GPN12:Keysigning Party: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
KKeine Bearbeitungszusammenfassung
(erste halbwegs vollständige version)
Zeile 1: Zeile 1:
== WIP, hier alles noch unfertig! ==
= WIP, hier alles noch unfertig! =


== Ultrakurzanleitung für extrem Lesefaule ==
= Ultrakurzanleitung für extrem Lesefaule =


# Ausreichend Ausdrucke vom eigenen Key (Key-ID, Name, Fingerprint, Datum) mitbringen
# Ausreichend Ausdrucke vom eigenen Key (Key-ID, Name, Fingerprint, Datum) mitbringen
Zeile 7: Zeile 7:
# Alle Veranstaltungen besuchen, die irgendwas mit Keysigning zu tun haben
# Alle Veranstaltungen besuchen, die irgendwas mit Keysigning zu tun haben


----
= Anleitung für alle Anderen =


Die folgende Kurzanleitung sollte jeden GPN-Besucher in die Lage versetzen, auf der GPN PGP-Schlüssel zu signieren und seine eigenen Schlüssel signiert zu bekommen. Da quasi alle mir bekannten GPG-Frontends irgendwo im Backend ein gpg-Binary (gpg.exe für die Windows-User) nutzen, benutzt diese Anleitung einfach die entsprechenden Kommandozeilenaufrufe.
Die folgende Kurzanleitung sollte jeden GPN-Besucher in die Lage versetzen, auf der GPN PGP-Schlüssel zu signieren und seine eigenen Schlüssel signiert zu bekommen. Da quasi alle mir bekannten GPG-Frontends irgendwo im Backend ein gpg-Binary (gpg.exe für die Windows-User) nutzen, benutzt diese Anleitung einfach die entsprechenden Kommandozeilenaufrufe.


'''KEYID''' steht hier immer für die Key-ID des bearbeiteten Schlüssels. Man bekommt diese mittels <pre>gpg -K</pre> für die eigenen Schlüssel und mittels <pre>gpg -k</pre> für alle bekannten öffentlich Schlüssel.
'''KEYID''' steht hier immer für die Key-ID des bearbeiteten Schlüssels. Man bekommt diese mittels <tt>gpg -K</tt> für die eigenen Schlüssel und mittels <tt>gpg -k</tt> für alle bekannten öffentlich Schlüssel.
 
Installiert euch am besten [[http://pgp-tools.alioth.debian.org/|diese PGP Tools]] (<tt>yum install pgp-tools</tt> für Fedora/Redhat, <tt>apt-get install signing-party</tt> für Ubuntu/Debian), das vereinfacht vieles.


== 1. Vor der GPN ==
== 1. Vor der GPN ==
Zeile 19: Zeile 21:
* Wenn noch nicht vorhanden, (mindestens einen) OpenPGP-Key erzeugen: [http://keyring.debian.org/creating-key.html], [http://www.gnupg.org/gph/en/manual.html] [https://help.riseup.net/en/howto-gpg-keys] [http://www.gpg4win.org/doc/de/gpg4win-compendium_12.html]
* Wenn noch nicht vorhanden, (mindestens einen) OpenPGP-Key erzeugen: [http://keyring.debian.org/creating-key.html], [http://www.gnupg.org/gph/en/manual.html] [https://help.riseup.net/en/howto-gpg-keys] [http://www.gpg4win.org/doc/de/gpg4win-compendium_12.html]
* (optional, aber eine echt gute Idee): Backup des eigenen Schlüssels erzeugen
* (optional, aber eine echt gute Idee): Backup des eigenen Schlüssels erzeugen
 
gpg -a --export-secret-keys KEYID > backup_KEYID.asc
<pre>gpg -a --export-secret-keys KEYID > backup_KEYID.asc</pre>
Schlüsseldatei ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften).
Schlüsseldatei ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften).
* (optional, aber eine echt gute Idee): Revocation-Zertifikat erzeugen, um bei Verlust den Schlüssel entsorgen zu können
* (optional, aber eine echt gute Idee): Revocation-Zertifikat erzeugen, um bei Verlust den Schlüssel entsorgen zu können
 
gpg --gen-revoke KEYID > backup_KEYID.revcert
<pre>gpg --gen-revoke KEYID > backup_KEYID.revcert</pre>
Revocation-Zertifikat ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften). Am besten woanders ablegen als das Backup.
Revocation-Zertifikat ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften). Am besten woanders ablegen als das Backup.
* (optional, aber eine echt gute Idee): Den eigenen Schlüssel mit einem Ablaufdatum versehen.
* (optional, aber eine echt gute Idee): Den eigenen Schlüssel mit einem Ablaufdatum versehen. Das ist nicht final, sondern kann jederzeit verlängert werden. Wenn man seinen Schlüssel verliert, bekommt man nicht bis an sein Lebensende verschlüsselte Mails, die man nicht wieder loswird.
 
gpg --edit-key KEYID > backup_KEYID.revcert
Das ist nicht final, sondern kann jederzeit verlängert werden. Wenn man seinen Schlüssel verliert, bekommt man nicht bis an sein Lebensende verschlüsselte Mails, die man nicht wieder loswird.
<pre>gpg --edit-key KEYID > backup_KEYID.revcert
   edit
   edit
   # Datum eingeben
   # Datum eingeben
   save
   save
</pre>
* Genügend »Keyslips« ausdrucken und mitbringen:
* Genügend »Keyslips« ausdrucken und mitbringen:
Nehmt die Ausgabe von <pre>gpg --fingerprint KeyID</pre> und druckt in genügend großer Anzahl aus; ihr müsst jedem signierbereiten GPN-Besucher eins davon geben. Beim letzten auf der GPN7(?) waren das ~10 Menschen. Diesmal sind über 360 Leute da, nehmt euch also am Besten 30 Keyslips mit.
Nehmt die Ausgabe von <pre>gpg --fingerprint KeyID</pre> und druckt in genügend großer Anzahl aus; ihr müsst jedem signierbereiten GPN-Besucher eins davon geben. Beim letzten auf der GPN7(?) waren das ~10 Menschen. Diesmal sind über 360 Leute da, nehmt euch also am besten 30 Keyslips mit.
 
