com foto expedidos pelo
governo pode parecer exagerada mas é o mínimo necessário para garantir a
confiança entre duas pessoas desconhecidas. Você pode até diminuir essa
exigência em relação à alguém que você já conheça faz tempo e que você
confie, mas lembre-se que a veracidade e garantia das assinaturas é
necessária à manutenção da Web of Trust, então seja responsável.

Ainda, se você esqueceu documentação ou o fingerprint impresso, nada
impede que você assine a chave de outras pessoas.

[1]: http://packages.debian.org/wheezy/signing-party

)

-- 
Ivan Sichmann Freitas
GNU/Linux user #509059
SDF MetaArpa Member http://isf.sdf.org/about.html
Phone: +55 (19) 8227 8610

-- 
Ivan Sichmann Freitas
GNU/Linux user #509059
SDF MetaArpa Member http://isf.sdf.org/about.html
Phone: +55 (19) 8227 8610

pgpt7fpQeJ5f_.pgp
Description: PGP signature