Keysigning-Party -Anmeldung und weitere Details-

Anmeldung

Um euch anzumelden genügt es, mir eure/n öffentliche/n GPG/PGP-Schlüssel als Anhang in einer EMail bis zum 30.07.2008 23.59 Uhr zuzusenden. Nach Eingang und Vorverarbeitung erhaltet ihr eine automatisch erstellte Anmeldebestätigung.

Solltet ihr bereits im Besitz eines oder gar mehrerer GPG-Schlüssel sein, zeige ich euch hier, wie diese zu exportieren sind.

benutzer@computer:> gpg --armor --export --export-options export-clean,export-minimal KEYID >NachnameVorname_KEYID.asc

benutzer@computer:> gpg --clearsign NachnameVorname_KEYID.asc

Die so gewonnene Datei solltet ihr mir dann als Anlage zu einer EMail zukommen lassen. Wiederholt diesen Schritt, solltet ihr mehrere Schlüssel einreichen wollen. Bitte versendet je Schlüssel eine separate EMail.

(Für KEYID, Nachname und Vorname solltest du natürlich konkrete Werte eintragen.)

Beispiel:
gpg --armor --export-options export-clean,export-minimal --export aae6022e > GeyerKarlheinz_aae6022e.asc

Dateien die für die KSP benötigt werden

• Teilnehmerliste

• Schlüsselring

Vor der Keysigning-Party

Neuen Dateianhang "ksp-sommerfest08_matrix.pdf" hochladen zur Kontrolle der bereits geleisteten bzw. noch fehlender Signaturen. Schlüssel mit dem Vermerk not found wurden noch nicht auf einem der Keyserver wie z. B. subkeys.pgp.net abgelegt. Diese Neuen Dateianhang "ksp-sommerfest08_Grafik1.png" hochladen zeigt die Beziehungen der Schlüssel untereinander. Berücksichtigt wurden nur Schlüssel, welche auf dem Schlüsselserver abgelegt waren.

Während der Keysigning-Party

Zu Beginn der KSP werden zunächst sowohl die MD5- als auch die SHA1-Prüfsumme durch den Veranstalter verlesen. Die KSP-Teilnehmer kontrollieren, ob die von ihnen ermittelten Prüfsummen mit denen des Veranstalter übereinstimmen. Bei Übereinstimmung kann kann mit der KSP fortgefahren werden. Auftretenden Differenzen muss sofort durch genau Prüfung begegnet werden. Sollte sich keine Klärung ergeben, d. h. die Teilnehmerliste gelte als nicht vertrauenswürdig, dann ist die KSP unverzüglich zu beenden. Die Teilnehmer müssen in einem solchen Fall darauf hingewiesen werden, das keine der verzeichneten Schlüssel signiert werden dürfen.

Bei einer validen Teilnehmerliste stellen sich die Teilnehmer nach Anweisung des Veranstalters einanderzugewandt in zwei Reihen auf. Reihum werden nun Ausweisdokumente und Schlüsselinformationen auf Vollständigkeit und Richtigkeit hin überprüft. Es wird empfohlen, sich bereits vor der KSP mit den Möglichkeiten zur Überprüfung von bundesdeutschen Personalausweisen und Reisepässen vertraut zu machen.

Nach der Keysigning-Party

Bevor öffentliche Schlüssel signiert werden können, müssen diese zunächst dem eigenen Schlüsselbund hinzugefügt werden. Dies kann auf zweierlei Arten geschehen, zum einen durch den Import des Haupschlüselbundes mittels,

benutzer@computer:> gpg --import ksp-sommerfest08.asc

oder jeder als vertrauenswürdig eingestufter Schlüssel wird einzeln abgerufen und importiert beispielsweise durch

benutzer@computer:> gpg --keyserver subkeys.pgp.net --recv-keys KEYID

Sobald die Schlüssel importiert sind, kann mit dem eigentlichen Prozess des Signierens fortgefahren werden.

Die traditionelle Methode

benutzer@computer:> gpg --edit-key KEYID

gpg präsentiert sich so gestartet im interaktiven Modus. Der Befehl fpr gibt den Fingerabruck des in Bearbeitung befindlichen Schlüssels aus.

Command>fpr

Stimmt der angezeigt Wert mit dem auf der Liste ksp-sommerfest08.txt überein, dann sollte der Schlüssel signiert werden.

Command>sign

Die Fragen, ob alle UIDs signiert werden sollen und ob denn wirklich eine Signatur erfolgen soll, sind mit y bzw. j zu beantworten. Nachdem der persönliche Kennwortsatz abgefragt wurde, sollte der Vertrauensstatus festgelegt werden.

Command>trust

Hierbei kann man einen der nachfolgend genannten Werte auswählen:

1

Ich bin mir nicht sicher (I don't know or won't say)

2

Kein Vertrauen (I do NOT trust)

3

Marginales Vertrauen (I trust marginally)

4

Volles Vertrauen (I trust fully)

5

Ultimatives Vertrauen (I trust ultimately) NUR FÜR DEN/DIE EIGENEN SCHLÜSSEL

Abschluss des Signierens mit

Command>save

Danach wird der Schlüssel mit der gerade erzeugten Signatur automatisch dem eigenen Schlüsselring zugeführt.

