K E Y S I G N I N G - P A R T Y
Freitag, 12.
Dezember 2008 um 19.00 Uhr
ETH Zürich
Campus Zentrum
Hauptgebäude
(HG)
Raum E21
Rämistrasse 101
CH- 8092 Zürich
|
|
Karlheinz
"streng" Geyer
und Michele
Borrelli in dankbarer
Zusammenarbeit mit:
- Axel "XTaran" Beckert
- Martin "Venty"
Ebnöther
- Marius "Jiuka" Rieder
- ETH Zürich
- Linux User Group
Switzerland (LUGS)
|
|
Beschrieb
Eine Keysigning-Party ist ein
Treffen von Leuten, die das GPG/PGP-Verschlüsselungssystem verwenden,
mit der Absicht, Schlüssel und
Identität untereinander zu beglaubigen.
Keysigning-Partys dienen dem
Zweck, das Web-of-Trust zu stärken und dadurch jedem einzelnen durch
den Einsatz kryptografischer Verfahren Schutz persönlicher Daten zu
ermöglichen.
Ebenfalls bietet sich eine solche Veranstaltung an, um gemeinsam über
politische und soziale Fragen rund um Kryptographie und individuelle
Freiheit und Souveränität
zu diskutieren. Ausserdem
lernt man sich kennen und kann sich über die verschiedensten Dinge in
zwangloser Atmosphäre austauschen. Deshalb treffen wir uns am
Freitag, 12. Dezember
pünktlich um 19.00 Uhr in den Räumlichkeiten der Eidgenössischen
Technischen Hochschule (ETH) in Zürich, Hauptgebäude (HG) Raum E21,
Rämistrasse 101 um gemeinsam
eine Keysigning-Party durchzuführen. Ein detaillierter
Gebäudegrundrissplan ist hier
zu finden.
Schnellübersicht
DIN-A4-Prospekt
zum Falten, doppelseitig, farbig mit den
wichtigsten Informationen.
|
CH/AT/FL/DE
|
|
|
DIN-A4-Prospekt
zum Falten, doppelseitig, farbig mit
den wichtigsten Informationen. |
IT
|
|
|
DIN-A4-Prospekt
zum Falten, doppelseitig, farbig mit
den wichtigsten Informationen. |
FR
|
|
|
Finale
Teilnehmerliste
(UTF8-Text-Datei)
|
|
|
|
Finaler
Hauptschlüsselbund
(ASC-Datei, unkomprimiert)
|
|
|
|
Finaler
Hauptschlüsselbund
(BZ2-Datei, komprimiert)
|
|
|
|
Relationsgraph
vor Beginn der KSP (SVG-Datei)
|
|
|
|
Gruppenmatrix
(ASCII-Datei)
|
|
|
|
Auswertung
Relationsgraph
vom 30.12.2008
|
|
|
Relationsgraph vom 09.01.2009 |
|
|
Relationsgraph vom 10.02.2009 |
|
|
Relationsgraph und Matrix vom
16.02.2009 |
|
|
Relationsgraph
und Matrix vom 20.02.2009.
(Bereinigt von Schlüsseln, deren Eigentümer nicht an der KSP teilnehmen
konnten.)
|
|
|
Relationsgraph
und Matrix vom 21.03.2009. |
|
|
Relationsgraph
und Matrix vom 10.04.2009 |
|
|
Relationsgraph
und Matrix vom 06.05.2009 |
|
|
Anmeldung
Der Anmeldeschluss ist nun
erreicht, es können keine weiteren GPG/PGP-Schlüssel angenommen werden.
Sollten Sie den Anmeldeschluss versäumt
haben, dann erstellen Sie bitte mit gpg-key2ps ihre
Schlüsselstreifen, damit können Sie dann an der KSP teilnehmen.
benutzer@computer:~$ > gpg-key2ps -pA4 KEY-ID >
Schluesselstreifen.ps
Es werden 83+
Schlüsselstreifen benötigt, zudem bitten wir Sie die finale
Teilnehmerliste auszudrucken und mitzubringen.
