Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

Keysigning-Party 2006: Unterschied zwischen den Versionen

(Linkstruktur umgebaut)
 
(4 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
Hier werden demnächst Informationen zur geplanten PGP-Keysigning-Party verfügbar sein. Infos zur letztjährigen Signing-Party finden sich im Artikel [[Keysigning-Party 2005]].
+
Wir werden am Freitag, dem 17.11.2006 um 15:00 Uhr im [[FR 5516]] eine '''PGP Keysigning Party''' durchzuführen. Diese Seite soll den Ablauf erklären. Interessant sind ferner die Artikel [[Web of Trust]] und [[GPG]].
  
 +
<font color="red"><b>Bitte unbedingt die Hinweise zur ANMELDUNG beachten!</b></font>
 +
 +
Am 10.11.2006 um 15:00 fand ein Vortrag und eine Diskussion zum Thema 'Einführung in GnuPG' statt.
 +
 +
Die <b>Folien des Vortrags</b> findet Ihr [[http://docs.freitagsrunde.org/keysigning/ hier]]
 +
 +
 +
Die Anmeldung zur Keysigningparty erfolgt per Email und ist bis 15.11.06, 20:00 Uhr möglich. Danach werden keine weiteren Emails mehr angenommen. Ab 20:30 ist dann eine endgültige Liste der Teilnehmer zum Download bereit.
 +
 +
 +
== Einführung ==
 +
 +
Bei Keysigning Parties kommen nun eine Anzahl von Personen zusammen, die jeweils prüfen, ob der Inhaber eines Schlüssels in seinem Schlüssel korrekte Angaben zu Emailadresse und Person gemacht hat. Dabei kommt es zu n! Begegnungen - das ganze kann also etwas dauern.
 +
 +
Was soll das ganze nun, oder: Geht das auch weniger kryptisch???
 +
 +
Bei einer Keysigningparty möchte man das [[Web of Trust]] stärken. Das heisst, je mehr Leute sich gegenseitig bestätigen, umso verlässlicher wird das Web of Trust.
 +
Irgendwann ist der Punkt ereicht, ab dem man nicht mehr jeden seiner Kommunikationspartner persönlcih getroffen haben muss, um mit ihm sicher Emails auszutauschen, und sich seiner Identität sicher sein zu können.
 +
 +
Wenn ich mir durch prüfen der Emailadresse, Vergleichen des Schlüsselfingerprints und Abgleich des Ausweises mit der Person vor mir sicher bin, dass alles korrekt ist, unterschreibe ich mit meinem Schlüssel den Schlüssel des anderen, und sage damit allen, dass ich die Identität meines Gegenübers sorgfältig geprüft habe und mir sicher bin, das er derjenige ist, für den er sich ausgibt.
 +
 +
 +
== Organisatorisches ==
 +
 +
=== Wann und wo findet die Keysigning Party statt? ===
 +
Die PGP-Keysigning-Party findet am '''Freitag, dem 17.11.2006''' um '''15:00 Uhr''' im '''[[FR 5516]]''' statt.
 +
 +
 +
=== Wer organisiert das ganze? ===
 +
* Die Freitagsrunde: [[Benutzer:Mutax|Florian Streibelt]]
 +
 +
 +
=== Was muss ich <u>vor</u> der Keysigning-Party machen? / <font color="red"><b>ANMELDUNG erforderlich</b></font> ===
 +
# Erzeuge Dir ein PGP-Schlüsselpaar, wenn noch keins vorhanden ist (''gpg --gen-key'')
 +
# Schicke Deinen öffentlichen Schlüssel an den PGP-Keyserver http://subkeys.pgp.net (''gpg --keyserver subkeys.pgp.net --send-keys 0xEIGENE_KEYID'') [optional, jeder bekommt ihn im Keyring von der Freitagsrunde]
 +
# <b>Schicke uns bis zum 16.11.2006 20:00 Uhr  eine Mail mit Deinem Schlüssel an [mailto:keys@freitagsrunde.org keys@freitagsrunde.org]</b> (''<i>gpg --armor --export 0xEIGENE_KEYID &gt; EIGENE_KEYID.asc</i>'') Sollte der Schlüssel nicht innerhalb von 15 Minuten auf der Teilnehmerliste erscheinen, nimm bitte Kontakt mit uns auf. Versuche vorher aber nach möglichkeit den Schlüssel nocheinmal im Textteil der Email einzubetten, nicht als Anhang, dies kann zu Problemen führen. Bitte keine HTML-Emails oder PGP/MIME-Nachrichten senden.
 +
