[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52921] 第56回 東京エリアDebian勉強会 & キーサインパーティーのお知らせ



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

第56回 東京エリアDebian勉強会 & キーサインパーティーのお知らせ

東京近辺にいらっしゃる皆様こんにちは。今月も Debian 勉強会が開かれます!

Debian 勉強会とは、Debian の開発者になれることをひそかに夢見るユーザたちと、
ある時にはそれを優しく手助けをし、またある時には厳しく叱咤激励する Debian 
開発者らが Face to Face で Debian GNU/Linux のさまざまなトピック
(新しいパッケージ、Debian 特有の機能の仕組について、Debian 界隈で起こった出来事、etc)
について語り合うイベントです。

参加される方は主に東京を中心に関東近郊の国籍・性別不問の Debian ユーザです 
(Debian をまだ使ったことが無いが興味があるので…とか、かなり遠い所から来てくださる方もいます)。
開発の最前線にいるDebian の公式開発者や開発者予備軍の方も居ますので、
普段は聞けないような様々な情報を得るチャンスです。
興味と時間があった方、是非御参加下さい。
(また、勉強会で話をしてみたいという方も随時募集しています)。

内容:
	今回は、キーサインパーティを中心に行います。そして今回はピザパーティをしながらの
	キーサインパーティです。事務的な処理を行うのではなく、ピザを食べつつ、相手と軽く会話を
	しながらお互いのIDとGPGフィンガープリントを確認するという方法で行ってみます。
	(通常行われるキーサインパーティでは、
	参加者は印刷物に記載された番号の順に2列に並び、対面の各ペアでそれぞれの IDを確認し、
	その後に左に1歩ずれて次の人に、という方法を採ります。)

	先日行われた Debconf9[0] ではSHA-1の脆弱性が進んだことにより、多くのDebian開発者および
	フリーソフトウェア開発者が強い暗号を持ったGPG鍵(1024/DSAを使っている人は2048/RSA以上)を
	作成[1]し、その鍵を使ってサインパーティが行われました。
	日本からも4名参加し、鍵の交換をしてきました。
	今回はWeb of Trustを広めるためのキーサインパーティとなります。
	また、今回行うキーサインパーティでは多くの Debian公式開発者 および フリーソフトウェア
	開発者の参加が期待されます。Debian に直接興味のない方でも、フリーソフトウェアの開発を
	されている方は参加してみてはいかがでしょうか。
	また、開発をしないDebianのユーザの方にとっても鍵交換は意味のあることです。
	Debian で採用している secure-apt GPG鍵の信頼性を確保するためには、 Debian FTP-Master チーム
	のメンバと鍵交換した人との鍵交換が重要になるからです。
	secure-aptの信頼性を確保したい方の参加も歓迎します。

	1. GPG キーサインパーティの説明
	2. GPG キーサインパーティを楽に済ませるためのツール caff の紹介
	3. 各自飲食・歓談しながら鍵交換

開始:
	2009年09月16日 19:00 - 22:00

場所:
	ミラクルリナックス セミナールーム
	東京都港区東新橋二丁目4番1号 サンマリーノ汐留5階
	JR新橋駅 6分、 東京メトロ新橋駅 7分、 都営大江戸線汐留駅 6分
	http://www.miraclelinux.com/corp/about/map.html

費用:
	一人1500円 (予定) ピザパーティ代

	ビールやピザの発注も参加者の一覧を元に行います。
	基本アルゴリズムは以下の様にします。
	http://d.hatena.ne.jp/hyoshiok/20081017

参加登録方法:
	2009年09月12日(土) AM 00:00 までにキーサインに使用する自分の公開鍵をksp-200909@xxxxxxxxxxxに送ってください。
	鍵を送りコーディネイタから返信が来たことで、参加登録とします。

	参加者の一覧: http://www.nigauri.org/ksp200909/ksp-200909.txt

* キーサインとはなんですか? なぜ必要なのですか?

	キーサインパーティーは、互いの鍵に署名をすべく、PGP(GPG)鍵を持つ
	人々が集まるものです。キーサインパーティーは信頼の輪を大きく拡張
	するのに寄与します。キーサインパーティーは実際に面と向かって会う
	ことのできる良い機会でもあります。

	GnuPG Keysigning Party HOWOTO[2] の1章を特に読んでおいてください 
	(注意:パーティーはこのドキュメントにあるものとは少し違ったやり方
	で行うので、ほかの章は完全には一致しません)。

* キーサインはどのように行いますか?