Anmelden
zu dieser kostenlosen
Veranstaltung kann sich jeder,
der
im Besitz eines GPG/PGP-Schlüssels ist und über eine gültige
Identitätskarte verfügt.
Übertragen Sie einfach bis spätestens
9. Dezember 23.50 Uhr MEZ
Ihre(n) eigene(n)
GPG/PGP-Schlüssel
auf unseren Keyserver.
benutzer@computer:~$ >
gpg --keyserver hkp://ethz08-ksp.ftbfs.de
--send-key KEY-ID
(Beispiel: gpg --keyserver
hkp://ethz08-ksp.ftbfs.de --send-key
A23BC4DD)
Der
Server generiert
jeweils um 00.20/30, 08.20/30, 16.20/30 Uhr UTC Teilnehmerliste und
Relationsgraph darin sollte der von Ihnen
eingereichte Schlüssel dann
spätestens am darauf folgenden Tag
zu finden sein.
Bitte sorgen Sie ausserdem
dafür, dass Ihr GPG/PGP-Schlüssel
später auch für andere zur Verfügung steht. Dazu sollten
Sie ihn auf einem öffentlichen Schlüsselserver
wie zum
Beispiel subkeys.pgp.net
und wwwkeys.ch.pgp.net
ablegen.
benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net
--send-key KEY-ID
benutzer@computer:~$ > gpg --keyserver
wwwkeys.ch.pgp.net
--send-key KEY-ID
Einen GPG-Schlüssel
erzeugen
Wenn Sie noch keinen
GPG-Schlüssel besitzen, dann können Sie
z. B. unter Linux/Unix mit gpg einen
solchen generieren lassen.
benutzer@computer:~$ > gpg --gen-key --enable-dsa2
Natürlich gibt es
auch Programme, um z. B. unter
Microsoft-Windows, Mac OSX u. a. GPG/PGP-Schlüssel zu erzeugen. Hilfe
und weitere
Details zum Erstellen von
Schlüsselpaaren unter Linux, Mac OSX und MS-Windows siehe Kai Raven Deutsche
GnuPG-Anleitung Seite 4 oder
GNU-Handbuch .
Sobald das
Schlüsselpaar fertiggestellt ist, können
Sie den öffentlichen Teil davon wie oben beschrieben zur Anmeldung
einreichen.
Vor der Keysigning-Party
Nachdem Sie nun angemeldet sind,
sollten Sie die Gültigkeit Ihrer Identitätskarte prüfen. Ohne
gültiges Ausweisdokument ist die Teilnahme
an der Keysigning-Party leider nicht möglich!
Etwa zwei Tage vor dem
eigentlichen Termin erhalten alle angemeldeten
Teilnehmer eine E-Mail mit weiteren Informationen und der
fertiggestellten
Teilnehmerliste als
Anhang. Die Liste selbst nebst dem Schlüsselring und einigen
Statistikdateien kann natürlich auch von dieser Seite kopiert
werden.
Bitte verwenden Sie nur eine Liste
mit einem Datum neuer als 09.12.2008, da sich täglich
Interessierte anmelden und die Liste somit permanenten
Änderungen
unterworfen ist! In den Morgenstunden des 10. Dezember wird eine
finalisierte Teilnehmerliste bereitgestellt.
Alle bis dahin
angemeldeten
Interessenten werden zudem per E-Mail informiert.
Diese Dateien werden für die
Keysigning-Party benötigt:
- Teilnehmerliste
(UTF8-Text)
- Hauptschlüsselbund
unkomprimiert (ASC-Datei)
- Hauptschlüsselbund
bz2-komprimiert (optional) (BZ2-Datei)
- Relationsgraph
(optional)
(SVG-Datei)
Nach Erhalt der Teilnehmerliste ist diese auf Echtheit zu
überprüfen, dazu ermitteln Sie bitte die MD5- und SHA1-Prüfsummen der
unveränderten Datei
und vermerken diese bitte handschriftlich in den dafür vorgesehenen
Feldern im Listenkopf.
benutzer@computer:~$ > gpg --print-md md5 ksp-ethz08.txt
benutzer@computer:~$ > gpg --print-md sha1
ksp-ethz08.txt
Am 12.12.2008 bringen
Sie bitte
- die ausgedruckte Teilnehmerliste
- ein amtliches, persönliches Ausweisdokument mit Lichtbild
(Identitätskarte/Reisepass)
- einen Kugelschreiber und
- ggf. zusätzliche Schlüsselstreifen, die Sie leicht mit gpg-key2ps
selbst erzeugen können
mit.