# Solltest Du den Termin verpasst haben, bereite für jeden Teilnehmer einen Papierstreifen vor, auf dem die Ausgabe von ''<i>gpg --fingerprint --show-key 0xEIGENE_KEYID</i>'' abgedruckt ist und sorge dafür, dass Dein Key auf dem Keyserver zu finden ist - er kann <u>nicht</u> von der Freitagsrunde bereitgestellt werden, auch wenn wir versuchen werden, ihn in den Keyring aufzunehmen, nachdem die KSP vorbei ist!
 +
# Lade nach dem 16.11.2006 20:30 Uhr den Keyring aller eingesandten Schlüssel sowie die Liste aller Teilnehmer mit Fingerprints von [http://docs.freitagsrunde.org/Veranstaltungen/keysigning/ http://docs.freitagsrunde.org/Veranstaltungen/keysigning/] herunter, also zu einem Zeitpunkt wenn keine Keys mehr dazukommen.
 +
# Drucke die Textdatei aus, z.B. Doppelseitig, 2 Seiten A5 pro Seite A4 (''man a2ps'')
 +
# Bilde mit <i>gpg --print-md sha1 ksp-fr06.txt</i> und <i>gpg --print-md md5 ksp-fr06.txt</i> die Prüfsummen über die Teilnehmerliste und trage sie im Ausdruck gut lesbar ein (nach dem Ausdrucken - sonst ist der Fingerprint kaputt!).
 +
# Wir werden nach dem Anmeldeschluss einige Bytes der Prüfsummen veröffentlichen, damit jeder grob testen kann, ob beim Download etwas schiefgelaufen ist:
 +
 +
$ md5sum ksp-fr6.txt && sha1sum ksp-fr6.txt
 +
............  ksp-fr6.txt
 +
............  ksp-fr6.txt
 +
 +
=== Was muss ich zur Keysigning-Party mitbringen? ===
 +
* einen (zuverlässigen) Stift, zwei wenn Du jemandem aushelfen willst ;)
 +
* Den Ausdruck der Teilnehmerliste mit Fingerprints und Prüfsummen
 +
 +
=== Wie läuft die Keysigning Party ab? ===
 +
 +
Zu Beginn der Party werden als Erstes die MD5 und SHA1 Prüfsummen über die ausgedruckten Teilnehmerlisten verglichen.
 +
Dazu werden die Prüfsummen vom Organisator an eine Tafel geschrieben oder laut vorgelesen.
 +
Stimmen die selbst generierten Prüfsummen mit denen der anderen überein, kann man davon ausgehen, dass alle Teilnhmer eine aktuelle Liste als Grundlage benutzen.
 +
 +
Danach (etwa 10 Minuten nach dem offiziellen Beginn...) wird begonnen, laut und vernehmlich alle Anwesenden und AnwesendInnen zu fragen, ob die Fingerprints Ihrer Schlüssel auf dem Ausdruck korrekt sind. Jeder markiert dann auf seinem Ausdruck den Eintrag 'Fingerprint OK'. Dazu ist allgemein Ruhe und Konzentration bei allen gefordert.
 +
 +
Ist dieses Prozedere abgeschlossen, stellen sich alle in der Reihenfolge des Ausdrucks in einer lange Reihe auf. [sollte man das im Freien vorhaben, ist bitte auf passendes Wetter und genügend Licht zu achten...]
 +
 +
Nun geht jeweils der/die Erste der Reihe nacheinander an allen TeilnehmerInnen vorbei und zeigt ein Ausweisdokument vor. Jeder Teilnehmer markiert bei Übereinstimmung das Feld 'ID OK' auf seinem Ausdruck. Danach stellt sich der/diejenige an das Ende der Schlange um selbst die ID der anderen zu überprüfen.
 +
 +
Hat jemand versäumt, den Schlüssel rechtzeitig einzuschicken, stellt er sich zu Beginn an das Ende der Schlange und hält für jeden Teilnehmer einen Schnipsel Papier mit einem Ausdruck von <i>'gpg --fingerprint --list-key KEY_ID'</i> bereit.
 +
Diesen gibt er an alle weiter, wenn er an der Reihe ist die Schlange abzulaufen, und zeigt parallel dazu ein Ausweisdokument vor.
 +
 +
Es empfiehlt sich dringend danach alle Key-Ids auf dem Ausdruck durchzustreichen, bei denen nicht beide Felder abgehakt sind!
 +
 +
=== Was muss ich <u>nach</u> der Keysigning-Party machen? ===
