Key Signing Party 20051216

Aus Fachschaft_Informatik
Version vom 9. August 2011, 23:31 Uhr von T (Diskussion | Beiträge) (rückgängig)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Hey Leute,

wir moechten eine KeySigningParty organisieren. Diese Seite soll fuer organisatorische Fragen ein Anlaufpunkt darstellen.


Wie kann ich teilnehmen?

Extrahiere deine Key-Daten mit

gpg --list-keys --fingerprint $KeyID > meine_keydaten.txt

drucke diese Datei aus und bringe sie zur Keysigning-Party mit.

Extrahiere Deinen Key zusaetzlich mit

gpg --armor --export $KeyID > my_public_key.asc


und schicke diesen extrahierten Key an pgpnachtrag@www.stud.uni-hamburg.de.

Die nachgetragenen Keys werden ggf nach der Party an alle Teilnehmer herumgemailt.

Es ist aber auf jedenfall notwendig, dass du deine ausgedruckten Keydaten mit zur Keysigning-Party bringst.

Was muss ich sonst noch tun?

Vor der Weihnachtsfeier wird es auf dieser Seite einen Link zu der Liste mit Schluesseln geben. Die muesst ihr dann ausdrucken und zur Weihnachtsfeier mitbringen, zusammen mit einem amtlichen Ausweis (Personalausweis, Reisepass, Fuehrerschein).

Es wird auch eine Signierung durch die DFN-PCA geben *freu*. Das ist gut, weil viele dieser Signatur mehr vertrauen als einer Signatur von Peter (Meyer | Huth | ...). Vermutlich kennen auch mehr Leute das DFN als den Peter ;-) Um sich durch das DFN Signieren zu lassen, sollte vorher das Anmeldeformular ausgefuellt, ausgedruckt und unterschrieben werden. Wer mehr als eine User-ID auf dem Schlüssel hat, trage die weiteren User-ID bitte per Hand auf dem Ausdruck nach. Fuer diese Signierung langt ein Fuehrerschein nicht! Es muss ein Perso oder Reisepass sein.

Grober Ablauf der Party ist wie folgt:

  • Jeder liesst nacheinander seinen Fingerprint vor allen Leuten vor
  • Alle ueberpruefen den vorgelesenen Key mit dem, der der in der Liste steht und macht einen ersten Haken falls die Fingerprints uebereinstimmen sollten
  • Nun werden die Namen, die auf der Liste stehen ueberprueft. Dazu ueberprueft jeder den Ausweis des anderen und macht einen zweiten HAken, falls diese Person einen ueberzeugen kann derjenige zu sein, der auf der Liste steht.
  • Liste einstecken, zu Hause auspacken und wenn es zu einem Eintrag zwei Haken auf eurem Zettel gibt, koennt ihr den Key mit dem euren signieren. Subkeys zu unterzeichnen, die pseudonyme (und keinen realname) enthalten, macht keinen sinn und sollte dringend vermieden werden.
  • Bitte schickt die signierten Keys NICHT eigenstaendig an einen PGP-Keyserver sondern nur wieder an den Inhaber zurueck. Wer
 moechte, kann den signierten Key an den Inhaber verschluesseln. Dies stellt sicher, dass der Mailempfaenger auch tatsaechlich
 im Besitz des zugehoerigen Private-Keys ist.


-

Fuer Eilige

oder eben solche, die keine Zeit haben, unseren Vortrag zu hoeren ;)

In /home/scratch/4winter liegen die Praesentation und ein Paper. Das Paper erhebt aber keinen Anspruch auf vollstaendigkeit *g*.

F.A.Q.

Dies ist ein Wiki, ihr duerft diese Seite also editieren. Dies moechten wir dazu nutzen, hier eure Fragen zu beantworten. Also scheut euch nicht, hier fragen zu stellen!

Wie stelle ich hier eine Frage ein?

