今年 COSCUP 2013 時候，總於又開始辦 Key Signing Party。其實過去幾年在 Debian Birthday Party 時，常常也會非正式的交換簽章。這是第一次比較正式的用 The ‘Sassaman-Efficient’ Method 進行。總共二十人參與，成效還不錯！

過程中收到幾個朋友來信詢問問題，特地整理幾個 FAQ

金鑰過期時間 (Expire day) 是否要設定，要設定多久？
你應該養成設定過期時間的習慣。你不用擔心過期要重新建立新的金鑰，你可以延長過期時間後，重新送到 key server 上。這樣別人就會取得你新的金鑰。若你金鑰遺失或忘記密碼也弄丟 revocation certificate 的時候，過期時間可以告訴你的朋友這把金鑰已經不能夠相信了。請找你聯絡換把新的。至於過期時間，則看你有多頻繁使用 PGP，我個人設定六個月，純屬偏好。

記得生成 revocation certificate
revocation certificate 是當你的金鑰遺失或被竊走得時候，你可以宣告這個金鑰失效。所以請生一份出來藏好，然後千萬不要被別人偷走。
gpg --output revoke.asc --gen-revoke <keyid>
如何簽署金鑰?
若你使用 Debian 或 Ubuntu, 請安裝 signing-party, 其中有一個工具叫做 caff(1). 他會以提問方式將你所選擇的金鑰簽署之後，以郵件加密寄給該金鑰收件人。這麼做的目的是，我們當場於會場認證對方的姓名，但是無法驗證他的電子郵件。經由加密寄送的方式，可以確保他使用該郵件系統。

因此你不應該把簽署過金鑰直接送到 key server 上，而是加密寄給他。這樣就不會造成他可能冒用別人的郵件信箱。

如何接收簽名？
請將每個人寄給你的信件解密，取出新的金鑰簽章，匯入你自己的 GPG Keyring，然後把新的金鑰上傳到 keyserver. 如果你沒有上傳，其他人是無法知道你已取得簽章。

姓名識別
交換的過程，最常見就是大家都只使用音譯，但是一般的中文證件上不會顯示英譯。所以你必須攜帶護照，才能讓對方驗證你的名字。你也可以在產生新簽章的時候，在註解 (comment) 輸入中文姓名 (請使用 UTF-8)，這樣會比較容易進行驗證。但是不要在 comment 寫一些亂七八糟，無益辨識的資訊。

另外，臺灣的護照容許你使用 Alias Name, 不彷把常用的英文名字加入。例如我的護照上即有 “Rex” 為別名。

使用金鑰包裝套件的技巧
你若常常需要包裝套件，不妨新增一把 subkey。一般而言，你必須十分小心的藏好的你的金鑰，例如存在其他人無法存取的離線媒體上。但是身為一個 Debian / Ubuntu 開發者，你每天都需要簽署並上傳新的套件。金鑰藏在離線媒體其實非常不便利。

Subkey 容許你在沒有主金鑰 (Master key) 的狀況下簽名或加密，也可以隨時取消或更改 subkey. 因此你可以安全的把金鑰藏在某個無人知曉的地方，把新的 subkey 專門拿來簽署用。萬一出了狀況，只要註銷這把子金鑰即可，不用大費周章的重生一把新的金鑰。