 +
Eigentlich ganz einfach: <br>
 +
 +
* Den aktuellen Keyring nochmal runterladen - wir versuchen die nicht erschienenen Personen zu streichen.
 +
* Alle Schlüssel unterschreiben, bei denen Du die ID und der Inhaber den Fingerprint des Schlüssels geprüft hat. <br>
 +
 +
Es gibt aber (natürlich) ein paar Fallstricke:
 +
* Du übersiehst, dass Du die ID nicht geprüft hast, weil nach 1 Stunde Unterschreiben die Aufmerksamkeit doch nachlässt. Also am besten mit wachem Geiste alle Schlüssel fett durchstreichen, bei denen eines der Felder leer ist, oder bessser mit Textmarker diejenigen markieren, bei denen beide Felder angekreuzt sind.
 +
* Jemand möchte nicht, dass sein Schlüssel auf einen Keyserver hochgeladen wird (er befürchtet z.B. schlicht SPAM).
 +
* Du signierst einen Schlüssel mit zugehöriger Emailadresse, bei der zwar der Name (z.B. Peter Müller) stimmt, die Emailadresse (peter.mueller@fbi.com) jedoch nicht.
 +
* Der Schlüssel hat mehrere Unter-IDs mit unterschiedlichen Emailadressen
 +
* Es sind plötzlich 200 Teilnehmer geworden und Du willst nicht 2 Wochen lang nur Schlüssel signieren.
 +
 +
 +
Für einige dieser Probleme gibt es Lösungen in Form von Shellscripten, für andere in Form von Kaffee.<br>
 +
 +
Erstere funktionieren etwa so:
 +
Jeder Schlüssel wird zerlegt, so dass die einzelnen User-Ids getrennt vorliegen.
 +
Das script signiert jede der User-Ids einzeln und schickt den Signierten Schlüssel in verschlüsselter Form an die angegebene Emailadresse.
 +
 +
Für alle Debian-Benutzer: Es hilft eventuell ein 
 +
 +
  apt-get install signing-party
 +
 +
Das Tool caff aus diesem Package hilft ganz entscheidend, wenn man eine direkte Internetanbindung hat.
 +
 +
Für alle, die wie ich, ein Notebook im WLAN der TU benutzen, oder sonstwie ihre mails nicht über den eigenen
 +
Rechner veschicken können, habe ich caff angepasst.
 +
 +
Siehe [http://user.cs.tu-berlin.de/~mutax/ksp-scripts/mycaff/ http://user.cs.tu-berlin.de/~mutax/ksp-scripts/mycaff/].
 +
 +
Damit ist sichergestellt das die Emailadressen alle funktionieren, der Schlüssel nur vom Inhaber entschlüsselt werden kann und dieser selbst entscheiden kann ob der den Schlüssel hochladen möchte.
 +
Importiert der Empfänger den Schlüssel dann in gpg, werden die Signaturen wieder zusammengeführt.
 +
 +
Aber vorsicht: nicht blind den gesamten Keyring unterschreiben!
 +
 +
Durch die Verwendung von <i>agpg</i> unter Linux muss man das Kennwort übrigens nur einmal eintippen, auch wenn dies für Paranoiker nicht geeignet ist, da der Schlüssel dann lange Zeit ungeschützt im RAM liegt und <b>jede</b> Anwendung die Passphrase im Klartext abfragen kann! (Aber ob 200 mal Eintippen sicherheitstechnisch besser ist, sei dahingestellt)
 +
 +
== CAcert ==
 +
http://www.cacert.org/logos/cacert-secured5.png
 +
 +
Im Rahmen der Keysigning-Party besteht auch die Möglichkeit, sich bei uns für [[CAcert]] bestätigen zu lassen. Mehr Informationen dazu haben wir auf einer gesonderten [[CAcert|CAcert-Seite]] zusammengefasst.
 +
 +
== Weblinks ==
 +
=== Keyserver ===
 +
* http://pgpkeys.pca.dfn.de/
 +
* http://sks.keyserver.penguin.de/
 +
 +
für gpg:
 +
* keyserver hkp://subkeys.pgp.net (verschiedene Hosts per DNS-Roundrobin)
 +
 +
=== Software ===
 +
* http://www.gnupg.org/
 +
* http://www.pgpi.org/
 +
 +
=== Informationen zu Keysigning Partys ===
 +
* http://www.cryptnet.net/fdp/crypto/gpg-party.html
 +
 +
[[Kategorie: Kryptologie]]
 +
[[Kategorie: Veranstaltungen der Freitagsrunde]]
 
