| Name: | Jens Kubieziel |
| Mail: | jens@kubieziel.de |
| Telefon: | 0163/6156198 |
Keysigning auf den Chemnitzer Linux-Tagen
Termin für das Keysigning
Die Keysigningparty wird in diesem Jahr wieder zu den Chemnitzer Linux-Tagen stattfinden. Wir treffen uns am 2008-03-01 um 16:00 Uhr im Raum W1 des Veranstaltungsgebäudes (siehe Wegweiser) und werden dort wie aus den letzten Jahren gewohnt, unsere Keys und Fingerprints vergleichen.
Was ist ein Keysigning?
Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln. Eine Lösung hierfür ist GnuPG. Mit dieser Software kannst du dir ein Schlüsselpaar mit deinem Namen und deiner E-Mailadresse anfertigen und deine Daten schützen.
Wenn nun ein anderer dir vertrauliche Informationen zukommen lassen möchte, kann er nach deinem Schlüssel suchen und dir seine E-Mail verschlüsseln. Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um deinen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben sich dann gegenseitig den Schlüssel. Wer GnuPG nutzt, kann mit dem Befehl gpg --list-sigs KEYID (KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Generell gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.
Wir möchten uns nun gesammelt zu den Chemnitzer Linux-Tagen treffen, um dort gegenseitig die Daten der Schlüssel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir zentral und sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.
Das Vertrauensnetz der Teilnehmer hatte vor dem Keysigning folgende Struktur:
Nach dem Keysigning entstand folgende Struktur:
Vorbereitung der Party
Was musst du tun, um an dem Keysigning teilzunehmen?
- Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden
- Mittels GnuPG kannst du das mit dem Befehl gpg --gen-key tun. Weitere Hinweise kannst du im HOWTO finden.
- Falls du schon einen Schlüssel besitzt, sollte der auf einem öffentlichen Keyserver vorhanden sein. Empfehlenswert sind hierbei die Server random.sks.keyserver.penguin.de oder subkeys.pgp.net.
- Die Anmeldefrist ist abgelaufen. Falls du trotzdem am Keysigning teilnehmen möchtest, dann komme zur angegebenen Uhrzeit in den Raum. Bringe eine genügend große Menge an Ausdrucken deines Fingerprints (gpg --fingerprint $DEINE-KEYID oder gpg-key2ps) mit. Dann kannst du mit allen Teilnehmer, die möchten ein Keysigning machen. Dieser Teil wird sich an die "offizielle" Party anschließen.
- Lade die Liste der Teilnehmer herunter und überprüfe, ob dein Schlüssel mit aufgelistet ist. Falls dies nach ein bis zwei Tagen noch nicht geschehen ist, wende dich nochmals an die oben genannte Adresse. Die endgültige Liste wird im Februar bereit gestellt und alle Teilnehmer erhalten Informationen per E-Mail.
- Berechne die MD5-, SHA1- oder SHA256-Hashsumme der Liste. Dies kannst du
mit dem Programm md5sum, sha1sum bzw.
sha256sum aus den GNU Coreutils tun.
Weiterhin kannst du auch GnuPG (gpg --print-mds $DATEI) oder ein
anderes Programm dazu nutzen. Den errechneten Wert trägst du in das
entsprechende Feld der Liste ein. Die einzelnen Checksummen sollten
mit den untenstehenden Werten beginnen. Ist das nicht der Fall, melde
dich bitte bei mir:
- MD5: B5 D6 0A
- SHA1: BF5D B90A
- SHA256: 1CB1 34CB 444E
- Drucke die Liste aus und bringe sie zu den Chemnitzer Linux-Tagen mit.
Ablauf des Keysignings
Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Bringe hierzu bitte deinen Personalausweis oder Reisepass mit. Dieser sollte am Tage des Keysignings noch gültig sein.
Zum Keysigning treffen wir im Raum W1 in der ersten Etage (Workshopraum) und werden dort der Reihe nach die Ausweise prüfen. In den letzten Jahren hat es sich bewährt, einen Projektor zu nutzen. Mit diesem wird ein Bild des Ausweises an die Wand geworfen. So können alle gleichzeitig das Dokument prüfen. Solltest du lieber einen persönlichen Blick auf den Ausweis werfen wollen, kannst du das jederzeit tun.
Später werden dann alle Schlüssel, von deren du überzeugt bist, von dir am Rechner unterschrieben. Mit GnuPG kannst du das mit dem Befehl gpg --sign-key KEYID bzw. gpg --edit-key KEYID machen.
Wenn du das Unterschreiben gern automatisieren möchtest, kannst du caff nutzen. Dies ist ein Hilfprogramm für das Keysigning und nimmt dir einen Großteil der Arbeit ab.
Weitere Informationen
Solltest du Fragen zum Ablauf des Keysignings haben, schreibe eine E-Mail an jens@kubieziel.de.