 |
|||
| HSG |
|
Einladung
Fuer alle normal-paranoiden GNU Privacy Project Benutzer, egal ob Informatiker oder Informatikerin, moechten wir, der LK12, fuer
Freitag, 27. Mai 2011, um 10.30 Uhr
im Hohenstaufen-Gymnasium,
Computerlabor, 3.OG, Raum 312
eine
GnuPG Key Signing Party
organisieren.[1]
Wem GnuPG bzw. PGP nichts sagt und wer dennoch an vertraulicher und authentischer elektronischer Kommunikation
interessiert ist, der kann unter [2] und [3] mehr dazu erfahren. Fuer alle, denen GNU Privacy Guard und das
"Web of Trust" etwas sagt, die aber mit dem Begriff "Signing Party" noch nichts anfangen koennen: Ziel ist es,
einige GnuPG Benutzer in einen Raum zu bringen, die sich gegenseitig die Zugehoerigkeit von persoenlicher
Identitaet und Public Key nachweisen, so dass sie sich gegenseitig ihre Schluessel signieren koennen und so
ihre Verknuepfung im Web of Trust verstaerken und kuenftigen Kommunikationspartnern den zuverlaessigen Zugang
zum eigenen Public Key erleichtern.
Der Ablauf ist wie folgt:
1. Jeder Teilnehmer logged sich an einem neu gebooteten Rechner ein und importiert mit
gpg --import xxxxkey.asc
sein mitgebrachtes Schlüsselpaar. Der geheime Schluessel verbleibt nur für die Laufzeit des Rechners
auf dem lokalen privaten Home. Er wird nicht auf dem Server gespeichert. Er wird mit dem Ausschalten des
Rechners sicher geloescht.
2. Die Teilnehmer exportieren mit
gpg -a -o xxpubkey.asc --export "Max Mustermann"
ihren oeffentlichen Schlüssel. Die Datei xxpubkey.asc wird dann über das Tauschlaufwerk oder USB-Sticks
zu einem zentralen Rechner gebracht und dort mit
gpg --import xxpubkey.asc
in den lokalen Schluesselring aufgenommen. Ausdrucke mit einer Liste der Fingerprints aller Teilnehmer
werden durch durch ein Python-Skript
python gpglister.py
in einer Datei out.html vorbereitet.
3. Jeder Teilnehmer bringt bitte eine Abschrift oder einen verlaesslichen Ausdruck der Key ID und des
korrekten eigenen Fingerprint (z.B. mit Gnu Privacy Assistant: eigener Schlüssel auswaehlen - Details -
Fingerprint).
Dies ist eine hexadezimal dargestellte Bytefolge (bei DSA-Schluesseln 10 4-stellige Zahlen, bei
RSA-Schluesseln 16 2-stellige Zahlen).
Nach ein paar einleitenden Worten werden alle Teilnehmer, deren Identität z.B. durch Ausweis oder
persoenliche Bekanntschaft bestaetigt wird, der Reihe nach aufgerufen, um ihren persoenlichen
Fingerprint vorzulesen. Andere Teilnehmer vergleichen den Fingerprint mit dem auf ihrer Liste und koennen
sich die Uebereinstimmung notieren. Man beachte, dass waehrend der eigentlichen Key Signing Party keine
Computer benoetigt werden.
4. Die öffentlichen Schlüssel werden anschließend vom zentralen Rechner mit
gpg --keyserver hkp://gpg-keyserver.de/ --send-key "xxxxxxxxx"
auf einen Schlüsselserver hochgeladen.
5. Jeder Teilnehmer nimmt nach der Signing Party in aller Ruhe und Sorgfalt anhand seiner Liste die
entsprechenden Signierungen an den Schluesseln des o.g. Keyrings vor. Dazu lädt er nacheinander mit
gpg --keyserver hkp://gpg-keyserver.de/ --recv-key "xxxxxxxxx"
die öffentlichen Schluessel in seinen privaten Keyring. Die notwendigen Key-IDs entnimmt man dabei der Liste.
Anschließend werden die Schluessel zunächst mit
gpg --sign-key "xxxxxxxxx"
signiert und dann mit
gpg --keyserver hkp://gpg-keyserver.de/ --send-key "xxxxxxxxx"
wieder auf den Server hochgeladen.
[1] http://alfie.ist.org/projects/gpg-party/gpg-party.de.html
[2] http://www.gnupg.org/
[3] http://www.pgpi.org/
PS: Das Wort "Party" ist nicht falsch zu verstehen: Es wird kein Freibier geben, aber Informatiker verstehen es
selbstverständlich auch ohne Alkohol Spaß zu haben
PPS: Wer sich fuer das Thema interessiert, aber noch nicht so ganz weiß, was er davon halten soll, ist herzlich
eingeladen, auch ohne eigene Teilnahme zu kommen und nur zuzuschauen.
Python-Skript zur Erstellung der Liste
Das Skript gpglister.py erstellt eine HTML-Datei out.html, die dann entsprechend oft ausgedruckt werden kann.
Schlüsselring importieren
gpg --import pubring.gpg
Schlüssel signieren
Das Signieren ist auf der Konsole unter Verwendung der Key ID leicht möglich.
gpg --sign-key "bc15d936"
Schlüssel auf Server hochladen
gpg --keyserver hkp://gpg-keyserver.de/ --send-key "855602d4"
Hochgeladene Schlüssel kann man unter gpg-keyserver.de/ suchen.
Schlüssel von Server herunterladen
gpg --keyserver hkp://gpg-keyserver.de/ --recv-key "855602d4"
Links
- PGP-Keyserver pgpkeys.pca.dfn.de
- Web of Trust - wikipedia