 |
~ Oecher Keysigning Party II ~
|
|
Was ist eine Keysigning Party?
Eine Keysigning Party ist ein Zusammentreffen von PGP-Benutzern mit dem Zweck, sich gegenseitig die PGP-Schlüssel zu unterzeichnen. Dies hilft dem Aufbau und der Erweiterung des Web of Trust (1, 2). Nach dem Erfolg der ersten Oecher Keysigning Party im Februar 2003 wird es nun langsam Zeit, eine zweite Veranstaltung durchzuführen.
Wann und wo?
Am
Mittwoch, den
10.12.2003, 19:30 - 20:30 Uhr im Lesesaal des
FAHO-Studentenwohnheim (Hainbuchen Str. 6, 52074 Aachen).
Neuigkeiten seit der Keysigning Party
- 12. Dezember 2003
- Es wurde nach der Keysigning Party der Wunsch geäußert (leider waren einige schnell weg, so dass sie davon nichts mitbekommen haben werden), alle signierten Schlüssel an den Organisator (Marcus Frings) zu senden, so dass er diese Schlüssel zu einem Keyring
okp2-nachher.asc zusammenfassen und diesen dann zum Download auf dieser Seite bereitstellen kann. Dies hätte den Vorteil, dass nicht jeder Teilnehmer über 30 Mails verschicken muss sondern nur eine. Wer dies also machen möchte, sendet bis Mittwoch, den 17.12.2003, alle signierten Schlüssel (als Keyring exportiert) an Marcus Frings. Dieser wird dann alle bis dahin eingetroffenen Schlüssel am Donnerstag, den 18.12.2003 als okp2-nachher.asc auf dieser Seite veröffentlichen.
- 18. Dezember 2003
- Der Keyring okp2-nachher.asc ist jetzt verfügbar. Dieser enthält alle signierten Keys, die die Teilnehmer bis zum 17.12.2003 an den Organisator geschickt haben. Sollte jemand Signaturen in seinen Schlüsseln vermissen, wendet Euch bitte direkt an die betreffende(n) Person(en).
- 19. Dezember 2003
- Ralph Bergs hat während der Keysigning Party einige Fotos geschossen (Vielen Dank!). Durch einen Klick auf das Thumbnail gelangt man zu einer vergrößerten Ansicht.
Wie läuft die Keysigning Party ab und was müssen die Teilnehmer vor, während und nach der Party machen?
Die Keysigning Party findet entsprechend Len Sassamans Methode statt (Efficient Group Key Signing Method):
- Wer an der Keysigning Party teilnehmen möchte, schickt bis Samstag, den 06.12.2003, seinen ASCII-exportierten öffentlichen Schlüssel an okp2-anmeldung@gothgoose.net.
- Ab Montag, den 08.12.2003, können der komplette Schlüsselring (okp2-vorher.asc) der Teilnehmer und eine Textdatei (okp2.txt), die den Fingerprint jedes Schlüssels aus diesem Ring enthält, von dieser Seite heruntergeladen werden.
- Die Teilnehmer überprüfen dann, ob der Fingerprint ihres Schlüssels in der Datei okp2.txt korrekt ist. Danach berechnen sie den MD5 Hash der Datei okp2.txt. Dies kann über
md5sum okp2.txt
oder über
gpg --print-md md5 okp2.txt
geschehen. Um sicherzustellen, dass es keine Probleme mit dem Download der Textdatei gibt, wird hier der Anfang der MD5-Summe angegeben:
okp2.txt: 14 5E 81 3E B4 72 5E [...]
Dies ist natürlich nur ein Teil des Hashes. Die komplette MD5-Summe muss selbstverständlich noch selbst von den Teilnehmern berechnet werden.
- Zur Keysigning Party bringen die Teilnehmer den MD5 Hash, den sie berechnet haben, und eine ausgedruckte Kopie der Datei okp2.txt mit.
- Der Organisator wird dann auf der Keysigning Party den MD5 Hash der Datei okp2.txt laut vorlesen. Die Teilnehmer überprüfen, ob der vorgelesene Hashwert mit jenem übereinstimmt, den sie selbst berechnet haben. So wird sichergestellt, dass alle Teilnehmer dieselbe Liste mit Schlüssel besitzen.
- Nun steht jeder Teilnehmer der Reihe nach auf und bestätigt, dass der Fingerprint seines Schlüssels, der in der Liste okp2.txt aufgeführt ist, korrekt ist. Die anderen Teilnehmer markieren dann auf ihrer Kopie der Liste den vorgelesenen Schlüssel-Fingerprint des Teilnehmers als gültig. Da im Schritt vorher überprüft wurde, dass alle Teilnehmer dieselbe Kopie der Liste haben, ist ein simples "Ja, die Angaben zu meinem Schlüssel sind korrekt!" ausreichend.
- Im nächsten Schritt werden die Ausweise der Teilnehmer auf Korrektheit überprüft. Sind diese gültig, werden sie ebenfalls auf der Liste als korrekt markiert.
- Damit ist der offizielle Teil der Keysigning Party vorbei. Wenn die Teilnehmer wieder zu Hause sind, signieren sie die Schlüssel, bei denen sowohl das Fingerprint-Feld als auch das Ausweis-Feld korrekt abgehakt sind. Nachdem ein Schlüssel signiert wurde, wird dieser dann an den Besitzer des Schlüssels per Mail zugeschickt.
Was müssen die Teilnehmer zur Keysigning Party mitbringen?
- Einen Ausdruck der Datei okp2.txt (vorher überprüfen, dass der eigene Fingerprint stimmt!).
- Den MD5 Hash der Datei okp2.txt (um sicherzustellen, dass alle mit der gleichen Kopie arbeiten!).
- Den Personalausweis oder Führerschein (amtlicher Ausweis mit Lichtbild!).
- Einen Kugelschreiber.
Was dürfen die Teilnehmer auf keinen Fall zur Keysigning Party mitbringen?
Um Missbrauch und Kompromittierung der Schlüssel zu vermeiden, dürfen keine
- Computer oder
- Datenträger wie Disketten oder CD-ROMs,
die den öffentlichen oder privaten Schlüssel enthalten, mitgebracht werden.
Bisherige unverbindliche Anmeldungen
- Marcus Frings
- Marco Hennigs
- Torsten Bronger
- Ralf G. R. Bergs
- Christian Brüffer
- Christian Faulhammer
- Christian Heimes
- Mark Trettin
- Eric Bodden
- Ingo Klöcker
- Alexander Gran
- Matthias Hensler
- Matthias Himber
- Jens M. Bethkowsky
- Alexander Becher
- Stefan Engel
- Christian Hammers
- Alexander Gruemmer
- Jan Niehusmann
- Fabian Kiendl
- Andreas Sensen
- Alexander Müller
- Gunter Ohrner
- Ingo Kappler
- Michael Becher
- Uli Martens
- Rene Engelhard
- Harald Schreiber
Downloads
Interessante Links zu PGP und GPG
Fragen, Anregungen, Diskussion, Kontakt
Danksagung
Ich danke allen Helfern für die zahlreiche Unterstützung. Mein besonderer Dank gilt Ralf G. R. Bergs für die Bereitstellung der Mailingliste sowie Christian Heimes vom FAHO-Studentenwohnheim für das Organisieren des Raums.
