fp:Keysigning-Party 2013
From LinuxTag Public Wiki
(→Party) |
(→Nach der Party) |
||
(18 intermediate revisions not shown) | |||
Line 16: | Line 16: | ||
mindestens '''Oktober 2013''' gültig ist/sind. | mindestens '''Oktober 2013''' gültig ist/sind. | ||
- | Zur Anmeldung genügt das Versenden des/der | + | Zur Anmeldung genügt das Versenden des/der öffentlichen (!) Schlüssel an die E-Mail Adresse '''ksp2013@strotmann.de''' |
- | + | ||
= Bestätigung = | = Bestätigung = | ||
Line 25: | Line 24: | ||
'''Mittwoch, 22.05.2013 Dateien stehen zur Verfügung.''' | '''Mittwoch, 22.05.2013 Dateien stehen zur Verfügung.''' | ||
- | * | + | * [http://strotmann.de/~cas/linuxtag/2013/ksp/ksp-lt2k13.txt.asc Teilnehmerliste] kopieren (Rechte-Maustaste, speichern unter ...) |
- | * | + | * [http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc Schlüsselring] - Datei mit allen eingereichten Schlüsseln. |
- | + | ||
* Zur Überprüfung der Echtheit der Dateien muss zunächst Carsten Strotmanns Schlüssel geladen werden. | * Zur Überprüfung der Echtheit der Dateien muss zunächst Carsten Strotmanns Schlüssel geladen werden. | ||
''' gpg --keyserver pgp.mit.edu --recv-keys 3479ABA2 ''' | ''' gpg --keyserver pgp.mit.edu --recv-keys 3479ABA2 ''' | ||
* Dateiprüfung durchführen | * Dateiprüfung durchführen | ||
- | ''' gpg --verify ksp-lt2k13.txt. | + | ''' gpg --verify ksp-lt2k13.txt.asc ''' |
- | * Liste (ksp-lt2k13.txt) ausdrucken | + | * Liste (ksp-lt2k13.txt.asc) ausdrucken |
- | * Prüfsummen der '''unveränderten''' Datei ksp-lt2k13.txt ermitteln und in die dafür vorgesehenen Felder eintragen. | + | * Prüfsummen der '''unveränderten''' Datei ksp-lt2k13.txt.asc ermitteln und in die dafür vorgesehenen Felder eintragen. |
- | '''gpg --print-md ripemd160 ksp-lt2k13.txt''' | + | '''gpg --print-md ripemd160 ksp-lt2k13.txt.asc''' |
- | '''gpg --print-md sha256 ksp-lt2k13.txt ''' | + | '''gpg --print-md sha256 ksp-lt2k13.txt.asc ''' |
* Ggf. Fingerprints ausdrucken und einige Schlüsselstreifen (via [http://pgp-tools.alioth.debian.org/ gpg-key2ps] oder [http://vog.github.io/fingerprint/ fingerprint.tex]) ausdrucken, man weiß ja nie ... | * Ggf. Fingerprints ausdrucken und einige Schlüsselstreifen (via [http://pgp-tools.alioth.debian.org/ gpg-key2ps] oder [http://vog.github.io/fingerprint/ fingerprint.tex]) ausdrucken, man weiß ja nie ... | ||
'''gpg-key2ps -p A4 KEYID [KEYID] > Streifen.ps''' | '''gpg-key2ps -p A4 KEYID [KEYID] > Streifen.ps''' | ||
Line 44: | Line 42: | ||
* Stift | * Stift | ||
* Schlüsselstreifen | * Schlüsselstreifen | ||
+ | |||
+ | = Informationen = | ||
+ | |||
+ | |||
+ | * [http://blog.die-eid-funktion.de/2011/03/16/die-physikalische-sicherheitsmerkmale-des-neuen-personalausweises-npa Die Sicherheitsmerkmale des neuen Personalausweises] | ||
= Party = | = Party = | ||
Line 50: | Line 53: | ||
* Begrüßung. | * Begrüßung. | ||
* Anwesenheit und Prüfsummen feststellen bzw. vergleichen. | * Anwesenheit und Prüfsummen feststellen bzw. vergleichen. | ||
- | * | + | * Modalitäten festlegen: Unterschriften zuschicken oder hochladen? |
* Kurzvortrag: die Sicherheitsmerkmale des Personalausweises | * Kurzvortrag: die Sicherheitsmerkmale des Personalausweises | ||
* Kurzvortrag: wie wird die verwendete Key-Signing Software benutzt | * Kurzvortrag: wie wird die verwendete Key-Signing Software benutzt | ||