Während der
Keysigning-Party
Die Keysigning-Party wird nach
einer vorgeschlagenen Prozedur von Len Sassaman durchgeführt. Nach der Begrüssung
der Teilnehmer werden die Regularien
verkündet und die ermittelten
Prüfsummen verglichen. Danach werden zwei Teilnehmerreihen im Raum
selbst oder auf einem ausreichend grossen Gebäudeflur
gebildet. Die Teilnehmer
stehen sich nun gegenüber und mit dem Überprüfen der Ausweisdokumente
kann begonnen werden. Nähere Informationen dazu werden
zu Beginn der Veranstaltung
erteilt.
Folgende Prüfsummen der Teilnehmerliste wurden ermittelt und durch die
Anwesenden während der Keysigning-Party am 12.12.2008 um 19.15 Uhr
bestätigt:
MD5 :E3 BB 01 8B 94 D8 36 9C 3A 9E 0C 18 16 77 8D 22
SHA1:D57F B6E8 139C 6FFD DD31 4D98 9860 2869 B809 AD6A
Nach der Keysigning-Party
Nachfolgend genannte Personen
waren entschuldigt und konnten nicht an der KSP teilnehmen, bitte deren
Schlüssel nicht signieren!
Listennummer
|
Schlüssel-ID
|
Name
|
006
|
0x330C4A75
|
M. F.
Krafft
|
009
|
0xAB41AB85
|
F.
Fingerle
|
010
|
0x0995A676
|
D.
Deimeke
|
011
|
0x9584158E
|
D.
Deimeke
|
014
|
0x14467B8C
|
H.
Kreft
|
027
|
0xC927A153
|
M.
Luder
|
031
|
0xA381A41B
|
P.
Weber
|
032
|
0x231B65D0
|
S.
Leinen
|
033
|
0x66625192
|
M.
Waldvogel
|
034
|
0x31EF0322
|
M.
Waldvogel
|
035
|
0x8084EC62
|
R.
Dietiker
|
046
|
0xF7AB9CE5
|
H.
Madeira
|
052
|
0xED42EE0F
|
P.
Kocher
|
Bitte nehmen Sie sich für das
Signieren und die Prüfung der Schlüsselangaben Zeit, Genauigkeit geht
vor Geschwindigkeit!
Bevor öffentliche Schlüssel
signiert werden können,
müssen diese zunächst dem eigenen Schlüsselbund hinzugefügt werden.
Dies kann auf zweierlei Arten
geschehen, zum einen durch
den Import des Hauptschlüsselbund
unkomprimiert (ASC-Datei)
mittels,
benutzer@computer:~$
> gpg --import ksp-ethz08.asc
(Hinweis: Dieser Schritt
entfällt, sollten Sie sich für
das Signieren mit caff
entschieden haben.)
oder jeder als
vertrauenswürdig eingestufte Schlüssel wird einzeln abgerufen und
importiert beispielsweise durch
benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net --recv-key KEYID
Sobald die
Schlüssel importiert sind, kann mit dem eigentlichen Prozess des
Signierens fortgefahren werden.
Beglaubigung nach der
traditionellen Methode
benutzer@computer:~$ > gpg --edit-key KEYID
gpg präsentiert
sich so gestartet im interaktiven Modus. Der Befehl fpr
gibt den Fingerabruck des in Bearbeitung befindlichen Schlüssels aus.
