ksp-ethz08

K E Y S I G N I N G - P A R T Y Freitag, 12. Dezember 2008 um 19.00 Uhr ETH Zürich Campus Zentrum Hauptgebäude (HG) Raum E21 Rämistrasse 101 CH- 8092 Zürich
Karlheinz "streng" Geyer und Michele Borrelli in dankbarer Zusammenarbeit mit: Axel "XTaran" Beckert Martin "Venty" Ebnöther Marius "Jiuka" Rieder ETH Zürich Linux User Group Switzerland (LUGS)

Beschrieb

Eine Keysigning-Party ist ein Treffen von Leuten, die das GPG/PGP-Verschlüsselungssystem verwenden, mit der Absicht, Schlüssel und Identität untereinander zu beglaubigen.
Keysigning-Partys dienen dem Zweck, das Web-of-Trust zu stärken und dadurch jedem einzelnen durch den Einsatz kryptografischer Verfahren Schutz persönlicher Daten zu
ermöglichen.

Ebenfalls bietet sich eine solche Veranstaltung an, um gemeinsam über politische und soziale Fragen rund um Kryptographie und individuelle Freiheit und Souveränität
zu diskutieren. Ausserdem lernt man sich kennen und kann sich über die verschiedensten Dinge in zwangloser Atmosphäre austauschen. Deshalb treffen wir uns am
Freitag, 12. Dezember pünktlich um 19.00 Uhr in den Räumlichkeiten der Eidgenössischen Technischen Hochschule (ETH) in Zürich, Hauptgebäude (HG) Raum E21,
Rämistrasse 101 um gemeinsam eine Keysigning-Party durchzuführen. Ein detaillierter Gebäudegrundrissplan ist hier zu finden.

Schnellübersicht

DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen.	CH/AT/FL/DE
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen.	IT
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen.	FR
Finale Teilnehmerliste (UTF8-Text-Datei)
Finaler Hauptschlüsselbund (ASC-Datei, unkomprimiert)
Finaler Hauptschlüsselbund (BZ2-Datei, komprimiert)
Relationsgraph vor Beginn der KSP (SVG-Datei)
Gruppenmatrix (ASCII-Datei)

Auswertung

Relationsgraph vom 30.12.2008
Relationsgraph vom 09.01.2009
Relationsgraph vom 10.02.2009
Relationsgraph und Matrix vom 16.02.2009
Relationsgraph und Matrix vom 20.02.2009. (Bereinigt von Schlüsseln, deren Eigentümer nicht an der KSP teilnehmen konnten.)
Relationsgraph und Matrix vom 21.03.2009.
Relationsgraph und Matrix vom 10.04.2009
Relationsgraph und Matrix vom 06.05.2009

Anmeldung

Der Anmeldeschluss ist nun erreicht, es können keine weiteren GPG/PGP-Schlüssel angenommen werden. Sollten Sie den Anmeldeschluss versäumt
haben, dann erstellen Sie bitte mit gpg-key2ps ihre Schlüsselstreifen, damit können Sie dann an der KSP teilnehmen.

benutzer@computer:~$ > gpg-key2ps -pA4 KEY-ID >
Schluesselstreifen.ps

Es werden 83+ Schlüsselstreifen benötigt, zudem bitten wir Sie die finale Teilnehmerliste auszudrucken und mitzubringen.

Anmelden zu dieser kostenlosen Veranstaltung kann sich jeder, der im Besitz eines GPG/PGP-Schlüssels ist und über eine gültige Identitätskarte verfügt.
Übertragen Sie einfach bis spätestens 9. Dezember 23.50 Uhr MEZ Ihre(n) eigene(n) GPG/PGP-Schlüssel auf unseren Keyserver.



benutzer@computer:~$ >
gpg --keyserver hkp://ethz08-ksp.ftbfs.de
--send-key KEY-ID



(Beispiel: gpg --keyserver
hkp://ethz08-ksp.ftbfs.de --send-key
A23BC4DD)

Der Server generiert jeweils um 00.20/30, 08.20/30, 16.20/30 Uhr UTC Teilnehmerliste und Relationsgraph darin sollte der von Ihnen eingereichte Schlüssel dann
spätestens am darauf folgenden Tag zu finden sein.