	パーティーは「Len Sassaman の効果的なグループキーサイン方式」を
	使って進められる予定です。これは、皆さんが知っているやり方よりも
	いくぶん早くキーサインできる手順です。

    * 参加したい人は、あなたの公開鍵をASCII 形式で 
   2009年09月12日(土) AM 00:00 までに ksp-200909@xxxxxxxxxxx 宛てに送って
   ください。鍵は添付ファイルとし、ファイル名をあなたのメール
   アドレスにしておいてください (1つのファイルに複数の鍵があっても
   かまいません)。メールには電子署名や暗号化を行わないようにして
   ください。
      具体的には以下のように実行します。

	  gpg --armor --export 自身の鍵ID | mail ksp-200909@xxxxxxxxxxx

	  コーディネータがあなたの鍵を確認したら、確認メッセージを送信します。
      受け取られた鍵と参加者の一覧は、http://www.nigauri.org/ksp200909/ksp-200909.txt として
   参照できます。

	  注意点 1: また、今回は強いPGP(GPG)鍵(4096R)を作っての参加をお願いします。
	  既に鍵を持っている方は Creating a new GPG key[3] に既に持っている鍵と新しく作成した
	  鍵を結びつける方法が書かれています。参考にして鍵を作り直してください。

	  注意点 2: 当日の飛び込み参加は基本的に認めていません。
      どうしても参加されたい方は キーサインパーティコーディネイタ
	  (Nobuhiro Iwamatsu <iwamatsu_ksp[at]nigauri.org>)までご連絡ください。

    * 2009年09月13日(日)までには、参加者のすべての鍵の入った完全なキーリング
	  およびリング内の各鍵の指紋のテキストファイル (http://www.nigauri.org/ksp200909/ksp-200909.txt) を
	  取得できるようになります。

    * ksp-200909.txt にあるあなたの鍵の指紋が正しいかどうか照合して
   ください。さらに、ksp-200909.txt の SHA256 ハッシュ値を計算して
   ください。たとえば sha256 を使って次のように求められます。

	  sha256sum ksp-200909.txt

	  または

	  gpg --print-md sha256 ksp-200909.txt

	* ksp-200909.txt を印刷して計算したハッシュ値を書き込み、
   キーサインパーティーに持参してください。

    * 当日、コーディネータが ksp-200909.txt の SHA256 ハッシュ値を読み
   上げます。読み上げられたハッシュ値があなたの計算したものと
   合致していることを確認してください。これで、全参加者が同じ
   鍵リストに基いての参加であることを保証できます。

    * 続いて、コーディネータは ksp-200909.txt の SHA256ハッシュ値が全員
   同じであることを尋ねます。これが済んだら、ksp-200909.txt 
   印刷物の各ページに照合した旨のチェックを付けておいてください。

	* 次のステップは、各参加者の同一性保証です。参加者の
   パスポート等による ID 書類によって確認します。

    * 終了後 (帰宅後)にサインを始めることができます。鍵の持ち主の
   確認と指紋が印刷物のどの指紋に合うというチェックが付いていれば、
   確認済みの鍵です。サインした後、その鍵の所有者に送ります。
	  サインの方法については、当日のキーサインパーティでサイン用ツールの使い方を
	  説明します。

    - http://www.nigauri.org/ksp200909/ksp-200909.txt - 参加者の一覧
    - http://www.nigauri.org/ksp200909/ksp-200909.asc.bz2 - 参加者の鍵のキーリング

概略: 当日何を持ってくるべきか

	* ksp-200909.txt の印刷物。あなたの指紋が正しいことを確認してください。

	* ksp-200909.txt の SHA256 ハッシュ値。これで、全員が同じ印刷物を
   持っていることを保証できます。

	* 政府発行の何らかの ID (パスポートや運転免許証など。日本語が読めない方が居られる場合があるので、
	  パスポートが望ましいです。)。

    * 鉛筆、あるいはボールペン

	* あなたにとってこれが最初のキーサインであれば、このメールを印刷
   したものや、リンク先ドキュメント[4]も役に立つでしょう。

質問があるときには、Nobuhiro Iwamatsu <iwamatsu_ksp[at]nigauri.org> までご連絡ください。

******** 付記 *********

GnuPG 鍵の作り方

新しく作成する場合には以下の方法で行ってください。
既にDSAの鍵を持っており、4096bit/RSA鍵を追加したい場合には Creating a new GPG key[3] を参照し、
鍵を作成してください。

1. root 権限で apt-get install gnupg を実行する
2. 鍵を作るユーザー権限で gpg --gen-key を実行する
3. 鍵の暗号アルゴリズム、大きさ、有効期限を尋ねられる。
  3.1. 鍵の暗号アルゴリズム
    ご希望の鍵の種類を選択してください:
       (1) DSAとElgamal (既定)
       (2) DSA (署名のみ)
       (5) RSA (署名のみ)
    選択は? 

    5 を選択する。

  3.2. 鍵長
    RSA keys may be between 1024 and 4096 bits long.
    What keysize do you want? (2048)

    4096 と入力し、エンターキーを押す。

  3.3. 鍵の有効期限
    鍵の有効期限を指定してください。
           0 = 鍵は無期限
        <n>  = 鍵は n 日間で満了
        <n>w = 鍵は n 週間で満了
        <n>m = 鍵は n か月間で満了
        <n>y = 鍵は n 年間で満了
    鍵の有効期間は? (0)