Mit den PGP Tools geht das einfach mittels
gpg-key2ps -p A4 KeyID > Keyslips.ps


Es gibt am Infotresen einen Drucker, wo man das (wenn die Verpeilung und das technische Chaos es zulassen) auch noch vor Ort nachholen kann.
Es gibt am Infotresen einen Drucker, wo man das (wenn die Verpeilung und das technische Chaos es zulassen) auch noch vor Ort nachholen kann.
== Auf der GPN ==
* Kommt zum »What to hack«, dem Keysigning-Workshop (TBA) und zu den Lightning Talks
* Bastelt euch eine »Ich will Keysigning machen«-Badge, damit man euch signierbar erkennen kann
* Signiert Schlüssel und seid guter Dinge!
== Nach der GPN ==
Wer die PGP Tools hat, geht einfach nach [http://mruiz.openminds.cl/blog/index.php/2009/12/03/signing-keys-with-caff/] vor.
Alle anderen müssen jetzt zu signierenden Schlüssel besorgen (<tt>gpg --recv-keys ALLE_KEYIDs</tt>), jeden davon mittels <tt>gpg --sign-key KEYID</tt> signieren und dann alle Schlüssel wieder hochladen (<tt>gpg --send-keys ALLE_KEYIDs</tt>).


[[Kategorie:GPN]]
[[Kategorie:GPN]]
{{Navigationsleiste GPN12}}
{{Navigationsleiste GPN12}}

Version vom 6. Juni 2012, 12:42 Uhr

WIP, hier alles noch unfertig!

Ultrakurzanleitung für extrem Lesefaule

  1. Ausreichend Ausdrucke vom eigenen Key (Key-ID, Name, Fingerprint, Datum) mitbringen
  2. Geeigneten Identitätsnachweis (Perso, Reisepass, Kellogs-Clubkarte, ...) mitbringen
  3. Alle Veranstaltungen besuchen, die irgendwas mit Keysigning zu tun haben

Anleitung für alle Anderen

Die folgende Kurzanleitung sollte jeden GPN-Besucher in die Lage versetzen, auf der GPN PGP-Schlüssel zu signieren und seine eigenen Schlüssel signiert zu bekommen. Da quasi alle mir bekannten GPG-Frontends irgendwo im Backend ein gpg-Binary (gpg.exe für die Windows-User) nutzen, benutzt diese Anleitung einfach die entsprechenden Kommandozeilenaufrufe.

KEYID steht hier immer für die Key-ID des bearbeiteten Schlüssels. Man bekommt diese mittels gpg -K für die eigenen Schlüssel und mittels gpg -k für alle bekannten öffentlich Schlüssel.

Installiert euch am besten [PGP Tools] (yum install pgp-tools für Fedora/Redhat, apt-get install signing-party für Ubuntu/Debian), das vereinfacht vieles.

1. Vor der GPN

Das geht prinzipiell natürlich auch während der GPN...

  • Wenn noch nicht vorhanden, (mindestens einen) OpenPGP-Key erzeugen: [1], [2] [3] [4]
  • (optional, aber eine echt gute Idee): Backup des eigenen Schlüssels erzeugen
gpg -a --export-secret-keys KEYID > backup_KEYID.asc

Schlüsseldatei ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften).

  • (optional, aber eine echt gute Idee): Revocation-Zertifikat erzeugen, um bei Verlust den Schlüssel entsorgen zu können
gpg --gen-revoke KEYID > backup_KEYID.revcert

Revocation-Zertifikat ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften). Am besten woanders ablegen als das Backup.

  • (optional, aber eine echt gute Idee): Den eigenen Schlüssel mit einem Ablaufdatum versehen. Das ist nicht final, sondern kann jederzeit verlängert werden. Wenn man seinen Schlüssel verliert, bekommt man nicht bis an sein Lebensende verschlüsselte Mails, die man nicht wieder loswird.
gpg --edit-key KEYID > backup_KEYID.revcert
 edit
 # Datum eingeben
 save
  • Genügend »Keyslips« ausdrucken und mitbringen:

Nehmt die Ausgabe von

gpg --fingerprint KeyID

und druckt in genügend großer Anzahl aus; ihr müsst jedem signierbereiten GPN-Besucher eins davon geben. Beim letzten auf der GPN7(?) waren das ~10 Menschen. Diesmal sind über 360 Leute da, nehmt euch also am besten 30 Keyslips mit.

Mit den PGP Tools geht das einfach mittels

gpg-key2ps -p A4 KeyID > Keyslips.ps

Es gibt am Infotresen einen Drucker, wo man das (wenn die Verpeilung und das technische Chaos es zulassen) auch noch vor Ort nachholen kann.

Auf der GPN

  • Kommt zum »What to hack«, dem Keysigning-Workshop (TBA) und zu den Lightning Talks
  • Bastelt euch eine »Ich will Keysigning machen«-Badge, damit man euch signierbar erkennen kann
  • Signiert Schlüssel und seid guter Dinge!

Nach der GPN

Wer die PGP Tools hat, geht einfach nach [5] vor.

Alle anderen müssen jetzt zu signierenden Schlüssel besorgen (gpg --recv-keys ALLE_KEYIDs), jeden davon mittels gpg --sign-key KEYID signieren und dann alle Schlüssel wieder hochladen (gpg --send-keys ALLE_KEYIDs).