K E Y S I G N I N G - P A R T Y

Freitag, 12. Dezember 2008 um 19.00 Uhr

ETH Zürich
Campus Zentrum
Hauptgebäude (HG)
Raum E21
Rämistrasse 101
CH- 8092 Zürich

Flagge Schweiz


Karlheinz "streng" Geyer
  und Michele Borrelli in dankbarer Zusammenarbeit mit:
  • Axel "XTaran" Beckert
  • Martin "Venty" Ebnöther
  • Marius "Jiuka" Rieder
  • ETH Zürich
  • Linux User Group Switzerland (LUGS)
eth-logo

Beschrieb

Eine Keysigning-Party ist ein Treffen von Leuten, die das GPG/PGP-Verschlüsselungssystem verwenden, mit der Absicht, Schlüssel und Identität untereinander zu beglaubigen.
Keysigning-Partys dienen dem Zweck, das Web-of-Trust zu stärken und dadurch jedem einzelnen durch den Einsatz kryptografischer Verfahren Schutz persönlicher Daten zu
ermöglichen.


Ebenfalls bietet sich eine solche Veranstaltung an, um gemeinsam über politische und soziale Fragen rund um Kryptographie und individuelle Freiheit und Souveränität

zu diskutieren. Ausserdem lernt man sich kennen und kann sich über die verschiedensten Dinge in zwangloser Atmosphäre austauschen. Deshalb treffen wir uns am
Freitag, 12. Dezember pünktlich um 19.00 Uhr in den Räumlichkeiten der Eidgenössischen Technischen Hochschule (ETH) in Zürich, Hauptgebäude (HG) Raum E21,
Rämistrasse 101 um gemeinsam eine Keysigning-Party durchzuführen. Ein detaillierter Gebäudegrundrissplan ist hier zu finden.

Schnellübersicht


DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen.
CH/AT/FL/DE
Prospekt_notumblePDF
Prospekt_notumblePDF
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen. IT
Prospekt_notumblePDF
Prospekt_tumblePDF
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen. FR
Prospekt_notumblePDF Prospekt_tumblePDF
Finale Teilnehmerliste (UTF8-Text-Datei)
 

TeilnehmerlisteTXT

Finaler Hauptschlüsselbund (ASC-Datei, unkomprimiert)
 

HauptschluesselbundASC

Finaler Hauptschlüsselbund (BZ2-Datei, komprimiert)
 

HauptschluesselbundBZ2

Relationsgraph vor Beginn der KSP (SVG-Datei)
 

RelationsgraphSVG

Gruppenmatrix (ASCII-Datei)

Gruppenmatrix

Auswertung


Relationsgraph vom 30.12.2008
RelationsgraphSVG
Relationsgraph vom 09.01.2009 RelationsgraphSVG
Relationsgraph vom 10.02.2009 RelationsgraphSVG
Relationsgraph und Matrix vom 16.02.2009 RelationsgraphSVG Gruppenmatrix
Relationsgraph und Matrix vom 20.02.2009.
(Bereinigt von Schlüsseln, deren Eigentümer nicht an der KSP teilnehmen konnten.)
RelationsgraphSVG Gruppenmatrix
Relationsgraph und Matrix vom 21.03.2009. RelationsgraphSVG Gruppenmatrix
Relationsgraph und Matrix vom 10.04.2009 RelationsgraphSVG Gruppenmatrix
Relationsgraph und Matrix vom 06.05.2009 RelationsgraphSVG Gruppenmatrix

Anmeldung

Der Anmeldeschluss ist nun erreicht, es können keine weiteren GPG/PGP-Schlüssel angenommen werden. Sollten Sie den Anmeldeschluss versäumt
haben, dann erstellen Sie bitte mit gpg-key2ps  ihre Schlüsselstreifen, damit können Sie dann an der KSP teilnehmen.
 
benutzer@computer:~$ > gpg-key2ps -pA4 KEY-ID > Schluesselstreifen.ps

Es werden 83+ Schlüsselstreifen benötigt, zudem bitten wir Sie die finale Teilnehmerliste auszudrucken und mitzubringen.

