Keysigning
Keysigning zum Chemnitzer Linux-Tag 2004
Zum Chemnitzer Linux-Tag 2004 wird es wieder eine Keysigning-Party mit
OpenPGP-Schlüsseln geben. Diese wird am
Samstag, 06. März 2004 gegen
18:00 Uhr
nach dem Vortrag "E-Mails
und Daten verschlüsseln - Eine Einführung in GnuPG" im Raum
V3 stattfinden.
Was ist ein Keysigning? Wozu ist das gut?
Nach der Definition der Fachbegriffe der Informatik
ist ein PGP-Signing ein "Kultiges Zusammensitzen und gemeinsames
Murmeln magischer Zahlen". Ganz in diesem Sinne wollen wir uns
zum Chemnitzer Linux-Tag treffen und dort unsere Schlüssel gegenseitig signieren.
Nachdem du deinen Schlüssel kreiert hast, steht dieser zunächst
allein in der weiten Welt. Jeder kann beliebige Identitäten
annehmen (Suche nach Bill Gates
bei einem PGP-Keyserver).
Daher ist es sehr wichtig, dass man deinem Schlüssel ansieht, wer der
Besitzer ist.
Hierzu dient das Keysigning. Viele verschiedene Leute treffen sich
und vergleichen die Daten auf deinem Schlüssel mit einem Ausweisdokument.
Falls die Daten übereinstimmen, beglaubigen sie dies mit einer
Unterschrift unter deinen PGP-Schlüssel.
Somit kannst du den Vertrauensgrad in deine Schlüssel erhöhen und
lernst nebenbei eine Menge netter Leute kennen.
Vorbereitung der Party
Was sollst du nun tun, um an dem Keysigning teilzunehmen?
- Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden
- Dies kannst du in GnuPG mit
gpg --gen-key tun.
- Dein Schlüssel soll auf einem öffentlichen Keyserver erhältlich
sein. Eine Liste öffentlicher Keyserver hat Jason Harris auf seiner
Seite
zusammen gestellt.
- Einsenden deines öffentliches Schlüssels an
kubieziel@gmx.de
bis
spätestens 2004-02-26
- Lade dir die
Liste der Fingerprints von http://www.minet.uni-jena.de/~kubijens/lt-keys.txt
herunter und prüfe, ob dein Fingerprint in Ordnung ist.
- Des weiteren solltest du den MD5-Hash der Datei prüfen. Gib dazu
an der Textkonsole folgendes ein:
md5sum lt-keys.txt
oder
gpg --print-md md5 lt-keys.txt
- Drucke diese Liste vor dem Chemnitzer Linux-Tag aus, trage den von dir
errechneten Hashwert in das entsprechende Feld ein und bringe die
Liste zum Keysigning mit.
Ablauf des Keysignings
Wir werden uns alle in einem Raum versammeln und dort zunächst die
Fingerprints auf Korrektheit vergleichen. Danach werden wir die Daten
deines Ausweises vergleichen. Falls diese Daten in Ordnung sind,
markierst du dies auf dem Ausdruck.
Wenn du wieder vor deinem Rechner bist, signiere alle Schlüssel, die
du geprüft hast. Dies kannst du in GnuPG
mit gpg --sign-key [Identifikation des Schlüssels] oder auch
gpg --edit-key [Identifikation des Schlüssels] tun. Im
Anschluss sendest du allen Teilnehmern eine signierte und verschlüsselte
E-Mail mit dem neuen signierten Schlüssel. Damit prüfst du, ob die
angegebene Adresse stimmt und auch gelesen wird.
Weitere Informationen
Solltest du Fragen zu dem Ablauf des Keysignings haben, schreibe eine
E-Mail an kubieziel@gmx.de.
Weiterhin kannst du das
GPG Keysigning Party HOWTO durchlesen.
|