Ablauf des Keysigning
Daten
- Einsendeschluss für Schlüssel: Sonntag, 2016-04-03 20:00 Uhr
- Keysigning: Der Chaostreff vom Dienstag, 2016-04-05
Ablauf
Wir führen das Keysigning in einem Hash basierten Verfahren durch. Cryptnet beschreibt das Verfahren ausführlich.
Hier der Detaillierte Ablauf in unserem Falle:
-
Falls du noch keinen PGP Key hast, informiere dich, erstelle ein Schlüsselpaar, richte deinen Mail Client ein und lade den Schlüssel auf die Schlüsselserver hoch. Infos dazu gibt es online, etwa hier oder [hier]https://www.gnupg.org/documentation/guides.html).
-
Lasse dir die Infos zu deinem Schlüssel anzeigen:
gpg --keyid-format LONG --list-options no-show-uid-validity --fingerprint <test@domain.com>
-
Schicke die Ausgabe dieses Kommandos an chaosbern [at] chaostreff.ch um dich zum Keysigning anzumelden. Einsendeschluss ist der Sonntag 2016-04-03 um 20 Uhr.
-
Anschliessend erstelle ich eine Liste mit allen Keys und Fingerprints die ich erhalten habe. Die Liste schicke ich an alle Teilnehmer des Keysignings. Die Liste wird nicht öffentlich an die Mailingliste versandt oder publiziert. Einen Fingerprint der Liste werde ich ebenfalls verschicken und hier auf dieser Seite publizieren.
-
Nun prüft jeder/jede ob die Informationen zu seinem/zu ihrem Key auf der Liste stimmt. Insbesondere das Checken der Prüfsumme des Schlüssels ist wichtig. Sollten die Angaben nicht stimmen, informiert mich bitte umgehend, damit ich allenfalls eine neue Liste erstellen kann.
-
Jede/r der/die die Liste erhaelt, bildet eine SHA-256 Summe von der Datei. Es ist dabei absolut wichtig, dass ihr die Datei zwischen dem Erhalten und dem Bilden der Checksumme nicht verändert, ansonsten wird die Checksumme später nicht übereinstimmen.
Das Bilden der Checksumme funktioniert unter Linux so (Angenommen, die Datei heisst foo.txt und liegt in /home/DEIN_NUTZERNAME/Downloads):
sha256sum ~/Downloads/foo.txt
Unter Mac OS X funktioniert das vermutlich ganz ähnlich?? Unter Windows nehme ich an, dass Cygwin das kann????
-
Nun druckt ihr die Datei aus und schreibt die erhaltene Checksumme auf das Blatt. (Alternativ könnt ihr auch die Checksumme unten in die Datei kopieren und die Datei erst danach ausdrucken). Es ist von grosser Wichtigkeit, dass ihr das Bilden der Checksumme und das Ausdrucken der Liste selbst macht und nicht einfach die Liste/Checksumme von einer anderen Person kopiert/verwendet!
-
Am Dienstag, 2016-04-05 um 20:00 sollten alle, die sich für das Keysigning angemeldet haben, am Treff an der Güterstrasse sein.
Dabei haben solltet ihr:
- Ausgedruckte Liste mit Fingerprint
- Stift
- Form der Identifikation (ID, Pass, Führerschein, ...)
Nicht dabei haben müsst ihr
- Computer
Achtung: Manche Leute möchten zwei verschiedene Formen der Identifikation haben bevor sie jemandes Keys signieren, also etwa eine ID und ein GA. Es ist deshalb ratsam, mehr als bloss eine Karte mit zu bringen.
-
Ich werde dann alle fragen, ob sie anwesend sind und ob die Informationen zu ihrem Key auf der Liste stimmen. Bei all denjenigen, die entweder nicht anwesend sind oder deren Angaben nicht stimmen, streicht ihr den Eintrag von eurer Liste.
-
Nun werde ich den Fingerprint der Liste vorlesen. Ihr vergleicht den Fingerprint den ich vorlese, mit dem Fingerprint auf eurer Liste. Sollte euer Fingerprint nicht mit dem von mir vorgelesenen übereinstimmen, so ist es nicht sicher, die Liste zu verwenden. Meldet euch in diesem Fall bitte umgehend, bevor wir weiterfahren.
-
Die Anwesenden werden sich nun in zwei Reihen vis-a-vis voneinander aufstellen. Jeder und Jede prüft nun die Informationen zu seinem/ihrem Vis-a-Vis mit den Informationen auf der Liste gegen.
Es ist jedem/r selbst überlassen, welcher Art Identifikation er/sie trauen will. Üblich ist etwa eine ID, ein Pass, ein Führerschein, oder eine Kombination davon.
Falls ihr euch von der Identität eures Gegenüber überzeugt habt, so könnt ihr neben deren Eintrag auf eurer Liste ein Gutzeichen machen. Falls ihr von der Identität nicht überzeugt seit, streicht ihr den Eintrag durch.
-
Die Anwesenden iterieren nun um eine Position, so dass ihr der nächsten Person gegenüber steht. Auch diese Person identifiziert ihr jetzt, wie im vorigen Schritt. Dies wiederholen wir so lange, bis alle gegenseitig ihre Identität geprüft haben.
Das ist etwas doof zum erklären, der CCC-ZH hat dazu aber zwei hervorragende animierte gifs erstellt:
-
Die Party ist jetzt abgeschlossen. Nun gehts zum Signieren der Keys. Anhand der Liste der Keys, könnt ihr die Public Keys aller Teilnehmer jetzt herunterladen. Die Keys die ihr auf eurer Liste mit einem Gutzeichen markiert habt, könnt ihr signieren und anschliessend an den/die Besitzer/in senden. (Bitte ladet eure Signatur nicht ohne Einverstaendnis des Besitzers des Keys auf die Keyserver hoch). Keys die ihr auf der Liste durchgestrichen habt, signiert ihr nicht. Am einfachsten ist es dazu ein dediziertes Tool zu verwenden. Seht euch dazu caff, Pius oder monkeysphere an.
Weiteres
Nicht angemeldet
Wer sich nicht rechtzeitig anmeldet, der Landet nicht auf der Liste. Wer seinen Key trotzdem signiert haben möchte, kann mit
gpg-key2ps <email address> > out.ps
Eine Druckbare Datei erstellen. Schneidet die ausgedruckten Zettel aus und bringt sie mit zum Keysigning. Hier könnt ihr sie an die Leute verteilen und euch ausweisen. Wer einen solchen Zettel erhät und sich von der Identität des Ausstellers/ der Ausstellerin überzeugt hat, kann zu hause, anhand der Informationen auf dem Zettel, den Key herunterladen, den Fingerprint gegenprüfen, den Key signieren und an den Urheber senden.
Weitere Quellen
Caff
Ein Tool wie caff kann die Arbeiten beim Signieren und vorallem dem korrekten Versenden vieler Keys stark vereinfachen und hilft häuftige Fehler zu vermeiden. Auf debianoiden Systemen, ist das Tool im Paket signing-party enthalten (dasselbe gilt fuer Gentoo und wohl auch andere Distributionen).
Falls jemand etwas findet was ich vergessen habe, bitte umgehend auf der Liste melden.
Auch bei Fragen, bitte ungeniert an die Liste schreiben.