Anmelden zu dieser kostenlosen Veranstaltung kann sich jeder, der im Besitz eines GPG/PGP-Schlüssels ist und über eine gültige Identitätskarte verfügt.
Übertragen Sie einfach bis
spätestens 9. Dezember 23.50 Uhr MEZ Ihre(n) eigene(n) GPG/PGP-Schlüssel auf unseren Keyserver.

benutzer@computer:~$ > gpg --keyserver hkp://ethz08-ksp.ftbfs.de --send-key KEY-ID

(Beispiel: gpg --keyserver hkp://ethz08-ksp.ftbfs.de --send-key A23BC4DD)

Der Server generiert jeweils um 00.20/30, 08.20/30, 16.20/30 Uhr UTC Teilnehmerliste und Relationsgraph darin sollte der von Ihnen eingereichte Schlüssel dann
spätestens am darauf folgenden Tag zu finden sein.


Bitte sorgen Sie ausserdem dafür, dass Ihr GPG/PGP-Schlüssel später auch für andere zur Verfügung steht. Dazu sollten Sie ihn auf einem öffentlichen Schlüsselserver
wie zum Beispiel
subkeys.pgp.net und wwwkeys.ch.pgp.net ablegen.

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net --send-key KEY-ID
benutzer@computer:~$ > gpg --keyserver wwwkeys.ch.pgp.net --send-key KEY-ID

Einen GPG-Schlüssel erzeugen

Wenn Sie noch keinen GPG-Schlüssel besitzen, dann können Sie z. B. unter Linux/Unix mit gpg einen solchen generieren lassen.

benutzer@computer:~$ > gpg --gen-key --enable-dsa2

Natürlich gibt es auch Programme, um z. B. unter Microsoft-Windows, Mac OSX u. a. GPG/PGP-Schlüssel zu erzeugen. Hilfe und weitere Details zum Erstellen von
Schlüsselpaaren unter Linux, Mac OSX und MS-Windows siehe Kai Raven
Deutsche GnuPG-Anleitung Seite 4 oder GNU-Handbuch .
Sobald das Schlüsselpaar fertiggestellt ist, können Sie den öffentlichen Teil davon wie oben beschrieben zur Anmeldung einreichen.


Vor der Keysigning-Party

Nachdem Sie nun angemeldet sind, sollten Sie die Gültigkeit Ihrer Identitätskarte prüfen. Ohne gültiges Ausweisdokument ist die Teilnahme
an der Keysigning-Party leider nicht möglich!


Etwa zwei Tage vor dem eigentlichen Termin erhalten alle angemeldeten Teilnehmer eine E-Mail mit weiteren Informationen und der fertiggestellten
Teilnehmerliste als Anhang. Die Liste selbst nebst dem Schlüsselring und einigen Statistikdateien kann natürlich auch von dieser Seite kopiert werden.

Bitte verwenden Sie nur eine Liste mit einem Datum neuer als 09.12.2008, da sich täglich Interessierte anmelden und die Liste somit permanenten
Änderungen unterworfen ist! In den Morgenstunden des 10. Dezember wird eine finalisierte
Teilnehmerliste bereitgestellt. Alle bis dahin angemeldeten
Interessenten werden zudem per E-Mail informiert.


Diese Dateien werden für die Keysigning-Party benötigt:
  1. Teilnehmerliste (UTF8-Text)
  2. Hauptschlüsselbund unkomprimiert (ASC-Datei)
  3. Hauptschlüsselbund bz2-komprimiert (optional) (BZ2-Datei)
  4. Relationsgraph (optional) (SVG-Datei)
Nach Erhalt der Teilnehmerliste ist diese auf Echtheit zu überprüfen, dazu ermitteln Sie bitte die MD5- und SHA1-Prüfsummen der unveränderten Datei
und vermerken diese bitte handschriftlich in den dafür vorgesehenen Feldern im Listenkopf.

benutzer@computer:~$ > gpg --print-md md5 ksp-ethz08.txt
benutzer@computer:~$ > gpg --print-md sha1 ksp-ethz08.txt

Am 12.12.2008 bringen Sie bitte
  1. die ausgedruckte Teilnehmerliste
  2. ein amtliches, persönliches Ausweisdokument mit Lichtbild (Identitätskarte/Reisepass)
  3. einen Kugelschreiber und
  4. ggf. zusätzliche Schlüsselstreifen, die Sie leicht mit gpg-key2ps selbst erzeugen können
mit.

