Version 1.1

Workshop: Keysigning Party

Gnupg logo.svg

Wir führen eine Keysigning Party durch. Eine gute Gelegenheit, dein network of trust auf die gesamte Schweizer Hackerszene auszuweiten.

Um dich anzumelden, schicke die Ausgabe des folgenden Kommandos an keysigning16@cosin.ch

gpg --keyid-format LONG --list-options no-show-uid-validity --fingerprint <name@example.com>

Anmeldeschluss ist am Mittwoch, 2016-06-08 um 23:59 Uhr. Eine Mail mit allen weiteren Schritten erhälst du nach Ablauf der Anmeldefrist

Anmeldung


Um dich anzumelden, schicke die Ausgabe des folgenden Kommandos an keysigning16@cosin.ch


gpg --keyid-format LONG --list-options no-show-uid-validity --fingerprint <name@example.com>


Anmeldeschluss ist am Mittwoch, 2016-06-08 um 23:59 Uhr. Die Liste aller Schlüssel der Teilnehmer werden wir am darauf folgenden Tag (Donnerstag, 2016-06-09) per Mail verschicken. Diese Email wird auch detaillierte Ausführungen zum weiteren Vorgehen enthalten. Neugierige und PGP Neulinge finden den gesammten Ablauf aber auch weiter unten in diesem Text.


Ablauf


Vor der Party



  • Du meldest dich an (siehe oben)

  • Wenn alle Anmeldungen eingegangen sind, erstellen wir eine Liste (Textdatei), sowie einen Keyring mit den Schlüsseln aller Teilnehmer

  • Liste und Keyring verschicken wir per Email an alle Teilnehmer

    • Wir werden die Datei komprimiert als gzip und zip verschicken, da wir die Erfahrung gemacht haben, dass gewisse MUAs, die Webinterfaces gewisser Mail Anbieter und die Download Manager der Browser gerne das Encoding der Datei veränndern, wodurch auch der Hashwert veränndert wird.



  • Du entpackst die Datei

  • Prüfe, ob die Angaben zu deinem Schlüssel stimmen

    • Falls nicht, informiere uns bitte umgehend



  • Bilde die sha256 Prüfsumme der entpackten Datei

    • sha256sum <filename>

    • Es ist wichtig, dass die Datei zwischen dem Entpacken und dem Generieren der Checksumme nicht verändert wird

    • Vergleiche die Checksumme mit der Checksumme die wir in der Email mitschicken werden

    • Sollten die beiden Werte nicht übereinstimmen, informiere uns bitte umgehend




WICHTIG! VERLASSE DICH UNTER KEINEN UMSTÄNDEN NUR AUF DIE MITGELIEFERTE PRÜFSUMME! ES IST VON GROSSER WICHTIGKEIT, DASS DU DIE PRÜFSUMME SELBST ERZEUGST!



  • Drucke die Datei aus

  • Schreibe die Prüfsumme auf den Ausdruck

    • Alternativ kannst du die generierte Prüfsumme unten in die Datei kopieren bevor du diese ausdruckst




WICHTIG! Du musst die Liste unbedingt selbst ausdrucken und die Prüfsumme selbst darauf schreiben. Verwende NIEMALS die Liste von Drittpersonen.


Die Party



  • Erscheine zum oben angegebenen Termin zum Keysigning

  • Bringe die ausgedruckte Liste mit

  • Bringe mindestens einen, besser zwei Lichtbildausweise mit

  • Denke auch daran, einen Schreiber mitzubringen

  • Einen Computer brauchst du für die Keysigning Party nicht

  • Wir werden die Prüfsumme der Datei vorlesen. Sollte sie nicht mit der Prüfsumme übereinstimmen die du erhalten hast, so lasse uns das umgehend wissen!

  • Wir werden alle auf der Liste aufgeführten Personen Fragen, ob sie anwesend seien und ob die Angaben auf der Liste zu ihrem Schlüssel stimmen. Personen die nicht angwesend sind oder deren Angaben nicht stimmen solltest du wegstreichen und ihren Schlüssel später nicht signieren

  • Die Anwesenden werden sich nun in zwei Reihen vis-a-vis voneinander aufstellen. Jeder und Jede prüft nun die Informationen zu seinem/ihrem Vis-a-Vis mit den Informationen auf der Liste gegen

    • Es ist jedem/r selbst überlassen, welcher Art Identifikation er/sie trauen will. Üblich ist etwa eine ID, ein Pass, ein Führerschein, oder eine Kombination davon

    • Die Anwesenden iterieren nun um eine Position, so dass ihr der nächsten Person gegenüber steht. Auch diese Person identifiziert ihr jetzt, wie im vorigen Schritt. Dies wiederholen wir so lange, bis alle gegenseitig ihre Identität geprüft haben

    • Hier sind Animationen dafür wie das Ganze abläuft mit einer geraden, respektive ungeraden Anzahl Teilnehmer:




gerade Anzahl Teilnehmer


ungerade Anzahl Teilnehmer


Links und Hinweise für PGP Neulinge


Falls du noch keinen Schlüssel hast oder gar nicht mit PGP vertraut bist, informiere dich und erstelle einen Schlüssel. Du findest alle wichtigen Informationen auf der Website von GnuPG. Ausserdem findest du in deinem Chaostreff/Hackerspace oder der lokalen Linux User Group bestimmt jemanden der sich mit dem Thema auskennt und dir weiterhelfen kann.


Es kann sinnfoll sein, getrennte Subkeys zum signieren und verschlüsseln zu verwenden. Wieso das sinnfoll ist und wie das geht, liest du, zum Beispiel, unter in diesem Blogeintrag.


Es kann sinnvoll sein, eine PGP smartcard zu verwenden um den PGP Schlüssel vor Diebstahl zu schützen. Liegt der Schlüssel auf einer Smartcard, so kann er auch dann nicht gestohlen werden, wenn die Smartcard an einen infiszierten Rechner angeschlossen wird. Eine Open Hardware PGP Smartcard bietet etwa das Berliner Unternehmen Nitrokey an.
Wie du bestehende PGP Schlüssel auf eine PGP Smartcard verschiebst, ist ebenfalls ausführlich dokumentiert. Wie du nur Subkeys auf eine Smartcard verschiebst, ist in diesem Blogpost im Absatz "Move subkeys to YubiKey NEO" beschrieben.


Zum signieren der Schlüssel nach der Keysigning party ist es ratsam eine Software wie caff oder Pius zu verwenden. Diese Tools helfen Fehler vermeiden, setzen best practices um und helfen Zeit zu sparen.
Falls du dich für caff entscheidest und noch keinen MTA hast, empfehlen wir msmtp (hat nichts mit Microsoft zu tun) zusammen mit msmtp-mta.

Info

Tag: 12.06.2016
Anfang: 11:00 Uhr
Dauer: 00:45
Raum: Hackcenter
Track: Anderes
Sprache: de

Links:

Concurrent Events

Hackcenter (Outdoor)
Platinen-Workshop 4
Lecture Room
Sichere Desktops und vertrauenswürdige Betriebssysteme
Movie Room
LibrePCB