Aus CCCZH

Key Signing Party

Der Chaos Computer Club Zürich (CCCZH) veranstaltet sogenannte key-signing parties, auf denen sich Leute mit PGP/GnuPG-Schlüsseln treffen und sich gegenseitig ihre Schlüssel unterschreiben können. Dadurch wird ein Web of Trust gebildet, das ohne zentrale und anfällige Zertifizierungsstellen das Vertrauen in die Verschlüsselungen und Signaturen der unterschriebenen Schlüssel stärkt. Eine solche Veranstaltung kann auch als Forum dienen, um über die starke Verschlüsselung und andere Krypto-Themen mit Gleichgesinnten zu diskutieren.

Die nächste Key-Signing Party

Im moment sind keine Parties geplant. Spontane Key-Signings sind an einem Chaostreff möglich, dazu sind Paperslips notwendig.

Genereller Ablauf

Anmeldung

Zur Anmeldung genügt es, den eigenen GnuPG/PGP-Schlüssel im Schlüsselbund für die Veranstaltung abzulegen. Es können nur Anmeldungen berücksichtigt werden, die bis zum Anmeldeschluss eingegangen sind.

Dazu muss zuerst der eigene Schlüssel auf dem lokalen Computer in eine spezielle ASCII-Datei exportiert werden. Dies kann entweder …

  • … aus einer Applikation heraus erfolgen, die GnuPG verwendet (wie zum Beispiel Enigmail in Thunderbird)
  • … mit einem speziellen graphischen GnuPG-Programm geschehen, das den eigenen Schlüsselbund verwaltet (unter Windows folgen Sie z.B. dieser Anleitung).
  • … durch ein GnuPG-Kommando ausgeführt werden
gpg --armor --export --export-options export-minimal <KEYID> > <KEYID>.asc

Die erstellte Datei sollte sich dann mühelos dem Schlüsselbund der Veranstaltung hinzufügen lassen. Bitte stellen Sie vorher sicher, dass alle UIDs des Schlüssel über gültige, funktionierende E-Mail-Adressen verfügen und der Schlüssel bis mindestens drei Monate nach der Key-Signing Party gültig ist. Ungültige UIDs sollten revoziert und ablaufende Schlüssel verlängert werden.

Der Vorgang kann wiederholt werden, wenn weitere eigene Schlüssel verwendet werden sollen.

Bestätigung und Vorbereitung

Alle Teilnehmer erhalten eine Teilnehmer-Liste per E-Mail als Bestätigung ihrer Anmeldung. Diese Liste ist als ASCII-Datei lokal zu speichern und auszudrucken.

Jeder Teilnehmer muss jetzt überprüfen, ob sein Schlüssel in der Liste korrekt aufgeführt wird. Ist dies nicht der Fall, sollte er am besten gar nicht auf der Key-Signing Party erscheinen, da eine Korrektur zu diesem Zeitpunkt nicht mehr möglich ist.

Zusätzlich muss der Teilnehmer den SHA1-Fingerprint über die gespeicherte Liste berechnen und auf dem Ausdruck handschriftlich vermerken. Unter Windows steht ein Programm zur Berechnung der SHA1-Prüfsumme von Microsoft zur Verfügung; unter Linux u.ä. kann die Prüfsumme durch ein Shell-Kommando erstellt werden:

sha1sum <LISTE>

gpgsigs kann hier helfen.

Key-Signing Party

(thumbnail)
Gerade Anzahl von Teilnehmern
(thumbnail)
Ungerade Anzahl von Teilnehmern

Mitbringen

  • Ausdruck mit eingetragener Prüfsumme (einseitig bedruckt und gebosticht für optimales Handling)
  • Gültiges Ausweisdokument
  • Stift
  • Clipboard (optional, empfohlen)

Was man nicht mitbringen sollte/muss

  • Paperslips mit Schlüsselinfos
  • Computer

Ablauf

Begrüßung

Die Organisatoren erklären noch einmal kurz den Ablauf der Key-Signing Party.

Überprüfung der Prüfsumme auf der ausgedruckte Teilnehmerliste

Der Organisator verkündet die SHA1-Prüfsumme der ausgedruckten Teilnehmerliste. Jeder Teilnehmer prüft dieses Ergebnis mit der von ihm auf seiner eigenen Liste notierten Prüfsumme. Bei Diskrepanzen erhält der Teilnehmer eine neue, geprüfte Liste.

Identitäts- und Schlüsselprüfung

Schlüsselinhaber prüfen gegenseitig ihre Identität durch Vorzeigen und kontrollieren der Ausweise in einem Round Robin-Verfahren. Jeder Teilnehmer bestätigt dabei auch, dass der auf der Liste angeführte Schlüssel tatsächlich ihm gehört.

Abschluss der Party

Die Teilnehmer streichen gemeinsamjeder für sich die Schlüssel/Personen aus der Liste, die nicht an der Party teilgenommen haben, deren Identität nicht bestätigt werden konnte oder deren Schlüsselinfos falsch waren. Damit ist der offizielle Teil der Key-Signing Party vorüber...