[[Kategorie:Einführungswoche]]
 
[[Kategorie:Einführungswoche]]
 
[[Kategorie:Veranstaltungen der Freitagsrunde]]
 
[[Kategorie:Veranstaltungen der Freitagsrunde]]

Aktuelle Version vom 9. Dezember 2009, 17:56 Uhr

Wir werden am Freitag, dem 17.11.2006 um 15:00 Uhr im FR 5516 eine PGP Keysigning Party durchzuführen. Diese Seite soll den Ablauf erklären. Interessant sind ferner die Artikel Web of Trust und GPG.

Bitte unbedingt die Hinweise zur ANMELDUNG beachten!

Am 10.11.2006 um 15:00 fand ein Vortrag und eine Diskussion zum Thema 'Einführung in GnuPG' statt.

Die Folien des Vortrags findet Ihr [hier]


Die Anmeldung zur Keysigningparty erfolgt per Email und ist bis 15.11.06, 20:00 Uhr möglich. Danach werden keine weiteren Emails mehr angenommen. Ab 20:30 ist dann eine endgültige Liste der Teilnehmer zum Download bereit.


Einführung

Bei Keysigning Parties kommen nun eine Anzahl von Personen zusammen, die jeweils prüfen, ob der Inhaber eines Schlüssels in seinem Schlüssel korrekte Angaben zu Emailadresse und Person gemacht hat. Dabei kommt es zu n! Begegnungen - das ganze kann also etwas dauern.

Was soll das ganze nun, oder: Geht das auch weniger kryptisch???

Bei einer Keysigningparty möchte man das Web of Trust stärken. Das heisst, je mehr Leute sich gegenseitig bestätigen, umso verlässlicher wird das Web of Trust. Irgendwann ist der Punkt ereicht, ab dem man nicht mehr jeden seiner Kommunikationspartner persönlcih getroffen haben muss, um mit ihm sicher Emails auszutauschen, und sich seiner Identität sicher sein zu können.

Wenn ich mir durch prüfen der Emailadresse, Vergleichen des Schlüsselfingerprints und Abgleich des Ausweises mit der Person vor mir sicher bin, dass alles korrekt ist, unterschreibe ich mit meinem Schlüssel den Schlüssel des anderen, und sage damit allen, dass ich die Identität meines Gegenübers sorgfältig geprüft habe und mir sicher bin, das er derjenige ist, für den er sich ausgibt.


Organisatorisches

Wann und wo findet die Keysigning Party statt?

Die PGP-Keysigning-Party findet am Freitag, dem 17.11.2006 um 15:00 Uhr im FR 5516 statt.


Wer organisiert das ganze?


