Veranstaltungsort

Gemeinschaftszentrum Wipkingen
Breitensteinstrasse 19a
CH- 8037 Zürich

Beschrieb

Eine Keysigning-Party ist ein Treffen von Leuten, die das GPG/PGP-Verschlüsselungssystem verwenden, mit der Absicht, Schlüssel und Identität untereinander zu beglaubigen. Keysigning-Parties dienen dem Zweck, das Web-of-Trust zu stärken und dadurch jedem einzelnen durch den Einsatz kryptografischer Verfahren Schutz persönlicher Daten zu ermöglichen.

Ebenfalls bietet sich eine solche Veranstaltung an, um gemeinsam über politische und soziale Fragen rund um Kryptographie und individuelle Freiheit und Souveränität zu diskutieren. Ausserdem lernt man sich kennen und kann sich über die verschiedensten Dinge in zwangloser Atmosphäre austauschen. Deshalb treffen wir uns am Freitag, 11. Dezember pünktlich um 19.00 Uhr im GZ Wipkingen in Zürich um gemeinsam eine Keysigning-Party durchzuführen. Eine detaillierter Anfahrtsbeschreibung ist hier zu finden.

Das Gemeinschaftszentrum in Wipkingen ist mit den Linien 13 Richtung Zürich, Albisgütli und Richtung Zürich, Frankental zu erreichen, der Name der Haltestelle ist Wipkingerplatz. Ferner wird die Haltestelle auch von den Linien N14 Richtung Uitkon, Dorf und Richtung Unterengstringen angefahren.

Schnellübersicht

DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen. Sprachversion		CH/AT/FL/DE
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen. Sprachversion		F
DIN-A4-Prospekt zum Falten, doppelseitig, farbig mit den wichtigsten Informationen. Sprachversion		I

Anmeldung

Anmelden zu dieser kostenlosen Veranstaltung kann sich jeder, der im Besitz eines GPG/PGP-Schlüssels ist und über eine gültige Identitätskarte verfügt. Übertragen Sie einfach bis spätestens 8. Dezember 23.59 Uhr MEZ Ihre(n) eigene(n) GPG/PGP-Schlüssel auf unseren Keyserver.

benutzer@computer:~$ > gpg --keyserver hkp://zrh2k9-ksp.ftbfs.de --send-key KEY-ID

Beispiel

benutzer@computer:~$ > gpg --keyserver hkp://zrh2k9-ksp.ftbfs.de --send-key 1234abcd

Der Server generiert jeweils um 00.20/30, 08.20/30, 16.20/30 Uhr UTC Teilnehmerliste und Relationsgraph darin sollte der von Ihnen eingereichte Schlüssel dann spätestens am darauf folgenden Tag zu finden sein.

Bitte sorgen Sie ausserdem dafür, dass Ihr GPG/PGP-Schlüssel später auch für andere zur Verfügung steht. Dazu sollten Sie ihn auf einem öffentlichen Schlüsselserver wie beispielsweise pgp.uni-mainz.de und wwwkeys.ch.pgp.net ablegen.

benutzer@computer:~$ > gpg --keyserver pgp.uni-mainz.de --send-key KEY-ID

benutzer@computer:~$ > gpg --keyserver wwwkeys.ch.pgp.net --send-key KEY-ID

Einen Schlüssel erzeugen

Wer bislang noch keinen GPG/PGP-Schlüssel sein eigen nennen kann, der kann sich mit wenigen Befehlen einen solchen erzeugen. Hier zeigen wir Ihnen das funktioniert.

benutzer@computer:~$ > gpg --gen-key --enable-dsa2

Natürlich gibt es auch Programme, um z. B. unter Microsoft-Windows, Mac OSX u. a. GPG/PGP-Schlüssel zu erzeugen. Hilfe und weitere Details zum Erstellen von Schlüsselpaaren unter Linux, Mac OSX und MS-Windows siehe Kai Raven GPG-Anleitung oder GNU-Handbuch. Sobald das Schlüsselpaar fertiggestellt ist, können Sie den öffentlichen Teil davon wie oben beschrieben zur Anmeldung einreichen.

Vor der Keysigning-Party

Nachdem Sie nun angemeldet sind, sollten Sie die Gültigkeit Ihrer Identitätskarte prüfen. Ohne gültiges Ausweisdokument ist die Teilnahme an der Keysigning-Party leider nicht möglich!