Während der Keysigning-Party

Die Keysigning-Party wird nach einer vorgeschlagenen Prozedur von Len Sassaman durchgeführt. Nach der Begrüssung der Teilnehmer werden die Regularien
verkündet und die ermittelten Prüfsummen verglichen. Danach werden zwei Teilnehmerreihen im Raum selbst oder auf einem ausreichend grossen Gebäudeflur
gebildet. Die Teilnehmer stehen sich nun gegenüber und mit dem Überprüfen der Ausweisdokumente kann begonnen werden. Nähere Informationen dazu werden
zu Beginn der Veranstaltung erteilt.

Folgende Prüfsummen der Teilnehmerliste wurden ermittelt und durch die Anwesenden während der Keysigning-Party am 12.12.2008 um 19.15 Uhr bestätigt:

MD5 :E3 BB 01 8B 94 D8 36 9C  3A 9E 0C 18 16 77 8D 22
SHA1:D57F B6E8 139C 6FFD DD31  4D98 9860 2869 B809 AD6A

Nach der Keysigning-Party

Nachfolgend genannte Personen waren entschuldigt und konnten nicht an der KSP teilnehmen, bitte deren Schlüssel nicht signieren!
Listennummer
Schlüssel-ID
Name
006
0x330C4A75
M. F. Krafft
009
0xAB41AB85
F. Fingerle
010
0x0995A676
D. Deimeke
011
0x9584158E
D. Deimeke
014
0x14467B8C
H. Kreft
027
0xC927A153
M. Luder
031
0xA381A41B
P. Weber
032
0x231B65D0
S. Leinen
033
0x66625192
M. Waldvogel
034
0x31EF0322
M. Waldvogel
035
0x8084EC62
R. Dietiker
046
0xF7AB9CE5
H. Madeira
052
0xED42EE0F
P. Kocher


Bitte nehmen Sie sich für das Signieren und die Prüfung der Schlüsselangaben Zeit, Genauigkeit geht vor Geschwindigkeit!

Bevor öffentliche Schlüssel signiert werden können, müssen diese zunächst dem eigenen Schlüsselbund hinzugefügt werden. Dies kann auf zweierlei Arten
geschehen, zum einen
durch den Import des Hauptschlüsselbund unkomprimiert (ASC-Datei) mittels,

benutzer@computer:~$ > gpg --import ksp-ethz08.asc

(Hinweis: Dieser Schritt entfällt, sollten Sie sich für das Signieren mit caff entschieden haben.)

oder jeder als vertrauenswürdig eingestufte Schlüssel wird einzeln abgerufen und importiert beispielsweise durch

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net --recv-key KEYID

Sobald die Schlüssel importiert sind, kann mit dem eigentlichen Prozess des Signierens fortgefahren werden.

Beglaubigung nach der traditionellen Methode

Methode 1

benutzer@computer:~$ > gpg --edit-key KEYID

gpg präsentiert sich so gestartet im interaktiven Modus. Der Befehl fpr gibt den Fingerabruck des in Bearbeitung befindlichen Schlüssels aus.

Command>fpr

Stimmt der angezeigt Wert mit dem auf der Teilnehmerliste überein, dann kann der Schlüssel durch die Eingabe von "sign" signiert werden.

Command>sign

Die Fragen, ob alle UIDs signiert werden sollen und ob denn wirklich eine Signatur erfolgen soll, sind mit y bzw. j zu beantworten.
Der in Bearbeitung befindliche Schlüssel ist signiert, nachdem der persönliche Kennwortsatz abgefragt wurde.

Anschliessend sollten Sie den Vertrauensstatus festlegen.

Command>trust

Hierbei kann man einen der nachfolgend genannten Werte auswählen:

1  Ich bin mir nicht sicher (I don't know or won't say)
2  Kein Vertrauen (I do NOT trust)
3  Marginales Vertrauen (I trust marginally)
4  Volles Vertrauen (I trust fully)
5  Ultimatives Vertrauen (I trust ultimately) NUR FÜR DEN/DIE EIGENEN SCHLÜSSEL

Abschluss der Bearbeitung mit

Command>save
Danach wird der Schlüssel mit der gerade erzeugten Signatur und dem Vertrauensstatus automatisch dem eigenen Schlüsselring zugeführt.