Bitte sorgen Sie ausserdem dafür, dass Ihr GPG/PGP-Schlüssel später auch für andere zur Verfügung steht. Dazu sollten Sie ihn auf einem öffentlichen Schlüsselserver
wie zum Beispiel subkeys.pgp.net und wwwkeys.ch.pgp.net ablegen.

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net
--send-key KEY-ID

benutzer@computer:~$ > gpg --keyserver
wwwkeys.ch.pgp.net
--send-key KEY-ID

Einen GPG-Schlüssel erzeugen

Wenn Sie noch keinen GPG-Schlüssel besitzen, dann können Sie z. B. unter Linux/Unix mit gpg einen solchen generieren lassen.



benutzer@computer:~$ > gpg --gen-key --enable-dsa2

Natürlich gibt es auch Programme, um z. B. unter Microsoft-Windows, Mac OSX u. a. GPG/PGP-Schlüssel zu erzeugen. Hilfe und weitere Details zum Erstellen von
Schlüsselpaaren unter Linux, Mac OSX und MS-Windows siehe Kai Raven

 Deutsche
GnuPG-Anleitung Seite 4 oder

GNU-Handbuch .

Sobald das Schlüsselpaar fertiggestellt ist, können Sie den öffentlichen Teil davon wie oben beschrieben zur Anmeldung einreichen.

Vor der Keysigning-Party

Nachdem Sie nun angemeldet sind, sollten Sie die Gültigkeit Ihrer Identitätskarte prüfen. Ohne gültiges Ausweisdokument ist die Teilnahme
an der Keysigning-Party leider nicht möglich!

Etwa zwei Tage vor dem eigentlichen Termin erhalten alle angemeldeten Teilnehmer eine E-Mail mit weiteren Informationen und der fertiggestellten
Teilnehmerliste als Anhang. Die Liste selbst nebst dem Schlüsselring und einigen Statistikdateien kann natürlich auch von dieser Seite kopiert werden.

Bitte verwenden Sie nur eine Liste mit einem Datum neuer als 09.12.2008, da sich täglich Interessierte anmelden und die Liste somit permanenten
Änderungen unterworfen ist! In den Morgenstunden des 10. Dezember wird eine finalisierte Teilnehmerliste bereitgestellt. Alle bis dahin angemeldeten
Interessenten werden zudem per E-Mail informiert.

Diese Dateien werden für die Keysigning-Party benötigt:

Nach Erhalt der Teilnehmerliste ist diese auf Echtheit zu überprüfen, dazu ermitteln Sie bitte die MD5- und SHA1-Prüfsummen der unveränderten Datei
und vermerken diese bitte handschriftlich in den dafür vorgesehenen Feldern im Listenkopf.

benutzer@computer:~$ > gpg --print-md md5 ksp-ethz08.txt

benutzer@computer:~$ > gpg --print-md sha1
ksp-ethz08.txt

Am 12.12.2008 bringen Sie bitte

die ausgedruckte Teilnehmerliste
ein amtliches, persönliches Ausweisdokument mit Lichtbild (Identitätskarte/Reisepass)
einen Kugelschreiber und
ggf. zusätzliche Schlüsselstreifen, die Sie leicht mit gpg-key2ps selbst erzeugen können

mit.

Während der Keysigning-Party

Die Keysigning-Party wird nach einer vorgeschlagenen Prozedur von Len Sassaman durchgeführt. Nach der Begrüssung der Teilnehmer werden die Regularien
verkündet und die ermittelten Prüfsummen verglichen. Danach werden zwei Teilnehmerreihen im Raum selbst oder auf einem ausreichend grossen Gebäudeflur
gebildet. Die Teilnehmer stehen sich nun gegenüber und mit dem Überprüfen der Ausweisdokumente kann begonnen werden. Nähere Informationen dazu werden
zu Beginn der Veranstaltung erteilt.