Etwa zwei Tage vor dem eigentlichen Termin erhalten alle angemeldeten Teilnehmer eine E-Mail mit weiteren Informationen und der fertiggestellten Teilnehmerliste als Anhang. Die Liste selbst nebst dem Schlüsselring und einigen Statistikdateien kann natürlich auch von dieser Seite kopiert werden.

Bitte verwenden Sie nur eine Liste mit einem Datum neuer als 08.12.2009, da sich täglich Interessierte anmelden und die Liste somit permanenten Änderungen unterworfen ist. In den Morgenstunden des 9. Dezember wird eine finalisierte Teilnehmerliste bereitgestellt. Alle bis dahin angemeldeten Interessenten werden zudem per E-Mail unterrichtet.

Diese Dateien werden für die Keysigning-Party benötigt:

1. Teilnehmerliste (UTF8-Text)
2. Hauptschlüsselbund unkomprimiert (ASC-Datei)
3. Hauptschlüsselbund bz2-komprimiert (optional) (BZ2-Datei)
4. Relationsgraph (optional) (SVG-Datei)

Nach Erhalt der Teilnehmerliste ist diese auf Echtheit zu überprüfen, dazu ermitteln Sie bitte die RIPEMD160- und SHA256-Prüfsummen der unveränderten Datei und vermerken diese bitte handschriftlich in den dafür vorgesehenen Feldern im Listenkopf.

benutzer@computer:~$ > gpg --print-md ripemd160 ksp-zrh2k9.txt

benutzer@computer:~$ > gpg --print-md sha256 ksp-zrh2k9.txt

Zur Keysigning-Party bringen Sie bitte mit:

1. Teilnehmerliste
2. Gültige Identitätskarte oder Reisepass
3. Kugelschreiber
4. Schlüsselstreifen

Die Schlüsselstreifen lassen sich leicht mit Linux-Bordmitteln herstellen.

benutzer@computer:~$ > gpg-key2ps KEY-ID

oder

benutzer@computer:~$ > gpg-key2ps KEY-ID1, KEY-ID2

Eine so gewonnene Postscript-Datei kann mittels ps2pdf ggf. vorher umgewandelt und ausgedruckt werden.

Während der Keysigning-Party

Die Keysigning-Party wird nach einem vorgeschlagenen Verfahren von Len Sassaman durchgeführt. Nach der Begrüssung der Teilnehmer werden die Regularien verkündet und die ermittelten Prüfsummen verglichen. Danach werden zwei Teilnehmerreihen im Raum selbst oder auf einem ausreichend grossen Gebäudeflur gebildet. Die Teilnehmer stehen sich nun gegenüber und mit der Überprüfung der Ausweisdokumente kann begonnen werden. Nähere Informationen dazu werden zu Beginn der Veranstaltung erteilt.

Prüfsummen

• RIPEMD160 ____ ____ ____ ____ ____ ____ ____ ____ ____ ____
• SHA256 ________ ________ ________ ________ ________ ________ _______ ________

Nach der Keysigning-Party

Beglaubigungen nach der traditionellen Methode

• benutzer@computer:~$ > gpg --edit-key KEYID

  gpg präsentiert sich so gestartet im interaktiven Modus. Der Befehl fpr gibt den Fingerabruck des in Bearbeitung befindlichen Schlüssels aus.

  Command>fpr

  Stimmt der angezeigt Wert mit dem auf der Teilnehmerliste überein, dann kann der Schlüssel durch die Eingabe von sign signiert werden.

  Command>sign

  Die Fragen, ob alle UIDs signiert werden sollen und ob denn wirklich eine Signatur erfolgen soll, sind mit y bzw. j zu beantworten. Der in Bearbeitung befindliche Schlüssel ist signiert, nachdem der persönliche Kennwortsatz abgefragt wurde. Anschliessend sollten Sie den Vertrauensstatus festlegen.

