Kernelkraft und erneuerbare Synergien

Sponsoren

SoIT

internet24

univention

Möchten Sie Sponsor werden?

News

keine News

Medienpartner

LinuxUser

Radio UNiCC

Medienpartner (Community)

Pro Linux

Fahrdienst

winde

Keysigning auf den Chemnitzer Linux-Tagen

Termin für das Keysigning

Auch dieses Mal wird wieder eine Keysigningparty zu den Chemnitzer Linux-Tagen stattfinden. Wir treffen uns am Samstag, den 17. März in der Mensa zum Austauschen unserer Schlüssel und Fingerprints. Beginn wird gegen 18:15 Uhr sein.

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln oder sensible Informationen digital zu signieren. Eine Lösung hierfür kann GnuPG sein. Mit dieser Software können Sie ein Schlüsselpaar mit dem zugehörigen Namen und der E-Mail-Adresse anfertigen und Ihre Daten schützen oder die Echtheit bzw. Unverfälschtheit bestätigen.

Wenn nun ein Kommunikationspartner vertrauliche Informationen an Sie senden möchte, kann er nach Ihrem Schlüssel suchen und seine Daten (z.B. E-Mail) mit Ihrem öffentlichen Schlüssel verschlüsseln.

Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um den richtigen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben und bestätigen sich dann gegenseitig den Schlüssel.

Wer GnuPG nutzt, kann mit dem Befehl gpg --list-sigs KEYID
(KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Als eine Art Daumenregel gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun zu den Chemnitzer Linux-Tagen treffen, um dort gegenseitig die Daten der Schlüssel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.

Vorbereitung der Party

Was müssen Sie tun, um am Keysigning teilzunehmen?

  • Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden
    • Mittels GnuPG kann das mit dem Befehl gpg --gen-key gemacht werden. Weitere Hinweise finden sich im HOWTO
    • Falls Sie schon einen Schlüssel Ihr eigen nennen, sollte der auf einem öffentlichen Keyserver vorhanden sein.
  • Die Anmeldefrist läuft noch bis zum 13. März 2012.
  • Für eine Anmeldung, senden Sie bitte eine Mail mit der Ausgabe von gpg --finger KEYID an frank@frank.uvena.de
  • Laden Sie die Liste der Teilnehmer herunter und prüfen Sie, ob Ihr Schlüssel aufgelistet und der dazu gehörige Fingerprint korrekt ist. Falls dies nach zwei bis drei Tagen noch nicht geschehen ist, wenden Sie sich nochmals an die unten genannte Adresse. Die endgültige Liste wird kurz vor der Veranstaltung bereitgestellt und alle Teilnehmer erhalten Informationen per E-Mail.
  • Nach Ablauf der Anmeldefrist: Berechnen Sie die MD5-, SHA1- und SHA256-Hashsumme der Liste. Dies kann mit den Programmen md5sum, sha1sum bzw. sha256sum aus den GNU Coreutils geschehen. Weiterhin kann GnuPG (gpg --print-mds $DATEI) oder ein anderes Programm diese Aufgabe übernehmen. Der errechnete Wert wird in das entsprechende Feld der Liste eingetragen.
  • Drucken Sie die Liste aus und bringen Sie sie zu den Chemnitzer Linux-Tagen mit.

Ablauf des Keysignings

Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Am geeignetsten ist der Personalausweis oder der Reisepass. Dieser sollte am Tage des Keysignings noch gültig sein.

Zu Beginn wird überprüft, ob die Hash-Summen der Listen übereinstimmen, um so sicher zu stellen, dass jeder die letzte und aktuelle Version vorliegen hat und sich kein Fehler eingeschlichen hat. Nachdem dies erfolgreich abgeschlossen wurde, stellen wir uns in Reihenfolge der Liste auf und vergleichen nacheinander die Ausweise mit den Besitzern um so deren Idendität zu prüfen.

Später werden dann alle Schlüssel, von deren Korrektheit Sie überzeugt sind, am Rechner unterschrieben. Die Software GnuPG stellt den Befehl gpg --sign-key KEYID bzw. gpg --edit-key KEYID zur Verfügung.

Besser ist es jedoch, das Unterschreiben zu automatisieren. Hierzu eignet sich caff am Besten. Dies ist ein Hilfprogramm für das Keysigning und nimmt einen Großteil der Arbeit ab.

Weitere Informationen

Bei weiteren Fragen oder Unklarheiten schreiben Sie mir bitte eine E-Mail oder kontaktieren mich per Jabber.

Meine Kontaktdaten sind:
Frank Lanitz
E-Mail: frank@frank.uvena.de
PGP-Fingerprint: C270 3FB4 F597 7F5B A7C8 8D7F C4C6 29AE B983 74FD
Jabber: frlan@jabber.ccc.de

Für weitere Informationen können Sie auch das GPG Keysigning Party HOWTO anschauen.

zuletzt bearbeitet am 30.11.2011 von Frank Lanitz