fp:Keysigning-Party 2013
From LinuxTag Public Wiki
(→Mitbringen) |
(→Nach der Party) |
||
(8 intermediate revisions not shown) | |||
Line 58: | Line 58: | ||
* In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren. | * In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren. | ||
* Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise). | * Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise). | ||
+ | |||
+ | = Nach der Party = | ||
+ | |||
+ | Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden. | ||
+ | |||
+ | Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm '''CAFF''' automatisiert werden: | ||
+ | [http://frank.uvena.de/de/Keysigning/Caff/ CAFF - CA Fire and Forget]. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden. | ||
+ | |||
+ | '''Manuell unterschreiben''' | ||
+ | |||
+ | * öffendlichen Schlüssel aus einem der Schlsselserver holen | ||
+ | '''gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>''' | ||
+ | oder den auf dieser Seite bereitgestellten Schlüsselring installieren | ||
+ | '''wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc''' | ||
+ | '''gpg --import keyring-ltksp2013.asc''' | ||
+ | |||
+ | * das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch [http://www.gnupg.org/gph/en/manual/x334.html Validating other keys on your public keyring] im GPG Handbuch. Empfohlener Trust-Level ist "marginal". | ||
+ | |||
+ | '''gpg --edit-key <fremde-schluessel-id> trust save quit''' | ||
+ | |||
+ | * den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird) | ||
+ | |||
+ | '''gpg --edit-key <fremde-schluessel-id> sign save quit''' | ||
+ | |||
+ | * prüfen, das die eigene Unterschrift in den Signaturen auftaucht | ||
+ | |||
+ | '''gpg --check-sigs <fremde-schluessel-id>''' | ||
+ | |||
+ | * den unterschriebnenen Schlüssel in eine Datei exportieren | ||
+ | |||
+ | '''gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>''' | ||
+ | |||
+ | * die Datei als E-Mail-Anhang oder innerhalb einer E-Mail '''verschlüsselt''' an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden. | ||
+ | |||
+ | Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen. | ||
+ | |||
+ | Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann | ||
+ | |||
+ | '''gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>''' | ||
+ | |||
+ | und den eigenen Schlüssel an einen GPG Keyserver hochladen | ||
+ | |||
+ | ''' gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>''' | ||
= Weitere Informationen = | = Weitere Informationen = |
Latest revision as of 16:03, 26 May 2013
Contents |
Gastgeber/Ausrichter
Bernd Paysan und Carsten Strotmann
Kontakt: ksp2013@strotmann.de
Mittwoch bis Freitag: am Stand der Forth Gesellschaft e.V.
Termine
- Mo. 20.05.2013 23.59 Uhr CEST: Anmeldeschluß der KSP, danach werden keine Schlüssel mehr akzeptiert.
- Di. 21.05.2013: Teilnahmebestätigung per E-Mail.
- Fr. 24.05.2013: 16.00-18.00 Keysigning-Party Workshop-Raum Weimar 5
- So. 18.08.2013: Abschluss, d. h. alle Unterschriften sind geleistet und hochgeladen bzw. per E-Mail versendet.
Anmeldung
Bitte stellen Sie vorher sicher, dass alle UIDs über gültige/funktionierende E-Mail-Adressen verfügen und der/die Schlüssel bis mindestens Oktober 2013 gültig ist/sind.
Zur Anmeldung genügt das Versenden des/der öffentlichen (!) Schlüssel an die E-Mail Adresse ksp2013@strotmann.de
Bestätigung
Alle Teilnehmer erhalten am Dienstag, 21.05. eine Teilnehmer-Liste und eine Anleitung per E-Mail. Teilnehmerliste, Schlüsselbund und Signatur werden parallel dazu auch hier zu finden sein.
Vorarbeiten
Mittwoch, 22.05.2013 Dateien stehen zur Verfügung.
- Teilnehmerliste kopieren (Rechte-Maustaste, speichern unter ...)
- Schlüsselring - Datei mit allen eingereichten Schlüsseln.
