Huomaa: Alkuperäinen sivu on tätä suomennosta uudempi.

Avainten allekirjoittaminen

Koska useat kehittäjät tapaavat toisiaan messuilla ja konferensseissa, ovat he ottaneet tavaksi allekirjoittaa toistensa GnuPG-avaimia ja näin kasvattaa luottamusverkkoa. Erityisesti uusille ihmisille projektissa avainten allekirjoittaminen ja muiden kehittäjien tapaaminen on ollut erittäin mielenkiintoista.

Tämän ohjeen tarkoitus on auttaa avainten allekirjoitustilaisuuden järjestämisessä. Huomaa, että kaikissa esimerkeissä käytetään avainpalvelinta keyring.debian.org. Jos avain, jonka haluat allekirjoittaa, ei ole Debianin avainrenkaassa, korvaa keyring.debian.org julkisella avainpalvelimella, kuten wwwkeys.pgp.net (joka nimestä huolimatta säilyttää myös GnuPG-avaimia).

Avaimia tulee allekirjoittaa vain kun on varmistuttu vähintään näistä kahdesta ehdosta:

Avaimen omistaja todistaa allekirjoittajalle, että henkilöllisyys UID:ssa todellakin kuuluu avaimen omistajalle näyttämällä mitä tahansa todistetta, johon allekirjoittaja suostuu luottamaan. Yleensä tämä tarkoittaa, että avaimen omistajan tulee näyttää hallituksen varmentama kuvallinen henkilöllisyystunniste, jonka tiedot täsmäävät avaimen omistajaan. (Jotkut allekirjoittajat tietävät, että hallituksien antamat henkilöllisyystodisteet on helppo väärentää ja näitä myöntävien viranomaisten luotettavuus on usein kyseenalainen, joten he voivat vaatia lisäksi/vaihtoehtoisesti muita todisteita henkilöllisyydestä).
Avaimen omistaja varmistaa, että allekirjoitettavan avaimen sormenjälki ja pituus on todellakin heidän omansa.

Tärkeätä on huomata, että jos avaimen omistaja ei aktiivisesti osallistu vaihtoon, et pysty viemään loppuun joko ensimmäistä tai toista ehtoa. Kukaan muu ei voi täyttää ensimmäistä ehtoa avaimen omistajan puolesta, koska silloin kuka tahansa pystyisi varastetun henkilöllisyystodistuksen avulla saamaan allekirjoituksen luomalleen PGP-avaimelle esittämällä olevansa avaimen omistajan edustaja. Kukaan muu ei voi myöskään täyttää toista ehtoa avaimen omistajan puolesta, koska tällöin edustaja pystyisi korvaamaan sormenjäljen toisen PGP-avaimen sormenjäljellä, jossa olisi omistajan nimi, ja saaden näin jonkun allekirjoittamaan väärän avaimen.

Tarvitset tulostettuja GnuPG-sormenjälkiä, avainpituuksia ja henkilöllisyystodistuksen todistaaksesi henkilöllisyytesi (passi, ajokortti tai muu vastaava).
Sormenjälki ja avaimen pituus annetaan henkilölle, jonka pitäisi allekirjoittaa avaimesi tapaamisen jälkeen.
Jos sinulla ei ole vielä GnuPG-avainta, luo sellainen komennolla gpg --gen-key.
Allekirjoita avain ainoastaan kun allekirjoitettavan avaimen omistaja on todistanut henkilöllisyytensä.
Tapaamisen jälkeen sinun täytyy hakea GnuPG-avain allekirjoittaaksesi sen. Seuraavasta voi olla apua:
```
       gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
```
Huomaa, että voimme käyttää sormenjäljen viimeistä kahdeksaa heksadesimaalia tässä ja muissa GnuPG-toiminnoissa. Myös etuliite 0x on valinnainen.
Allekirjoittaaksesi avaimen, mene valikkoon komennolla
```
       gpg --edit-key 0xDEADBEEF
```
GnuPGssä valitse kaikki allekirjoitettavat uid:t komennolla uid n, jossa n on uid:n numero, joka näkyy valikossa. Voit myös painaa enteriä allekirjoittaaksesi kaikki uidit.
Allekirjoittaaksesi avaimen, kirjoita sign. Tällöin sinulle näytetään allekirjoitettavan avaimen sormenjälki ja pituus, joita sinun pitäisi verrata siihen, jonka sait tapaamaltasi henkilöltä.
Kun kysytään tarkistuksen vakavuutta, valitse "arkinen" ("casual").
Sulje GnuPG komennolla quit
Varmistaaksesi, että olet allekirjoittanut avaimen oikein, voit tehdä:
```
       gpg --list-sigs 0xDEADBEEF
```
Tulosteessa sinun pitäisi nähdä oma nimesi ja sormenjälki (lyhyessä muodossa).
Varmistettuasi, että kaikki meni hyvin, voit lähettää allekirjoittamasi avaimen sen omistajalle komentamalla:
```
       gpg --export -a 0xDEADBEEF > jonkun.key
```
Valitsin -a tulostaa avaimen ASCII-muodossa, jotta se voidaan lähettää ilman pelkoa korruptoitumisesta matkalla.
Jos joku allekirjoittaa sinun avaimesi tällä tavoin, voit lisätä sen Debianin avainrenkaaseen komentamalla:
```
       gpg --import --import-options merge-only minunallekirjoitettu.key
       gpg --keyserver keyring.debian.org --send-keys <avaimesi id>
```
Voi kestää jonkin aikaa ennen kuin avainrenkaan ylläpitäjät päivittävät avaimesi, joten ole kärsivällinen. Voit myös lähettää päivitetyn avaimesi julkisille avainpalvelimille.

Debian-paketti signing-party sisältää muutamia työkaluja joilla helpottaa em. prosessia. gpg-key2ps muuntaa GnuPG-avaimen PostScript-tiedostoksi josta voit tulostaa sormenjälkesi sisältäviä paperiliuskoja ja gpg-mailkeys lähettää allekirjoitetun avaimen sähköpostitse omistajalleen. Pakettiin kuuluu myös caff, joka on hiukan edistyneempi työkalu. Lue paketin dokumentaatiosta lisäohjeita.

Mitä sinun ei pitäisi tehdä

Sinun ei pitäisi koskaan allekirjoittaa sellaisen henkilön avainta, jota et ole tavannut henkilökohtaisesti. Avaimen allekirjoittaminen muulla kuin ensikäden tiedon perusteella tuhoaa Luottamusverkon hyödyn. Jos ystäväsi esittää muille kehittäjille sinun henkilöllisyystodistuksesi ja sinun sormenjälkesi, mutta sinä et ole paikalla varmistamassa, että sormenjälki kuuluu sinulle, millä perusteella muut kehittäjät voivat yhdistää sormenjäljen henkilöllisyystodistukseen? Heillä on vain ystäväsi sana ja muut allekirjoitukset avaimessasi -- tämä ei ole yhtään parempi kuin jos he olisivat allekirjoittaneet sinun avaimesi vain siksi, koska muutkin henkilöt ovat sen allekirjoittaneet!

On toki mukavaa saada monia allekirjoituksia avaimellesi, ja siksi on houkuttelevaa oikaista pari mutkaa matkalla. Mutta luotettavien allekirjoitusten saaminen on tärkeämpää kuin useiden allekirjoituksien saaminen, joten on erittäin tärkeää, että pidämme avaimen allekirjoitusprosessin niin puhtaana kuin voimme. Jonkun avaimen allekirjoittaminen on merkki siitä, että sinulla on ensikäden tietoa avaimenhaltijan henkilöllisyydestä. Jos allekirjoitat avaimen tarkoittamatta sitä, Luottamusverkkoon ei voi enää luottaa.