Folgende Prüfsummen der Teilnehmerliste wurden ermittelt und durch die Anwesenden während der Keysigning-Party am 12.12.2008 um 19.15 Uhr bestätigt:

MD5 :E3 BB 01 8B 94 D8 36 9C 3A 9E 0C 18 16 77 8D 22
SHA1:D57F B6E8 139C 6FFD DD31 4D98 9860 2869 B809 AD6A

Nach der Keysigning-Party

Nachfolgend genannte Personen waren entschuldigt und konnten nicht an der KSP teilnehmen, bitte deren Schlüssel nicht signieren!

Listennummer	Schlüssel-ID	Name
006	0x330C4A75	M. F. Krafft
009	0xAB41AB85	F. Fingerle
010	0x0995A676	D. Deimeke
011	0x9584158E	D. Deimeke
014	0x14467B8C	H. Kreft
027	0xC927A153	M. Luder
031	0xA381A41B	P. Weber
032	0x231B65D0	S. Leinen
033	0x66625192	M. Waldvogel
034	0x31EF0322	M. Waldvogel
035	0x8084EC62	R. Dietiker
046	0xF7AB9CE5	H. Madeira
052	0xED42EE0F	P. Kocher

Bitte nehmen Sie sich für das Signieren und die Prüfung der Schlüsselangaben Zeit, Genauigkeit geht vor Geschwindigkeit!

Bevor öffentliche Schlüssel signiert werden können, müssen diese zunächst dem eigenen Schlüsselbund hinzugefügt werden. Dies kann auf zweierlei Arten
geschehen, zum einen durch den Import des Hauptschlüsselbund unkomprimiert (ASC-Datei) mittels,

benutzer@computer:~$
> gpg --import ksp-ethz08.asc

(Hinweis: Dieser Schritt entfällt, sollten Sie sich für das Signieren mit caff entschieden haben.)

oder jeder als vertrauenswürdig eingestufte Schlüssel wird einzeln abgerufen und importiert beispielsweise durch

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net --recv-key KEYID

Sobald die Schlüssel importiert sind, kann mit dem eigentlichen Prozess des Signierens fortgefahren werden.

Beglaubigung nach der traditionellen Methode

Methode 1

benutzer@computer:~$ > gpg --edit-key KEYID

gpg präsentiert sich so gestartet im interaktiven Modus. Der Befehl fpr gibt den Fingerabruck des in Bearbeitung befindlichen Schlüssels aus.

Command>fpr

Stimmt der angezeigt Wert mit dem auf der Teilnehmerliste überein, dann kann der Schlüssel durch die Eingabe von "sign" signiert werden.

Command>sign

Die Fragen, ob alle UIDs signiert werden sollen und ob denn wirklich eine Signatur erfolgen soll, sind mit y bzw. j zu beantworten.
Der in Bearbeitung befindliche Schlüssel ist signiert, nachdem der persönliche Kennwortsatz abgefragt wurde.

Anschliessend sollten Sie den Vertrauensstatus festlegen.

Command>trust

Hierbei kann man einen der nachfolgend genannten Werte auswählen:

1 Ich bin mir nicht sicher (I don't know or won't say)
2 Kein Vertrauen (I do NOT trust)
3 Marginales Vertrauen (I trust marginally)
4 Volles Vertrauen (I trust fully)
5 Ultimatives Vertrauen (I trust ultimately) NUR FÜR DEN/DIE EIGENEN SCHLÜSSEL

Abschluss der Bearbeitung mit

Command>save

Danach wird der Schlüssel mit der gerade erzeugten Signatur und dem Vertrauensstatus automatisch dem eigenen Schlüsselring zugeführt.

Den gerade signierten Schlüssels können Sie nun exportieren und als Anlage einer E-Mail an den Schlüsseleigner übersenden

benutzer@computer:~$ > gpg --armor --export KEYID > NachnameVorname.asc

oder Sie legen den Schlüssel direkt auf einem Keyserver ab (nicht empfohlen!).