Was muss ich vor der Keysigning-Party machen? / ANMELDUNG erforderlich

  1. Erzeuge Dir ein PGP-Schlüsselpaar, wenn noch keins vorhanden ist (gpg --gen-key)
  2. Schicke Deinen öffentlichen Schlüssel an den PGP-Keyserver http://subkeys.pgp.net (gpg --keyserver subkeys.pgp.net --send-keys 0xEIGENE_KEYID) [optional, jeder bekommt ihn im Keyring von der Freitagsrunde]
  3. Schicke uns bis zum 16.11.2006 20:00 Uhr eine Mail mit Deinem Schlüssel an keys@freitagsrunde.org (gpg --armor --export 0xEIGENE_KEYID > EIGENE_KEYID.asc) Sollte der Schlüssel nicht innerhalb von 15 Minuten auf der Teilnehmerliste erscheinen, nimm bitte Kontakt mit uns auf. Versuche vorher aber nach möglichkeit den Schlüssel nocheinmal im Textteil der Email einzubetten, nicht als Anhang, dies kann zu Problemen führen. Bitte keine HTML-Emails oder PGP/MIME-Nachrichten senden.
  4. Solltest Du den Termin verpasst haben, bereite für jeden Teilnehmer einen Papierstreifen vor, auf dem die Ausgabe von gpg --fingerprint --show-key 0xEIGENE_KEYID abgedruckt ist und sorge dafür, dass Dein Key auf dem Keyserver zu finden ist - er kann nicht von der Freitagsrunde bereitgestellt werden, auch wenn wir versuchen werden, ihn in den Keyring aufzunehmen, nachdem die KSP vorbei ist!
  5. Lade nach dem 16.11.2006 20:30 Uhr den Keyring aller eingesandten Schlüssel sowie die Liste aller Teilnehmer mit Fingerprints von http://docs.freitagsrunde.org/Veranstaltungen/keysigning/ herunter, also zu einem Zeitpunkt wenn keine Keys mehr dazukommen.
  6. Drucke die Textdatei aus, z.B. Doppelseitig, 2 Seiten A5 pro Seite A4 (man a2ps)
  7. Bilde mit gpg --print-md sha1 ksp-fr06.txt und gpg --print-md md5 ksp-fr06.txt die Prüfsummen über die Teilnehmerliste und trage sie im Ausdruck gut lesbar ein (nach dem Ausdrucken - sonst ist der Fingerprint kaputt!).
  8. Wir werden nach dem Anmeldeschluss einige Bytes der Prüfsummen veröffentlichen, damit jeder grob testen kann, ob beim Download etwas schiefgelaufen ist:
$ md5sum ksp-fr6.txt && sha1sum ksp-fr6.txt
............  ksp-fr6.txt
............  ksp-fr6.txt

Was muss ich zur Keysigning-Party mitbringen?

  • einen (zuverlässigen) Stift, zwei wenn Du jemandem aushelfen willst ;)
  • Den Ausdruck der Teilnehmerliste mit Fingerprints und Prüfsummen

Wie läuft die Keysigning Party ab?

Zu Beginn der Party werden als Erstes die MD5 und SHA1 Prüfsummen über die ausgedruckten Teilnehmerlisten verglichen. Dazu werden die Prüfsummen vom Organisator an eine Tafel geschrieben oder laut vorgelesen. Stimmen die selbst generierten Prüfsummen mit denen der anderen überein, kann man davon ausgehen, dass alle Teilnhmer eine aktuelle Liste als Grundlage benutzen.

Danach (etwa 10 Minuten nach dem offiziellen Beginn...) wird begonnen, laut und vernehmlich alle Anwesenden und AnwesendInnen zu fragen, ob die Fingerprints Ihrer Schlüssel auf dem Ausdruck korrekt sind. Jeder markiert dann auf seinem Ausdruck den Eintrag 'Fingerprint OK'. Dazu ist allgemein Ruhe und Konzentration bei allen gefordert.

Ist dieses Prozedere abgeschlossen, stellen sich alle in der Reihenfolge des Ausdrucks in einer lange Reihe auf. [sollte man das im Freien vorhaben, ist bitte auf passendes Wetter und genügend Licht zu achten...]

Nun geht jeweils der/die Erste der Reihe nacheinander an allen TeilnehmerInnen vorbei und zeigt ein Ausweisdokument vor. Jeder Teilnehmer markiert bei Übereinstimmung das Feld 'ID OK' auf seinem Ausdruck. Danach stellt sich der/diejenige an das Ende der Schlange um selbst die ID der anderen zu überprüfen.

