Tails està passant a una nova clau de signatura OpenPGP.

La clau de signatura és la clau que fem servir per:

  • Signar les nostres imatges ISO oficials.
  • Certificar les altres claus OpenPGP utilitzades pel projecte.

La clau de signatura anterior és segura i, segons el que sabem, no s'ha vist compromesa.

Estem fent aquest canvi per millorar les nostres pràctiques de seguretat en manipular una eina tan crítica.

  • La clau antiga encara es pot utilitzar per verificar les imatges ISO de Tails 1.3.
  • La nova clau s'utilitzarà per signar imatges ISO a partir de Tails 1.3.1.
  1. Importar i verificar la nova clau de signatura
  2. Política de seguretat per a la nova clau de signatura
  3. Web de confiança amb l'anell de claus de Debian

Importar i verificar la nova clau de signatura

Feu clic al botó següent per baixar i importar la nova clau de signatura:

nova clau de signatura de Tails

La clau de signatura nova està signada per l'antiga clau de signatura. Així, podeu confiar transitivament en aquesta nova clau si havíeu confiat en la clau de signatura antiga.

Per verificar que la clau nova està signada correctament per la clau antiga, podeu executar l'ordre següent:

gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F

La sortida hauria d'incloure una signatura de la clau nova amb la clau antiga, com ara:

sig!         0x1202821CBE2CD9C1 2015-01-19  Tails developers (signing key) <tails@boum.org>

En aquesta sortida, l'estat de la verificació s'indica mitjançant un indicador directament després de l'etiqueta "sig". Un "!" indica que la signatura s'ha verificat correctament.

Política de seguretat per a la nova clau de signatura

Aquí teniu la descripció completa de la nova clau de signatura:

    pub   4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11]
          Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
    uid                 [ unknown] Tails developers (offline long-term identity key) 
    uid                 [ unknown] Tails developers 
    sub   4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11]
    sub   4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]

Podeu veure que té:

  • Una clau primària (marcada com a pub) amb l'identificador 0xDBB802B258ACD84F. Aquesta clau primària:

    • No és propietat en un format utilitzable per cap individu. Es divideix criptogràficament mitjançant gfshare.
    • Només s'utilitza fora de línia, en un Tails amb buit d'aire.
    • Caduca en menys d'un any. Estendrem la seva validesa tantes vegades com considerem raonable.

  • Dues subclaus (marcades com a sub) amb els identificadors 0x98FEC6BC752A3DB6 i 0x3C83DCB52F699C56 que s'emmagatzemen a les targetes intel·ligents OpenPGP i són propietat dels nostres gestors de llançaments. Les targetes intel·ligents garanteixen que les operacions criptogràfiques es realitzen a la mateixa targeta intel·ligent i que el material criptogràfic secret no estigui directament disponible per al sistema operatiu que l'utilitzi.

Web de confiança amb l'anell de claus de Debian

Aquesta nova clau de signatura ja ha estat signada per diversos desenvolupadors de Debian:

Així que podeu utilitzar la tècnica descrita a la nostra documentació per verificar encara més la clau de signatura de Tails amb l'anell de claus de Debian utilitzant qualsevol d'aquestes tres claus.