 |
PGP? GPG? Key? Signing? Ich verstehe nur Bahnhof!
Hier nur eine ganz kurze Einführung: PGP (Pretty Good
Privacy) implementiert kryptografisch starke Algorithmen zur
symmetrischen und asymmetrischen Verschlüsselung. Es wurde
1991 von Philip R. Zimmerman entwickelt und hat sich seit dem als
System zum sicheren Versand von E-Mails und anderen Daten
etabliert. Sicherheit bedeutet hierbei nicht nur
Verschlüsselung, sondern auch Authentifizierung durch
digitale Unterschriften. Seit 1997 wird an der freien
Implemenation des OpenPGP Standards namens GNU Privacy Guard
(GPG), unter anderem auch mit Förderung des
Bundesministeriums für Wirtschaft, gearbeitet. Im September
wurde gpg Version 1.0.0 veröffentlicht, aktuell ist die
Version 1.2.1
Um selbst verschlüsselte Nachrichten empfangen oder
signierte Nachrichten senden zu können, benötigt man
ein Schlüsselpaar, bestehend aus geheimem und
öffentlichem Schlüssel. Damit der Sender eine Nachricht
verschlüsseln oder eine Unterschrift prüfen kann,
benötigt er den öffentlichen Schlüsselteil. Um
diesem vertrauen zu können, werden öffentliche
Schlüssel digital signiert.
Was soll das Ganze?
Das gegenseitige Unterschreiben von Schlüsseln
stärkt das Web of Trust (WoT) und dient damit nicht nur der
Bildung von Vertrauen, sondern erhöht auch die Sicherheit
gegen mutwilliges Fälschen. Weiterhin bietet sich die
Möglichkeit, sich mit Gleichgesinnten zu treffen.
Was ist vorher zu tun?
- Wenn nicht schon geschehen: Erstellen eines Schlüsselpaares.
- Bis zum 25.02.2003: Senden des öffentlichen Schlüssels an kutzner@fokus.fhg.de
- Alternativ kann man den öffentlichen Schlüsselteil auch auf
einem Keyserver ablegen und nur die Schlüssel-ID an die obige
Mailadresse senden.
- Falls mehrere User-IDs vorhanden sind und nicht alle unterschrieben
werden sollen, dies bitte mitteilen.
Was soll man mitbringen?
- Sich selbst. Eine virtuelle Teilnahme oder das Schicken
eines Vertreters ist nicht moeglich.
- Einen Ausdruck von Schlüssel-ID, Typ und Länge
und vom Fingerprint des Schlüssels
- Einen Personalausweis, Reisepass oder vergleichbares
Dokument
- Einen Stift
- Keinen Computer
- Keine (PGP/GPG-)Schlüssel
Wie wird der Ablauf sein?
Ich werde aus den mir bis zum 25.02.2003 zugesandten Schlüsseln zwei
keyrings erzeugen. Einer davon ausschließlich für RSA keys, was auch
den Nutzern von pgp 2.x die Teilnahme erlaubt. Beide Dateien gibt es zum download.
Zu jedem keyring werde ich eine Liste erstellen. Diese Listen werden enthalten:
- Key ID
- Schlüsseltyp
- Schlüssellänge
- Fingerprint des Schlüssels
- User-IDs, zu denen der Schlüsselinhaber Unterschriften
wünscht
- ein leeres Feld "Fingerprint geprüft"
- ein leeres Feld "Identität geprüft"
Zur Veranstaltung (also am 2003-03-01 um 18:00 im Raum N010)
wird jeder Teilnehmer diese Listen erhalten. Nacheinander wird
jeder seinen Ausdruck vom Fingerprint seines Schlüssels vorlesen. Wenn
Übereinstimmung besteht, kann das Feld "Fingerprint geprüft" markiert
werden.
Danach soll jeder Teilnehmer seine Identität nachweisen. Dies
kann zum Beispiel durch einen Personalausweis oder ähnliches Dokument
geschehen. Ist diese Prüfung erfolgreich, kann das Feld "Identität
geprüft" markiert werden.
Damit ist der offizielle Teil beendet.
Was ist danach zu tun?
- Download der Schlüssel entweder vom Keyserver oder von
http://www-user.tu-chemnitz.de/~keku/keysigning/. Auf Anfrage
kann ich auch die kompletten keyrings via E-Mail verschicken.
- Vergleichen der Fingerprints und User-ID auf den Listen mit denen der Schlüssel
- Prüfen, ob der Schlüssel ein gültiges Eigenzertifikat hat
- Unterschreiben der überprüften Nutzer-IDs
- Senden der unterschriebenen Schlüssel an die jeweilige ID in
verschlüsselter Form. Damit ist auch sichergestellt, dass der
Schlüsselinhaber der Inhaber des Mailaccounts ist.
- Der Schlüsselinhaber sollte danach die neuen Unterschriften
publizieren, zum Beispiel durch das Senden an den Keyserver.
Links zum Thema
Do you need these information in english? contact me at Kendy Kutzner <kutzner@fokus.fhg.de>
|
|
![[Illustration]](/2003/images/illus.gif)
