NDS:Oldenburg/Infrastruktur/Keysigning-Party-Knigge

Aus Piratenwiki
Wechseln zu: Navigation, Suche
 Piraten Oldenburgedit

Wichtig!

Netz des Vertrauens. Bild: Ogmios
Creative Commons
Klick - Animation starten
Bild: Bernd R. Fix, CC-BY-NC-SA
Klick - Animation starten
Bild: Bernd R. Fix, CC-BY-NC-SA

die Keysigning-Party nach der Len Sassaman's Efficient Group Key Signing Methode [1], die hier Keysigning Party am ... beispielhaft beschrieben ist, bietet eine Chance, eine einwandfreie Signierung zeitsparend durchzuführen, wenn alle Teilnehmer mitziehen und zwar

  • _vor_ der Party
  • _während_ der Party
  • _nachher_ bei der Schlüsselsignierung.

Dazu gehört, dass von jedem einzelnen Teilnehmer _vor_ der Party

  • die Prüfsumme der Datei Keysigning-Party-jjjj-mm-tt.txt selbst ermittelt wird.
  • eigener Fingerprint in der Keysigning-Party-jjjj-mm-tt.txt geprüft wird.

Dann entfällt die mühsehlige, zeitraubende und fehleranfällige Prüfung von Fingerprints der einzelnen Teilnehmer _während_ der Party.

Ablauf

  • teilnehmen an der Keysigning-Party kann grundsätzlich jede/-r,
    • der/die einen GPG/PGP-Schlüssel[4] hat
    • sich im Rahmen der Identitätsprüfung mit einem amtlichen Ausweisdokument ausweisen kann
  • Organisator der Keysigning-Party macht den Veranstaltungsort und die Termine für die Keysigning-Party selbst und für den Anmeldeschluss bekannt
  • die Teilnehmer stellen dem Organisator ihre öffentliche Schlüssel zur Verfügung
    • auf dem Webserver und schicken eine eMail an den Organisator
    • per eMail als asc-Datei
  • nach dem Anmeldeschluss stellt der Organisator die Liste der Schlüssel als:
    • Text-Datei Keysigning-Party-jjjj-mm-dd.txt
    • Datei Keyring-der-Keysigning-Party-jjjj-mm-tt.asc
    den potentiellen Teilnehmern zur Verfügung
  • nach dem Anmeldeschluss haben die Teilnehmer Folgendes zu erledigen:
    • sie importieren alle Schlüssel aus der Datei Keyring-der-Keysigning-Party-OL-jjjj-mm-dd.asc
    • erstellen die MD5 und SHA1-Summen der Datei Keysigning-Party-jjjj-mm-tt.txt
    • drucken sich die Liste Datei Keysigning-Party-jjjj-mm-dd.txt aus
    • tragen die MD5 und SHA1-Summen in der ausgedruckten Liste ein
    • prüfen eigenen Fingerabdruck in der Keysigning-Party-2012-mm-tt.txt
  • auf der Party:
    • prüfen/vergleichen die Teilnehmer die MD5 und SHA1-Summen
    • bestätigen einander die Richtigkeit der Fingerabdrücke
    • prüfen gegenseitig die Ausweisdokumente
  • nach der Party unterzeichnen und versenden die Teilnehmer die unterzeichnete und verschlüsselte Schlüssel der geprüften Teilnehmer. Mit der Verschlüsselung verifiziert man noch einmal, dass derjenige auch den privaten Schlüssel besitzt.
Anmerkungen
bei Fragen können die Teilnehmer sich an den Organisator der Party wenden
die Textdatei Datei:Schluessel-Uebersicht-Keyring-jjj-mm-tt.zip
(in einer -zip-Datei verpackt) - kann hilfreich sein, um im jeweilgen 'Web of Trust' einen Überblick zu verschaffen, wie weit die Signierung der Schlüssel fortgeschritten ist
für OpenPGP-Anwender
Vertrauenswürdigkeit des Schlüssels beim Signieren dokumentieren.
Zuverlässigkeit einer Identitätsprüfung dokumentieren
bei der Unterzeichnung eines PGP-Schlüssels hat der Unterzeichner in diesem OpenPGP-Dialog eine Möglichkeit, den Grad der Zuverlässigkeit, mit der die Überprüfung, ob der zu signierende Schlüssel einer bestimmten Person gehört, durchgeführt wurde, in der Unterschrift zum Schlüssel zu dokumentieren.

Quellen

Cacert-free-certificates2.png
CAcert Assurer am Stammtisch
  1. Zimmermann–Sassaman key-signing protocol, (Englisch)
  2. http://de.wikipedia.org/wiki/Pretty_Good_Privacy - Pretty Good Privacy (PGP) Programm zur Verschlüsselung und zum Unterschreiben von Daten
  3. http://de.wikipedia.org/wiki/GNU_Privacy_Guard - GnuPG oder GPG (GNU Privacy Guard, englisch für GNU-Privatsphärenschutz) ist ein freies Kryptographiesystem
  4. HowTo Thunderbird mit PGP unter Windows
  5. http://de.wikipedia.org/wiki/Keysigning-Party - Keysigning-Party
  6. GnuPG Keysigning-Party HOWTO
  7. http://de.wikipedia.org/wiki/Web_of_Trust - Netz des Vertrauens bzw. Web of Trust (WOT)
  8. http://www.gnupg.org/gph/de/manual/x696.html - Aufbau Ihres Web of Trust. Das GNU-Handbuch zum Schutze der Privatsphäre.
  9. http://www.comsafe.de/verschluesselung.html - Verschlüsselung und Signatur
  10. http://www.heise.de/security/dienste/Wozu-eine-Krypto-Kampagne-473381.html - Wozu eine Krypto-Kampagne?
  11. persönliche PGP-Eindrücke. --Dromedar 19:17, 10. Jul. 2012 (CEST)
  12. MD5- und SHA1-Pruefsummen erstellen unter Windows 7
  13. http://www.ccczh.ch/KeySigningParty - Ablauf einer Key Signing Party
  14. http://www.hauke-laging.de/sicherheit/openpgp.html - Einführung in die Funktionsweise von OpenPGP / GnuPG. 16.07.2012.
  15. http://frank.uvena.de/de/Keysigning/Caff/index.php - Keysigning mit caff
  16. The Keysigning Party HOWTO
  17. http://wiki.kairaven.de/open/krypto/gpg/gpg3 - Das OpenPGP Web of Trust
  18. http://keysigning.org/
  19. http://einklich.net/anleitung/pgp2.htm - PGP-Anleitung
  20. MD5, CRC, SHA-1: Prüfsummen und so’n Zeuch! - http://blog.knecht-ruprecht.info/2010/01/md5-crc-sha-1-prufsummen-und-son-zeuch.html
  21. HowTo PGP - Piratenwiki - https://wiki.piratenpartei.de/HowTo_PGP