Le informazioni di questa pagina, sebbene pubbliche, sono primariamente di interesse per i futuri Sviluppatori Debian.
Passo 2: Identificazione
Perché OpenGPG?
Debian fa un ampio uso di OpenPGP perché i membri di Debian vivono ovunque nel mondo (si veda
developer location) e solo di rado si
incontrano di persona, per questo il rapporto di fiducia non può essere
costruito sui contatti personali e si rendono necessari dei metodi
alternativi. Tutti gli sviluppatori Debian sono identificabili mediante
la loro chiave OpenGPG. Le chiavi
consentono un efficace controllo dell'autenticità dei messaggi e dei
dati con esse firmati. Per ulteriori informazioni sulle chiavi OpenGPG
si veda il file README nel pacchetto debian-keyring
.
Fornire una chiave
Ogni candidato deve fornire una chiave pubblica OpenGPG versione 4 con funzionalità crittografiche. Il metodo consigliato è di esportarla su uno dei server di chiavi pubbliche come keys.openpgp.org. Le chiavi pubbliche possono essere esportate usando:
gpg --send-key --keyserver <indirizzoserver> <idpropriachiave>
Se la propria chiave non ha funzionalità crittografiche, si può aggiungere un'apposita sottochiave.
Consultare keyring.debian.org per maggiori informazioni sui formati e le caratteristiche della chiave.
Verifica
Poiché chiunque può inviare una chiave pubblica ai server è necessario verificare che la chiave appartenga al candidato.
Perciò la chiave pubblica deve essere firmata da due membri di Debian. Di conseguenza il candidato deve incontrare di persona il membro Debian e deve identificarsi (mediante il passaporto, la patente di guida o qualche altro documento d'identità).
Come farsi firmare la chiave GPG
Ci sono diversi modi per incontrare un membro Debian per uno scambio di chiavi. Si dovrebbero provare secondo il seguente ordine:
- Annunci di key signing party (party per la firma delle chiavi) sono
pubblicati sulla mailing list
debian-devel
, per prima cosa la si controlli. - Si possono cercare sviluppatori in zone specifiche mediante la
key signing coordination page:
- Si controlli prima l'elenco di chi si offre per firmare chiavi cercando un membro Debian che viva vicino.
- Se non lo si trova tra le offerte di firma, si può registrare la propria richiesta di firma della chiave.
- Se nessuno risponde alla richiesta per alcune settimane, si invii un e-mail a debian-private@lists.debian.org specificando esattamente dove si vive (e aggiungendo il nome di qualche grossa città vicina), consentendoci di cercare nel database degli sviluppatori che siano vicini.
Una volta trovato chi firmi la propria chiave, si seguano le istruzioni del Keysigning Mini-HOWTO.
È raccomandato firmare a propria volta la chiave dello sviluppatore Debian. Non è indispensabile per il controllo della propria identità ma rinforza il web of trust (rete di fiducia).
Nel caso non si riesca a far firmare la propria chiave
Se tutti i precedenti tentativi sono vani, si contatti il Front Desk e si richieda aiuto, potrebbero offrire metodi alternativi per l'identificazione.
[ Angolo dei Nuovi Membri ] [ Checklist dei candidati ] [ Passo 1 ] [ Passo 2 ] [ Passo 3 ] [ Passo 4 ] [ Passo 5 ] [ Passo 6 ] [ Passo 7 ]