[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Draft] events/keysigning.wml
中野です。
LC2002 も近いということでやってみました。
叩いてくださいませ。
--
中野武雄
#use wml::debian::template title="鍵署名 (Keysigning)"
# $Id: keysigning.wml,v 1.5 2002/07/25 19:26:09 joey Exp $
#use wml::debian::translation-check translation="1.5"
# <p>Since a lot of developers meet at trade shows or conferences they
# have become a nice way to get other people sign ones GnuPG key and
# improve the web of trust. Especially for people who are new to the
# project, keysigning and meeting other developers has been very
# interesting.
<p>トレードショウやカンファレンスでは
たくさんの開発者たちがお互いに出会いますから、
他の人に自分の GnuPG 鍵に署名してもらい、
「信頼のネットワーク (Web of Trust)」を強化する良い機会であるといえます。
特にプロジェクトに新しく参加してきた人達にとっては、
鍵署名を行ったり他の開発者たちに会ったりすることは、
とても楽しいことでしょう。
# <p>This document intends to help you with running a keysigning
# session. People should only sign a key under at least two conditions:
<p>この文書は、鍵署名の一連の作業に対する参考となるべく書かれました。
ある鍵に署名をする場合は、少なくとも以下の二つの条件が必要です:
<ol>
# <li>The key owner convinces the signer that the identity in the UID is
# indeed their own identity by whatever evidence the signer is
# willing to accept as convincing. Usually this means the key owner
# must present a government issued ID with a picture and information
# that match up with the key owner. (Some signers know that
# government issued ID's are easily forged and that the trustability
# of the issuing authorities is often suspect and so they may require
# additional and/or alternative evidence of identity).
<li>鍵の所有者は署名者に対して、
UID に書かれている個人情報が実際に自分の個人情報であることを、
署名者が納得するかたちで証明しなければなりません。
普通の場合は、鍵の所有者は政府などの発行した証明書
(鍵の所有者の情報が書かれている写真つきのもの)
を提示することになるでしょう。
(署名者によっては、提示を受けた政府発行の ID が
簡単に捏造されることを知っていたり、
発行者の権威が疑わしいことを知っていたりして、
追加情報や代替情報を要求することもあるかもしれません。)
