<div dir="ltr"><div>-----BEGIN PGP SIGNED MESSAGE-----</div><div>Hash: SHA512</div><div><br></div><div>Hello Everyone,</div><div><br></div><div>Sorry for not getting this email out earlier.</div><div>Below are some notes for what to do after attending a key signing.</div><div><br></div><div>At the event we did two things:</div><div>Verified that the claims that each person made match the details on the key.</div><div>That the gpg fingerprint belongs to that person.</div><div><br></div><div>Please check the identity carefully, if someone has included a middle name or claims to be from the USA check that they have a passport from that country.</div><div><br></div><div>You sign the uid in the key and not the key itself.</div><div>This can be the person's name, comment and email address string.</div><div>Gpg can also include an image so look at this and see if this matches your expectation.</div><div>You can add and remove these identities at any time so there is the potential to claim to be someone else. If you remove a uid any signatures for that uid are gone. If  you add a new entry there will not be any signatures on it and you will need to ask people to sign it again.</div><div><br></div><div>If you are planning on changing email address or move to a new gpg key you may be able to email people and ask them to sign your new identities. You would want to verify that this email really did come from them, hopefully they have signed the message with the previous key so you can verify that it really came from them.</div><div><br></div><div><br></div><div>SIGNING KEYS:</div><div>=============</div><div><br></div><div>Simple method:</div><div>- --------------</div><div>Download the key list from <a href="https://keysigning.xyz/?keylist=1">https://keysigning.xyz/?keylist=1</a> </div><div>Gpg --import keylist</div><div>Verify that the fingerprints match the print out: gpg --fingerprint --list-key 4111E1E2</div><div>Sign the key:   gpg --sign-key   4111E1E2</div><div>If you have multiple keys you should sign the key with each of these: gpg  --fingerprint --sign-with FA9EC035 --sign-key 4111E1E2</div><div>Export their key (this contains your new signature): gpg -a --export 4111E1E2 > 4111E1E2</div><div>(optional) Encrypt this exported file with their gpg key. If they are able to decrypt it they must have the key. </div><div>(optional) send this key to the key server: gpg --send-keys 4111E1E2</div><div>Some people do not want their gpg key on a key server so it may be a good idea to ask them before doing this.</div><div><br></div><div>Loading signatures.</div><div>Decrypt the message to a temporary file: gpg --decrypt file > newfile</div><div>View the encrypted message</div><div>Import any signatures found in the message:   gpg --import newfile</div><div>(optional) send your key to a key server: gpg --send-key FA9EC035</div><div>(optional) refresh keys from server: gpg --refresh-keys</div><div><br></div><div><br></div><div><br></div><div>CAFF:</div><div>- -----</div><div>This stands for CA - Fire and Forget and is in the signing-party package.</div><div>See <a href="https://wiki.debian.org/caff">https://wiki.debian.org/caff</a> for notes.</div><div>For a gui too see <a href="https://github.com/frasertweedale/gcaff">https://github.com/frasertweedale/gcaff</a> developed by Frazer Tweedale.</div><div><br></div><div>These tools need sendmail to be working correctly for them to work.</div><div>I use SSMTP to send to gmail as it is easy to set up.</div><div>You should login to gmail and create an app specific password for this.</div><div>See the below for an example configuration file.</div><div><a href="https://wiki.archlinux.org/index.php/SSMTP">https://wiki.archlinux.org/index.php/SSMTP</a></div><div>You can then use the ‘sendmail’ command provided by the ssmtp package to send email.</div><div><br></div><div>Run caff to generate a configuration file.</div><div>Edit the configuration file and change the following:</div><div>$CONFIG{'owner'} = 'Daniel Sobey';</div><div>$CONFIG{'email'} = '<a href="mailto:dns@dns.id.au">dns@dns.id.au</a>';</div><div>$CONFIG{'keyid'} = [ qw{82D4793D50871827ADA3069C69EB32C8E31A9CB2 28F82EA326A37748EC41CD2800D408C4FA9EC035 } ];</div><div><br></div><div>Uncomment the message template and change it if you wish.</div><div><br></div><div>Download the key list from <a href="https://keysigning.xyz/?keylist=1">https://keysigning.xyz/?keylist=1</a> so you do not need to fetch this every time.</div><div><br></div><div>You should now be able to sign you key.</div><div>caff --key-file linux.conf.au.2017.txt -R 4111E1E2</div><div><br></div><div>You can use the full gpg fingerprint or the 8 digit short key.</div><div>If you use the 8 digit key it will show the full fingerprint when you sign the key, verify the fingerprint with the print out. </div><div>Enter the passphrase on your key.</div><div>You will be in a gpg prompt, type save</div><div>It will then prompt if you would like to send the email.</div><div><br></div><div>This message is signed by me with ascii armor and can be verified that it came from my gpg key.</div><div>Copy the message from the starting dashes to the end pgp signature to a file.</div><div>Run gpg --verify email.txt and it should confirm that it came from me.</div><div><br></div><div>Regards,</div><div><br></div><div>Daniel</div><div>-----BEGIN PGP SIGNATURE-----</div><div>Version: GnuPG v1</div><div><br></div><div>iQIcBAEBCgAGBQJYhYyaAAoJEADUCMT6nsA1algQAJQ6ZHuD5ioCM6aUaRZhCZJX</div><div>okkrBWjx5pix2ojzkUIo8P+1jku+CKH9c9DQI00Yh5bpEnVuyrlviMt4CzsWBS5P</div><div>NR/XeWvAUiJ2UaSDxS8AgbOW8kKcrqmurbBD42vAfe5mtm1NR0tW7+e3/64ReIxm</div><div>euL9a9L5JgC7lXJsAkTY4pDuXqv45hSb2k/2QE8HAoRYW3wiwT2S8NWkZDim4Aae</div><div>/P0SJuOOjpCta0qd4PZa8nqZ7nMuyl7J5vZLZ6j2Fuyo2EXBHT82myeCxACkAJ1q</div><div>iR3uD5MXS/5SJVpq7KbkW9gmqWscfHXj1mmEVBfMBpCGGre17+n5Wb0idDKWaidv</div><div>v4DTj0CgkOlZp/uKL+UpoMwcz5ed5eGPmjJY+h0/TU2LT/T9j7TG0Tiu+4dPAJiK</div><div>lqiTE7N4AR21/mhn0jeXuidM8c3mmlVjzmz/qQ5qXFqBiBcNX89sKwssiMQ4atSf</div><div>gR7/gGNKafP/4kmD0kP55LtgHNRgdfB6mxJ2Skc+TTQD/1V9vN0MIrLO1OpKCw4j</div><div>iTNHKg8BYEJLmx+LAMN2CfRdRGt6FWF8F71tIOAMMXpwLF34sZW6G9v/wH9SThrk</div><div>MaTzYphCHZsAg17swKBLeBZp2unkUIC5mcYMFJ9nMDzkR2l2nrpmDpJ3FYsa1Jui</div><div>WFYNO+Hqoi9Z0ElC3ekQ</div><div>=Rt+A</div><div>-----END PGP SIGNATURE-----</div></div>