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net
--send-key KEYID

Beglaubigung eines Schlüssels mit caff

caff ist ein PERL-Script von Peter Palfrader alias "weasel". Es kann von hier kopiert werden.

caff legt im Heim-Verzeichnis des Benutzers ein Unterverzeichnis .caff an, indem weitere Verzeichnisse wie gnupghome und keys erzeugt werden.
Das Verzeichnis gnupghome enthält nach der ersten Benutzung von caff einen eigenen Schlüsselring (ohne Secret-Key!), der alle Schlüssel aufnimmt,
welche zukünftig mit caff signiert werden. Ausserdem wird im Heimat-Verzeichnis des jeweiligen Benutzers eine Datei .caffrc erzeugt, die man
vor der ersten Benutzung von caff editieren und den eigenen Gegebenheiten entsprechend anpassen sollte.

Im Verzeichnis keyswerden alle generierten EMails nebst Schlüsseln nach Datum sortiert abgelegt.

Der Vorteil von caff ist, dass man sich um fast nichts mehr selbst kümmern muss. So wird beispielsweise ein übergebener Schlüssel vom Keyserver
geladen, der Edit-Modus von gpg gestartet und nach Beendigung dessen eine versandfertige EMail erzeugt. Diese EMail enthält den Rumpf-Text aus
der Datei $HOME/.caffrc, sowie den signierten Schlüssel als Anlage. caff erzeugt für jede UID eines Schlüssels je eine separate EMail, welche über PERL::Mailer
versendet wird. Beispiel:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID FREMD-SCHLÜSSEL_ID

Falls Sie mit mehren Schlüsseln signieren wollen, werden die einzelnen Schlüssel durch Kommata "," voneinander getrennt:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID1, EIGEN-SCHLÜSSEL-ID2 FREMD-SCHLÜSSEL_ID

caff-Optionen

-e, --export-old Exportiert auch bereits früher geleistete Signaturen.
-E, --no-export-old Ohne den Export früher geleisteter Signaturen.
-m, --mail Versendet eine EMail nachdem signiert wurde.
-M, --no-mail Kein EMailversand
-R, --no-download Kein Key-Download
-S, --no-sign Schlüssel nicht signieren
-u yourkeyid, --local-user Die eigene Schlüssel-ID, sofern nicht schon in .caffrc angegeben

Beglaubigung einer kompletten KSP-Liste mit caff

Methode 2

Mittels caff lässt sich auch eine komplette Teilnehmerliste auf einmal bearbeiten, so wird es gemacht:

Zunächst eine Sicherungskopie der Originaldatei erstellen.

benutzer@computer:> cp ksp-ethz08.txt MeineListe.txt

Mit dem Lieblingseditor die Schlüsseleinträge der nichtanwesenden Personen löschen.
MeineListe.txt abspeichern.
Schlüsselnummern extrahieren und in eine neue Datei umleiten.

benutzer@computer:> cat MeineListe.txt | egrep 'pub' | cut -c 13-20 > ALLE_SCHLUESSEL.txt

Kontrollieren Sie die gerade erstellte Datei, sie darf jetzt nur noch die 8-stelligen Key-IDs enthalten, die blockweise untereinander dargestellt sind.

Liste durch caff bearbeiten lassen

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID $(cat ALLE_SCHLUESSEL.txt)

Oder Sie wollen gleich mit mehreren Ihrer Schlüssel signieren:

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1, EIGENE-SCHLÜSSEL-ID2 $(cat ALLE_SCHLUESSEL.txt)

Wenn man vorher auch noch einen GPG-Agenten gestartet hat, erfolgt die Abfrage des Kennsatzes nur ein einziges mal und alle Schlüssel werden
einer nach dem anderen zur Bearbeitung gebracht. Mit diesen Tricks lässt sich die Zeit fürs Signieren einer kompletten Liste drastisch reduzieren.
Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails walten zu lassen.