# <li>The key owner verifies that the fingerprint of the key about to be
# signed is indeed their own.
<li>鍵の所有者は、署名されようとしている鍵の指紋 (fingerprint) が、
実際に自分の鍵のものであることを確認しなければなりません。
</ol>
<p>
# Most importantly, if the key owner is not actively participating in
# the exchange, you won't be able to complete either requisite 1 or 2.
# Nobody can complete the key owner's part of requisite 1 on the key
# owner's behalf, because otherwise anyone with a stolen ID card could
# easily get a PGP key to go with it by pretending to be an agent of the
# keyowner. Nobody can complete the key owner's part of requisite 2 on
# the key owner's behalf, since the agent could substitute the
# fingerprint for a different PGP key with the key owner's name on it
# and get someone to sign the wrong key.
最も重要なのは、鍵の所有者が実際のその場の鍵交換に参加しなければ、
この条件の 1 と 2 の両方を満たすことはできない、という点です。
鍵の所有者の代理人が、
鍵所有者の成すべき 1 の要件を満たすことはできません。
なぜならこれを許してしまうと、ID カードを盗んだ人間によって、
鍵所有者の代理人になりすまして
PGP 鍵への署名を受けることが可能になってしまうからです。
また鍵の所有者の代理人が、
鍵所有者の成すべき 2 の要件を満たすことはできません。
なぜなら代理人が、
別の PGP 鍵に所有者の名前を付け、
その指紋に差し替えて署名を行わせることが
可能になってしまうからです。
<ul>
# <li> You need printed out GnuPG fingerprints and an identity card to
# prove your identity (passport, drivers license or similar).
<li>印刷された GnuPG 指紋と、自分自身であることを証明するID カード
(パスポートや運転免許証など) が必要です。
# <li> The fingerprints are given to other people who ought to sign your
# key after the meeting.
<li>指紋は、会合の後であなたの鍵に署名してくれる、他の人達に渡します。
# <li> If you don't have a GnuPG key yet, create one with <code>gpg --gen-key</code>.
<li>GnuPG 鍵をまだ所有していなければ、
<code>gpg --gen-key</code> によって作成してください。
# <li> Only sign a key if the identity of the person whose key to sign
# is proven.
<li>鍵の所有者の個人情報が証明された場合に限り、
その鍵に署名するようにしてください。
# <li> After the meeting you'll have to fetch the GnuPG key in order to
# sign it. The following may help:
<li>会合が終ったら、署名する GnuPG 鍵を入手してください。
以下のような感じになるでしょう。
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
# <p>If the person whose key you want to sign is not in the Debian
# keyring, replace <code>keyring.debian.org</code> with a public
# keyserver like <code>pgpkeys.pgp.net</code> (which despite the name
# also stores GnuPG keys.)</p>
<p>署名をする鍵の所有者が Debian keyring にいない場合は、
<code>keyring.debian.org</code> を <code>pgpkeys.pgp.net</code>
のような公開鍵サーバに変更してください
(名前は pgp ですが、ここには GnuPG の鍵も保管されています)。
# <p>Note we can use the last eight hex digits of the key in this and
# other GnuPG operations. The <tt>0x</tt> in front is also optional.</p>
<p>この段階や、他の GnuPG 処理においては、
鍵の (16 進数字の) 最後の 8 桁を使うことができます。
先頭にある <tt>0x</tt> も省略して構いません。</p>
</li>
# <li> To sign the key, enter the edit menu with
<li>鍵に署名するには、次のコマンドによって編集メニューに入ります。
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
# <li> In GnuPG select all uids to sign with <code>uid n</code>, where
# <code>n</code> is the number of the uid shown in the menu. You can
# also press enter to sign all the uids. </li>
<li>GnuPG から、署名するすべての uid を <code>uid n</code>
(<code>n</code> はメニューに表示されている uid の番号) によって選択します。
enter キーを押せば、すべての uid に署名できます。</li>
# <li> To sign a key, enter <code>sign</code>. You will then be shown
# the fingerprint of they key which you have to compare with the
# one you've got from the person you met.
<li>鍵に署名するには、<code>sign</code> と入力します。
するとその鍵の指紋が表示されますので、
先に実際に会った人物からもらった指紋と比較しなければなりません。
# <li> Quit GnuPG with <code>quit</code>
<li><code>quit</code> と入力して GnuPG を終了します。
# <li> To verify you have signed the key correctly, you can do:
<li>正しく署名できたかどうか確認するには、次のコマンドを実行します。
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
# <p>You should see your own name and fingerprint (in short form) in the
# output.</p>
<p>出力に自分の名前と指紋 (短い形式) が現われているはずです。
</li>
# <li> Once you make sure everything went fine, you can send the signed key to
# its recipient by doing:
<li>すべてうまくいっていることが確認できたら、
次のコマンドを実行し、署名した鍵を受取人に送信します。
<pre>
gpg --export -a 0xDEADBEEF > someguys.key
</pre>
# <p>The <code>-a</code> option exports the key in ASCII format so it can
# be emailed without possibility of corruption.</p>
<p><code>-a</code> オプションを指定すると、
ASCII 形式で鍵をエクスポートするので、
電子メールで送る際にも壊れる心配をしなくてすみます。
</li>
# <li> If someone signs your key in this manner, you can add it to the Debian
# keyring by doing:
<li>もしだれかがこのような形であなたの鍵に署名してくれたら、
以下のコマンドを用いれば、これを Debian keyring に追加できます。
<pre>
gpg --import mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><your key id></var>
</pre>
# <p>It may take a while for the keying maintainers to update your key so
# be patient. You should also upload your updated key to the public
# keyservers.</p>
<p>keyring の管理者があなたの鍵を更新するまでには
少々時間がかかるかもしれませんが、我慢してください。
また更新された鍵は、公開鍵サーバにもアップロードしておきましょう。
</li>
</ul>
# <h3>What you should not do</h3>
<h3>やってはいけないこと</h3>
# <p>You should never sign a key for somebody else you haven't met
# personally. Signing a key based on anything other than first-hand
# knowledge destroys the utility of the Web of Trust. If ones friend
# presents other developers with your ID card and your fingerprint, but
# you are not there to verify that the fingerprint belongs to you, what
# do other developers have to link the fingerprint to the ID? They have
# only the friend's word, and the other signatures on your key -- this
# is no better than if they signed your key just because other people
# have signed it!
# </p>
<p>実際に個人的に会った人でない限り、
絶対にその人の鍵に署名してはいけません。
直接知りえた情報以外を基に鍵に署名してしまうと、
「信頼のネットワーク」を破壊してしまいます。
あなたの友達が、あなたの ID と指紋を、他の開発者に提示したとしましょう。
でもあなたはその場にいませんから、
その指紋が実際にあなたのものかどうか確認できません。
その開発者は、指紋と ID とを結びつける情報として、
何を提供されたことになるでしょうか?
その友達の言葉と、あなたの鍵になされた他の署名だけに過ぎません。
従って、開発者がこのあなたの鍵に署名したとすれば、
「他の人が署名してるから自分も署名した」というのと何ら変わりはないのです!
</p>
# <p>It is nice to get more signatures on ones key, and it is tempting
# to cut a few corners along the way. But having trustworthy signatures
# is more important than having many signatures, so it's very important
# that we keep the keysigning process as pure as we can. Signing
# someone else's key is an endorsement that you have first-hand evidence
# of the keyholder's identity. If you sign it when you don't really
# mean it, the Web of Trust can no longer be trusted.
# </p>
<p>ひとつの鍵にたくさん署名があるのは良いことです。
ですからつい手続きを省略してしまいたくなるかもしれません。
しかしながら、信頼に足る署名をしてもらうことは、
たくさんの署名を受けることよりも重要です。
ですから、鍵署名の手続きを、
可能な限り汚染されないように保つことが非常に重要です。
他の誰かの鍵に署名するということは、
その鍵の所有者の個人情報を、直接の証拠によって確認した、
という意味の承認にあたります。
これ以外のつもりで署名を行ったら、
それ以降「信頼のネットワーク」は信頼できないものになってしまいます。
</p>