* In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren. | * In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren. | ||
* Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise). | * Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise). | ||
+ | |||
+ | = Nach der Party = | ||
+ | |||
+ | Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden. | ||
+ | |||
+ | Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm '''CAFF''' automatisiert werden: | ||
+ | [http://frank.uvena.de/de/Keysigning/Caff/ CAFF - CA Fire and Forget]. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden. | ||
+ | |||
+ | '''Manuell unterschreiben''' | ||
+ | |||
+ | * öffendlichen Schlüssel aus einem der Schlsselserver holen | ||
+ | '''gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>''' | ||
+ | oder den auf dieser Seite bereitgestellten Schlüsselring installieren | ||
+ | '''wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc''' | ||
+ | '''gpg --import keyring-ltksp2013.asc''' | ||
+ | |||
+ | * das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch [http://www.gnupg.org/gph/en/manual/x334.html Validating other keys on your public keyring] im GPG Handbuch. Empfohlener Trust-Level ist "marginal". | ||
+ | |||
+ | '''gpg --edit-key <fremde-schluessel-id> trust save quit''' | ||
+ | |||
+ | * den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird) | ||
+ | |||
+ | '''gpg --edit-key <fremde-schluessel-id> sign save quit''' | ||
+ | |||
+ | * prüfen, das die eigene Unterschrift in den Signaturen auftaucht | ||
+ | |||
+ | '''gpg --check-sigs <fremde-schluessel-id>''' | ||
+ | |||
+ | * den unterschriebnenen Schlüssel in eine Datei exportieren | ||
+ | |||
+ | '''gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>''' | ||
+ | |||
+ | * die Datei als E-Mail-Anhang oder innerhalb einer E-Mail '''verschlüsselt''' an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden. | ||
+ | |||
+ | Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen. | ||
+ | |||
+ | Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann | ||
+ | |||
+ | '''gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>''' | ||
+ | |||
+ | und den eigenen Schlüssel an einen GPG Keyserver hochladen | ||
+ | |||
+ | ''' gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>''' | ||
= Weitere Informationen = | = Weitere Informationen = | ||
Line 62: | Line 108: | ||
gibt es am Stand von secure-u: Halle 7.1a, Stand 140. | gibt es am Stand von secure-u: Halle 7.1a, Stand 140. | ||
- | Am Stand der BeLUG (Halle 7.1c, Stand 146) gibt es Informationen | + | Am Stand der BeLUG (Halle 7.1c, Stand 146) gibt es Informationen über Schulungen zum Thema OpenPGP: |
[http://www.openpgp-schulungen.de/ OpenPGP Schulungen und Information] | [http://www.openpgp-schulungen.de/ OpenPGP Schulungen und Information] |
Latest revision as of 16:03, 26 May 2013
Contents |
Gastgeber/Ausrichter
Bernd Paysan und Carsten Strotmann
Kontakt: ksp2013@strotmann.de
Mittwoch bis Freitag: am Stand der Forth Gesellschaft e.V.
Termine
- Mo. 20.05.2013 23.59 Uhr CEST: Anmeldeschluß der KSP, danach werden keine Schlüssel mehr akzeptiert.
- Di. 21.05.2013: Teilnahmebestätigung per E-Mail.
- Fr. 24.05.2013: 16.00-18.00 Keysigning-Party Workshop-Raum Weimar 5
- So. 18.08.2013: Abschluss, d. h. alle Unterschriften sind geleistet und hochgeladen bzw. per E-Mail versendet.
