 Uma lista de todas as chaves que foram para o servidor, o chaveiro, um arquivo ponto GPG que todo mundo vai baixar. A outra etapa do processo vai ser a gente fazer aqui o hash dessa lista, fazer a leitura desse hash. Todo mundo vai conferir o arquivo que recebeu, fazer a verificação do hash. Em seguida, cada um vai verificar sua fingerprint se realmente está OK. E depois, já basicamente, a festa vai acontecer. Vamos falar assim que o pessoal vai poder encontrar com as pessoas e fazer a checagem. Dentro do GPG, é uns comandinhos que eu notei rápido ali. A questão para poder importar o arquivo ponto GPG. Então, o GPG, traço, traço, importe o nome do arquivo. O som vai passar ali para a gente. O check sum, que vai fazer também que é um SHA256 sum sobre o arquivo e a gente vai conferir isso tudo junto. Depois, na parte de assinar, tem como a pessoa fazer a assinatura chave para chave. Existe alguns processos para poder automatizar, facilitar a vida, que é um aplicativo chamado CAF. Que facilita esse processo de assinatura e o envio do e-mail. Porque uma boa prática é você receber a chave, depois que você fez a verificação, conferir os dados, se você realmente vai assinar e devolver a chave assinada via e-mail para o proprietário da chave. Tem o Wik do Heriberto, tem uma página com os comandos GPG e os mais comuns. E tem também a configuração do CAF e o servidor de e-mail também. Vou pegar o link aqui. Então, nós temos 21 chaves que foram para o servidor e está nesse link. Deixa eu diminuir um pouco a fonte aqui. Está legível desse jeito? Alguém está tendo problema em baixar esses arquivos, nesse link aqui vão ter 2 arquivos para baixar. É para a interface do GTLAB e do Salsa. É um targizê e um arquivo de texto chamado SHA, do que começando. Não precisa deslogar. Ah, sim. No caso, a sua chave já subiu. Você não subiu a chave? Não. Porque acabou de fechar o processo. O que você pode fazer, fora da listagem, você chegar com as pessoas e trocar a sinatura. Vamos falar assim no método tradicional. Se seu nome não está na lista, mas se você providenciar sua fingerprint, você pode chegar e conversar com as pessoas para fazer a verificação da identidade e pedir a sinatura. Então, assim, o único detalhe que talvez não tem como você participar é seu nome estar na lista. Mas você pode abordar as pessoas e falar que você poderia assinar a minha chave e pedir para as pessoas assinar a sua chave. E você também assinar a chave das pessoas. O interessante é você ter a sua fingerprint, você verificar a fingerprint da outra pessoa e fazer essa checagem, uma verificação de documento. O importante da sinatura é essa questão de verificar a identidade. Se aquela chave, você ter ali uma prova, aquela chave, aquela fingerprint pertence realmente à pessoa. Então, a sua chave não está na lista, não chega a ser um problema, que você vai conseguir apresentar sua fingerprint. É a desvantagem que você vai ter no caso, é só que quem congelou a chave para o servidor, na hora de fazer a sinatura, só vai falar assim, a minha chave é número 5, ou vai escrever no crachal o número da sua chave. E aí a pessoa vai lá marcar só o número e depois faz a sinatura. No caso em que você não enviou, você vai ter que passar o fingerprint da sua chave, que vai ser um bloco de baixos caracteres ali. Mas não tem problema também. Tudo ok com relação a baixar o arquivo? Podem baixar e já podem descomprimir o arquivo também. É um targz que está lá. Você quer baixar aí? O que a gente vai ter que fazer é o seguinte. Segura aí um pouquinho, Giovanni. Aqui a gente tem dois arquivos. O targz é um tarbol que tem dois arquivos dentro dele, que é o killist.txt