Inhalt:
Keysigning Party
...oder das Murmeln geheimnisvoller Zahlen
Keysigning-Party
Eine Keysigning-Party gehört zu einer solchen Veranstaltung traditionell dazu. Was ist das? Eine kurze Erläuterung:
Um Mails zu verschlüsseln oder zu signieren, verwendet man meist ein OpenPGP-kompatibles Programm wie beispielsweise GnuPG oder PGP. Um allerdings die Identität des Kommunikationspartners feststellen zu können, hat es sich eingebürgert, OpenPGP-Schlüsseln erst dann zu vertrauen, wenn man sich im wahren Leben einmal getroffen hat. Die Sammlung aller solcher bestätigten Schlüssel innerhalb eines Schlüsselbundes bilden dann die Basis für das Web of Trust.
Die Keysigning-Party dient also dazu, sich gegenseitig die Schlüssel zu signieren. Der Ablauf dazu ist wie folgt:
- Schlüssel erstellen, falls nicht schon geschehen
gpg --gen-key
- Eigenen Schlüssel finden und ID/Fingerprint ablesen
gpg --fingerprint --list-keys
- Schlüssel auf einen Keyserver hochladen
gpg --keyserver pgp.mit.edu --send-keys <id>
- Schlüssel-ID und Fingerprint per e-Mail an das LinuxInfoTag-Team senden (mailto:litkey@linux-info-tag.de - die Frist ist abgelaufen, einsenden sinnlos) - alternativ kann auch der Schlüssel gesendet werden, er muss aber trotzdem im Netz zu finden sein; bitte sende von einer Mailaddresse aus, die auch im Key als UID angelegt ist und schreibt dazu welche UIDs signiert werden sollen.
- Einen Ausdruck davon und den eigenen Ausweis zur Keysigning-Party mitbringen
Einsendeschluß für Schlüssel war der 24. Oktober 2004.
- Keyring: keyring.asc.gz (GZip gepackt, 284kB)
- md5: b092e030cca62d62643206cb873981f2 (.asc.gz), 89bfa7ef0569e4ab6bbd733edc0143a2 (.asc)
- sha1: f599d405dad41a7a9a76a04418729d66f7ae42bf (.asc.gz), 46d56a3f1940b8fd7d33e529bf6a968312eca4c3 (.asc)
- Liste zum Vergleichen: comparelist.txt
- md5: ed24d7340ebedf45d19f7c298dba1c02
- sha1: ed425bfae70bc0d58c80148cda6313e1c4289a24
(Hinweis zu sha1: diese Summe wurde mit sha1sum aus den GNU coreutils (Debian: Paket coreutils) erzeugt; md5 sollte nicht mehr als sicher gegen beabsichtigte Attacken betrachtet werden.)
Die Party...
Wir werden uns um 18:00 Uhr im Mathehörsaal des Trefftzbaus treffen. Du solltest einen Ausdruck Deiner KeyID und Deines Fingerprint sowie einen gültigen Ausweis/Pass/Führerschein mitbringen.
Bitte bring einen Ausdruck des Keyring mit. Jeder vergleicht den Hash seines Ausdruck mit dem vor Ort bekannt gegebenen Hashes.
Anschließend werden Namen und Ausweise verglichen (das Verfahren wird vor Ort bekannt gegeben).
Zu Hause kann man dann in aller Ruhe die Schlüssel signieren. Es sollten nur gültige UIDs signiert werden, wer es genau wissen will sollte einen Challenge durchführen.