Key Signing Party

Der Chaos Computer Club Zürich (CCCZH) veranstaltet sogenannte
key-signing parties, auf denen sich Leute mit PGP/GnuPG-Schlüsseln
treffen und sich gegenseitig ihre Schlüssel unterschreiben können.
Dadurch wird ein Web of Trust gebildet, das ohne zentrale und
anfällige Zertifizierungsstellen das Vertrauen in die Verschlüsselungen
und Signaturen der unterschriebenen Schlüssel stärkt. Eine solche
Veranstaltung kann auch als Forum dienen, um über die starke
Verschlüsselung und andere Krypto-Themen mit Gleichgesinnten zu
diskutieren.

Die nächste Key-Signing Party

Im moment sind keine Parties geplant. Spontane Key-Signings sind an
einem Chaostreff möglich, dazu sind Paperslips notwendig.

Genereller Ablauf

Anmeldung

Zur Anmeldung genügt es, den eigenen GnuPG/PGP-Schlüssel im
Schlüsselbund für die Veranstaltung abzulegen. Es können nur
Anmeldungen berücksichtigt werden, die bis zum Anmeldeschluss
eingegangen sind.

Dazu muss zuerst der eigene Schlüssel auf dem lokalen Computer in eine
spezielle ASCII-Datei exportiert werden. Dies kann entweder …

  • … aus einer Applikation heraus erfolgen, die GnuPG verwendet
    (wie zum Beispiel Enigmail in
    Thunderbird)
  • … mit einem speziellen graphischen GnuPG-Programm geschehen, das den
    eigenen Schlüsselbund verwaltet (unter Windows folgen Sie z.B.
    dieser Anleitung).
  • … durch ein GnuPG-Kommando ausgeführt werden

gpg --armor --export --export-options export-minimal *KEYID* > *KEYID*.asc

Die erstellte Datei sollte sich dann mühelos dem Schlüsselbund der
Veranstaltung
hinzufügen lassen. Bitte stellen Sie vorher sicher,
dass alle UIDs des Schlüssel über gültige, funktionierende
E-Mail-Adressen verfügen und der Schlüssel bis mindestens drei Monate
nach der Key-Signing Party gültig ist. Ungültige UIDs sollten
revoziert und ablaufende Schlüssel verlängert werden.

Der Vorgang kann wiederholt werden, wenn weitere eigene Schlüssel
verwendet werden sollen.

Bestätigung und Vorbereitung

Alle Teilnehmer erhalten eine Teilnehmer-Liste per E-Mail als
Bestätigung ihrer Anmeldung. Diese Liste ist als ASCII-Datei lokal zu
speichern und auszudrucken.

Jeder Teilnehmer muss jetzt überprüfen, ob sein Schlüssel in der Liste
korrekt aufgeführt wird.
Ist dies nicht der Fall, sollte er am besten
gar nicht auf der Key-Signing Party erscheinen, da eine Korrektur zu
diesem Zeitpunkt nicht mehr möglich ist.

Zusätzlich muss der Teilnehmer den SHA1-Fingerprint über die
gespeicherte Liste berechnen und auf dem Ausdruck handschriftlich
vermerken. Unter Windows steht ein Programm zur Berechnung der
SHA1-Prüfsumme von Microsoft
zur Verfügung; unter Linux u.ä. kann die Prüfsumme durch ein
Shell-Kommando erstellt werden:

sha1sum *LISTE*

gpgsigs
kann hier helfen.

Key-Signing Party

Gerade Anzahl von Teilnehmern
Ungerade Anzahl von Teilnehmern

Mitbringen

  • Ausdruck mit eingetragener Prüfsumme (einseitig bedruckt und
    gebosticht für optimales Handling)
  • Gültiges Ausweisdokument
  • Stift
  • Clipboard (optional, empfohlen)

Was man nicht mitbringen sollte/muss

  • Paperslips mit Schlüsselinfos
  • Computer

Ablauf

Begrüßung

Die Organisatoren erklären noch einmal kurz den Ablauf der Key-Signing
Party
.

Überprüfung der Prüfsumme auf der ausgedruckte Teilnehmerliste

Der Organisator verkündet die SHA1-Prüfsumme der ausgedruckten
Teilnehmerliste. Jeder Teilnehmer prüft dieses Ergebnis mit der von ihm
auf seiner eigenen Liste notierten Prüfsumme. Bei Diskrepanzen erhält
der Teilnehmer eine neue, geprüfte Liste.

Identitäts- und Schlüsselprüfung

Schlüsselinhaber prüfen gegenseitig ihre Identität durch Vorzeigen
und kontrollieren der Ausweise in einem Round Robin-Verfahren. Jeder
Teilnehmer bestätigt dabei auch, dass der auf der Liste angeführte
Schlüssel tatsächlich ihm gehört.

Abschluss der Party

Die Teilnehmer streichen gemeinsamjeder für sich die
Schlüssel/Personen aus der Liste, die nicht an der Party teilgenommen
haben, deren Identität nicht bestätigt werden konnte oder deren
Schlüsselinfos falsch waren. Damit ist der offizielle Teil der
Key-Signing Party vorüber…

Signieren der Schlüssel und Verschicken per EMail an den Schlüsselinhaber

Nach der Key-Signing Party müssen alle Teilnehmer die Schlüssel der
Personen, deren Identität sie anhand eines Ausweises kontrolliert haben,
unterschreiben (digital signieren). Dies geschieht für jeden zu
bearbeitenden Schlüssel in drei Schritten:

  1. Importieren des öffentlichen Schlüssels von einem Keyserver
  2. Unterschreiben (Signieren) des importierten Schlüssels
  3. Verschicken des öffentlichen Schlüssels per EMail

Unter Linux wird die Verwendung von caff empfohlen, um alle drei
Schritte in einem Durchlauf auszuführen.

Ansonsten empfiehlt es sich diese Schritte in einem Programm
auszuführen, mit dem der eigene Schlüsselbund auf dem lokalen Rechner
verwaltet werden kann. Alternativ kann natürlich auch das
Kommandozeilen-Interface von GnuPG verwendet werden.

caff — CA - Fire and Forget

Das Ziel ist es, nicht nur den Namen, sondern auch die E-Mail-Adressen
der UIDs des Schlüssels des Gegenübers zu überprüfen. Dazu versendet
caff jede Signatur jeder UID einzeln an die jeweilige E-Mail-Adresse.
Somit erhält das Gegenüber die Signatur nur, wenn die E-Mail-Adresse in
der UID korrekt ist. Das Gegenüber braucht dann alle per E-Mail
erhaltenen Signaturen zu importieren und auf einen Key-Server zu laden.
Caff ist in einigen Distributionen im Paket signing-party enthalten.

Vor der ersten Benutzung müssen die eigene E-Mail-Adresse und die
eigenen Schlüssel im ~/.caffrc konfiguriert werden. Caff muss E-Mails
versenden können, entweder über das lokale sendmail oder durch angabe
eines Mailserver im ~/.caffrc, siehe dazu die
caff manpage.

Alle Fingerprints können aus der Teilnehmerliste dem caff übergeben
werden, die Fingerprints müssen so nicht manuell überprüft werden:

caff "$(sed -n 's/^  Schl.-Fingerabdruck = $.*$$/\1/p' participants-list.txt)"

(Eine Lösung mit xargs geht hier leider nicht, da caff das Terminal
nicht neu öffnen kann.)

Abgehaltene KeySigning Parties

Key-Signing-Party am EasterHegg 2012 in Basel

CCCZH Key Signing Party am 10. Dezember 2011