e o killist.gpg. O killist.txt vai conter todas as chaves que a gente juntou em um texto legível para você todo mundo checar e vai conter o número de cada um, também o identificador. E o killist.gpg vai ter as chaves no formato pronto para importar dentro do gpg, para a hora de fazer a sinatura de fato. E daí a gente tem o SH-25MESAN, que serve para todo mundo aqui confirmar que estamos com o mesmo arquivo. Então o que a gente vai fazer? A gente vai abrir esse arquivo aqui, vai rodar o SH-25MESAN de volta na máquina, para todo mundo rolar nas suas máquinas também, e a gente vai ter que checar se todos os 256 caracteres estão iguais para todo mundo. Tendo isso a gente tem garantia de que as chaves estão lá 100%. Além disso, cada um vai ter que checar se a sua chave está corretamente lá nesse chaveiro, mas isso pode ser depois. É importante a gente checar o SH-25MESAN agora, e cada um ter o seu número e a gente consegue prosseguir com o processo. O Giovanni vai baixar agora pela interface aqui. Eu não sei como está o nosso link hoje, porque você está rápido. Aí tem o botão de download para baixar o arquivo. Beleza, então ele baixou. Tem que baixar o SH-25MESAN também. Ah, ele já tem ali. Não vai precisar baixar, não. Então puxa o terminal, por favor. A gente vai gerar a REST novamente agora para todo mundo confirmar. Eu preciso de todo mundo abrir o terminal e roda os meus comandos que a gente vai rodar agora contra esse arquivo para a gente gerar a mesma REST e confirmar. Se alguém tiver alguma dúvida no meio do processo, pode erguer a mão e fazer a pergunta. Beleza, o comando que a gente vai precisar rodar vai ser agora SH-A. Não, tem descompactado. A REST a gente vai tirar do outro arbol. Ah, certo. SH-25MESAN, SH-MESAN, e espaço número do arquivo, como parâmetro. KSP, com isso. Então, o Giovanni gerou aqui. Isso, a gente vai aumentar a letra. Ah, eu acho que deu uma cortada ali. Vamos... Talvez... Só um pouquinho que a gente vai botar no jeito que fica mais legível aqui para todo mundo. Eu acho que pode ser. Quer mandar um... A tela cheia está cortando? Tem que ver se ela... Só puxa o texto para o lado aqui. Ok, então a gente tem quatro linhas de um pouco para verificar, a gente vai ter que bater todos os caracteres agora. Todo mundo está nessa etapa, alguém quer que a gente segura um pouquinho aqui? O comando? Ah, tá. SH-25MESAN, isso aqui vai gerar uma REST 25MESAN do arquivo. Essa é a parte mais chata, pessoal, depois que é mais divertida. É que o mais de um chip, é sempre 0,5, ele vai acordar de cogito para o produtor. Ah, é pelo menos o comando. Ah, sim. Esse é o comando. É, o comando está selecionado aqui, tá, ok? Posso prosseguir, pessoal? Voltar. Ok. Tá, então vamos lá. Como que a gente vai fazer? Vamos falar o número. Alguém tem alguma sugestão em Chicago? Produtor de Opaques. Conseguir dividir e dar um espaço para cada 4? Eu acho que vai facilitar. Se vocês quiserem pegar aí também, pega essa REST toda, cada 4 caracteres dá um espaço, vai facilitar na hora da gente checar isso aqui para não... Bem melhor. Tem 3... 3, 5 no primeiro. Na segunda também. É para ficar difícil, tá muito fácil assim. Acho melhor. Não foi aqui, né? Se por acaso alguém não conseguiu baixar, montar a REST a algum lugar e depois baixar e checar também, tá? Vai ter que... Perfeito. Agora sim. É... Vamos começar, então. Eu acho que eu vou editando aqui. Se alguém tiver alguma diferença, pode ir a mão já e falar que está dando outra coisa, tá? É... Ao invés da letra, vou tentar falar uma palavra que comece com essa letra para facilitar também. Vamos lá. 2, 6, bravo. 2, eco, alfa, 2. 1, 9, alfa, 9. 