    0 を選択する。

4. 確認が出るので y[Enter] と答える。
5. ユーザーIDの名前を英字で入力する。メールアドレスで名前に
 使っているものを指定するとよい (たとえば「Debian Taro」)
6. 同様に電子メールアドレスを指定する
7. 次のコメントは [Enter] で飛ばしてかまわない
8. ユーザー ID が構成され、正しいかどうか尋ねられる。問題なければ
   o[Enter] と答える
9. 秘密鍵を利用するためのパスフレーズを指定する。パスフレーズは
  セキュリティの要だが、パスフレーズを忘れると復号化できなくなる
  ので、忘れないようにすること
10. 鍵を作成するために、乱数を発生させる必要がある。
    メッセージにしたがって、操作すること。

11. 鍵が無事作成されると、以下のようなメッセージが出力される。

gpg: /home/moge/.gnupg/trustdb.gpg: 信用データベースができました
gpg: 鍵42F4E4A8を絶対的に信用するよう記録しました
公開鍵と秘密鍵を作成し、署名しました。

gpg: 信用データベースの検査
gpg: 最小の「ある程度の信用」3、最小の「全面的信用」1、PGP信用モデル
gpg: 深さ: 0  有効性:   1  署名:   0  信用: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/42F4E4A8 2009-08-29
                 指紋 = 759E EF5A 8247 18BA A842  75FD 8C7E 7DB7 42F4 E4A8
uid                  Debian Taro <hoge@example.com>

12. 次に暗号用RSA鍵を作成する
12.1. gpg --edit-key 作成時に設定したメールアドレス を実行する
12.2. 鍵の暗号アルゴリズム、大きさ、有効期限を尋ねられる。
  12.2.1. 鍵の暗号アルゴリズム
    ご希望の鍵の種類を選択してください:
       (2) DSA (署名のみ)
       (4) Elgamal (暗号化のみ)
       (5) RSA (署名のみ)
       (6) RSA (暗号化のみ)
    選択は?

    6 を選択する

  12.2.2. 鍵長
    RSA keys may be between 1024 and 4096 bits long.
    What keysize do you want? (2048)

    4096 と入力し、エンターキーを押す。

  12.2.3. 鍵の有効期限
    鍵の有効期限を指定してください。
           0 = 鍵は無期限
        <n>  = 鍵は n 日間で満了
        <n>w = 鍵は n 週間で満了
        <n>m = 鍵は n か月間で満了
        <n>y = 鍵は n 年間で満了
    鍵の有効期間は? (0)

    0 を選択する。

12.3. 鍵が作成されたら save を実行し、生成した鍵を保存して終了する。

13. あとから gpg --edit-key "あなたのユーザーID" で編集することも
 できる
14. 作成した鍵の公開鍵をキーサーバに送信する
gpg --keyserver pgp.nic.ad.jp --send-keys あなたの鍵ID
gpg --keyserver pgp.mit.edu --send-keys あなたの鍵ID

15. 最後に ~/.gnupg/gpg.conf ファイルの末尾に以下の行を追加する。

personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

一般的な GnuPG 鍵出力:

pub   4096R/42F4E4A8 2009-08-29
      ^^^^^ ^^^^^^^^
      [鍵長][鍵ID]
指紋 = 759E EF5A 8247 18BA A842  75FD 8C7E 7DB7 42F4 E4A8
       ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
       [指紋]

Debian Taro <hoge@example.com>
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
[ユーザーID]

ssb   4096R/A9128014 2009-08-30


GnuPG 公開鍵出力方法:

1. gpg --export -a "鍵IDまたはユーザーID" > ファイル名 で出力できる。
 自分のIDを指定すれば自分の公開鍵ファイルを出力できる。

GnuPG キーリングファイルの取り込み:

1. キーリングファイルをダウンロードする
2. gpg --import キーリングファイル を実行する
3. キーリングファイルではなく、鍵サーバーから取得しなければならない
  ときには、gpg --keyserver pgp.mit.edu --recv-keys 鍵ID を代わりに実行する
4. gpg --list-keys で取り込んでいる鍵を一覧できる

GnuPG サイン:

1. キーサインパーティーで確かに本人の鍵、指紋であることを確認する
2. gpg --sign-key "鍵IDまたはユーザーID" を実行する
3. 指紋が表示されるので照合し、サインしてよければ y[Enter] と答える
4. gpg --check-sigs でサインを確認できる
5. 「GnuPG 鍵出力」の手順でサイン相手の鍵を出力することで、サイン済み
  の送付用鍵ファイルができる

[0]: http://debconf9.debconf.org
[1]: http://lists.debian.org/debian-devel-announce/2009/05/msg00005.html
[2]: http://alfie.ist.org/projects/gpg-party/gpg-party
[3]: http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/
[4]: GnuPG README 日本語訳 / http://www.hyuki.com/gnu/gnupg-v12-readme.html

この文章は [debian-users:44909] キーサインパーティのお誘い http://lists.debian.or.jp/debian-users/200510/msg00091.html
を参考にして作成しました。

- -- 
Nobuhiro Iwamats
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkqdh7MACgkQQSHHQzFw6+mtXQCfQm7AJ5mmIrDdDzEP8EperckL
o3sAoKYFnHY185fleTXTztprPXUS+VOT
=LTzV
-----END PGP SIGNATURE-----