Command>fpr
Stimmt der
angezeigt Wert mit dem auf der Teilnehmerliste überein, dann kann der Schlüssel
durch die Eingabe von "sign" signiert werden.
Command>sign
Die Fragen, ob
alle UIDs signiert werden sollen und ob denn wirklich eine Signatur
erfolgen soll, sind mit y bzw. j zu
beantworten.
Der in Bearbeitung befindliche
Schlüssel ist signiert, nachdem der persönliche
Kennwortsatz abgefragt wurde.
Anschliessend
sollten Sie den Vertrauensstatus festlegen.
Command>trust
Hierbei kann man einen der
nachfolgend genannten Werte auswählen:
1 Ich bin mir nicht sicher (I don't know or won't
say)
2 Kein Vertrauen (I do NOT trust)
3 Marginales Vertrauen (I trust marginally)
4 Volles Vertrauen (I trust fully)
5 Ultimatives Vertrauen (I trust ultimately) NUR
FÜR DEN/DIE EIGENEN SCHLÜSSEL
Abschluss der
Bearbeitung mit
Command>save
Danach wird der Schlüssel mit der
gerade erzeugten Signatur und dem Vertrauensstatus automatisch dem
eigenen Schlüsselring
zugeführt.
Den gerade signierten
Schlüssels können Sie nun exportieren und als Anlage einer E-Mail an
den Schlüsseleigner übersenden
benutzer@computer:~$ > gpg --armor --export KEYID > NachnameVorname.asc
oder Sie legen den Schlüssel direkt auf einem Keyserver ab (nicht empfohlen!).
benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net
--send-key KEYID
Beglaubigung eines Schlüssels
mit caff
caff ist ein PERL-Script von Peter
Palfrader alias "weasel". Es
kann von hier
kopiert werden.
caff
legt im Heim-Verzeichnis des Benutzers ein Unterverzeichnis .caff
an, indem weitere Verzeichnisse wie gnupghome
und keys
erzeugt werden.
Das Verzeichnis gnupghome
enthält nach der ersten Benutzung von caff einen eigenen
Schlüsselring (ohne Secret-Key!), der alle Schlüssel aufnimmt,
welche zukünftig mit caff
signiert werden. Ausserdem wird im Heimat-Verzeichnis des jeweiligen
Benutzers eine Datei .caffrc
erzeugt, die man
vor
der ersten Benutzung von caff
editieren und den eigenen Gegebenheiten entsprechend
anpassen sollte.
Im Verzeichnis keys
werden alle generierten EMails nebst Schlüsseln nach Datum
sortiert abgelegt.
Der Vorteil von caff
ist, dass man sich um fast nichts mehr selbst kümmern muss. So wird
beispielsweise ein übergebener Schlüssel vom Keyserver
geladen, der
Edit-Modus von gpg gestartet und nach Beendigung dessen eine
versandfertige EMail erzeugt. Diese EMail enthält den Rumpf-Text aus
der Datei $HOME/.caffrc
, sowie den signierten Schlüssel als Anlage. caff
erzeugt für jede UID eines Schlüssels je eine separate EMail, welche
über PERL::Mailer
versendet wird. Beispiel:
benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID FREMD-SCHLÜSSEL_ID
Falls Sie mit mehren Schlüsseln signieren wollen, werden die einzelnen Schlüssel durch Kommata "," voneinander getrennt:
benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID1, EIGEN-SCHLÜSSEL-ID2 FREMD-SCHLÜSSEL_ID
caff-Optionen
-e, --export-old
Exportiert auch bereits früher
geleistete
Signaturen.
-E, --no-export-old
Ohne den Export früher
geleisteter
Signaturen.
-m, --mail
Versendet eine EMail nachdem signiert
wurde.