Den gerade signierten Schlüssels können Sie nun exportieren und als Anlage einer E-Mail an den Schlüsseleigner übersenden
benutzer@computer:~$ > gpg --armor --export KEYID > NachnameVorname.asc

oder Sie legen den Schlüssel direkt auf einem Keyserver ab (nicht empfohlen!).

benutzer@computer:~$ > gpg --keyserver subkeys.pgp.net --send-key KEYID

Beglaubigung eines Schlüssels mit caff

caff ist ein PERL-Script von Peter Palfrader alias "weasel". Es kann von hier kopiert werden.

caff legt im Heim-Verzeichnis des Benutzers ein Unterverzeichnis .caff an, indem weitere Verzeichnisse wie gnupghome und keys erzeugt werden.
Das Verzeichnis gnupghome enthält nach der ersten Benutzung von caff einen eigenen Schlüsselring (ohne Secret-Key!), der alle Schlüssel aufnimmt,
welche zukünftig mit caff signiert werden. Ausserdem wird im Heimat-Verzeichnis des jeweiligen Benutzers eine Datei .caffrc erzeugt, die man
vor
der ersten Benutzung von caff editieren und den eigenen Gegebenheiten entsprechend anpassen sollte.

Im Verzeichnis keys werden alle generierten EMails nebst Schlüsseln nach Datum sortiert abgelegt.

Der Vorteil von caff ist, dass man sich um fast nichts mehr selbst kümmern muss. So wird beispielsweise ein übergebener Schlüssel vom Keyserver
geladen, der Edit-Modus von gpg gestartet und nach Beendigung dessen eine versandfertige EMail erzeugt. Diese EMail enthält den Rumpf-Text aus
der Datei $HOME/.caffrc, sowie den signierten Schlüssel als Anlage. caff erzeugt für jede UID eines Schlüssels je eine separate EMail, welche über PERL::Mailer
versendet wird. Beispiel:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID FREMD-SCHLÜSSEL_ID

Falls Sie mit mehren Schlüsseln signieren wollen, werden die einzelnen Schlüssel durch Kommata "," voneinander getrennt:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID1, EIGEN-SCHLÜSSEL-ID2 FREMD-SCHLÜSSEL_ID

caff-Optionen

-e, --export-old Exportiert auch bereits früher geleistete Signaturen.
-E, --no-export-old Ohne den Export früher geleisteter Signaturen.
-m, --mail Versendet eine EMail nachdem signiert wurde.
-M, --no-mail Kein EMailversand
-R, --no-download Kein Key-Download
-S, --no-sign Schlüssel nicht signieren
-u yourkeyid, --local-user Die eigene Schlüssel-ID, sofern nicht schon in .caffrc angegeben

Beglaubigung einer kompletten KSP-Liste mit caff

Methode 2

Mittels caff lässt sich auch eine komplette Teilnehmerliste auf einmal bearbeiten, so wird es gemacht:

benutzer@computer:> cp ksp-ethz08.txt MeineListe.txt

benutzer@computer:> cat MeineListe.txt | egrep 'pub' | cut -c 13-20 > ALLE_SCHLUESSEL.txt

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID $(cat ALLE_SCHLUESSEL.txt)

Oder Sie wollen gleich mit mehreren Ihrer Schlüssel signieren:
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1, EIGENE-SCHLÜSSEL-ID2 $(cat ALLE_SCHLUESSEL.txt)

Wenn man vorher auch noch einen GPG-Agenten gestartet hat, erfolgt die Abfrage des Kennsatzes nur ein einziges mal und alle Schlüssel werden
einer nach dem anderen zur Bearbeitung gebracht.
Mit diesen Tricks lässt sich die Zeit fürs Signieren einer kompletten Liste drastisch reduzieren.
Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten
Fingerprints und anderer Schlüsseldetails walten zu lassen.