- Zur Überprüfung der Echtheit der Dateien muss zunächst Carsten Strotmanns Schlüssel geladen werden.
gpg --keyserver pgp.mit.edu --recv-keys 3479ABA2
- Dateiprüfung durchführen
gpg --verify ksp-lt2k13.txt.asc
- Liste (ksp-lt2k13.txt.asc) ausdrucken
- Prüfsummen der unveränderten Datei ksp-lt2k13.txt.asc ermitteln und in die dafür vorgesehenen Felder eintragen.
gpg --print-md ripemd160 ksp-lt2k13.txt.asc gpg --print-md sha256 ksp-lt2k13.txt.asc
- Ggf. Fingerprints ausdrucken und einige Schlüsselstreifen (via gpg-key2ps oder fingerprint.tex) ausdrucken, man weiß ja nie ...
gpg-key2ps -p A4 KEYID [KEYID] > Streifen.ps
Mitbringen
- Ausdruck mit eingetragenen Prüfsummen
- Gültiges Ausweisdokument
- Stift
- Schlüsselstreifen
Informationen
Party
Freitag, 24. Mai 2013, 16.00-18.00 Uhr Workshop-Raum Weimar 5
- Begrüßung.
- Anwesenheit und Prüfsummen feststellen bzw. vergleichen.
- Modalitäten festlegen: Unterschriften zuschicken oder hochladen?
- Kurzvortrag: die Sicherheitsmerkmale des Personalausweises
- Kurzvortrag: wie wird die verwendete Key-Signing Software benutzt
- In einer Reihe aufstellen; ggf. Leute mit ausgedruckten Fingerprints integrieren.
- Identitäten überprüfen (Vorzeigen und kontrollieren der Ausweise).
Nach der Party
Nach der Key-Signing Party sollten die geprüften Schlüssel der Teilnehmer mit dem eigenen Schlüssel signiert werden.
Bei einer grössere Anzahl von Teilnehmern kann dieser Prozess mit dem Programm CAFF automatisiert werden: CAFF - CA Fire and Forget. In einigen Linux-Distributionen ist CAFF im Paket "signing-party" zu finden.
Manuell unterschreiben
- öffendlichen Schlüssel aus einem der Schlsselserver holen
gpg --recv-keys --keyserver pgp.mit.edu <fremde-schluessel-id>
oder den auf dieser Seite bereitgestellten Schlüsselring installieren
wget http://strotmann.de/~cas/linuxtag/2013/ksp/keyring-ltksp2013.asc gpg --import keyring-ltksp2013.asc
- das Vertrauen in den Besitzer des Schlüssels festlegen. Dies gibt an, wieviel Vertrauen man dem Besitzer des Schlüssels entgegenbring, wenn dieser andere Schlüsselbesitzer prüft (siehe auch Validating other keys on your public keyring im GPG Handbuch. Empfohlener Trust-Level ist "marginal".
gpg --edit-key <fremde-schluessel-id> trust save quit
- den fremden Schlüssel unterschreiben. Dabei nocheinmal des Fingerprint mit der Information auf der gedruckten Teilnehmerliste prüfen (um sicherzugehen das der richtige Schlüssel unterschrieben wird)
gpg --edit-key <fremde-schluessel-id> sign save quit
- prüfen, das die eigene Unterschrift in den Signaturen auftaucht
gpg --check-sigs <fremde-schluessel-id>
- den unterschriebnenen Schlüssel in eine Datei exportieren
gpg --armor --output <fremde-schluessel-id>-signed-by-<eigene-schluessel-id>.asc --export <fremde-schluessel-id>
- die Datei als E-Mail-Anhang oder innerhalb einer E-Mail verschlüsselt an eine der im Schlüssel angegebenen E-Mail Adressen senden. Durch das Senden einer verschlüsselten E-Mail wird (im gewissen Rahmen) sichergestellt, das der Besitzer der E-Mail Adresse auch der Besitzer der Schlüssels ist (da nur der Besitzer des privaten GPG Schlüssels die verschlüsselte E-Mail entschlüsseln kann). Die E-Mail soll mit dem fremden Schlüssel verschlüsselt und mit dem eigenen Schlüssel signiert werden.
Nach diesen Schritten (jeweils pro Teilnehmer und Teilnehmer-Schlüssel) ist die Keysigning Party Prozedur abgeschlossen.
Die unterschriebenen Schluessel welche man von den anderen Teilnehmern bekommt werden in GPG importiert (d.h. Anhang in eine Datei schreiben) und dann
gpg --import <anhang-aus-E-Mail-mit-signiertem-eigenen-schluessel>
und den eigenen Schlüssel an einen GPG Keyserver hochladen
gpg --send-keys --keyserver pgp.mit.edu <eigene-schluessel-id>
Weitere Informationen
Welche Ausweise sind gültig/ungültig, woran erkenne ich valide Ausweisdokumente. Antworten auf diese Fragen gibt es am Stand von secure-u: Halle 7.1a, Stand 140.
Am Stand der BeLUG (Halle 7.1c, Stand 146) gibt es Informationen über Schulungen zum Thema OpenPGP: