NDS:Osnabrück/OpenPGP-Keysigning

Aus Piratenwiki
Wechseln zu: Navigation, Suche

OpenPGP-Keysigning

Wer möchte, kann zum Stammtisch seinen OpenPGP-Fingerprint und Ausweis mitbringen. Damit können wir gegenseitig unsere Schlüssel signieren.

Was ist das?

OpenPGP ist gut für alle, die mehr Privatsphäre und Unfälschbarkeit für ihre E-Mails wünschen, als etwa eine normale E-Mail hat: die einer Postkarte. Dank starker, asymmetrischer Kryptografie ist das überhaupt nicht schwierig. Eine tolle, freie OpenPGP-Implementation heißt "GnuPG".

Dazu gibt es einige Anleitungen im Internet:

Durchführung

Im Vorfeld

  • Jeder Teilnehmer erstellt sich selbst ein eigenes Schlüsselpaar, und benutzt dafür seinen echten Namen. (Der Nachname und mindestens ein Vorname müssen ausgeschrieben sein.)
  • Der geheime Schlüssel gehört wohlbehütet, ebenso wie dessen Sicherheitskopie.
  • Dann stellt man sein E-Mail-Programm so ein, dass es mit diesem Schlüssel arbeiten kann.
  • Optional kann der öffentliche Schlüssel dann auf die öffentlichen Keyserver hochgeladen werden: subkeys.pgp.net, was den Umgang für alle deutlich vereinfacht. Nachteil: Die eigene E-Mail-Adresse würde damit auf alle Zeiten im Web zu finden sein. (Spam!)
  • Jeder Teilnehmer druckt seinen Fingerprint ca. 30 mal aus, etwa die Ausgabe des Befehls "gpg --fingerprint <Name>":
pub   1024D/7A56501D 2003-10-13
  Schl.-Fingerabdruck = 0BF6 3D5E 98D2 2965 CD78  AAC9 8E1E A20E 7A56 501D
uid                  Kevin Price <kp@kevin-price.de>
uid                  Kevin Price <KevinP@web.de>
uid                  Kevin Price <Price.Kevin@gmail.com>
uid                  [jpeg image of size 6134]
sub   1024g/B178AB0A 2003-10-13

Zu Papier bringen kann man diese wie man möchte, z.B. ich nehme dafür gpg-key2ps aus dem Paket signing-party.

Am Stammtisch

  • Jeder Teilnehmer gibt einen seiner ausgedruckten Schnipsel an jeden anderen Teilnehmer und zeigt dabei seinen Ausweis vor.
  • Wer einen Schnipsel bekommt, prüft den Ausweis auf Echtheit, ob das Passbild mit der Person übereinstimmt, und ob der Name auf dem Schnipsel mit dem Ausweis übereinstimmt. Falls ja, dann den Schnipsel kennzeichnen und einstecken.

Im Nachgang

  • Wer seinen öffentlichen Schlüssel nicht hochgeladen hat, der kann ihn per E-Mail direkt nach dem Stammtisch an alle anderen Teilnehmer schicken oder ihn auf seine Homepage oder auf seine Piratenwiki-Benutzerseite hochladen und die anderen Teilnehmer per E-Mail informieren.
  • Die öffentlichen Schlüssel aller anderen Teilnehmer müssen importiert werden. Das geht entweder direkt vom Keyserver mit "gpg --keyserver subkeys.pgp.net --recv-keys <keyID>" oder aus den empfangenen E-Mails, von der Homepage oder aus dem Wiki.

Mit jedem gekennzeichneten Schnipsel muss zuhause folgendes gemacht werden:

  • Prüfen, ob der Fingerprint auf dem Schnipsel übereinstimmt mit dem des Keys
  • Verifizieren, ob die E-Mail-Adresse(n) des Schlüssels wirklich den Schlüsselinhaber erreichen, indem man ihm etwas verschlüsseltes schickt, das er wiedergeben muss
  • Bei Übereinstimmung: Schlüssel signieren und per E-Mail an seinen Eigentümer schicken
  • Die letzten beiden Schritte lassen sich wunderbar komfortabel mit dem Skript "caff" erledigen, ebenfalls aus dem Paket signing-party.

Bis hierhin sollte alles innerhalb von einer Woche erledigt sein.

  • Falls der eigene öffentliche Schlüssel auf dem Keyserver liegt: Alle Signaturen die man per E-Mmail erhält, aus der E-Mail in den Schlüsselbund importieren und auf den Keyserver hochladen
  • Liegt der eigene öffentliche Schlüssel nicht auf dem Server, dann nach Ablauf einer Woche den eigenen öffentlichen Schlüssel mitsamt allen Signaturen an alle anderen Teilnehmer per E-Mail verschicken.

Fertig! Das Web-of-Trust ist gestärkt, und E-Mails unter den Teilnehmern lassen sich stark kryptografisch sichern, und damit den neugierigen Augen des Herrn Schäuble oder der Damen von der Leyen oder Zypries entziehen. Das war nicht schwierig, oder? Falls doch: Fragen zu diesem ganzen Thema will ich gerne versuchen zu beantworten. Kevin

FAQ

  • Gibt es sowas wie eine Open Document oder .PDF Vorlage, in den man nur noch Fingerprint + Name eintragen muss? Macht die Sache einfacher. --NetReaper 08:19, 30. Jul. 2009 (CEST)
    • Für die Linuxuser unter uns gibts an der Stelle ein nettes Tool namens gpg-key2ps das eine handliche ps-datei erzeugt. Hauke 09:38, 6. Aug. 2009 (CEST)
    • mit der Len Sassaman's Efficient Group Key Signing Methode wird die Überprüfung von einzelnen Fingerprints durch eine einmalige Berechnung der Prüfsumme der Textdatei Keysigning-Party-jjjj-mm-dd.txt mit der Schlüsselliste ersetzt, was den Prüfungsufwand verringert und die Zuverlässigkeit der Prüfung erhöht.