-M, --no-mail
Kein EMailversand
-R, --no-download
Kein Key-Download
-S, --no-sign
Schlüssel nicht signieren
-u yourkeyid, --local-user
Die eigene Schlüssel-ID,
sofern nicht
schon in .caffrc
angegeben
Beglaubigung einer kompletten KSP-Liste mit caff
Mittels caff
lässt sich auch eine komplette Teilnehmerliste
auf einmal
bearbeiten, so wird es gemacht:
- Zunächst eine Sicherungskopie der Originaldatei erstellen.
benutzer@computer:> cp ksp-ethz08.txt MeineListe.txt
benutzer@computer:> cat MeineListe.txt | egrep 'pub' | cut -c 13-20 > ALLE_SCHLUESSEL.txt
- Kontrollieren Sie die gerade erstellte Datei, sie darf jetzt nur
noch die 8-stelligen Key-IDs enthalten, die blockweise untereinander
dargestellt sind.
- Liste durch caff bearbeiten lassen
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID $(cat ALLE_SCHLUESSEL.txt)
Oder Sie wollen gleich mit
mehreren Ihrer Schlüssel signieren:
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1, EIGENE-SCHLÜSSEL-ID2 $(cat ALLE_SCHLUESSEL.txt)
Wenn
man vorher auch noch einen GPG-Agenten gestartet hat, erfolgt die
Abfrage des Kennsatzes nur ein einziges mal und alle Schlüssel werden
einer nach dem anderen zur Bearbeitung gebracht. Mit
diesen Tricks lässt sich die Zeit fürs Signieren einer kompletten Liste
drastisch reduzieren.
Trotzdem gilt nach wie vor Genauigkeit und
Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails
walten zu lassen.
- Kopieren Sie (falls noch
nicht geschehen) $HOME/.gnupg/gpg.conf
nach $HOME/.caff/gnupghome/.
In der Datei gpg.conf
sollte der Eintrag "use-agent"
zu finden sein. Natürlich muss gpg-agent auf Ihrem System eingrichtet
sein, was auch häufig gegeben ist. Den Agenten selbst starten Sie
entweder
automatisiert in Ihrer .bashrc
oder nur dann, wenn er auch tatsächlich benötigt wird mit eval `gpg-agent --daemon`.
Siehe auch man gpg-agent.
Sicherheitshinweis: Wenn der Agent gestartet wurde und Sie den
Kennwortsatz eingegeben haben, dann bleibt dieser -und das ist der
Zweck diese Agenten -
für eine einstellbare Zeit gespeichert, d. h. wenn Sie ihren Rechner
nach der Eingabe des Kennsatzes unbeobachtet lassen könnten dubiose
Zeitgenossen
Ihres geheimen Schlüssels und weiterer Datenbestände auf Ihrem Rechner
habhaft werden!
Da alle Teilnehmer während der
Keysigning-Party die Richtigkeit des so genannten Fingerprints ihres Schlüssels
bestätigt haben, kann nun präzise
mit genau dieser Zahlenkolonne gearbeitet werden, denn sowohl gpg als
auch caff verstehen damit umzugehen. Das ist nun zu tun:
benutzer@computer:>
cp ksp-ethz08.txt
MeineListe.txt
- Editieren Sie
MeineListe.txt nun und entfernen die
Zeile fingerprint = xxxx xxxx
[...] bei
den Einträgen von Personen, die nicht anwesend waren
und speichern diese Datei anschliessend ab.
- Fingerprints suchen, extrahieren und in eine neue Datei umleiten.
benutzer@computer:> cat MeineListe.txt | egrep 'fingerprint =
' | cut -c 25-74 >ALLE_SCHLUESSEL.txt
- Editieren Sie die Datei ALLE_SCHLUESSEL.txt
und vergewissern
Sie sich, dass alle v4-Schlüssel in 10
Blöcken zu je 4-Zeichen
untereinander angegeben
sind, Leerzeichen zwischen den Blöcken sind indes ohne Bedeutung.
Zeilen mit v3-Schlüsseln
(xx xx xx xx [...]) müssen
gelöscht werden. Schlüssel dieser Art können nur wie unter Methode 1
beschrieben beglaubigt werden.
Vergessen Sie bitte nicht anschliessend v3-Schlüssel manuell zu
signieren.