Leider haben einige der Teilnehmer Schwierigkeiten beim Einrichten von caff. Deshalb ist es nun doch möglich, bereits signierte Schlüssel direkt an den Keyserver subkeys.pgp.net zu senden, um den Arbeitsaufwand so gering wie möglich zu halten. Und so wirds gemacht:

benutzer@computer:> gpg --keyserver subkeys.pgp.net --send-keys KEYID

Beispiel: gpg --keyserver subkeys.pgp.net --send-keys aae6022e

Ich hoffe diese Arbeitserleichterung kommt euch etwas entgegen.

Teil-automatisiert durch caff (CA Fire and Forget)

caff ist ein PERL-Script von Peter Palfrader alias "weasel". Es kann von http://svn.debian.org/wsvn/pgp-tools/trunk/caff/caff kopiert werden.

caff legt im Heim-Verzeichnis des Benutzers ein Unterverzeichnis .caff an, indem weitere Verzeichnisse wie gnupghome und keys erzeugt werden. Das Verzeichnis gnupghome enthält nach der ersten Benutzung von caff einen eigenen Schlüsselring (ohne Secret-Key!), der alle Schlüssel aufnimmt, welche mit caff signiert wurden. Ausserdem wird im Heimat-Verzeichnis des jeweiligen Benutzers eine Datei .caffrc erzeugt, die man vor Benutzung von caff editieren und den eigenen Gegebenheiten entsprechend anpassen sollte.

Im Verzeichnis keys werden sämtliche generierten EMails nebst Schlüsseln nach Datum sortiert abgelegt.

Der Vorteil von caff ist, dass man sich um fast nichts mehr selbst kümmern muss. So wird beispielsweise ein übergebener Schlüssel vom Keyserver geladen, der Edit-Modus von gpg gestartet und nach Beendigung dessen eine versandfertige EMail erzeugt. Diese EMail enthält den Rumpf-Text aus der Datei $HOME/.caffrc, sowie den signierten Schlüssel als Anlage. caff erzeugt für jede UID eines Schlüssels je eine EMail. Beispiel:

benutzer@computer:> caff -em -u EIGEN-SCHLÜSSEL_ID aae6022e

caff-Optionen

-e, --export-old

Exportiert auch bereits früher geleistete Signaturen.

-E, --no-export-old

Ohne den Export früher geleisteter Signaturen.

-m, --mail

Versendet eine EMail nachdem signiert wurde.

-M, --no-mail

Kein EMailversand

-R, --no-download

Kein Key-Download

-S, --no-sign

Schlüssel nicht signieren

-u yourkeyid, --local-user

Die eigene Schlüssel-ID, sofern nicht schon in .caffrc angegeben

Bearbeiten einer kompletten KSP-Liste

Mittels caff lässt sich auch eine komplette KSP-Liste wie beispielsweise ksp-sommerfest08.txt auf einen Rutsch bearbeiten, so wirds gemacht.

• Zunächst eine Sicherungs-Kopie der Originaldatei erstellen

benutzer@computer:> cp ksp-sommerfest08.txt MeineListe.txt

• Mit dem Lieblingseditor die Schlüsseleinträge von Leuten, welche während der KSP NICHT anwesend waren löschen.

• MeineListe.txt abspeichern

• Schlüsselnummern extrahieren

benutzer@computer:> cat MeineListe.txt | egrep 'pub' | cut -c 11-18 > ALLE_SCHLUESSEL.txt

• caff auf die gerade erstellte Liste loslassen

benutzer@computer:> caff -em -u EIGENE-SCHLÜSSEL_ID $(cat ALLE_SCHLUESSEL.txt)

Wenn man vorher auch noch einen GPG-Agenten gestartet hat, erfolgt die Abfrage des Kennsatzes nur ein einziges mal und alle Schlüssel werden einer nach dem anderen zur Bearbeitung gebracht. Mit diesen Tricks lässt sich die Zeit fürs Signieren einer kompletten Liste drastisch reduzieren. Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails walten zu lassen.

Leider funktioniert der EMail-Versand mittels caff häufig nicht auf Anhieb, da bestimmte Eintragungen in den Konfigurationsdateien des jeweiligen MTAs vorhanden sein müssen (vgl. Relaying, Envelope-Header-Address u.v.a.m.). Ein Grund sind häufig Envelope-Header der Form user@computer.localdomain, die von den meisten EMailsystemen abgelehnt werden, da sie nicht echt sind.

Wer postfix im Einsatz hat, der sollte mit nachfolgender Änderung Erfolg haben.

1. postfix Konfigurationsdatei anpassen

•  root@computer:> vi /etc/postfix/main.cf
   

  Die folgende Zeile ergänzen

   smtp_generic_maps = hash:/etc/postfix/generic
   

2. In /etc/postfix/ eine Datei generic anlegen, bzw. diese ergänzen.

•  root@computer:> vi /etc/postfix/generic
   

3. Einen realen Name/Domain-Eintrag eintragen, wie vom Mail-Provider angegeben.

•  benutzer@computer.localdomain       otto.meier@t-online.de
   

  • So wird aus:

   twiggy@skinny        olga.pachulke@rubensdame-gelsenkirchen.de
   

4. Mapping aktualisieren

•  root@computer:> postmap /etc/postfix/generic
   

5. Postfix neu bzw. (re)starten

•  root@computer:> /etc/init.d/postfix restart
   

Auswertung der Keysigning-Party

Hier findet ihr die Auswertung

Anleitungen zur Schlüsselerstellung und Verwaltung

• DaTeX-GnuPG HowTo

• Kai Ravens GPG/PGP-Seite

• GnuPG-MiniHowTo

Programme

• WinPT für MS-Windows

• GPG4Win

• GnuPG für Linux