מסיבת חתימה על מפתחות ציבוריים

מסיבת חתימה על מפתחות ציבוריים היא מפגש פרטי שמטרתו לוודא זהות של אנשים ולבנות רשת אמון. בסיום המסיבה יש יותר אנשים שיכולים לאשר שחתימה דיגיטלית אכן שייכת לאדם המתאים.

המהלך משתנה לפי מספר המשתתפים. במסיבות גדולות מארגנים מנסים לקצר את הזמן שבו כל אחד עסוק בווידויים.

לפני המסיבה שולחים המשתתפים למארגנים את המפתח הציבורי שלהם. המארגנים מכינים רשימה של חתימות המפתחות, פונקציית גיבוב (קוד מזהה קצר) של כל מפתח, ולצדו כתובות דוא"ל. רשימה זו הופכת לקובץ שמופץ למשתתפים. לעתים המארגנים מחשבים גם פונקצית גיבוב של הקובץ כולו ומפיצים את התוצאה. אפשר גם לאסוף מראש את המפתחות כדי להקל על חישוב החתימות מאוחר יותר.

בתחילת המסיבה משווים כל הנוכחים את הרשימה המודפסת שיש בידם. יש כמה שיטות להשוואה. השיטה השנייה מהירה יותר ונפוצה במסיבות גדולות. במסיבות קטנות ההבדלים בזמן אינם משמעותיים.

במהלך המסיבה כל משתתף פוגש את שאר המשתתפים. כל אחד מציג תעודה מזהה עם תמונה. המתבוננים בודקים שהשם בתעודה תואם את שם כתובת הדוא"ל וטוענים שהתמונה שייכת לאדם. נהוג גם לבדוק שהתעודה בתוקף. אחרי שהזהות אושרה, מי שאישר מסמן זאת בטופס ונשארו לו החתימות לחתום.

לעתים מוצגים מפתחות של ארגונים. לא כולם חותמים על מפתחות כאלה. חתימה על מפתח ארגוני פירושה שהאדם שהציג תעודה הוא מי שחתם על הודעות או על תוכנה באמצעות אותו מפתח. בדרך כלל לא חותמים על מפתחות שאין בהם כתובת דוא"ל תקינה.

גם עוורים יכולים להשתתף. הם נותנים למי שפוגשים מידע קצר, פתק עם מילה, או לוחשים מילה. האדם האחר נדרש לשלוח דוא"ל חתום לאותו עוור, וכך העוור מאמת שהאדם שפגש הוא בעל המפתח.

בכנסים גדולים המסיבה יכולה לשמש כמנוע חברתי. היא מפגישה אנשים ומעודדת הצגה עצמית, מה שמקצר את הזמן במסיבה הרשמית.

בסיום, על המשתתף, במחשב בטוח לוודא שאינו נגוע בתוכנות רוגלות, לחתום עם מפתחו על מפתחות הציבוריים של אלה שהוא אימת. החתימה נעשית על המפתחות שהורדו משרת מפתחות ציבורי או מתוך קובץ שהוכן מראש. החתימה היא הצהרה שאושרה זהות האדם.

לאחר החתימה ניתן להפיץ את המפתח החתום בשתי דרכים: להעלות את החתימה לשרת מפתחות ציבורי, או למסור את החתימה לאדם שיבצע את ההעלאה. השיטה הראשונה מועדפת. היא גם מאמתת את כתובת הדוא"ל כפי שהיא מופיעה במפתח. בשיטה השנייה החתימה תתוסף לרשימת החתימות בלי בדיקה של נכונות הדוא"ל.

מסיבת חתימה על מפתחות ציבוריים היא מפגש שבו בודקים מי שייך למפתח דיגיטלי. מפתח ציבורי הוא קוד שמאפשר לבדוק חתימות דיגיטליות.

יש שלב הכנה ושלב בו נפגשים כולם. במסיבות גדולות מנסים לחסוך זמן.

לפני המפגש שולחים המשתתפים את המפתח שלהם למארגנים. המארגנים עושים רשימה עם כתובת דוא"ל וקוד קצר של כל מפתח (פונקציית גיבוב, קוד מזהה). את הרשימה מדפיסים ומחלקים לכל המשתתפים.

בתחילת המפגש כולם משווים בין הרשימות המודפסות. יש כמה שיטות להשוואה. שיטה אחת מהירה ומקובלת במפגשים גדולים.

במפגש כל אחד פוגש את האחרים. כל אדם מראה תעודה עם תמונה. האחרים בודקים שהשם והפנים תואמים. אחרי זה מסמנים שהאדם אושר.

מפתחות של ארגונים יוצגו לפעמים. לא כולם חותמים על מפתחות כאלה. בדרך כלל לא חותמים על מפתחות בלי כתובת דוא"ל תקינה.

גם עיוורים יכולים להשתתף. הם נותנים מילה בפתק או בלחישה. אחר שולח להם אימייל חתום. כך העיוור בודק מי נפגש.

בסיום כל משתתף על מחשב בטוח חותם על המפתחות של האנשים שאישר. החתימה אומרת "אישרתי את הזהות".

מומלץ להעלות את המפתח החתום לשרת מפתחות ציבורי. כך גם נבדקת כתובת הדוא"ל. אפשר גם להעביר את החתימה ידנית, אבל אז לא תמיד בודקים את הדוא"ל.