#use wml::debian::template title="鍵署名 (Keysigning)" # $Id: keysigning.wml,v 1.1 2002/09/05 14:17:05 maehara Exp $ #use wml::debian::translation-check translation="1.6"
トレードショウやカンファレンスではたくさんの開発者たちが集まりますから、 他の人に自分の GnuPG 鍵に署名してもらい、 「信頼のネットワーク (Web of Trust)」を強化する良い機会といえます。 特にプロジェクトに新しく参加した人にとっては、 他の開発者たちに会ったり鍵署名を行ったりするのは、 とても楽しいことでしょう。
この文書は、鍵署名の一連の作業に対する参考となるべく書かれました。 ある鍵に署名をする際は、少なくとも以下の二つの条件が必要です:
最も重要なのは、鍵の所有者が鍵交実の場に実際に参加しなければ、 この条件の 1 と 2 の両方を満たすことはできない、という点です。 鍵の所有者の代理人では、 鍵所有者の成すべき 1 の要件を満たすことはできません。 なぜならこれを許してしまうと、ID カードを盗んだ人間によって、 代理人になりすまして PGP 鍵への署名を受けることが 可能になってしまうからです。 また鍵の所有者の代理人が、 鍵所有者の成すべき 2 の要件を満たすことはできません。 なぜなら代理人が、 別の PGP 鍵に所有者の名前を付け、 その指紋に差し替えて署名を行わせることが 可能になってしまうからです。
gpg --gen-key
によって作成してください。
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
署名をする鍵の所有者が Debian keyring にいない場合は、
keyring.debian.org
を pgpkeys.pgp.net
のような公開鍵サーバに変更してください
(名前は pgp ですが、ここには GnuPG の鍵も保管されています)。
この手続きや、他の GnuPG 処理においては、 鍵の (16 進数字の) 最後の 8 桁が使えます。 先頭にある 0x は省略しても構いません。
gpg --edit-key 0xDEADBEEF
uid n
(n
はメニューに表示されている uid の番号)
によって選択します。
enter キーを押せば、すべての uid に署名できます。sign
と入力します。
するとその鍵の指紋が表示されますので、
先に実際に会った人物からもらった指紋と比較しなければなりません。
quit
と入力して GnuPG を終了します。
gpg --list-sigs 0xDEADBEEF
出力に自分 (署名者) の名前と指紋 (短い形式) が現われているはずです。
gpg --export -a 0xDEADBEEF > someguys.key
-a
オプションを指定すると、
ASCII 形式で鍵をエクスポートするので、
電子メールで送る際にも壊れる心配をしなくてすみます。
gpg --import mysigned.key gpg --keyserver keyring.debian.org --send-keys <your key id>
keyring の管理者があなたの鍵を更新するまでには 少々時間がかかるかもしれませんが、我慢してください。 また更新された鍵は、公開鍵サーバにもアップロードしておきましょう。
実際に個人的に会った人でない限り、 絶対にその人の鍵に署名してはいけません。 直接知りえた情報以外を基に鍵に署名してしまうと、 「信頼のネットワーク」を破壊してしまいます。 あなたの友達が、あなたの ID と指紋を、他の開発者に提示したとしましょう。 でもあなたはその場にいませんから、 その指紋が実際にあなたのものかどうか確認できません。 その開発者は、指紋と ID とを結びつける情報として、 何を提供されたことになるでしょうか? その友達の言葉と、あなたの鍵になされた他の署名だけに過ぎません。 従って、開発者がこのあなたの鍵に署名したとすれば、 「他の人が署名してるから自分も署名した」というのと何ら変わりはないのです!
ひとつの鍵にたくさん署名があるのは良いことです。 ですからつい手続きを省略してしまいたくなるかもしれません。 しかしながら、信頼に足る署名をしてもらうことは、 たくさんの署名を受けることよりも重要です。 ですから、鍵署名の手続きを、 可能な限り汚染されないように保つことが非常に重要です。 他の誰かの鍵に署名するということは、 その鍵の所有者の個人情報を、直接の証拠によって確認した、 という意味の承認にあたります。 これ以外のつもりで署名を行ったら、 それ以降「信頼のネットワーク」は信頼できないものになってしまいます。