2, Charlie, 8, bravo. 3, 6, delta, foxtrot. 7, Charlie, bravo, eco. 0, 2, 0, bravo. 1, eco, 9, 4. 8, foxtrot, 9, 5. 0, bravo, 0, 3. Opa. 0, desculpa. 0, bravo, 3, bravo. Já corrompeu o arquivo aqui, pessoal. 1, 0, alfa, 7. É bom que tem gente conferindo mesmo. Era para ver se você estava... Isso foi só para ver se você estava verificando mesmo. Beleza, a gente parou em 1, 0, alfa, 7. Alfa, 8, delta, Charlie. 9, Charlie, eco, 7. 0, delta, 5, Charlie. 3, eco, 8, 7. 6, bravo, 3, 2. Quem fechou? Bingo, então. Se abre aí agora o... Agora a gente vai se cumprir meu arquivo e mostrar como que está para a gente prosseguir com... A gente fez um jeito, poderia ter sido melhor todo esse fluxo, mas acabou ficando assim no final. Dá para trabalhar tranquilo, mas poderia ter sido mais fácil. A gente talvez já podia ter sido impresso para para todo mundo checar. Na verdade não, é melhor cada um imprimo seu, mas a gente vai trabalhando isso aí. Você pode dar um cat aí no keylist.txt? Beleza, então... O projetor está cortando nossa imagem de pouquinho. Agora deu, deu. Tá bom, assim. Aqui é o seguinte, a gente tem aqui todas as chaves que foram enviadas para o servidor de um identificador ali no comecinho, tá? 0, 1. Ela é feita de tal modo que você pode imprimir esse papel, e imprimir num papel e usar para fazer checagem, tá? Então quando você for fazer essa matura de alguém, você marca um x aqui, o ideal key e fingir o print key. É ideal que seja feito uma coisa principalmente, que você cheque em se a chave de vocês que está aqui, ela é igual a chave de vocês que está na sua máquina. Ou checar o fingerprint, certo? Aí tem um outro arquivo, que é o querin.gpg, que esse arquivo vai conter as chaves de fato para inserir no gpg. E a forma de checar se esse arquivo está ok, é basicamente você pega e ele importa para o seu gpg. Se for igual a chave que você já tem, ele vai deselar. É a mesma chave que você já tem na sua máquina, então é a chave que você enviou para o servidor. Gpg, import. O Giovani vai rodar, se já vão ver aqui como é o output. Tá importando todas as chaves. Consegue pegar a parte da sua aí? Ele cortou esse trechinho aqui. Aqui em cima Giovani não alterado, então a chave que ele puxou desse chaveiro é a mesma chave que ele já tem na máquina. Aqui está garantido que a chave está certa, tem garantido no txt. Só que o fingerprint está correto, tá? Para que serve esse gpg? Todo mundo vai importar nas próprias máquinas e aí quando for assinado você checa qual o número da pessoa. Assim que todo mundo confirmar que a sua chave está certa vocês podem pegar qual é o número de vocês e escrever no crachá. E é hora que for fazer uma assinatura, vocês passam pelo protocolo quer conversar com a pessoa e tal. Quando vocês forem passar a sua identificação, você fala eu sou o número 5 e a pessoa número 2. Aí eu marco ali o número 5 e tal pessoa. Depende. Vamos só fazer um... Isso, isso. Pessoal, só um momento sobre o protocolo. É para não perder o fio da meada, recapitular o que a gente fez até agora então. Todo mundo baixou o arquivo, todo mundo verificou o hash compactou o arquivo, já acompanhou naquele arquivo de texto lá se a sua fingerprint tá ok. Importou o chaveiro. Então quer dizer que as chaves que estavam naquele arquivo.gpg foram importadas para o seu chaveiro na sua máquina. Então agora já pode ser a parte de checagem. Só assim nessas etapas que eu comentei, alguém teve algum problema, alguma falha. Tranquilo, né? Beleza. Certo. Aí quando for assinar, pega pelo número, puxa aqui qual que é o fingerprint da pessoa e daí você checa no seu... Você vai importar as chaves daquele arquivo, esse fingerprint vai estar