PGP-Signing-Party zum 4. Magdeburger Linux-Tag

URL: http://www.mdlug.de/linuxtag Termin: 5. April 2003 um 17:00 im Raum IV Kontakt: PGP-Crew vom 5. Chemnitzer Linux-Tag: Kendy Kutzner <kutzner@fokus.fhg.de> Ronald Schmidt <ronsc@ronsc.de> Chemnitzer Linux-User Group (http://www.clug.de) Anmeldung: bis 3.April 2003 Teilnehmer: http://pgp.clug.de/keys (derzeit 29 Keys) News:: Pressemitteilung: Chemnitzer Linux-Tag exportiert PGP-Signing-Party nach Magdeburg Effects of key signing event on "5. Chemnitzer Linux-Tag"

so sah die PGP-Party zum 5. Chemnitzer Linux-Tag aus Fotos: Holm Sieber

PGP? GPG? Key? Signing? Ich verstehe nur Bahnhof!

Hier nur eine ganz kurze Einführung: PGP (Pretty Good Privacy) implementiert kryptografisch starke Algorithmen zur symmetrischen und asymmetrischen Verschlüsselung. Es wurde 1991 von Philip R. Zimmerman entwickelt und hat sich seit dem als System zum sicheren Versand von E-Mails und anderen Daten etabliert. Sicherheit bedeutet hierbei nicht nur Verschlüsselung, sondern auch Authentifizierung durch digitale Unterschriften. Seit 1997 wird an der freien Implemenation des OpenPGP Standards namens GNU Privacy Guard (GPG), unter anderem auch mit Förderung des Bundesministeriums für Wirtschaft, gearbeitet. Im September wurde gpg Version 1.0.0 veröffentlicht, aktuell ist die Version 1.2.1

Um selbst verschlüsselte Nachrichten empfangen oder signierte Nachrichten senden zu können, benötigt man ein Schlüsselpaar, bestehend aus geheimem und öffentlichem Schlüssel. Damit der Sender eine Nachricht verschlüsseln oder eine Unterschrift prüfen kann, benötigt er den öffentlichen Schlüsselteil. Um diesem vertrauen zu können, werden öffentliche Schlüssel digital signiert.

Vor dem eigentlichen Vergleichen der Ausweise und Fingerprints wird es eine 15-Minuetige Einfuehrung in das Thema geben.

Was soll das Ganze?

Das gegenseitige Unterschreiben von Schlüsseln stärkt das Web of Trust (WoT) und dient damit nicht nur der Bildung von Vertrauen, sondern erhöht auch die Sicherheit gegen mutwilliges Fälschen. Weiterhin bietet sich die Möglichkeit, sich mit Gleichgesinnten zu treffen.

• Wenn nicht schon geschehen: Erstellen eines Schlüsselpaares.
• Bis zum 3.April 2003: Senden des öffentlichen Schlüssels an ronsc@ronsc.de
• Alternativ kann man den öffentlichen Schlüsselteil auch auf einem Keyserver ablegen und nur die Schlüssel-ID an die obige Mailadresse senden.
• Falls mehrere User-IDs vorhanden sind und nicht alle unterschrieben werden sollen, dies bitte mitteilen.

Was soll man mitbringen?

• Sich selbst. Eine virtuelle Teilnahme oder das Schicken eines Vertreters ist nicht moeglich.
• Einen Ausdruck von Schlüssel-ID, Typ und Länge und vom Fingerprint des Schlüssels
• Einen Personalausweis, Reisepass oder vergleichbares Dokument
• Einen Stift
• Keinen Computer
• Keine (PGP/GPG-)Schlüssel

Wie wird der Ablauf sein?

Ich werde aus den mir bis zum 3.04.2003 zugesandten Schlüsseln zwei keyrings erzeugen. Einer davon ausschließlich für RSA keys, was auch den Nutzern von pgp 2.x die Teilnahme erlaubt. Beide Dateien gibt es zum download. Zu jedem keyring werde ich eine Liste erstellen. Diese Listen werden enthalten:

• Key ID
• Schlüsseltyp
• Schlüssellänge
• Fingerprint des Schlüssels
• User-IDs, zu denen der Schlüsselinhaber Unterschriften wünscht
• ein leeres Feld "Fingerprint geprüft"
• ein leeres Feld "Identität geprüft"

Zur Veranstaltung (also am 2003-04-05 um 17:00 im Raum IV ) wird jeder Teilnehmer diese Listen erhalten. Nacheinander wird jeder seinen Ausdruck vom Fingerprint seines Schlüssels vorlesen. Wenn Übereinstimmung besteht, kann das Feld "Fingerprint geprüft" markiert werden.

Danach soll jeder Teilnehmer seine Identität nachweisen. Dies kann zum Beispiel durch einen Personalausweis oder ähnliches Dokument geschehen. Ist diese Prüfung erfolgreich, kann das Feld "Identität geprüft" markiert werden.

Damit ist der offizielle Teil beendet.

Was ist danach zu tun?

• Download der Schlüssel entweder vom Keyserver oder von http://pgp.clug.de/keys/. Auf Anfrage kann ich auch die kompletten keyrings via E-Mail verschicken.
• Vergleichen der Fingerprints und User-ID auf den Listen mit denen der Schlüssel
• Prüfen, ob der Schlüssel ein gültiges Eigenzertifikat hat
• Unterschreiben der überprüften Nutzer-IDs
• Senden der unterschriebenen Schlüssel an die jeweilige ID in verschlüsselter Form. Damit ist auch sichergestellt, dass der Schlüsselinhaber der Inhaber des Mailaccounts ist.
• Der Schlüsselinhaber sollte danach die neuen Unterschriften publizieren, zum Beispiel durch das Senden an den Keyserver.

Links zum Thema

• Anleitungen, FAQs, HowTos
  Homepage Gnu Privacy Guard (deutsch)
  Homepage PGP International
  gpg FAQ
  deutsche PGP Anleitung von Kai Raven
  Einleitung in PGP 5.x
  Erklärung des Web of Trust
  
• Keyserver:
  wwwkeys.pgp.net (DNS round robin)
  keyserver.kjsl.com:11371 (neue Software Release)
  hell.on.earth.li:11371 (experimental)
  ... noch mehr keyserver
  
• sonstige:
  c't Krypto-Kampagne
  Biglumber - zum Finden anderer PGP-Nutzer
  Signature Path Finder - Findet eine Signaturpfad von einem Schlüssel zu einem anderen
  Analyse des Web of Trust
  Web of trust statistics and pathfinder (Wotsap) grafisch