Signieren der Schlüssel und Verschicken per EMail an den Schlüsselinhaber

Nach der Key-Signing Party müssen alle Teilnehmer die Schlüssel der Personen, deren Identität sie anhand eines Ausweises kontrolliert haben, unterschreiben (digital signieren). Dies geschieht für jeden zu bearbeitenden Schlüssel in drei Schritten:

  1. Importieren des öffentlichen Schlüssels von einem Keyserver
  2. Unterschreiben (Signieren) des importierten Schlüssels
  3. Verschicken des öffentlichen Schlüssels per EMail

Unter Linux wird die Verwendung von caff empfohlen, um alle drei Schritte in einem Durchlauf auszuführen.

Ansonsten empfiehlt es sich diese Schritte in einem Programm auszuführen, mit dem der eigene Schlüsselbund auf dem lokalen Rechner verwaltet werden kann. Alternativ kann natürlich auch das Kommandozeilen-Interface von GnuPG verwendet werden.

caff — CA - Fire and Forget

Das Ziel ist es, nicht nur den Namen, sondern auch die E-Mail-Adressen der UIDs des Schlüssels des Gegenübers zu überprüfen. Dazu versendet caff jede Signatur jeder UID einzeln an die jeweilige E-Mail-Adresse. Somit erhält das Gegenüber die Signatur nur, wenn die E-Mail-Adresse in der UID korrekt ist. Das Gegenüber braucht dann alle per E-Mail erhaltenen Signaturen zu importieren und auf einen Key-Server zu laden. Caff ist in einigen Distributionen im Paket signing-party enthalten.

Vor der ersten Benutzung müssen die eigene E-Mail-Adresse und die eigenen Schlüssel im ~/.caffrc konfiguriert werden. Caff muss E-Mails versenden können, entweder über das lokale sendmail oder durch angabe eines Mailserver im ~/.caffrc, siehe dazu die caff manpage.

Alle Fingerprints können aus der Teilnehmerliste dem caff übergeben werden, die Fingerprints müssen so nicht manuell überprüft werden:

caff "$(sed -n 's/^  Schl.-Fingerabdruck = \(.*\)$/\1/p' participants-list.txt)"

(Eine Lösung mit xargs geht hier leider nicht, da caff das Terminal nicht neu öffnen kann.)

Abgehaltene KeySigning Parties

Key-Signing-Party am EasterHegg 2012 in Basel

Di. 3.4.2012 23:59 Anmeldeschluss: Bis zu diesem Zeitpunkt können die eigenen Schlüssel in den Schlüsselbund für die Veranstaltung aufgenommen werden.
Mi. 4.4.2012 Teilnahmebestätigungen werden per E-Mail verschickt
Fr. 6.4.2012: 18.00-18.45 Key-Signing-Party : Alle gemeldeten Teilnehmer treffen sich am Veranstaltungsort des EasterHegg 2012 in Basel. Dort werden die Organistoren des CCCZH mit den Teilnehmern das weitere Prozedere besprechen.
Di. 10.4.2012 23:59 Abschluss, d. h. alle Unterschriften sind geleistet und per E-Mail an die Schlüsselinhaber verschickt. Die Schlüsselinhaber können dann die neuen Signaturen auf einen Keyserver hochladen.

Für diese Key-Signing-Party steht ein reservierter   Schlüsselbund   zur Verfügung. Zur Anmeldung muss der eigene Schlüssel in diesen Schlüsselbund hochgeladen werden (Anmeldeschluss beachten!).


CCCZH Key Signing Party am 10. Dezember 2011

Mi. 7.12.2011 23:59 Anmeldeschluss: Bis zu diesem Zeitpunkt können die eigenen Schlüssel in den Schlüsselbund für die Veranstaltung aufgenommen werden.
Do. 8.12.2011 Teilnahmebestätigungen werden per E-Mail verschickt
Sa. 10.12.2011: 14.00-15.00 Key-Signing-Party : Alle gemeldeten Teilnehmer treffen sich bis 13:50 im Züricher Hackerspace. Dort werden die Organistoren des CCCZH mit den Teilnehmern das weitere Prozedere besprechen. Sollten sich mehr als 30 Teilnehmer melden, wird der Event möglicherweise an einem anderen Ort in Zürich stattfinden. Der genaue Ort wird auf der Teilnahmebestätigungs-EMail genannt werden.
Mo. 12.12.2011 23:59 Abschluss, d. h. alle Unterschriften sind geleistet und per E-Mail an die Schlüsselinhaber verschickt. Die Schlüsselinhaber können dann die neuen Signaturen auf einen Keyserver hochladen.

Für diese Key-Signing-Party steht ein reservierter   Schlüsselbund   zur Verfügung. Zur Anmeldung muss der eigene Schlüssel in diesen Schlüsselbund hochgeladen werden (Anmeldeschluss beachten!).



Meine Werkzeuge