Mozilla キーサインパーティーのお知らせ

今年もMozilla Japan主催の Firefox Developer Conference 2009 が開催されます。

今年は、これにあわせて、イベントの開催場所をお借りして、 コミュニティーベースのイベント企画 - キーサインパーティーをさせていただくことになりました！

キーサインパーティーとは、互いの鍵に署名をすべく、PGP(GPG)鍵を持つ人々が集まるものです。 キーサインパーティーはPGP(GPG)鍵を利用する上で非常に重要な概念である、信頼の輪 (Web of Trust)を大規模に拡張するのに有用です。 また、このようなキーサインパーティーは実際に面と向かって会う良い機会でもあります。

概要

開催日時・会場

日時: 2009 年 11 月 8 日 (日) 昼休み

会場: 大手町ファーストスクエアカンファレンス (東京都千代田区大手町 1-5-1 ファーストスクエアイーストタワー 2F、大手町駅直結、 東京駅徒歩 5 分)

注意: このキーサインパーティーのみの参加はできません。 かならず、Firefox Developer Conference 2009 の方に参加登録を行ってください。

内容

今回のキーサインパーティは、一斉に事務的に行うのではなく、 相手と軽く会話をしながらお互いのIDとGPGフィンガープリントを確認するという方法で行います。
（通常のキーサインパーティでは、参加者は印刷物に記載された番号の順に2列に並び、 対面相手のIDを確認し、その後に左に1歩ずれて次の人に、という方法を採ります。）
昼休みの間、セッションが行われるホールにて、コミュニティーのスライドが流れます。 (同じものを繰り返し流し続けることを予定。) その一番初め、つまり午前のセッションの終了後すぐにこのキーサインパーティーの説明会を行います。
bugzilla@mozilla でも、メール送信にGPG暗号化を一部採用するなど、PGP(GPG)鍵のWeb of Trust は重要になりつつあります。 今回のキーサインパーティーには、Debian GNU/Linuxなど、Mozilla 以外のフリーソフトウェア開発者の参加も予定されています。 また、開発者以外の方にとっても、ソフトウェアの配布アーカイブにGPG 署名やハッシュが添付されていることもあり、ソフトウェアの入手時の正当性確認の意味でも重要です。 特にDebianでは、secure-aptシステムが採用されており、この信頼性はWeb of Trust に基づいているため、Web of Trustの中でDebian FTP masterチームとつながることが重要です。

参加方法と注意事項

参加希望者は2009年11月05日(木) 12:00 (正午) までに、 キーサインに使用する自分の公開鍵を 登録サイトから登録してください。
鍵の登録後、登録データに問題が無ければコーディネーターが参加者の一覧に登録します。 このリストに乗った時点で登録完了とします。
なお、登録作業から24時間経過しても、コーディネーターからの連絡も無く、 かつ参加者の一覧にも掲載が無い方は、コーディネーターまでご連絡ください。
GPG鍵について、利用されているハッシュのうちSHA-1の脆弱性が大きくクローズアップされています。 このため、今回のキーサインパーティーでは、より強い暗号を持ったGPG鍵に限定します。 まだ、4096/RSA以上の暗号を持った鍵を持っていない方は、 作成し、 その鍵を利用してキーサインパーティーに参加してください。
コーディネータがあなたの鍵を確認したら、確認メッセージをメールで送信します。 もし、メッセージに書かれている情報が間違っている場合、すぐにご連絡ください。 正常に受け付けられた鍵と参加者の一覧については 確認用参加者の一覧ページ、 および参加者のすべての鍵が入った完全なキーリングを順次作成しますので、 そちらを確認してください。

Q and A

キーサインとはなんですか? なぜ必要なのですか?

キーサインパーティーは、互いの鍵に署名をすべく、PGP(GPG)鍵を持つ人々が集まるものです。 キーサインパーティーはWeb of Trustを大規模に拡張するのに寄与します。

キーサインはどのように行いますか?

パーティーは「Len Sassaman の効果的なグループキーサイン方式」を使って進めます。 これは、皆さんが知っているやり方よりもいくぶん早くキーサインできる手順です。

登録用データの作成方法

参加登録用ウェブページ のGPG鍵の情報については、

gpg --armor --export "自身の鍵ID"

というAscii形式で出力したものをそのまま貼り付けてください。 サンプル のようなものが出力されているはずです。 Enigmailを利用されている方は、OpenGPG鍵の管理の画面で、自分の鍵を右クリックし、 公開鍵をクリップボードにコピー、を行うことでも同じものが取得できます。

当日の飛び込み参加

飛び込み参加は基本的には推奨しません。 できる限り、参加希望者は2009年11月05日(木) 12:00 (正午) までに登録を完了してください。
どうしても参加したい方は、名前、鍵、メールアドレス、 フィンガープリントが書かれた紙を用意して参加してください。 なお、この紙は、キーサインパーティーで確認をする際に、 相手に1枚ずつ配っていただきますので、それなりの数をご用意ください。

登録後の当日までの流れ

事前配布物の確認

2009年11月06日(木) 12:00 (正午) 2009年11月05日(木) 12:00 (正午)の締め切り後、翌日朝までに、 鍵一覧用ファイル がアップロードされます。
鍵一覧用ファイルにあるあなたの鍵の指紋が正しいかどうか照合してください。 さらに、ファイルの SHA256 ハッシュ値を計算してください。 たとえば sha256 を使って次のように求められます。

    $ sha256sum ksp-200911.pdf

または

    $ gpg --print-md sha256 ksp-200911.pdf

一覧用ファイルを印刷して計算したハッシュ値を書き込んでください。 当日は、このハッシュ値を書き込んだ紙が必要となります。

当日の流れ

• 当日は、キーサインパーティー参加者に、 参加していることが区別可能なネームタグ的なものを配布します。 なお、このタグは対面での確認をやりやすくするためのものですので、 可能な限りイベント開催中は見えやすいところにつけておいてください。
  受け取り方法などの詳細は、事前配布の鍵一覧ファイルやや当日のスライドをご覧ください。
• 当日、コーディネーターが用意したスライドに SHA256 ハッシュ値が表示されます。 このハッシュ値とあなたの計算したものが合致していることを確認してください。 これで、全参加者が同じ鍵リストに基いての参加であることを保証できます。
• 会場で皆さんが集合したところで、コーディネーターがファイルのSHA256ハッシュ値が、 全員同じであることを尋ね、全参加者が同じリストを持っていることを確認します。 この確認の際に、印刷物の各ページに照合した旨のチェックをつけておいてください。
• 次のステップは、各参加者の同一性保証です。 参加者の免許書・パスポート等による ID 書類によって確認します。 この確認は、懇親会を含めたイベント中に随時行っていただけます。
• イベント後、 鍵の持ち主の確認と指紋が印刷物のどの指紋に合うというチェックが付いていれば、 ID確認済みの鍵です。 GPG鍵にサインした後、その鍵の所有者に送ります。

当日何を持ってくるべきか

1. 一覧用ファイルの印刷物。あなたの指紋が正しいことを確認してください。
2. 一覧用の SHA256 ハッシュ値。これで、全員が同じ印刷物を持っていることを保証できます。
3. 政府発行の何らかの ID - パスポートや運転免許証など。
4. 鉛筆、あるいはボールペン
5. あなたにとってこれが最初のキーサインであれば、このサイトを印刷したものや、 GnuPG README 日本語訳も役に立つでしょう。

GPG鍵の作り方

第56回 東京エリアDebian勉強会 & キーサインパーティーのお知らせ の後ろの方に書かれている付記を参考にしてください。4096Rの鍵の作り方になっています。