Tails está em transição para uma nova chave de assinatura OpenPGP.

A chave de assinatura é a chave que usamos para:

  • Assine nossas imagens ISO oficiais.
  • Certifique as outras chaves OpenPGP usadas pelo projeto.

A chave de assinatura anterior é segura e, até onde sabemos, não foi comprometido.

Estamos fazendo essa mudança para melhorar nossas práticas de segurança quando manipulando dados tão críticos.

  • A chave antiga ainda pode ser usada para verificar imagens ISO do Tails 1.3.
  • A nova chave será usada para assinar imagens ISO a partir do Tails 1.3.1.
  1. Importe e verifique a nova chave de assinatura
  2. Política de segurança para a nova chave de assinatura
  3. Web-of-Trust com o chaveiro Debian

Importe e verifique a nova chave de assinatura

Clique no botão a seguir para baixar e importar a nova chave de assinatura:

nova chave de assinatura do Tails

A nova chave de assinatura é assinada pela antiga chave de assinatura. Portanto, você pode confiar transitivamente nessa nova chave se tiver confiado na chave de assinatura antiga.

Para verificar se a nova chave está assinada corretamente pela chave antiga, você pode executar o seguinte comando:

gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F

A saída deve incluir uma assinatura da nova chave pela chave antiga, como:

sig!         0x1202821CBE2CD9C1 2015-01-19  Tails developers (signing key) <tails@boum.org>

Nesta saída, o status da verificação é indicado por um sinalizador logo após a tag "sig". Um "!" indica que a assinatura foi verificada com sucesso.

Política de segurança para a nova chave de assinatura

Aqui está a descrição completa da nova chave de assinatura:

    pub   4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11]
          Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
    uid                 [ unknown] Tails developers (offline long-term identity key) 
    uid                 [ unknown] Tails developers 
    sub   4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11]
    sub   4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]

Você pode ver que tem:

  • Uma chave primária (marcada como pub) com ID 0xDBB802B258ACD84F. Esta chave primária:

    • Não pertence em formato utilizável a nenhum indivíduo. Ele é dividido criptograficamente usando gfshare.
    • Só é usado offline, em um Tails sem ar.
    • Expira em menos de um ano. Estenderemos sua validade periodicamente enquanto considerarmos razoável.

  • Duas subchaves (marcadas como sub) com IDs 0x98FEC6BC752A3DB6 e 0x3C83DCB52F699C56 que são armazenadas em cartões inteligentes OpenPGP e de propriedade de nossos gerentes de lançamento. Os cartões inteligentes garantem que as operações criptográficas sejam realizadas no próprio cartão inteligente e que o material criptográfico secreto não esteja diretamente disponível para o sistema operacional que o utiliza.

Web-of-Trust com o chaveiro Debian

Esta nova chave de assinatura já foi assinada por vários desenvolvedores Debian, nomeadamente:

Esta nova chave de assinatura já foi assinada por vários desenvolvedores Debian, nomeadamente: