fp:Keysigning-Party 2013

From LinuxTag Public Wiki

(Difference between revisions)
Jump to: navigation, search
m (Party: typo)
(Nach der Party)
 
(9 intermediate revisions not shown)
Line 42: Line 42:
* Stift
* Stift
* Schlüsselstreifen
* Schlüsselstreifen
 +
 +
= Informationen =
 +
 +
 +
* [http://blog.die-eid-funktion.de/2011/03/16/die-physikalische-sicherheitsmerkmale-des-neuen-personalausweises-npa Die Sicherheitsmerkmale des neuen Personalausweises]
= Party =
= Party =
Line 53: Line 58:
* In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren.
* In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren.
* Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise).
* Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise).
 +
 +
= Nach der Party =
 +
 +
Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden.
 +
 +
Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm '''CAFF''' automatisiert werden:
 +
[http://frank.uvena.de/de/Keysigning/Caff/ CAFF - CA Fire and Forget]. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden.
 +
 +
'''Manuell unterschreiben'''
 +
 +
* öffendlichen Schlüssel aus einem der Schlsselserver holen
 +
  '''gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>'''
 +
oder den auf dieser Seite bereitgestellten Schlüsselring installieren
 +
  '''wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc'''
 +
  '''gpg --import keyring-ltksp2013.asc'''
 +
 +
* das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch [http://www.gnupg.org/gph/en/manual/x334.html Validating other keys on your public keyring] im GPG Handbuch. Empfohlener Trust-Level ist "marginal".
 +
 +
  '''gpg --edit-key <fremde-schluessel-id> trust save quit'''
 +
 +
* den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird)
 +
 +
  '''gpg --edit-key <fremde-schluessel-id> sign save quit'''
 +
 +
* prüfen, das die eigene Unterschrift in den Signaturen auftaucht
 +
 +
  '''gpg --check-sigs <fremde-schluessel-id>'''
 +
 +
* den unterschriebnenen Schlüssel in eine Datei exportieren
 +
 +
  '''gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>'''
 +
 +
* die Datei als E-Mail-Anhang oder innerhalb einer E-Mail '''verschlüsselt''' an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden.
 +
 +
Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen.
 +
 +
Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann
 +
 +
  '''gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>'''
 +
 +
und den eigenen Schlüssel an einen GPG Keyserver hochladen
 +
 +
  ''' gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>'''
= Weitere Informationen =
= Weitere Informationen =

Latest revision as of 16:03, 26 May 2013

Contents

Gastgeber/Ausrichter

Bernd Paysan und Carsten Strotmann

Kontakt: ksp2013@strotmann.de

Mittwoch bis Freitag: am Stand der Forth Gesellschaft e.V.

Termine

  • Mo. 20.05.2013 23.59 Uhr CEST: Anmeldeschluß der KSP, danach werden keine Schlüssel mehr akzeptiert.
  • Di. 21.05.2013: Teilnahmebestätigung per E-Mail.
  • Fr. 24.05.2013: 16.00-18.00 Keysigning-Party Workshop-Raum Weimar 5
  • So. 18.08.2013: Abschluss, d. h. alle Unterschriften sind geleistet und hochgeladen bzw. per E-Mail versendet.

Anmeldung

Bitte stellen Sie vorher sicher, dass alle UIDs über gültige/funktionierende E-Mail-Adressen verfügen und der/die Schlüssel bis mindestens Oktober 2013 gültig ist/sind.

Zur Anmeldung genügt das Versenden des/der öffentlichen (!) Schlüssel an die E-Mail Adresse ksp2013@strotmann.de

Bestätigung

Alle Teilnehmer erhalten am Dienstag, 21.05. eine Teilnehmer-Liste und eine Anleitung per E-Mail. Teilnehmerliste, Schlüsselbund und Signatur werden parallel dazu auch hier zu finden sein.

Vorarbeiten

Mittwoch, 22.05.2013 Dateien stehen zur Verfügung.

  • Teilnehmerliste kopieren (Rechte-Maustaste, speichern unter ...)
  • Schlüsselring - Datei mit allen eingereichten Schlüsseln.
  • Zur Überprüfung der Echtheit der Dateien muss zunächst Carsten Strotmanns Schlüssel geladen werden.
  gpg --keyserver pgp.mit.edu --recv-keys 3479ABA2 
  • Dateiprüfung durchführen
  gpg --verify  ksp-lt2k13.txt.asc 
  • Liste (ksp-lt2k13.txt.asc) ausdrucken
  • Prüfsummen der unveränderten Datei ksp-lt2k13.txt.asc ermitteln und in die dafür vorgesehenen Felder eintragen.
 gpg --print-md ripemd160 ksp-lt2k13.txt.asc 
 gpg --print-md sha256 ksp-lt2k13.txt.asc 
  • Ggf. Fingerprints ausdrucken und einige Schlüsselstreifen (via gpg-key2ps oder fingerprint.tex) ausdrucken, man weiß ja nie ...
 gpg-key2ps -p A4 KEYID [KEYID] > Streifen.ps

Mitbringen

  • Ausdruck mit eingetragenen Prüfsummen
  • Gültiges Ausweisdokument
  • Stift
  • Schlüsselstreifen

Informationen

Party

Freitag, 24. Mai 2013, 16.00-18.00 Uhr Workshop-Raum Weimar 5

  • Begrüßung.
  • Anwesenheit und Prüfsummen feststellen bzw. vergleichen.
  • Modalitäten festlegen: Unterschriften zuschicken oder hochladen?
  • Kurzvortrag: die Sicherheitsmerkmale des Personalausweises
  • Kurzvortrag: wie wird die verwendete Key-Signing Software benutzt
  • In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren.
  • Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise).

Nach der Party

Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden.

Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm CAFF automatisiert werden: CAFF - CA Fire and Forget. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden.

Manuell unterschreiben

  • öffendlichen Schlüssel aus einem der Schlsselserver holen
 gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>

oder den auf dieser Seite bereitgestellten Schlüsselring installieren

 wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc
 gpg --import keyring-ltksp2013.asc
  • das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch Validating other keys on your public keyring im GPG Handbuch. Empfohlener Trust-Level ist "marginal".
  gpg --edit-key <fremde-schluessel-id> trust save quit
  • den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird)
  gpg --edit-key <fremde-schluessel-id> sign save quit
  • prüfen, das die eigene Unterschrift in den Signaturen auftaucht
  gpg --check-sigs <fremde-schluessel-id>
  • den unterschriebnenen Schlüssel in eine Datei exportieren
  gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>
  • die Datei als E-Mail-Anhang oder innerhalb einer E-Mail verschlüsselt an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden.

Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen.

Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann

  gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>

und den eigenen Schlüssel an einen GPG Keyserver hochladen

   gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>

Weitere Informationen

Welche Ausweise sind gültig/ungültig, woran erkenne ich valide Ausweisdokumente. Antworten auf diese Fragen gibt es am Stand von secure-u: Halle 7.1a, Stand 140.

Am Stand der BeLUG (Halle 7.1c, Stand 146) gibt es Informationen über Schulungen zum Thema OpenPGP:

OpenPGP Schulungen und Information

Personal tools
Navigation
Crew