Keysigning auf den Chemnitzer Linux-Tagen

Termin für das Keysigning

Die diesjährige Keysigning-Party zu den Chemnitzer Linux-Tagen 2025findet am Sonnabend, dem 22. März 2025 um 16:00 Uhr im Raum W1 statt. Wie aus den letzten Jahren gewohnt, treffen wir uns und vergleichen die Fingerprints unserer PGP-Schlüssel. Dabei nutzen wir zum Identitätsnachweis ein Ausweisdokument. Dadurch wollen wir das Web of Trust stärken.

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln oder sensible Informationen digital zu unterschreiben. Eine Lösung hierfür kann GnuPG sein. Mit dieser Software können kryptografische Schlüsselpaare erstellt werden. In den meisten Fällen werden diese bei der Erstellung mit dem eigenen Namen und der E-Mail-Adresse verknüpft. Diese Schlüssel können Daten vor Zugriff schützen oder die Herkunft bzw. Unverfälschtheit bestätigen.

Da ein persönlicher Schlüsselaustausch oft nicht möglich ist, bietet das Internet Schlüsselserver für die Verteilung und Abfrage der PGP-Keys. Auf diesen kann der Versender per Kontaktdaten (zum Beispiel der E-Mail) nach dem öffentlichen Schlüssel suchen. Mit diesem kann er Daten für den Empfänger verschlüsseln bzw. dessen digitale Unterschrift prüfen.

Doch halt: Woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um den richtigen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen und im Web veröffentlichen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander sogenannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben und bestätigen sich dann gegenseitig den Schlüssel. Das Web-of-Trust entsteht.

Wer GnuPG bereits nutzt, kann mit dem Befehl gpg --list-sigs KEYID
(KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Als eine Art Faustregel gilt: Je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun zu den Chemnitzer Linux-Tagen treffen, um dort gegenseitig die Daten der Schlüssel zu prüfen. Die zentrale Veranstaltung hat den Vorteil, dass wir sehr effizient viele Nutzer antreffen können und das Netz des Vertrauens (Web of Trust) jedes Einzelnen stärken können.

Vorbereitung der Party

Was müssen Sie tun, um am Keysigning teilzunehmen?

  • Falls noch nicht vorhanden, beginnt die Vorbereitung mit der Erstellung eines PGP-Schlüssels. Mittels GnuPG kann das mit dem Befehl gpg --gen-key gemacht werden. Weitere Hinweise finden sich im HOWTO
  • Der eigene öffentliche Schlüssel sollte auf einem bekannten Schlüsselserver verfügbar sein. Ein gutes Beispiel ist der Keyserver keys.openpgp.org. Macht es den anderen Teilnehmenden einfacher und notiert euch euren Schlüsselserver.
  • Die Anmeldefrist ist abgelaufen. Sollten Sie dennoch am Keysigning teilnehmen wollen, kommen Sie bitte mit ausreichend Fingerprints (ca. 50 Stück) und einer ausgedruckten Liste zum vereinbarten Ort.
  • Kurz vor den Linux-Tagen, ladet ihr euch bitte die Schlüsselliste aus der Cloud. Wenn die Liste aus meiner Sicht fertig ist, veröffentliche ich neben der Liste noch eine Datei mit dem Namen ready.okay. Prüfe kurz, ob der eigene Schlüssel aufgelistet und der dazu gehörige Fingerprint korrekt ist. Falls dies nicht geschehen ist, wenden Sie sich nochmals an die genannte Adresse (E-Mails sind kein Medium mit garantierter Zustellung).
  • Kurz vor dem Druck der Liste bitte Ich alle Teilnehmenden, lokal die Prüfsummen der Liste zu berechnen. Dies kann mit den Tools md5sum, sha1sum bzw. sha256sum aus den GNU Coreutils durchgeführt werden. Weiterhin kann GnuPG (gpg --print-mds $DATEI) diese Aufgabe übernehmen. Der errechnete Wert wird in das entsprechende Feld der Liste eingetragen.
  • Drucken Sie die Liste aus und bringen Sie sie zu den Chemnitzer Linux-Tagen mit, am besten mit Klemmbrett ;).
  • Ablauf des Keysignings

    Aus eigener Erfahrung: Man muss nicht aufgeregt sein – auch wenn es die erste Keysigning-Party ist.

    Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Am geeignetsten ist der Personalausweis oder der Reisepass. Dieser sollte am Tage des Keysignings noch gültig sein. Es gibt eine Reihe von alternativen Dokumenten, wie z. B. die Gesundheitskarte, der Ergänzungsausweis o. ä., die vorgezeigt werden könnten. Bitte macht euch vorab Gedanken, welchen Dokumenten ihr vertrauen wollt bzw. wie die korrekten Dokumente aussehen. Diese Entscheidung ist euch selbst überlassen. So wird es Personen geben, die vielleicht nur bei amtlichen Dokumenten unterschreiben. Nehmt diesen das bitte auch nicht übel.

    Zum Keysigning treffen wir uns zum später genau festgelegten Ort/Zeitpunkt und werden dort der Reihe nach die Prüfung in verschiedenen Schritten durchführen:

    Zu Beginn wird überprüft, ob die Hash-Summen der Listen übereinstimmen, um so sicher zu stellen, dass jeder die letzte und aktuelle Version vorliegen hat und sich kein Fehler eingeschlichen hat.

    Nachdem dies erfolgreich abgeschlossen wurde, stellen wir uns in Reihenfolge der Liste auf und vergleichen nacheinander die Ausweise mit den Besitzern um so deren Identität zu prüfen. Hier erfolgen noch nicht die Unterschriften, sondern nur die eigenen Notizen.

    Später werden dann alle Schlüssel, von deren Korrektheit Sie überzeugt sind, am Rechner unterschrieben. Die Software GnuPG stellt den Befehl gpg --sign-key KEYID bzw. gpg --edit-key KEYID zur Verfügung.

    Weitere Informationen

    Bei weiteren Fragen oder Unklarheiten schreiben Sie uns bitte eine E-Mail oder kontaktieren Sie mich per Matrix Chat.

    Meine Kontaktdaten sind:

    E-Mail:
    Frank Tornack
    Matrix:
    @bollerwagenpicard:tchncs.de

    Für weitere Informationen können Sie auch das GPG Keysigning Party HOWTO anschauen.