Methode 3

Kopieren Sie (falls noch nicht geschehen) $HOME/.gnupg/gpg.conf nach $HOME/.caff/gnupghome/. In der Datei gpg.conf sollte der Eintrag "use-agent"
zu finden sein. Natürlich muss gpg-agent auf Ihrem System eingrichtet sein, was auch häufig gegeben ist. Den Agenten selbst starten Sie entweder
automatisiert in Ihrer .bashrc oder nur dann, wenn er auch tatsächlich benötigt wird mit eval `gpg-agent --daemon`. Siehe auch man gpg-agent.
Sicherheitshinweis: Wenn der Agent gestartet wurde und Sie den Kennwortsatz eingegeben haben, dann bleibt dieser -und das ist der Zweck diese Agenten -
für eine einstellbare Zeit gespeichert, d. h. wenn Sie ihren Rechner nach der Eingabe des Kennsatzes unbeobachtet lassen könnten dubiose Zeitgenossen
Ihres geheimen Schlüssels und weiterer Datenbestände auf Ihrem Rechner habhaft werden!

Da alle Teilnehmer während der Keysigning-Party die Richtigkeit des so genannten Fingerprints ihres Schlüssels bestätigt haben, kann nun präzise
mit genau dieser Zahlenkolonne gearbeitet werden, denn sowohl gpg als auch caff verstehen damit umzugehen. Das ist nun zu tun:

Originaldatei kopieren

benutzer@computer:>
cp ksp-ethz08.txt
MeineListe.txt

Editieren Sie MeineListe.txt nun und entfernen die Zeile fingerprint = xxxx xxxx [...] bei den Einträgen von Personen, die nicht anwesend waren
und speichern diese Datei anschliessend ab.

Fingerprints suchen, extrahieren und in eine neue Datei umleiten.

benutzer@computer:> cat MeineListe.txt | egrep 'fingerprint =
' | cut -c 25-74 >ALLE_SCHLUESSEL.txt

Editieren Sie die Datei ALLE_SCHLUESSEL.txt und vergewissern Sie sich, dass alle v4-Schlüssel in 10 Blöcken zu je 4-Zeichen
untereinander angegeben sind, Leerzeichen zwischen den Blöcken sind indes ohne Bedeutung. Zeilen mit v3-Schlüsseln
(xx xx xx xx [...]) müssen gelöscht werden. Schlüssel dieser Art können nur wie unter Methode 1 beschrieben beglaubigt werden.
Vergessen Sie bitte nicht anschliessend v3-Schlüssel manuell zu signieren.

Speichern Sie ALLE_SCHLUESSEL.txt ab und starten Sie caff mit der eben erstellten Datei. Vermerken Sie Ihre Aktivitäten auf der Papierliste um
den Überblick zu behalten.

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID "`cat
ALLE_SCHLUESSEL.txt`"

Wie weiter oben schon beschrieben, kann auch mit mehreren eigenen Schlüsseln signiert werden, setzen Sie einfach ein Komma als Trennmuster.

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1,
EIGENE-SCHLÜSSEL-ID2 "`cat
ALLE_SCHLUESSEL.txt`"

Wir bitten Sie die Prüfung von Ausweisen und Schlüsseldetails sehr sorgfältig durchzuführen und sich für das Signieren ausreichend Zeit zu nehmen.

Statistik

Henk Penning und Patrick Feisthammel sammeln fleissig Schlüsseldaten und stellen diese aufbereitet zur Verfügung.
Wer mehr über das Web-of-Trust erfahren will, findet hier aktuelle Statistikdaten. Informationen zum eigenen GPG/PGP-Schlüssel
findet man auf dieser Internetseite. Dort kann man sich nach Eingabe der eigenen Schlüssel-ID im Feld stats: einen Überblick
über geleistete und empfangene Beglaubigungen, den aktuellen Rang und verschiedene andere Daten betrachten. Es lohnt sich
also, ein Lesezeichen dafür anzulegen. Ergänzen Sie einfach Ihre 8-stellige Schlüssel-ID am Ende der unten angegebenen Adresse
nach dem =-Zeichen.