presente na nossa máquina e aí você pode assinar a chave efetivamente e... Então assim, do pessoal que tá na lista, igual o Samuel falou, cada chave tem um número, né? Aí a checagem agora vai ser as pessoas se encontrarem e cada um vai abordando um ao outro e fala, oh, eu disse na minha chave eu sou o número, por exemplo, ali do Daniel. Número 20. Ah, eu sou o número 20. Esse aqui é um documento meu. Porque o ideal, assim, o interessante é pegar um documento oficial que é a forma, a melhor forma para poder estar comprovando que aquela fingerprint pertença a pessoa. Então aí cada um vai apresentar um documento, passaporte, identidade, quer dizer, motorista, alguma coisa assim, e fez a verificação depois que vai para a etapa de assinar. Porque na verdade, assim, a gente tem esse momento aqui da verificação do hash, toda essa importação aqui do chaveiro. Aí depois, a próxima etapa, são as pessoas fazerem as verificações e o terceiro momento seria a assinatura da chave propriamente dita. Então quer dizer que esse terceiro momento não precisa ser necessariamente agora. O ideal agora foi a parte inicial das verificações e depois cada pessoa verificar a sua fingerprint, trocar as fingerprint e fazer a checa de documentos. Isso aí que é interessante acontecer no evento. A parte da assinatura pode ser assim, até no pós-evento mesmo, que aí cada um vai fazer isso, pode fazer em casa, em um outro horário. E com relação ao protocolo da assinatura em si, ele não é algo absoluto definido. Quando eu assino a chave de alguém, eu estou atestando com a minha chave de que eu conheço essa pessoa, eu encontrei ela e eu sei que essa chave é dela. Agora, o pessoal costuma usar métodos diferentes. Por exemplo, tem gente que prefere ver um documento oficial com foto da pessoa. Geralmente, esse é o caso quando você não conhece a pessoa, você acabou de encontrar ela, você faz isso que é o máximo nível de confiança que você pode ter sobre a identidade dela. Por exemplo, se eu for assinar a chave do Giovanni, não vou precisar de nenhum documento dele, porque eu já conheço ele, eu sei que ele é o Giovanni. Então, depende muito da situação, tem gente que prefere ver o passaporte, e tem gente que não aceita nenhum tipo de documento. Para ela assinar a chave, você tem que conversar com ela, você tem que conversar sobre alguma coisa, se conhecerem, e aí a partir de quando você se conhece, essa pessoa vai assinar a sua chave. Isso vale a pena de pessoa para pessoa. Mas o mais importante é que você fez alguma coisa para tentar garantir que aquela chave é da pessoa, para impedir que seja um farsante, digamos. Em alguns outros eventos, o pessoal costuma fazer um modelo mais ou menos assim. Todo mundo que mandou a chave sobe no palco, mostra a identidade, todo mundo confirma e assina a chave. Aí nos últimos anos, pelo menos no Debi Conch, acho que a maioria dos eventos está seguindo para esse rumo agora, só é feito a lista, os números, e as pessoas vão conversando entre si e daí assinam a chave. Por exemplo, você está na mesa conversando com alguém, desconversa também, vamos trocar a assinatura? Daí puxa o número, às vezes puxa o documento com foto também, e daí faz a assinatura. A assinatura vai ser assim, você já tem a chave local na máquina, você vai rodar um comando do GPG, que não sei se você já está preparado aqui. É um comando que você vai assinar a chave daquela pessoa, e daí você tem que checar fingerprint. Então você tem que garantir que você está com a chave certa. Qualquer coisa a gente pode mostrar com a gente, que a gente vai fazer. Isso, hoje eu vou ler esse comando aqui para verificar a fingerprint da chave dele. Ele