Neue Entwickler Ecke ] [ Prüfliste für Bewerber ] [ Schritt 1 ] [ Schritt 2 ] [ Schritt 3 ] [ Schritt 4 ] [ Schritt 5 ] [ Schritt 6 ] [ Schritt 7 ]

Die Informationen auf dieser Seite, obwohl öffentlich, sind primär für zukünftige Debian-Entwickler interessant.

Schritt 2: Identitätsprüfung

Wieso OpenPGP?

Debian verwendet OpenPGP extensiv, da die Debian-Mitglieder über die ganze Welt verstreut leben (siehe dazu auch die Weltkarte der Entwickler) und sich selten persönlich treffen. Dies bedeutet, dass sich Vertrauen nicht durch persönlichen Kontakt entwickeln kann und andere Methoden notwendig sind. Alle Debian-Entwickler werden durch ihren OpenPGP-Schlüssel identifiziert. Diese Schlüssel ermöglichen es, Nachrichten und andere Daten durch Signieren zu beglaubigen. Für weitere Information über OpenPGP lesen Sie die README-Datei im debian-keyring-Paket.

Einen Schlüssel bereitstellen

Jeder Bewerber muss einen öffentlichen OpenPGP-Schlüssel Version 4 mit Verschlüsselungsfähigkeiten bereitstellen. Der bevorzugte Weg ist es, ihn auf einen der öffentlichen Schlüsselserver zu exportieren, z.B. subkeys.pgp.net. Öffentliche Schlüssel können mit dem folgenden Kommando exportiert werden: 

gpg --send-key --keyserver <serveradresse> <schlüsselid>

Falls Ihr Schlüssel keine Verschlüsselungsfähigkeit besitzt, können Sie einfach einen Verschlüsselungs-Unterschlüssel hinzufügen.

Beachten Sie: Es gibt bekannte Probleme mit GPG <= 1.0.1 und ElGamal-Schlüsseln.

Überprüfung

Da jeder einen öffentlichen Schlüssel auf einen der Server hochladen kann, muss überprüft werden, ob der Schlüssel wirklich der des Bewerbers ist.

Um dies zu erreichen, muss der öffentliche Schlüssel selbst durch ein anderes Debian-Mitglied signiert sein. Dafür muss der Bewerber dieses Mitglied persönlich treffen und sich ihm gegenüber ausweisen (durch einen Pass, einen Führerschein oder ein anderes Ausweisdokument).

Wie Sie Ihren OpenPGP-Schlüssel signiert bekommen

Es gibt mehrere Wege, um ein Debian-Mitglied für einen Schlüsselaustausch zu finden. Sie sollten sie in der unten aufgeführten Reihenfolge probieren:

  1. Üblicherweise gehen Ankündigungen von Schlüssel-Signierungs-Partys über die debian-devel-Mailingliste, deshalb sollten Sie dort zuerst nachschauen.

  2. Sie können nach Entwicklern in bestimmten Gebieten mit Hilfe der Koordinationsseite für Schlüsselsignierungen suchen:

    • Zuerst sollten Sie die Liste der Schlüsselsignierungsangebote durchgehen, um ein Debian-Mitglied in Ihrer Nähe zu finden.
    • Wenn Sie kein solches Debian-Mitglied unter den Angeboten finden, können Sie Ihre Anfrage eintragen.
  3. Wenn mehrere Wochen lang niemand auf Ihre Anfrage reagiert hat, schicken Sie eine E-Mail an gpg-coord@nm.debian.org, in der Sie beschreiben, wo genau Sie leben (und einige große Städte in Ihrer Nähe benennen). Die Koordinatoren werden dann in der Entwickler-Datenbank nach Entwicklern in Ihrer Nähe suchen.

Wenn Sie jemanden gefunden haben, der ihren Schlüssel signieren kann, sollten Sie den Schritten im Schlüssel-Signierungs-Mini-HOWTO folgen.

Es wird empfohlen, dass Sie auch den Schlüssel des Debian-Entwicklers signieren. Dies ist zwar nicht nötig für Ihre Identitätsprüfung, aber es stärkt das Web-of-Trust.

Wenn Sie Ihren Schlüssel nicht signiert kriegen

Wenn alle oben genannten Schritte fehlschlagen, kontaktieren Sie bitte die Rezeption und bitten Sie um Hilfe. Diese kann Ihnen einen alternativen Weg der Identifikation vorschlagen.

Neue Entwickler Ecke ] [ Prüfliste für Bewerber ] [ Schritt 1 ] [ Schritt 2 ] [ Schritt 3 ] [ Schritt 4 ] [ Schritt 5 ] [ Schritt 6 ] [ Schritt 7 ]