[debian-devel:12344] NewMaint info & GPG usage tips (Re: [nm-admin] Note to all AMs)

[Taketoshi Sano <kgh12351@xxxxxxxxxxx>]

佐野＠浜松です。

 nm-admin (or nm-discuss) list より:

# 関心のある人はもう既に読んでいるはず、ではありますが。

In <87zopt4xzy.fsf@xxxxxxxxxxxxxxxxxxxxx>,
 at "14 May 2000 04:22:09 +0100",
 with "[nm-admin] Note to all AMs",
  James Troup <james@xxxxxxxxxx> さん writes:

> Hi,
> 
> When you send information regarding your applicant to the DAM, please
> remember to always include the following three things:
> 
>   (o) Their GPG key.
>   (o) Their desired account name.
>   (o) The email address that theiraccountname@debian.org will be
>       forwarded too.
> 
> Also, please remember that I will not accept PGP keys for anything
> other than proof of identity purposes.  All applicants _must_ have a
> GPG key which will be used for package maintenance.
> 
> Thanks.
> 
> -- 
> James

ということですので、New Maintainers に申請を出す際には今後 GPG key が
必須です。PGP によって作成した RSA/IDEA key は受理されませんので
御注意ください。

これは /usr/doc/debian-keyring/README.gz (potato 版 2000.01.3) に

    The Debian project will only accept new key pairs if they are GPG keys.

として予告されていたことです。

理由は

Background: PGP and GPG
-----------------------

PGP (Pretty Good Privacy) is currently the most widely used public key
cryptography program. Unfortunately, it uses patented algorithms (the
RSA algorithm (asymmetric) and the IDEA algorithm (symmetric)), making
a DFSG-free implementation impossible. GPG (GNU Privacy Guard;
http://www.gnupg.org/) is a DFSG-free cryptography program which is
based on the same concepts as PGP, but which uses unencumbered
cryptographic algorithms.

に説明されていますが、PGP は特許化されたアルゴリズム (RSA/IDEA) を
利用しているために DFSG-free な実装が不可能であること、GPG は現状で
実用的に利用できる DFSG-free な暗号プログラムであること、によります。

既に Debian の official maintainer として登録されているメンバーも、
なるべく早目に GPG なキーを作成して keyring-maint@debian.org に
送ったほうが良いでしょう。

なお、GPG なキーを作成して、それが誰にも署名してもらっていない場合、
以下の手順によって、今まで使用していた自分の PGP なキーで新しく作成
した GPG なキーに署名することができます。

Signing your GPG key with your PGP one
--------------------------------------
        
If you already have a PGP key, but only now made a GPG key, you must
sign your GPG key with your PGP one. This can be done as follows:

o Get the gpg-rsa (or gpg-rsaref, if you live in the US) and gpg-idea
  packages and install them.

o Sign your GPG key with your PGP key:
        gpg --load-extension rsa --load-extension idea \
            --secret-keyring ~/.pgp/secring.pgp \
            --default-key 'Your PGP ID' --sign-key 'Your GPG ID'

ここで、'Your PGP ID' や 'Your GPG ID' としては hex コードで表示される
 key ID (私の場合には前者が 0x2EFDA151、後者が 0xAE31C009) や、
また、より確実な方法として finger print を利用することもできます。

(例えば、"gpg --list-keys '0xA1A0F2D09C5D7D61DBA11507D0B3F3D0AE31C009'" を
 実行すれば私の GPG キーが表示されるはずです。)

同様に、他のメンバーのキーに自分の GPG キーで署名する際にも hex key ID や
 key finger print を利用して PGP キーと GPG キーを区別して運用することが
可能です。

例えば、私の場合には

 "gpg --local-user AE31C009 --edit-key (他の人の GPG key ID)" 

を実行します。

 GPG で PGP なキーも扱えるように $HOME/.gnupg/options に gpg-rsa/gpg-idea の
 extention を指定していると、今までの PGP キーと新規作成した GPG キーを
どうやって区別して指定すればいいのか、悩む人がいるかもしれないので
(user ID では区別できない、という場合が多いでしょうから) 
参考までに、ちょっとした tips として書いてみました。

では。

--
     ＃ (わたしのおうちは浜松市、「夜のお菓子」で有名さ。)
    <kgh12351@xxxxxxxxxxx> : Taketoshi Sano (佐野　武俊)