Methode 3

Da alle Teilnehmer während der Keysigning-Party die Richtigkeit des so genannten Fingerprints ihres Schlüssels bestätigt haben, kann nun präzise
mit genau dieser Zahlenkolonne gearbeitet werden, denn sowohl gpg als auch caff verstehen damit umzugehen. Das ist nun zu tun:
benutzer@computer:> cp ksp-ethz08.txt MeineListe.txt benutzer@computer:> cat MeineListe.txt | egrep 'fingerprint = ' | cut -c 25-74 >ALLE_SCHLUESSEL.txt
benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID "`cat ALLE_SCHLUESSEL.txt`"

Wie weiter oben schon beschrieben, kann auch mit mehreren eigenen Schlüsseln signiert werden, setzen Sie einfach ein Komma als Trennmuster.

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL-ID1, EIGENE-SCHLÜSSEL-ID2 "`cat ALLE_SCHLUESSEL.txt`"

Wir bitten Sie die Prüfung von Ausweisen und Schlüsseldetails sehr sorgfältig durchzuführen und sich für das Signieren ausreichend Zeit zu nehmen.

Statistik

Henk Penning und Patrick Feisthammel sammeln fleissig Schlüsseldaten und stellen diese aufbereitet zur Verfügung.
Wer mehr über das Web-of-Trust erfahren will, findet hier aktuelle Statistikdaten. Informationen zum eigenen GPG/PGP-Schlüssel
findet man auf dieser Internetseite. Dort kann man sich nach Eingabe der eigenen Schlüssel-ID im Feld stats: einen Überblick
über geleistete und empfangene Beglaubigungen, den aktuellen Rang und verschiedene andere Daten betrachten. Es lohnt sich
also, ein Lesezeichen dafür anzulegen. Ergänzen Sie einfach Ihre 8-stellige Schlüssel-ID am Ende der unten angegebenen Adresse
nach
dem =-Zeichen.

http://pgp.cs.uu.nl/mk_path.cgi?STAT=xxxxxxxx

Beispiel mit einem Schlüssel von Patrick Feisthammel: http://pgp.cs.uu.nl/mk_path.cgi?STAT=DD934139

Literatur, Software und weitere Quellen

  1. Eine hervorragende Anleitung in deutscher Sprache rund um GPG/PGP stammt von Kai Raven.
  2. Das GNU-Handbuch zum Schutze der Privatsphäre
  3. GnuPG Keysigning-Party HOWTO
  4. Gnu Privacy Guard (GnuPG) Mini Howto
  5. GnuPG für MS-Windows GPG4Win
  6. GnuPG für MS-Windows GPG4Win Installationsanleitung
  7. GnuPG unter Mac OSX Anleitung
  8. Mac GNU Privacy Guard Anleitung
  9. Using the GNU Privacy Guard (PDF) Anleitung
  10. GnuPG Fragen und Antworten FAQ
  11. GnuPG HOWTOs Sammlung
  12. GnuPG User Guides Sammlung
  13. Schneier, Bruce "Schneier on Security" 336 Seiten, gebunden, 2008, Verlag John Wiley and Sons Ltd, ISBN-13: 9780470395356
  14. Schneier, Bruce "Secrets and Lies" 414 Seiten, 2004, gebunden, Verlag John Wiley and Sons Ltd, ISBN-13: 9780471453802
  15. Ferguson, Nancy; Schneier, Bruce "Practical Cryptography" 432 Seiten, 2003, Pb, Verlag John Wiley and Sons Ltd, ISBN-13: 9780471223573

Danksagung

Mit Ihrer Teilnahme an dieser Keysigning-Party und dem anschliessenden Signieren der einzelnen GPG/PGP-Schlüssel leisten Sie einen
wichtigen Beitrag zur Stärkung des Vertrauensnetzwerkes (Web-of-Trust), wofür wir uns herzlich bei Ihnen bedanken. Ferner bedanken
wir uns bei der Eidgenössischen Technischen Hochschule (ETH) Zürich für die Bereitstellungder Räumlichkeiten und der
technischen Infrastruktur. Desweiteren halfen uns viele weitere Einzelpersonen, Firmen und Institutionen, ohne deren tatkräftigen Einsatz
eine solche Veranstaltung
sicher nicht möglich wäre, ihnen schulden wir besonderen Dank:


$Id: ksp-ethz08.html,v 1.41 2009/05/06 15:35:33 u025083 Exp u025083 $