Registrieren | Login:
Homepage  SoftwareFreedomDay  SoftwareFreedomDay 2010  Keysigning
Keysigning

Key-Signing

Keysigning beim ?Software Freedom Day 2010?

 

Keysigning im Bürgerhaus in Barmbek

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln. Eine Lösung hierfür ist GnuPG. Mit dieser Software kannst du dir ein Schlüsselpaar mit deinem Namen und deiner E-Mailadresse anfertigen und deine Daten schützen.

Wenn nun ein anderer dir vertrauliche Informationen zukommen lassen möchte, kann er nach deinem Schlüssel suchen und dir seine E-Mail verschlüsseln. Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um deinen handelt? Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt, sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben sich dann gegenseitig den Schlüssel. Wer GnuPG nutzt, kann mit dem Befehl
'gpg --list-sigs KEYID' (KEYID steht für eine eindeutige Bezeichnung eines Schlüssels.) eine Liste aller Unterschriften einsehen. Generell gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun gesammelt zum Software Freedom Day treffen, um dort gegenseitig die Daten der Schlüssel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir zentral und sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.

Was musst du tun, um an dem Keysigning teilzunehmen?

1) Wenn Du noch keinen PGP-Schlüssel besitzt und veröffentlicht hast, generiere Dir einen PGP Schlüssel ("gpg --gen-key") und lade Deinen öffentlichen Schlüssel auf einen Keyserver ("gpg --send-key --keyserver x-hkp://blackhole.pca.dfn.de <deine key id>").

2) Drucke die Informationen über Deinen Schlüssel mit dem Fingerprint aus ("gpg --list-key --fingerprint <deine key id>"), den sog. "snippet". Ganz komfortabel fürs Keysigning sind die pgp-tools [1]: Damit kannst Du mit "gpg-key2ps -p a4 <deine key id> | lpr" eine formatierten Ausdruck erzeugen.

3) Komme am 18.09.2010 um 18h zum SFD ins Bürgerhaus Barmbek und bringe
3.1) mindestens einen gültigen amtlichen Lichtbildausweis sowie
3.2) Deine ausgedruckten PGP snippets mit und
3.3) lass Deinen Laptop ausgeschaltet.
3.4) Einen Kugelschreiber dabei zu haben, ist auch sinnvoll.

Vorort gibt es noch eine kurze Information, wie wir vorgehen werden, und
dann geht die Party ab! ;)

4) An Deinem Rechner mit dem privaten PGP Schlüssel unterschreibst Du diejenigen Schlüssel von der KeysigningParty, deren Eigentümer Du einwandfrei überprüfen konntest. Am einfachsten nutzt Du das Programm "caff" [1] mit "caff <key id>". Überprüfe unbedingt vor dem Signieren den Fingerprint vom snippet mit dem von caff angezeigten.

[1] pgp-tools.alioth.debian.org

Weitere Informationen

Solltest du Fragen zum Ablauf des Keysignings haben, schreibe eine E-Mail an michael.beyer(at)lug-balista.de. Weiterhin kannst du das GPG Keysigning Party HOWTO anschauen.

letzte Änderung: 21.03.2011 | copyright by LUG-Balista Hamburg e.V. 2011