Keysigning-Party

Sponsoren:

Keysigning-Party

Was ist das?

PGP bzw. GPG ist ein dezentrales Verschlüsselungs- und Signatursystem. Das funktioniert nur, wenn jeder Schlüssel von möglichst vielen Anderen signiert ist -- so kann niemand dem System einen Fremdschlüssel unterschieben.

Was tun wir dafür?

Wir veranstalten auf der diesjährigen Ubucon eine Keysigning-Party am Samstag von 16.00-18.00 Uhr im Raum Hardy.

Was müsst ihr dafür tun?

- Wenn ihr noch keinen GPG-Key erstellt habt: Höchste Zeit!

gpg --gen-key (DSA and Elgamal, 2048 Bits sind OK, als Laufzeit empfehle ich 2 Jahre oder so (kann man verlängern))

- Eine Mail an This e-mail address is being protected from spambots, you need JavaScript enabled to view it schicken mit dem GPG-Fingerprint des Keys, der signiert werden soll. Kommandozeile:

gpg --fingerprint DEINE_KEYID | mail This e-mail address is being protected from spambots, you need JavaScript enabled to view it

- Vor der Veranstaltung den eigenen Key auf den Keyserver hochladen, sonst hat keiner was zum Signieren.

gpg --keyserver KEYSERVER --send-key DEINE_KEYID

- Die Liste der Teilnehmer, die wir ein paar Tage vor dem Event an alle Beteiligten mailen, ausdrucken. (Wir drucken diese nicht selber. Das ist Absicht. Details siehe unten.)

- Mit mindestens einem offiziellen Ausweis (Person, Pass) zur Keysigning-Party kommen.

Was passiert da?

- Du begegnest dort jedem anderen Teilnehmer (wirklich jedem? Ja. Das organisieren wir), prüfst den Ausweis, und lässt dir bestätigen dass sein Key auf der Liste korrekt ist. Dann machst du einen Haken auf deinen Zettel und gehst zum Nächsten.

Und danach?

- Deinen Zettel gibst du nicht mehr aus der Hand, damit kein Unbefugter noch schnell einen Haken hinkritzeln kann.

- Zuhause signierst du in aller Ruhe die betreffenden IDs und mailst die Signatur verschlüsselt an die in der ID angegebene Mailadresse. (Dazu gibt es von uns ein Perl-Skript.)

- Du bekommst außerdem einen Haufen verschlüsselter Mails anderer Teilnehmer, die du entschlüsseln und mit "gpg --import" verarbeiten kannst. Danach lädst du deine neuen Signaturen mit dem bekannten

gpg --send DEINE_KEYID

auf einen Keyserver hoch.

Details:

Die Mail mit den Keys wird eine Liste der GPG-Fingerprints enthalten und mit SHA1- und MD5-Hash versehen sein. Ihr verifiziert nach Empfang, dass diese Hashwerte stimmen und dass der Fingerprint auf eurer Liste mit dem eures Keys übereinstimmt. Dann druckt ihr diese Liste aus und schreibt die Hashwerte auf euren Ausdruck.

Auf der Veranstaltung lesen wir die Hashwerte zu Beginn laut vor. Damit ist sichergestellt, dass jeder dieselbe Liste hat, mithin dass jeder Fingerprint identisch ist.

Dadurch ist 100% sichergestellt, dass niemand (auch wir als Veranstalter nicht!) in der Lage ist, euch einen manipulierten Key unterzuschieben.

Die Richtigkeit der Emailadressen im Key verifizieren wir dadurch, dass jede ID einzeln signiert und das Resultat mit dem dazugehörigen Key verschlüsselt wird. Nur wenn die Mail mit dem Key den richtigen Empfänger erreicht, kann dieser deine Signatur importieren; die Überprüfung geschieht also quasi von selbst.