Hat jemand versäumt, den Schlüssel rechtzeitig einzuschicken, stellt er sich zu Beginn an das Ende der Schlange und hält für jeden Teilnehmer einen Schnipsel Papier mit einem Ausdruck von 'gpg --fingerprint --list-key KEY_ID' bereit. Diesen gibt er an alle weiter, wenn er an der Reihe ist die Schlange abzulaufen, und zeigt parallel dazu ein Ausweisdokument vor.

Es empfiehlt sich dringend danach alle Key-Ids auf dem Ausdruck durchzustreichen, bei denen nicht beide Felder abgehakt sind!

Was muss ich nach der Keysigning-Party machen?

Eigentlich ganz einfach:

  • Den aktuellen Keyring nochmal runterladen - wir versuchen die nicht erschienenen Personen zu streichen.
  • Alle Schlüssel unterschreiben, bei denen Du die ID und der Inhaber den Fingerprint des Schlüssels geprüft hat.

Es gibt aber (natürlich) ein paar Fallstricke:

  • Du übersiehst, dass Du die ID nicht geprüft hast, weil nach 1 Stunde Unterschreiben die Aufmerksamkeit doch nachlässt. Also am besten mit wachem Geiste alle Schlüssel fett durchstreichen, bei denen eines der Felder leer ist, oder bessser mit Textmarker diejenigen markieren, bei denen beide Felder angekreuzt sind.
  • Jemand möchte nicht, dass sein Schlüssel auf einen Keyserver hochgeladen wird (er befürchtet z.B. schlicht SPAM).
  • Du signierst einen Schlüssel mit zugehöriger Emailadresse, bei der zwar der Name (z.B. Peter Müller) stimmt, die Emailadresse (peter.mueller@fbi.com) jedoch nicht.
  • Der Schlüssel hat mehrere Unter-IDs mit unterschiedlichen Emailadressen
  • Es sind plötzlich 200 Teilnehmer geworden und Du willst nicht 2 Wochen lang nur Schlüssel signieren.


Für einige dieser Probleme gibt es Lösungen in Form von Shellscripten, für andere in Form von Kaffee.

Erstere funktionieren etwa so: Jeder Schlüssel wird zerlegt, so dass die einzelnen User-Ids getrennt vorliegen. Das script signiert jede der User-Ids einzeln und schickt den Signierten Schlüssel in verschlüsselter Form an die angegebene Emailadresse.

Für alle Debian-Benutzer: Es hilft eventuell ein

 apt-get install signing-party

Das Tool caff aus diesem Package hilft ganz entscheidend, wenn man eine direkte Internetanbindung hat.

Für alle, die wie ich, ein Notebook im WLAN der TU benutzen, oder sonstwie ihre mails nicht über den eigenen Rechner veschicken können, habe ich caff angepasst.

Siehe http://user.cs.tu-berlin.de/~mutax/ksp-scripts/mycaff/.

Damit ist sichergestellt das die Emailadressen alle funktionieren, der Schlüssel nur vom Inhaber entschlüsselt werden kann und dieser selbst entscheiden kann ob der den Schlüssel hochladen möchte. Importiert der Empfänger den Schlüssel dann in gpg, werden die Signaturen wieder zusammengeführt.

Aber vorsicht: nicht blind den gesamten Keyring unterschreiben!

Durch die Verwendung von agpg unter Linux muss man das Kennwort übrigens nur einmal eintippen, auch wenn dies für Paranoiker nicht geeignet ist, da der Schlüssel dann lange Zeit ungeschützt im RAM liegt und jede Anwendung die Passphrase im Klartext abfragen kann! (Aber ob 200 mal Eintippen sicherheitstechnisch besser ist, sei dahingestellt)

CAcert

http://www.cacert.org/logos/cacert-secured5.png

Im Rahmen der Keysigning-Party besteht auch die Möglichkeit, sich bei uns für CAcert bestätigen zu lassen. Mehr Informationen dazu haben wir auf einer gesonderten CAcert-Seite zusammengefasst.

Weblinks

Keyserver

für gpg:

  • keyserver hkp://subkeys.pgp.net (verschiedene Hosts per DNS-Roundrobin)

Software

Informationen zu Keysigning Partys