Anmeldung
Bitte stellen Sie vorher sicher, dass alle UIDs über gültige/funktionierende E-Mail-Adressen verfügen und der/die Schlüssel bis mindestens Oktober 2013 gültig ist/sind.
Zur Anmeldung genügt das Versenden des/der öffentlichen (!) Schlüssel an die E-Mail Adresse ksp2013@strotmann.de
Bestätigung
Alle Teilnehmer erhalten am Dienstag, 21.05. eine Teilnehmer-Liste und eine Anleitung per E-Mail. Teilnehmerliste, Schlüsselbund und Signatur werden parallel dazu auch hier zu finden sein.
Vorarbeiten
Mittwoch, 22.05.2013 Dateien stehen zur Verfügung.
- Teilnehmerliste kopieren (Rechte-Maustaste, speichern unter ...)
- Schlüsselring - Datei mit allen eingereichten Schlüsseln.
- Zur Überprüfung der Echtheit der Dateien muss zunächst Carsten Strotmanns Schlüssel geladen werden.
gpg --keyserver pgp.mit.edu --recv-keys 3479ABA2
- Dateiprüfung durchführen
gpg --verify ksp-lt2k13.txt.asc
- Liste (ksp-lt2k13.txt.asc) ausdrucken
- Prüfsummen der unveränderten Datei ksp-lt2k13.txt.asc ermitteln und in die dafür vorgesehenen Felder eintragen.
gpg --print-md ripemd160 ksp-lt2k13.txt.asc gpg --print-md sha256 ksp-lt2k13.txt.asc
- Ggf. Fingerprints ausdrucken und einige Schlüsselstreifen (via gpg-key2ps oder fingerprint.tex) ausdrucken, man weiß ja nie ...
gpg-key2ps -p A4 KEYID [KEYID] > Streifen.ps
Mitbringen
- Ausdruck mit eingetragenen Prüfsummen
- Gültiges Ausweisdokument
- Stift
- Schlüsselstreifen
Informationen
Party
Freitag, 24. Mai 2013, 16.00-18.00 Uhr Workshop-Raum Weimar 5
- Begrüßung.
- Anwesenheit und Prüfsummen feststellen bzw. vergleichen.
- Modalitäten festlegen: Unterschriften zuschicken oder hochladen?
- Kurzvortrag: die Sicherheitsmerkmale des Personalausweises
- Kurzvortrag: wie wird die verwendete Key-Signing Software benutzt
- In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren.
- Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise).
Nach der Party
Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden.
Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm CAFF automatisiert werden: CAFF - CA Fire and Forget. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden.
Manuell unterschreiben
- öffendlichen Schlüssel aus einem der Schlsselserver holen
gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>
oder den auf dieser Seite bereitgestellten Schlüsselring installieren
wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc gpg --import keyring-ltksp2013.asc
- das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch Validating other keys on your public keyring im GPG Handbuch. Empfohlener Trust-Level ist "marginal".
gpg --edit-key <fremde-schluessel-id> trust save quit
- den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird)
gpg --edit-key <fremde-schluessel-id> sign save quit
- prüfen, das die eigene Unterschrift in den Signaturen auftaucht
gpg --check-sigs <fremde-schluessel-id>
- den unterschriebnenen Schlüssel in eine Datei exportieren
gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>
- die Datei als E-Mail-Anhang oder innerhalb einer E-Mail verschlüsselt an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden.
Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen.
Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann
gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>
und den eigenen Schlüssel an einen GPG Keyserver hochladen
gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>
Weitere Informationen
Welche Ausweise sind gültig/ungültig, woran erkenne ich valide Ausweisdokumente. Antworten auf diese Fragen gibt es am Stand von secure-u: Halle 7.1a, Stand 140.
Am Stand der BeLUG (Halle 7.1c, Stand 146) gibt es Informationen über Schulungen zum Thema OpenPGP: