Wichtig!

Bild: Sebastian Hartlaub
GNU-Lizenz für freie Dokumentation

Netz des Vertrauens. Bild: Ogmios
Creative Commons

Bild: Ranveig
public domain

die Keysigning-Party nach der Len Sassaman's Efficient Group Key Signing Methode [1], die hier Keysigning Party am ... beispielhaft beschrieben ist, bietet eine Chance, eine einwandfreie Signierung zeitsparend durchzuführen, wenn alle Teilnehmer mitziehen und zwar

• _vor_ der Party
• _während_ der Party
• _nachher_ bei der Schlüsselsignierung.

Dazu gehört, dass von jedem einzelnen Teilnehmer _vor_ der Party

• die Prüfsumme der Datei Keysigning-Party-OL-04-07-2012.txt selbst ermittelt wird.
• eigener Fingerprint in der Keysigning-Party-OL-04-07-2012.txt geprüft wird.

Dann entfällt die mühsehlige, zeitraubende und fehleranfällige Prüfung von Fingerprints der einzelnen Teilnehmer _während_ der Party.

Ablauf

• teilnehmen an der Keysigning-Party kann grundsätzlich jede/-r, der/die einen GPG/PGP-Schlüssel[4] hat
• Organisator der Keysigning-Party macht den Veranstaltungsort und die Termine für die Keysigning-Party selbst und für den Anmeldeschluss bekannt

• die Teilnehmer stellen dem Organisator ihre öffentliche Schlüssel zur Verfügung
  • auf dem Webserver und schicken eine eMail an den Organisator
  • per eMail als asc-Datei
• nach dem Anmeldeschluss stellt der Organisator die Liste der Schlüssel als:
  • menschenlesbare Datei Keysigning-Party-OL-jjjj-mm-dd.txt
  • maschinenlesbare Datei Keyring-der-Keysigning-Party-OL-jjjj-mm-dd.asc

  den potentiellen Teilnehmern zur Verfügung

• nach dem Anmeldeschluss haben die Teilnehmer Folgendes zu erledigen:
  • sie importieren alle Schlüssel aus der Datei Keyring-der-Keysigning-Party-OL-jjjj-mm-dd.asc
  • erstellen die MD5 und SH1-Summen der Datei Keysigning-Party-OL-jjjj-mm-dd.txt
  • drucken sich die Liste Datei Keysigning-Party-OL-jjjj-mm-dd.txt aus
  • tragen die MD5 und SH1-Summen in der ausgedruckten Liste ein
  • prüfen eigenen Fingerabdruck in der Keysigning-Party-OL-jjjj-mm-dd.txt
• auf der Party:
  • prüfen/vergleichen die Teilnehmer die MD5 und SH1-Summen
  • bestätigen einander die Richtigkeit der Fingerabdrücke
  • prüfen gegenseitig die Ausweisdokumente
• nach der Party unterzeichnen und versenden die Teilnehmer die unterzeichneten und verschlüsselte Schlüssel der geprüften Teilnehmer. Mit der Verschlüsselung verifiziert man noch einmal, dass derjenige auch den privaten Schlüssel besitzt.

Anmerkungen

bei Fragen können die Teilnehmer sich an den Organisator der Party wenden

die Textdatei Datei:Schluessel-Uebersicht-Keyring-jjj-mm-tt.zip

(in einer -zip-Datei verpackt) - kann hilfreich sein, um im jeweilgen 'Web of Trust' einen Überblick zu verschaffen, wie weit die Signierung der Schlüssel fortgeschritten ist

für OpenPGP-Anwender

Vertrauenswürdigkeit des Schlüssels beim Signieren dokumentieren.

Quellen

CAcert Assurer am Stammtisch

1. Zimmermann–Sassaman key-signing protocol, (Englisch)
2. http://de.wikipedia.org/wiki/Pretty_Good_Privacy - Pretty Good Privacy (PGP) Programm zur Verschlüsselung und zum Unterschreiben von Daten
3. http://de.wikipedia.org/wiki/GNU_Privacy_Guard - GnuPG oder GPG (GNU Privacy Guard, englisch für GNU-Privatsphärenschutz) ist ein freies Kryptographiesystem
4. PGP/HowTo_PGP_mit_Thunderbird_unter_Windows
5. http://de.wikipedia.org/wiki/Keysigning-Party - Keysigning-Party
6. Keysigning-Party an der Uni Stuttgart
7. http://de.wikipedia.org/wiki/Web_of_Trust - Netz des Vertrauens bzw. Web of Trust (WOT)
8. http://www.gnupg.org/gph/de/manual/x696.html - Aufbau Ihres Web of Trust. Das GNU-Handbuch zum Schutze der Privatsphäre.
9. http://www.comsafe.de/verschluesselung.html - Verschlüsselung und Signatur
10. http://www.heise.de/security/dienste/Wozu-eine-Krypto-Kampagne-473381.html - Wozu eine Krypto-Kampagne?