- Speichern Sie ALLE_SCHLUESSEL.txt ab und starten
Sie caff mit der eben erstellten Datei. Vermerken Sie Ihre Aktivitäten
auf der Papierliste um
den Überblick zu behalten.
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID "`cat
ALLE_SCHLUESSEL.txt`"
Wie weiter oben schon beschrieben,
kann auch mit mehreren eigenen Schlüsseln signiert werden, setzen Sie
einfach ein Komma als Trennmuster.
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1,
EIGENE-SCHLÜSSEL-ID2 "`cat
ALLE_SCHLUESSEL.txt`"
Wir bitten Sie die Prüfung von
Ausweisen und Schlüsseldetails sehr
sorgfältig durchzuführen und sich für das Signieren ausreichend Zeit zu
nehmen.
Statistik
Henk Penning und Patrick
Feisthammel sammeln
fleissig Schlüsseldaten und stellen diese aufbereitet zur Verfügung.
Wer mehr über das Web-of-Trust
erfahren will, findet hier aktuelle Statistikdaten. Informationen zum eigenen
GPG/PGP-Schlüssel
findet man auf dieser Internetseite. Dort kann man sich nach Eingabe
der eigenen Schlüssel-ID im Feld stats:
einen Überblick
über geleistete und empfangene
Beglaubigungen, den aktuellen Rang und verschiedene andere Daten
betrachten. Es lohnt sich
also, ein Lesezeichen dafür
anzulegen. Ergänzen Sie einfach Ihre 8-stellige Schlüssel-ID am Ende
der unten angegebenen Adresse
nach dem =-Zeichen.
http://pgp.cs.uu.nl/mk_path.cgi?STAT=xxxxxxxx
Beispiel mit einem Schlüssel
von Patrick Feisthammel: http://pgp.cs.uu.nl/mk_path.cgi?STAT=DD934139
Literatur, Software und
weitere Quellen
- Eine hervorragende Anleitung in
deutscher Sprache rund um GPG/PGP stammt von Kai Raven.
- Das GNU-Handbuch
zum Schutze der Privatsphäre
- GnuPG Keysigning-Party HOWTO
- Gnu Privacy Guard (GnuPG) Mini Howto
- GnuPG für MS-Windows GPG4Win
- GnuPG für MS-Windows GPG4Win Installationsanleitung
- GnuPG unter Mac OSX Anleitung
- Mac GNU Privacy Guard Anleitung
- Using the GNU Privacy Guard (PDF) Anleitung
- GnuPG Fragen und Antworten FAQ
- GnuPG HOWTOs Sammlung
- GnuPG User Guides Sammlung
- Schneier, Bruce "Schneier
on Security" 336 Seiten, gebunden, 2008, Verlag John Wiley and Sons
Ltd, ISBN-13: 9780470395356
- Schneier, Bruce "Secrets
and Lies" 414 Seiten, 2004, gebunden, Verlag John Wiley and Sons
Ltd, ISBN-13: 9780471453802
- Ferguson, Nancy; Schneier, Bruce "Practical
Cryptography" 432 Seiten, 2003, Pb, Verlag John Wiley and Sons Ltd,
ISBN-13: 9780471223573
Danksagung
Mit Ihrer Teilnahme an dieser
Keysigning-Party und dem anschliessenden Signieren der einzelnen
GPG/PGP-Schlüssel leisten Sie einen
wichtigen Beitrag zur Stärkung
des Vertrauensnetzwerkes (Web-of-Trust), wofür wir uns herzlich bei Ihnen
bedanken. Ferner bedanken
wir uns bei der
Eidgenössischen Technischen Hochschule (ETH) Zürich für die Bereitstellungder
Räumlichkeiten und der
technischen Infrastruktur.
Desweiteren halfen uns viele weitere Einzelpersonen, Firmen und
Institutionen, ohne deren
tatkräftigen Einsatz
eine solche Veranstaltungsicher
nicht möglich wäre,
ihnen schulden wir besonderen Dank:
$Id: ksp-ethz08.html,v 1.41 2009/05/06 15:35:33 u025083 Exp u025083 $