Aus CCCZH
Key Signing Party
Der Chaos Computer Club Zürich (CCCZH) veranstaltet sogenannte key-signing parties, auf denen sich Leute mit PGP/GnuPG-Schlüsseln treffen und sich gegenseitig ihre Schlüssel unterschreiben können. Dadurch wird ein Web of Trust gebildet, dass ohne zentrale und anfällige Zertifizierungsstellen das Vertrauen in die Verschlüsselungen und Signaturen der unterschriebenen Schlüssel stärkt. Eine solche Veranstaltung kann auch als Forum dienen, um über die starke Verschlüsselung und andere Krypto-Themen mit Gleichgesinnten zu diskutieren.
Die nächste Key-Signing Party
Zeitplan
Der folgende Zeitplan gilt für die nächste Key-Signing Party:
| Mi. 7.12.2011 23:59 | Anmeldeschluss: Bis zu diesem Zeitpunkt können die eigenen Schlüssel in den Schlüsselbund für die Veranstaltung aufgenommen werden. |
| Do. 8.12.2011 | Teilnahmebestätigungen werden per E-Mail verschickt |
| Sa. 10.12.2011: 14.00-15.00 | Key-Signing Party : Alle gemeldeten Teilnehmer treffen sich bis 13:50 im Züricher Hackerspace. Dort werden die Organistoren des CCCZH mit den Teilnehmern das weitere Prozedere besprechen. Sollten sich mehr als 30 Teilnehmer melden, wird der Event möglicherweise an einem anderen Ort in Zürich stattfinden. Der genaue Ort wird auf der Teilnahmebestätigungs-EMail genannt werden. |
| Mo. 12.12.2011 23:59 | Abschluss, d. h. alle Unterschriften sind geleistet und per EMail an die Schlüsselinhaber verschickt. Die Schlüsselinhaber können dann die neuen Signaturen auf einen Keyserver hochladen. |
Schlüsselbund für die Anmeldung
Für diese Key-Signing Party steht ein reservierter Schlüsselbund zur Verfügung. Zur Anmeldung muss der eigene Schlüssel in diesen Schlüsselbund hochgeladen werden (Anmeldeschluss beachten!).
Genereller Ablauf
Anmeldung
Zur Anmeldung genügt es, den eigenen GnuPG/PGP-Schlüssel im Schlüsselbund für die Veranstaltung abzulegen. Es können nur Anmeldungen berücksichtigt werden, die bis zum Anmeldeschluss eingegangen sind.
Dazu muss zuerst der eigene Schlüssel auf dem lokalen Computer eine spezielle ASCII-Datei exportiert werden. Dies kann entweder..
| » | ... aus einer Applikation heraus erfolgen, die GnuPG verwendet (wie zum Beispiel Enigmail in Thunderbird) |
| » | ... mit einem speziellen graphischen GnuPG-Programm geschehen, das den eigenen Schlüsselbund verwaltet (unter Windows folgen Sie z.B. dieser Anleitung). |
| » | ... durch ein GnuPG-Kommando ausgeführt werden |
|
Die erstellte Datei sollte sich dann mühelos dem Schlüsselbund der Veranstaltung hinzufügen lassen. Bitte stellen Sie vorher sicher, dass alle UIDs des Schlüssel über gültige/funktionierende E-Mail-Adressen verfügen und der Schlüssel bis mindestens drei Monate nach der Key-Signing Party gültig ist.
Der Vorgang kann wiederholt werden, wenn weitere eigene Schlüssel verwendet werden sollen.
Bestätigung und Vorbereitung
Alle Teilnehmer erhalten eine Teilnehmer-Liste per E-Mail als Bestätigung ihrer Anmeldung. Diese Liste ist als ASCII-Datei lokal zu speichern und auszudrucken.
Jeder Teilnehmer muss jetzt überprüfen, ob sein Schlüssel in der Liste korrekt aufgeführt wird. Ist dies nicht der Fall, sollte er am besten gar nicht auf der Key-Signing Party erscheinen, da eine Korrektur zu diesem Zeitpunkt nicht mehr möglich ist.
Zusätzlich muss der Teilnehmer den SHA1-Fingerprint über die gespeicherte Liste berechnen und auf dem Ausdruck handschriftlich vermerken. Unter Windows steht ein Programm zur Berechnung der SHA1-Prüfsumme von Microsoft zur Verfügung; unter Linux u.ä. kann die Prüfsumme durch ein Shell-Kommando erstellt werden:
sha1sum <LISTE>
Key-Signing Party
Mitbringen
- Ausdruck mit eingetragener Prüfsumme
- Gültiges Ausweisdokument
- Stift (zusätzlich wird ein Clipboard empfohlen)
Was man nicht mitbringen sollte/muss
- Paperslips mit Schlüsselinfos
- Computer
Ablauf
Begrüßung
Die Organisatoren erklären noch einmal kurz den Ablauf der Key-Signing Party.
Überprüfung der Prüfsumme auf der ausgedruckte Teilnehmerliste
Der Organisator verkündet die SHA1-Prüfsumme der ausgedruckten Teilnehmerliste. Jeder Teilnehmer prüft dieses Ergebnis mit der von ihm auf seiner eigenen Liste notierten Prüfsumme. Bei Diskrepanzen erhält der Teilnehmer eine neue, geprüfte Liste.
Identitäts- und Schlüsselprüfung
Schlüsselinhaber prüfen gegenseitig ihre Identität durch Vorzeigen und kontrollieren der Ausweise in einem Round Robin-Verfahren. Jeder Teilnehmer bestätigt dabei auch, dass der auf der Liste angeführte Schlüssel tatsächlich ihm gehört.
Gerade Anzahl von Teilnehmern
Ungerade Anzahl von Teilnehmern
Abschluss der Party
Die Teilnehmer streichen gemeinsam die Schlüssel/Personen aus der Liste, die nicht an der Party teilgenommen haben, deren Identität nicht bestätigt werden konnte oder deren Schlüsselinfos falsch waren. Damit ist der offizielle Teil der Key-Signing Party vorüber...
Signieren der Schlüssel und Verschicken per EMail an den Schlüsselinhaber
Nach der Key-Signing Party müssen alle Teilnehmer die Schlüssel der Personen, deren Identität sie anhand eines Ausweises kontrolliert haben, unterschreiben (digital signieren). Dies geschieht für jeden zu bearbeitenden Schlüssel in drei Schritten:
- Importieren des öffentlichen Schlüssels von einem Keyserver
- Unterschreiben (Signieren) des importierten Schlüssels
- Verschicken des öffentlichen Schlüssels per EMail
Unter Linux wird die Verwendung von caff empfohlen, um alle drei Schritte in einem Durchlauf auszuführen.
Ansonsten empfiehlt es sich diese Schritte in einem Programm auszuführen, mit dem der eigene Schlüsselbund auf dem lokalen Rechner verwaltet werden kann. Alternativ kann natürlich auch das Kommandozeilen-Interface von GnuPG verwendet werden.