  Command>trust

  Hierbei kann man einen der nachfolgend genannten Werte auswählen:

  1 Ich bin mir nicht sicher (I don't know or won't say)
  2 Kein Vertrauen (I do NOT trust)
  3 Marginales Vertrauen (I trust marginally)
  4 Volles Vertrauen (I trust fully)
  5 Ultimatives Vertrauen (I trust ultimately) NUR FÜR DEN/DIE EIGENEN SCHLÜSSEL
  

  Abschluss der Bearbeitung mit

  Command>save

  Danach wird der Schlüssel mit der gerade erzeugten Signatur und dem Vertrauensstatus automatisch dem eigenen Schlüsselring zugeführt. Den gerade signierten Schlüssels können Sie nun exportieren und als Anlage einer E-Mail an den Schlüsseleigner übersenden.

  benutzer@computer:~$ > gpg --armor --export KEYID > NachnameVorname.asc

  oder Sie legen den Schlüssel direkt auf einem Keyserver ab (nicht empfohlen!).

  benutzer@computer:~$ > gpg --keyserver pgp.uni-mainz.de --send-key KEYID

Beglaubigung eines Schlüssels mit caff

Das Perl-Skript caff stammt von Peter Palfrader alias "weasel". Es kann von hier kopiert werden. caff legt im Heim-Verzeichnis des Benutzers ein Unterverzeichnis .caff an, indem weitere Verzeichnisse wie gnupghome und keys erzeugt werden. Das Verzeichnis gnupghome enthält nach der ersten Benutzung von caff einen eigenen Schlüsselring (ohne Secret-Key!), der dann alle Schlüssel aufnimmt, welche zukünftig mit caff signiert werden.

Ausserdem wird im Heimat-Verzeichnis des jeweiligen Benutzers eine Datei .caffrc erzeugt, die man vor der ersten Benutzung von caff editieren und den eigenen Gegebenheiten entsprechend anpassen sollte. Im Verzeichnis keys werden alle generierten EMails nebst Schlüsseln nach Datum sortiert abgelegt.

Der Vorteil von caff ist, dass man sich um fast nichts mehr selbst kümmern muss. So wird beispielsweise ein übergebener Schlüssel vom Keyserver geladen, der Edit-Modus von gpg gestartet und nach Beendigung dessen eine versandfertige E-Mail erzeugt. Diese E-Mail enthält den Rumpf-Text aus der Datei $HOME/.caffrc, sowie den signierten Schlüssel als Anlage. caff erzeugt für jede UID eines Schlüssels je eine separate E-Mail, welche über PERL::Mailer versendet wird. Beispiel:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL-ID FREMD-SCHLÜSSEL_ID

Falls Sie mit mehren Schlüsseln signieren wollen, werden die einzelnen Schlüssel durch Kommata voneinander getrennt:

benutzer@computer:> caff -em -u SCHLÜSSEL-ID1, SCHLÜSSEL-ID2 FREMD-SCHLÜSSEL_ID

caff-Optionen

-e, --export-old Exportiert auch bereits früher geleistete Signaturen.
-E, --no-export-old Ohne den Export früher geleisteter Signaturen.
-m, --mail Versendet eine EMail nachdem signiert wurde.
-M, --no-mail Kein EMailversand.
-R, --no-download Kein Key-Download.
-S, --no-sign Schlüssel nicht signieren.
-u yourkeyid, --local-user Die eigene Schlüssel-ID, sofern nicht schon in .caffrc angegeben.

• Wenn man vorher auch noch einen GPG-Agenten gestartet hat, erfolgt die Abfrage des Kennsatzes nur ein einziges mal und alle Schlüssel werden einer nach dem anderen zur Bearbeitung gebracht. Mit diesen Tricks lässt sich die Zeit fürs Beglaubigen einer kompletten Liste drastisch reduzieren. Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails walten zu lassen.

• Kopieren Sie (falls noch nicht geschehen) $HOME/.gnupg/gpg.conf nach $HOME/.caff/gnupghome/. In der Datei gpg.conf sollte der Eintrag use-agent zu finden sein. Natürlich muss gpg-agent auf Ihrem System eingrichtet sein, was auch häufig gegeben ist. Den Agenten selbst starten Sie entweder automatisiert in Ihrer .bashrc oder nur dann, wenn er auch tatsächlich benötigt wird mit eval `gpg-agent --daemon`. Siehe auch man gpg-agent. Sicherheitshinweis: Wenn der Agent gestartet wurde und Sie den Kennwortsatz eingegeben haben, dann bleibt dieser - und das ist der Zweck diese Agenten - für eine einstellbare Zeit gespeichert, d. h. wenn Sie ihren Rechner nach der Eingabe des Kennsatzes unbeobachtet lassen könnten zwielichtige Zeitgenossen Ihres geheimen Schlüssels und weiterer Datenbestände auf Ihrem Rechner habhaft werden!