Pinguin-Trust
Ansprechpartner
Name: Jens Kubieziel
Mail: jens@kubieziel.de
Telefon: 0163/6156198

Keysigning auf den Chemnitzer Linux-Tagen

Termin für das Keysigning

Die Keysigningparty wird in diesem Jahr wieder zu den Chemnitzer Linux-Tagen stattfinden. Wir treffen uns am Samstag, dem 2009-03-14, um 18:15 Uhr in der Mensa gegenüber vom Veranstaltungsgebäude und werden dort – wie aus den letzten Jahren gewohnt – unsere Keys und Fingerprints vergleichen.

Achtung: Raum und Ort wurden geändert, um die PGP-Party nicht zeitgleich zu den Vorträgen stattfinden zu lassen.

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln. Eine Lösung hierfür ist GnuPG. Mit dieser Software können Sie ein Schlüsselpaar mit dem zugehörigen Namen und der E-Mailadresse anfertigen und Ihre Daten schützen.

Wenn nun ein anderer vertrauliche Informationen an Sie senden möchte, kann er nach Ihrem Schlüssel suchen und seine E-Mail mit Ihrem öffentlichen Schlüssel verschlüsseln. Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um den richtigen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben sich dann gegenseitig den Schlüssel. Wer GnuPG nutzt, kann mit dem Befehl gpg --list-sigs KEYID (KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Generell gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun gesammelt zu den Chemnitzer Linux-Tagen treffen, um dort gegenseitig die Daten der Schlüssel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir zentral und sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.

Beispielhaft sehen Sie in der untenstehenden Grafik das Vertrauensnetz der Teilnehmer vor dem Keysigning: Web of Trust vor dem Keysigning

Nach dem Keysigning sah die Grafik dann so aus: WoT nach Keysigning

Vorbereitung der Party

Was müssen Sie tun, um am Keysigning teilzunehmen?

  • Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden
    • Mittels GnuPG kann das mit dem Befehl gpg --gen-key gemacht werden. Weitere Hinweise finden sich im HOWTO.
    • Falls Sie schon einen Schlüssel Ihr eigen nennen, sollte der auf einem öffentlichen Keyserver vorhanden sein.
  • Die Anmeldefrist ist abgelaufen. Wenn du trotzdem teilnehmen willst, drucke dir bitte eine hinreichend große Zahl an Fingerprints deines Keys aus und komme zum genannten Termin zur KSP. Ich werde dort weitere Hinweise geben.
  • Laden Sie die Liste der Teilnehmer herunter und prüfen Sie, ob Ihr Schlüssel mit aufgelistet ist. Falls dies nach ein bis zwei Tagen noch nicht geschehen ist, wenden Sie sich nochmals an die oben genannte Adresse. Die endgültige Liste wird kurz vor der Veranstaltung bereitgestellt und alle Teilnehmer erhalten Informationen per E-Mail.
  • Berechnen Sie die MD5-, SHA1- oder SHA256-Hashsumme der Liste. Dies kann mit den Programmen md5sum, sha1sum bzw. sha256sum aus den GNU Coreutils geschehen. Weiterhin kann GnuPG (gpg --print-mds $DATEI) oder ein anderes Programm diese Aufgabe übernehmen. Der errechnete Wert wird in das entsprechende Feld der Liste eingetragen.
  • Drucken Sie die Liste aus und bringen Sie sie zu den Chemnitzer Linux-Tagen mit.

Ablauf des Keysignings

Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Am geeignetsten ist der Personalausweis oder der Reisepass. Dieser sollte am Tage des Keysignings noch gültig sein.

Zum Keysigning treffen wir uns in der Mensa gegenüber des Veranstaltungsgebäudes und werden dort der Reihe nach die Ausweise prüfen.

Später werden dann alle Schlüssel, von deren Korrektheit Sie überzeugt sind, am Rechner unterschrieben. Die Software GnuPG stellt den Befehl gpg --sign-key KEYID bzw. gpg --edit-key KEYID zur Verfügung.

Besser ist es jedoch, das Unterschreiben zu automatisieren. Hierzu eignet sich caff am Besten. Dies ist ein Hilfprogramm für das Keysigning und nimmt einen Großteil der Arbeit ab.

Weitere Informationen

Bei weiteren Fragen oder Unklarheiten schreiben Sie mir bitte eine E-Mail. Meine Adresse ist jens@kubieziel.de. Für weitere Informationen können Sie auch das GPG Keysigning Party HOWTO in Deutsch oder im englischen Orginal anschauen.

zuletzt bearbeitet am 16.03.2009 von Jens Kubieziel