BY:Landesparteitag 14.1/Keysigning
LPT | Tagesordnung | Anträge | Kandidaten | Geschäftsordnung | Cryptoparty | Protokoll |
Inhaltsverzeichnis
Tails Workshop
The Amnesic Incognito Live System (Tails) ist eine auf Debian basierende Live Linux Distribution, die von einem externen Speichermedium gebootet wird und ohne die Festplatte Deines PCs zu verändern, eine sichere Umgebung zur Nutzung des Internets über die Anonymisierungsnetzerke Tor und I2P zur Verfügung stellt.
Auf dem LPT möchte ich mit Euch am Samstag den 13.09.2014 einen Workshop zur Einrichtung und Nutzung von Tails organisieren. Zur Teilnahme benötigt Ihr Folgendes:
- einen USB-Stick mit mindestens 4GB Speicherplatz und
- einen PC, idealerweise Notebook oder Netbook
Keysigning
Auf dem LPT werden wir am Sonntag, den 14.09.2014, mit Unterstützung der Linux und UNIX User Group Ingolstadt ein öffentliches OpenPGP-Keysigning nach der 'Sassaman-Efficient' Methode durchführen, die nach dem verstorbenen IT-Sicherheitsexperten Len Sassaman benannt ist.
Voraussetzungen
Den öffentlichen Teil Deines OpenPGP-Schlüssels musst Du vor der Veranstaltung einreichen. Wenn Du noch keinen OpenPGP-Schlüssel besitzt, musst Du jetzt einen erstellen. Für Einsteiger wird empfohlen, ein RSA-Schlüsselpaar mit jeweils 4096 Bit Schlüssellänge zu erstellen (wähle auf der Kommandozeile beim Erzeugen eines Schlüssels mit GnuPG (1) RSA und RSA, um einen Hauptschlüssel zum Signieren und Beglaubigen und einen Unterschlüssel zum Verschlüsseln zu erhalten). Hast Du bereits ein RSA-Schlüsselpaar, sollte es eine Schlüssellänge von mindestens 2048 Bit haben. Kürzere Schlüssellängen gelten als weniger sicher. Hier einige Hinweise dazu:
- Anleitung zum Einrichten von PGP und zur Erstellung eines PGP-Schlüssels unter Windows
- Anleitung zur Einrichtung und Nutzung von PGP unter Linux, MacOS und Windows
- Deutschsprachige GnuPG Anleitung von Kai Raven
- (Deutschsprachige Anleitung für PGP, noch unfertig)
Vor dem LPT
- Bitte exportiere Deinen öffentlichen OpenPGP-Schlüssel in eine Datei auf Deiner Festplatte und sende diese per E-Mail bis zum Mittwoch den 10.09.2014 um 20:00 Uhr an keysigning@gmx.org. Du kannst selbstverständlich auch mehrere Schlüssel einreichen.
- Ab dem 11.09.2014 werden wir hier auf dieser Wiki-Seite eine von uns zusammengestellte Liste mit allen Schlüsselkennungen und Fingerprints im ASCII-Textformat als ZIP Archiv zum Download bereitstellen: Datei:Keysigning bylpt141.txt.zip
- Diese Listendatei musst Du herunterladen, entpacken und ausgedruckt zum LPT mitbringen.
- In der Liste der Schlüsselkennungen musst Du zunächst überprüfen, ob der dort angegebene Fingerprint wirklich der Deines OpenPGP-Schlüssels ist.
- Weiterhin musst Du von der Listendatei der Schlüsselkennungen entweder eine SHA256- oder eine RIPEMD160-Prüfsumme berechnen und in die entsprechenden Formularfelder auf dem Ausdruck eintragen. Die Berechnung der Prüfsummen erfolgt mit dem Programm GnuPG auf der Kommandozeile. Die entsprechenden Befehle findest Du am Anfang der Listendatei selbst bzw. nachfolgend hier:
- gpg --print-md SHA256 keysigning_bylpt141.txt
- gpg --print-md RIPEMD160 keysigning_bylpt141.txt
Auf dem LPT
- Alle Teilnehmer bringen Ihre ausgedruckten Listen mit den Schlüsselkennungen sowie jeweils mindestens ein Ausweisdokument (z. B. Personalausweis, Reisepass oder Führerschein) zum LPT mit. Jeder Teilnehmer sollte nur die von ihm selbst ausgedruckte und mit den Prüfsummen versehene Liste verwenden.
- Wir werden die Prüfsummen auf dem LPT zu Beginn des Keysignings verlesen bzw. auf den Beamer legen, damit jeder Teilnehmer diese mit den von ihm selbst daheim berechneten Prüfsummen vergleichen kann. Damit stellen wir sicher, dass alle Teilnehmer eine identische Liste verwenden.
- Alle Teilnehmer stellen sich in der Reihenfolge, in der Ihre Schlüssel in der Liste der Schlüsselkennungen vorkommen, in einer Reihe auf.
- 1 - 2 - 3 - 4 - 5 - 6 - 7 - 8
- Die Reihe faltet sich dann ab der Mitte zusammen, so dass der erste Teilnehmer jetzt dem letzten gegenübersteht.
- 1 - 2 - 3 - 4
- 8 - 7 - 6 - 5
- Die sich jeweils gegenüberstehenden Teilnehmer bestätigen sich gegenseitig Ihre Identität und die Korrektheit Ihrer Fingerprints in der Liste. Dabei notiert sich jeder Teilnehmer auf seinem Ausdruck, ob die Identität der jeweils anderen Person nach seinen Maßstäben glaubwürdig ist und ob die Korrektheit des Fingerprints von der jeweiligen Person bestätigt wurde.
- Anschließend bewegt sich die gesamte Reihe einen Platz weiter nach rechts.
- ____2 - 3 - 4 - 5
- 1 - 8 - 7 - 6
- Teilnehmer am Ende der Reihe wechseln auf die andere Seite der Reihe. Auf diese Weise sollte jetzt jeder dem jeweils nächsten Teilnehmer auf der Liste gegenüberstehen.
- 2 - 3 - 4 - 5
- 1 - 8 - 7 - 6
- Diese Prozedur wiederholt sich dann ab dem Schritt 5.
Nach dem LPT
- Du importierst die öffentlichen OpenPGP-Schlüssel aller Teilnehmer von einem Keyserver Deiner Wahl. Alternativ werden wir eventuell eine Datei mit allen Schlüsseln hier im Wiki bereitstellen, die Du herunterladen und mit dem folgenden Befehl importieren kannst:
- gpg --import DATEINAME
- Du arbeitest Deine ausgedruckte Liste mit den Schlüsselkennungen ab. Dabei vergleichst Du den Fingerprint jedes OpenPGP-Schlüssels mit dem auf der Liste und vergewisserst Dich anhand Deiner Notizen vom LPT, ob die Identität des Teilnehmers glaubwürdig war, bevor Du den entsprechenden Schlüssel mit Deinem eigenen beglaubigst.
- Anschließend exportierst Du den beglaubigten OpenPGP-Schlüssel jedes Teilnehmers in eine Datei und sendest ihr/ihm diese in einer verschlüsselten E-Mail zu. Alternativ kannst Du die Schlüssel auch auf einen öffentlichen Keyserver synchronisieren.
CAcert Identitätsprüfung
Was ist und was macht CAcert?
CAcert.org ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle (CA), die kostenfreie SSL/TLS- und OpenPGP-Zertifikate ausstellt.
Ziel von CAcert ist die Förderung der Computer- und Kommunikationssicherheit durch Sensibilisierung, Aufklärung und insbesondere durch die Ausgabe von Zertifikaten. Diese können verwendet werden, um
- E-Mails digital zu unterschreiben und zu verschlüsseln,
- Anwender beim Zugang zu Webseiten zu beglaubigen und zu berechtigen und
- gesicherte Datenübertragung über das Internet zu ermöglichen.
Jede Anwendung, die das Übertragungsprotokoll SSL/TLS unterstützt, kann von CAcert beglaubigte Zertifikate nutzen, ebenso jede Anwendung, die X.509-Zertifikate benutzt, z. B. zur Verschlüsselung oder zur Signierung von Code oder Dokumenten.
Bei Zertifikaten handelt es sich grob gesagt um beglaubigte öffentliche Schlüssel einer Person oder Organisation. Diese Beglaubigung dient Dritten wie z. B. Kommunikationspartnern, Kunden eines Webshops, etc. dazu, sicherzustellen, dass ein bestimmter öffentlicher Schlüssel auch tatsächlich der angegebenen Person gehört. Mit Zertifikaten werden also öffentliche Schlüssel, auch OpenPGP-Schlüssel, kryptographisch eindeutig ihrem jeweiligen Eigentümer zugeordnet.
Damit solche Beglaubigungen (Zertifikate) einen Sinn ergeben und von CAcert überhaupt erstellt werden können, muss die Identität des Eigentümers zweifelsfrei sicher sein. Dazu werden Identitätsprüfungen und ein abgestuftes und transparentes Punktesystem verwendet.
Wie kann ich teilnehmen?
Um Unstimmigkeiten und Eingabefehler zu vermeiden, bitten wir Euch, die folgenden Punkte zu beachten:
- Vor dem LPT solltet Ihr Euch bei CAcert registrieren. Dabei werden lediglich Euer Name, Euer Geburtsdatum und Eure E-Mail-Adresse zentral erfasst. (Je nach Browser und/oder Betriebssysten wird eventuell eine Fehlermeldung angezeigt. In diesem Fall müsst Ihr noch zuvor das Stammzertifikat importieren.)
- Zum LPT solltet Ihr mindestens zwei besser drei oder vier ausgedruckte und noch nicht unterschriebene CAP-Formulare mitbringen. Nach der Anmeldung bei CAcert, könnt Ihr Euch dieses vorausgefüllt im Menü CAP-Formulare -> A4 - WoT-Formular herunterladen.
- Zur Identitätsprüfung auf dem LPT müsst Ihr zwei offizielle Ausweisdokumente mitbringen, z. B. Euren Personalausweis, Reisepass, oder Führerschein.