GPG-Keysigning @ OpenRheinRuhr 2009

Termin für das Keysigning

Wir treffen uns am Samstag, dem 07.11.2009, um 17:00 Uhr vor dem FSFE-Stand im Erdgesschoss und werden dort unsere Keys und Fingerprints vergleichen.

Was ist ein Keysigning?

Für viele Belange ist es wichtig, vertrauliche Daten zu verschlüsseln. Eine Lösung hierfür ist GnuPG. Mit dieser Software können Sie ein Schlüsselpaar mit dem zugehörigen Namen und der E-Mailadresse anfertigen und Ihre Daten schützen.

Wenn nun ein anderer vertrauliche Informationen an Sie senden möchte, kann er nach Ihrem Schlüssel suchen und seine E-Mail mit Ihrem öffentlichen Schlüssel verschlüsseln. Doch woher weiß der andere, dass es sich bei dem angegebenen Schlüssel wirklich um den richtigen handelt?

Schließlich kann jeder Mensch Schlüssel unter beliebigen Namen erstellen. Um hier mehr Sicherheit zu gewinnen, machen die Nutzer untereinander so genannte Keysignings. Das heißt sie treffen sich, vergleichen ihre Ausweise, um festzustellen, dass die Person auf dem Schlüssel auch mit der Person in der Realität übereinstimmt, und unterschreiben sich dann gegenseitig

den Schlüssel. Wer GnuPG nutzt, kann mit dem Befehl

gpg --list-sigs KEYID

(KEYID steht für eine eindeutige Bezeichnung eines Schlüssels) eine Liste aller Unterschriften einsehen. Generell gilt, je mehr Unterschriften ein Schlüssel besitzt, desto vertrauenswürdiger ist er anzusehen.

Wir möchten uns nun gesammelt auf der OpenRheinRuhr treffen, um dort gegenseitig die Daten der Schlössel zu verifizieren. Die zentrale Veranstaltung hat den Vorteil, dass wir zentral und sehr effizient viele Besitzer antreffen können und das Netz des Vertrauens (Web of Trust) eines jeden wird gestärkt.

Vorbereitung der Party

Was müssen Sie tun, um am Keysigning teilzunehmen?

• Erzeugung eines Schlüsselpaares, falls nicht schon vorhanden Mittels GnuPG kann das mit dem Befehl gpg --gen-key gemacht werden. Weitere Hinweise finden sich im HOWTO (http://www.gnupg.org/documentation/howtos.en.html).
• Falls Sie schon einen Schlüssel Ihr eigen nennen, sollte der auf einem öffentlichen Keyserver vorhanden sein.
• Die Anmeldefrist ist abgelaufen. Wenn Du trotzdem teilnehmen willst, drucke Dir bitte eine hinreichend grosse Zahl an Fingerprints Deines Keys aus und komme zum genannten Termin zur KSP. Dort werden weitere Hinweise gegeben.
• Laden Sie die Liste der Teilnehmer herunter und prüfen Sie, ob Ihr Schlüssel mit aufgelistet ist. Falls dies nach ein bis zwei Tagen noch nicht geschehen ist, wenden Sie sich nochmals an die unten genannte Adresse. Die endgültige Liste wird kurz vor der Veranstaltung bereitgestellt und alle Teilnehmer erhalten Informationen per E-Mail. - Berechnen Sie die MD5-, SHA1- oder SHA256-Hashsumme der Liste. Dies kann mit den Programmen md5sum, sha1sum bzw. sha256sum aus den GNU Coreutils geschehen. Weiterhin kann GnuPG (gpg --print-mds $DATEI) oder ein anderes Programm diese Aufgabe übernehmen. Der errechnete Wert wird in das entsprechende Feld der Liste eingetragen.
• Drucken Sie die Liste aus und bringen Sie sie zur Keysigning-Party @ OpenRheinRuhr mit.

Ablauf des Keysignings

Wie oben beschrieben, soll die Identität anhand eines amtlichen Dokuments geprüft werden. Am geeignetsten ist der Personalausweis oder der Reisepass. Dieser sollte am Tage des Keysignings noch gültig sein.

Zum Keysigning treffen wir uns am Samstag, den 07.11. im Ergdgeschoss vor dem FSFE-Stand und werden dort der Reihe nach die Ausweise prüfen.

Später werden dann alle Schlüssel, von deren Korrektheit Sie überzeugt sind, am Rechner unterschrieben. Die Software GnuPG stellt den Befehl

gpg --sign-key KEYID

bzw.

gpg --edit-key KEYID

zur Verfügung. Besser ist es jedoch, das Unterschreiben zu automatisieren. Hierzu eignet sich caff am Besten. Dies ist ein Hilfprogramm für das Keysigning und nimmt einen Großteil der Arbeit ab.

Weitere Informationen / Kontakt

Zur Anmeldung oder für weitere Frage und Informationen nehmen Sie Kontakt mit Enrico Tröger oder Birgit Huesken unter keysigning@openrheinruhr.de auf.

Für weitere Informationen können Sie auch das GPG Keysigning Party HOWTO in Deutsch (http://alfie.ist.org/projects/gpg-party/gpg-party.de.html) oder im englischen Orginal (http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html) anschauen.