http://pgp.cs.uu.nl/mk_path.cgi?STAT=xxxxxxxx

Beispiel mit einem Schlüssel von Patrick Feisthammel: http://pgp.cs.uu.nl/mk_path.cgi?STAT=DD934139

Literatur, Software und weitere Quellen

Eine hervorragende Anleitung in deutscher Sprache rund um GPG/PGP stammt von Kai Raven.
Das GNU-Handbuch zum Schutze der Privatsphäre
GnuPG Keysigning-Party HOWTO
Gnu Privacy Guard (GnuPG) Mini Howto
GnuPG für MS-Windows GPG4Win
GnuPG für MS-Windows GPG4Win Installationsanleitung
GnuPG unter Mac OSX Anleitung
Mac GNU Privacy Guard Anleitung
Using the GNU Privacy Guard (PDF) Anleitung
GnuPG Fragen und Antworten FAQ
GnuPG HOWTOs Sammlung
GnuPG User Guides Sammlung
Schneier, Bruce "Schneier on Security" 336 Seiten, gebunden, 2008, Verlag John Wiley and Sons Ltd, ISBN-13: 9780470395356
Schneier, Bruce "Secrets and Lies" 414 Seiten, 2004, gebunden, Verlag John Wiley and Sons Ltd, ISBN-13: 9780471453802
Ferguson, Nancy; Schneier, Bruce "Practical Cryptography" 432 Seiten, 2003, Pb, Verlag John Wiley and Sons Ltd, ISBN-13: 9780471223573

Danksagung

Mit Ihrer Teilnahme an dieser Keysigning-Party und dem anschliessenden Signieren der einzelnen GPG/PGP-Schlüssel leisten Sie einen
wichtigen Beitrag zur Stärkung des Vertrauensnetzwerkes (Web-of-Trust), wofür wir uns herzlich bei Ihnen bedanken. Ferner bedanken
wir uns bei der Eidgenössischen Technischen Hochschule (ETH) Zürich für die Bereitstellungder Räumlichkeiten und der
technischen Infrastruktur. Desweiteren halfen uns viele weitere Einzelpersonen, Firmen und Institutionen, ohne deren tatkräftigen Einsatz
eine solche Veranstaltungsicher nicht möglich wäre, ihnen schulden wir besonderen Dank:

Martin "zobel" Zobel-Helas für Tipps und zuverlässige Serverbetreuung.
Alexander "formorer" Wirt für das hkp-server-Script.
Alex "XTaran" Beckert, Martin "Venty" Ebnöther und Marius "Jiuka" Rieder für die lokale Unterstützung.
Patrick Feisthammel für die Unterhaltung und Pflege des schweizer Keyservers.
Daniel Roethlisberger für den Betrieb der schweizer KSP-Mailling-Liste.
Den Mitgliedern der LUGS , LUGBE und des schweizer Chaos Computer Clubs Zürich für Werbung und Unterstützung.
Henk Penning, der mit Engelsgeduld und hohem persönlichem Einsatz Statistikdaten zum Web-of-Trust erhebt und aufbereitet.
Peter "weasel" Palfrader für die Entwicklung von gpglist und CA-Fire-and-forget caff.
Uli Martens, Christoph "myon" Berg, Simon Richter und Thijs Kinkhorst für u. a. gpg-key2ps und weiterer Skripte aus der pgp-tools-Sammlung.
PrivaSphere AG für die Ankündigung auf deren Seiten.
Information Security Society Switzerland (ISSS).
Information Management & Security (IMSEC), Dr. Marcus Holthaus.
Redaktion informatic08.
Schweizer Informatik Gesellschaft (SIG).
Neue Züricher Zeitung (NZZ).
Neue Züricher Zeitung am Sonntag (NZZaS).
Neue Züricher Zeitung Campus (NZZCampus).
Tages-Anzeiger Zürich (TAZ).
Sonntagszeitung Zürich (SZZ).

$Id: ksp-ethz08.html,v 1.41 2009/05/06 15:35:33 u025083 Exp u025083 $