passou como um parâmetro os últimos caracteres da fingerprint. Aí tem curta da chave. Esse é o ad curto que se chama. O correto é usar o ad longo, porque o ad curto já teve colisão e tem alguns problemas com isso aí. Você pode que vá pegando uma chave falsa. Quando você assinar a chave da pessoa, você vai assinar, mas a assinatura vai ficar na sua máquina local. Então é recomendado que você mande pelo menos a sua pessoa essa chave. Mas a maioria prefere que você já mande direto para um servidor de chave para ser replicado em todos os outros. No caso da nova assinatura, você pode perguntar a pessoa, você prefere que eu te mande ou eu mande para o servidor. Eu acho que é isso, Ah, sim, pode. Sim, sim. Na wik do Eliberto, tem essa página que tem mais ou menos o que a gente falou sobre se preparar, tem explicação do GPG e uma série de comandos. Então, se às vezes não está claro para alguém, não tem muito costume com o GPG, nessa página aqui você vai encontrar uma série de informações aí. Inclusive, tem um ARL curta para quem pretende começar a contribuir com o Debian é fundamental ter assinaturas e outros contribuidores do Debian na sua chave. Para você fazer algumas coisas, por exemplo, o processo de se tornar um membro oficial como o Debian Maintain e o Debian Developer exige que você tenha pelo menos duas assinaturas de outros Debian Developers na sua chave. Essa ARL curta na onde tem os comandos naquela página wik do Eliberto. Eliberto vai dar uma palestra sobre essa questão de como se tornar um membro oficial do Debian e ele vai falar também um pouco sobre a importância de pegar assinatura nas chaves já com desenvolvedores. Isso faz parte do processo. Então, aí pode acessar nessa página. Nessa página vai ter os comandos passo a passo, desde você importar ao chaveiro, verificar fingerprint, assinar a chave, exportar um arquivo para poder ser enviado em e-mail para a pessoa. Então, são algumas etapas. Para facilitar esse processo existe um script chamado CAF que ele automatiza, que ele vai fazer tanto a parte de assinatura e envio da chave para o proprietário dela. Inclusive, tem outra página wik do Eliberto que tem a explicação sobre o CAF e sobre a configuração do e-mail direto na linha de comando, já consegui enviar isso. Então, essa é outra parte também relacionada que é a questão de usar o CAF para poder assinar as chaves e já configurar um vía terminal mesmo para enviar o e-mail. Então, está bem escrito ali, bem tranquilo. Vou colocar a URL curta maior ali para vocês pegarem. É o que eu comentei, que o CAF na verdade vai digitar CAF a ID da chave e já vai confirmando, digitando a 100 e se colocar mais de várias ID's no único comando você consegue já fazer tudo de uma vez. Vai digitar a sua passphrase da chave e já vai assinar e enviar tudo. Ele vai automatizar o processo mesmo porque a gente tem 22 chaves. Imagina de início seriam 4 comandos para cada uma das chaves se for assinar todas as chaves então começa a ficar complicado. Então aqui tem as instruções sobre GPG de modo geral e aqui é onde tem a partida o uso e a configuração do CAF. E assim o GPG faz muita coisa e tem muitas opções e muitos parâmetros, então no começo pode parecer um pouco confuso se você for pegar todas as coisas que ele faz mas aproveita e converte com alguém sobre e peixe para a pessoa te ajudar a entender o que você vai usar, o que está acontecendo também. Se alguém quiser perguntar aqui também sobre GPG de modo geral, pode ter alguma pergunta? Então é isso pessoal escrevam aqui de vocês uns crashás, quem quiser obviamente, e vamos seguir aí com o evento. Então agora vai rolar festa. Não tem balão só, nem docinho.