Ganz einfach. Du klickst auf den Link "Edit this page" am Ende dieser Seite. Oder hier. Und dann scrollt ihr im Edit-Feld zu der Zeile

 == Hier koennte deine Frage stehen!! ==

und dupliziert diese und ersetzt den Platzhaltertext mit eurer Frage. Auf speichern klicken, fertig. ;).

Muss man nicht auch seinen eigenen Fingerprint mitbringen?

Soweit ich das HowTo verstanden habe, reicht es nicht aus nur die Schlüsselliste des Koordinators und einen Lichtbildausweis mitzubringen, sondern man muss auch den Fingerprint seines Keys dabei haben bzw. auswendig kennen, damit dein Gegenüber und du sichergehen können, dass der Fingerprint auf der Liste korrekt ist und nicht eventuell gefälscht oder fehlerhaft ist. Stimmt das so oder übersehe ich hier etwas in der Logik?

Exakt. Auf der Party liesst jeder seinen eigenen Fingerprint vor. Diesen hat er nicht von der vorher verfuegbaren Liste, sondern eigenhaedig auf dem System seines Vertrauens nachgeschaut und auf einem Zettel gemerkt. --Muelli

(De-)Zentral?

Welches Verfahren wird es denn?

Ich kann mit der Frage leider nicht so viel anfangen. Ich hab' beide Begrifflichkeiten noch nicht gehoert. --Muelli

Stichwort Keysigning-Party-Howto; da werden 2 Ansätze erwaehnt, wird das der Ansatz bei dem man dich der Reihe nach aufstellt und die Keys signiert? Oder wird das der dezentrale Ansatz, bei dem jeder für sich durch die Menge tingelt und so viele Signaturen wie möglich einsammelt?

Wir wollen das zentrale Verfahren durchfuehren. Jeder schickt seinen Key im Vorfeld ein, wir erstellen eine Liste, jeder druckt die sich aus bzw. bekommt eine, jeder liest seinen Fingerprint vor und dann wird anschliessend der Name gegen die Liste geprueft.

Was mache ich, wenn der Webserver von dem DFN nur das sagt

 Die Länge der übergebenen Daten ist zu groß Es wurden 45510 Bytes übertragen, jedoch sind nur 32768 Bytes erlaubt.
Hui, du hast einen großen PublicKey. Du kannst deinen Key an keys@dfn-cert.de senden, anstatt ihn dort hochzuladen. Statt des Webfomulares solltest du dann die Teilnehmer-Erklärung im ASCII Format http://www.dfn-pca.de/certification/pgp/ca-user/g5/data/html/teilnehmer-erklaerung.txt herunterladen, diese in einem Text-Editor deiner Wahl ausfüllen, ausdrucken, unterschreiben und zur Party mitbringen.

Muss man nicht vorm Signieren noch sicherstellen, dass die E-Mail-Adresse auch wirklich den Leuten gehoert?

Jein. Also das kommt auf deine "policy" an. Du kannst deine Signaturen abstufen. Es gibt quasi drei verschiedene Qualitaeten von Signaturen. Die man-page von gpg sagt folgendes:

                0 means you make no particular claim as to how carefully  you
                verified the key.
                1 means you believe the key is owned by the person who claims
                to own it but you could not, or did not  verify  the  key  at
                all.   This is useful for a "persona" verification, where you
                sign the key of a pseudonymous user.
                2 means you did casual verification of the key.  For example,
                this  could  mean  that you verified that the key fingerprint
                and checked the user ID on the key against a photo ID.
                3 means you did extensive verification of the key.  For exam-
                ple,  this  could  mean that you verified the key fingerprint
                with the owner of the key in person, and that you checked, by
                means  of a hard to forge document with a photo ID (such as a
                passport) that the name of the key owner matches the name  in
                the  user  ID  on  the key, and finally that you verified (by
                exchange of email) that the email address on the key  belongs
                to the key owner.

Hier koennte deine Frage stehen!!