Keysigning auf den Chemnitzer Linux-Tagen

Pinguin-Trust

Termin für das Keysigning

Auch dieses Mal wird wieder eine Keysigningparty zu den Chemnitzer Linux-Tagen stattfinden.
Wir treffen uns am Samstag, den 15. März um 17:00 Uhr im Veranstaltungsgebäude im Raum K1 zum Austauschen unserer Schlüssel und Fingerprints.

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln oder sensible Informationen digital zu signieren. Eine Lösung hierfür kann GnuPG sein. Mit dieser Software können Sie ein Schlüsselpaar mit dem zugehörigen Namen und der E-Mail-Adresse anfertigen und Ihre Daten schützen oder die Echtheit bzw. Unverfälschtheit bestätigen.

Wenn nun ein Kommunikationspartner vertrauliche Informationen an Sie senden möchte, kann er nach Ihrem Schlüssel suchen und seine Daten (z.B. E-Mail) mit Ihrem öffentlichen Schlüssel verschlüsseln.

Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um den richtigen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben und bestätigen sich dann gegenseitig den Schlüssel.

Wer GnuPG nutzt, kann mit dem Befehl gpg --list-sigs KEYID
(KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Als eine Art Daumenregel gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun zu den Chemnitzer Linux-Tagen treffen, um dort gegenseitig die Daten der Schlüssel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.

Vorbereitung der Party

Was müssen Sie tun, um am Keysigning teilzunehmen?

  • Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden
    • Mittels GnuPG kann das mit dem Befehl gpg --gen-key gemacht werden. Weitere Hinweise finden sich im HOWTO
    • Falls Sie schon einen Schlüssel Ihr eigen nennen, sollte der auf einem öffentlichen Keyserver vorhanden sein.
  • Die Anmeldefrist ist abgelaufen. Sollten Sie dennoch am Keysigning teilnehmen wollen, kommen Sie bitte mit ausreichend Fingerprints (ca. 50 Stück) und einer ausgedruckten Liste zum vereinbarten Ort.
  • Für eine Anmeldung, senden Sie bitte eine Mail mit der Ausgabe von gpg --finger KEYID an Jens Kubieziel
  • Laden Sie die Liste der Teilnehmer herunter und prüfen Sie, ob Ihr Schlüssel aufgelistet und der dazu gehörige Fingerprint korrekt ist. Falls dies nach zwei bis drei Tagen noch nicht geschehen ist, wenden Sie sich nochmals an die unten genannte Adresse. Die endgültige Liste wird kurz vor der Veranstaltung bereitgestellt und alle Teilnehmer erhalten Informationen per E-Mail.
  • Nach Ablauf der Anmeldefrist: Berechnen Sie die MD5-, SHA1- und SHA256-Hashsumme der Liste. Dies kann mit den Programmen md5sum, sha1sum bzw. sha256sum aus den GNU Coreutils geschehen. Weiterhin kann GnuPG (gpg --print-mds $DATEI) oder ein anderes Programm diese Aufgabe übernehmen. Der errechnete Wert wird in das entsprechende Feld der Liste eingetragen.
  • Drucken Sie die Liste aus und bringen Sie sie zu den Chemnitzer Linux-Tagen mit.

Ablauf des Keysignings

Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Am geeignetsten ist der Personalausweis oder der Reisepass. Dieser sollte am Tage des Keysignings noch gültig sein.

Zum Keysigning treffen wir uns Samstag Abend, 17:00 Uhr im Veranstaltungsgebäude im Raum K1 und werden dort der Reihe nach die Prüfung in verschiedenen Schritten durchführen:

Zu Beginn wird überprüft, ob die Hash-Summen der Listen übereinstimmen, um so sicher zu stellen, dass jeder die letzte und aktuelle Version vorliegen hat und sich kein Fehler eingeschlichen hat. Nachdem dies erfolgreich abgeschlossen wurde, stellen wir uns in Reihenfolge der Liste auf und vergleichen nacheinander die Ausweise mit den Besitzern um so deren Idendität zu prüfen.

Später werden dann alle Schlüssel, von deren Korrektheit Sie überzeugt sind, am Rechner unterschrieben. Die Software GnuPG stellt den Befehl gpg --sign-key KEYID bzw. gpg --edit-key KEYID zur Verfügung.

Besser ist es jedoch, das Unterschreiben zu automatisieren. Hierzu eignet sich caff am Besten. Dies ist ein Hilfprogramm für das Keysigning und nimmt einen Großteil der Arbeit ab.

Weitere Informationen

Bei weiteren Fragen oder Unklarheiten schreiben Sie mir bitte eine E-Mail oder kontaktieren mich per Jabber.

Meine Kontaktdaten sind:

E-Mail:
Jens Kubieziel
PGP-Fingerprint:
60D8 5B8D 9A1C D2D1 355E BE9F 65B3 F094 EA3E 4D61
Jabber:
kubieziel@jabber.ccc.de oder jens@anonymitaet-im-inter.net

Für weitere Informationen können Sie auch das GPG Keysigning Party HOWTO anschauen.