GPN13:Keysigning-Party: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
(Vortragsseite initialisiert)
 
Keine Bearbeitungszusammenfassung
 
(3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{#css:GPN13:Stylesheet}}
{{#css:GPN13:Stylesheet}}


Ein Vortrag von NicApicella auf der [[GPN13]].
'''Update''': statt caff vll. [https://www.phildev.net/pius/] oder [https://monkeysign.readthedocs.io/en/2.x/] benutzen.
 
Dieses Jahr neu: CAcert!
 
= CAcert =
 
CAcert hat etwas strengere Richtlinien als das bekanntere PGP: Ein Assurer muss von seinem Assuree (mindestens) '''zwei''' (!!!) gültige, staatlich ausgestellte Lichtbildausweise sehen. Bitte denkt daran, sonst kann man euch nur PGP signieren und nicht CAcert assuren.
 
Außerdem braucht man ein ausgedrucktes Formular: Nachdem beide ausgefüllt und unterschrieben haben, behält und bewahrt der Assurer diesen auf.
 
Idealerweise haben alle Teilnehmer sich auf CAcert schon einen Account angelegt und sich ein bisschen eingelesen. Wenn nicht, helfen wir euch gerne auch direkt vor Ort aus. Und keine Sorge: Es ist vollkommen legitim, sich auch ''erst'' assuren zu lassen und ''dann'' erst ein Account zu machen – das sollte dann aber bald passieren und die Account-Daten müssen auf jeden Fall und 100%-ig mit den assurten übereinstimmen (sonst klappt das Assuren nicht).
 
= PGP Keysigning =
 
== Ultrakurzanleitung für extrem Lesefaule ==
 
# Ausreichend Ausdrucke vom eigenen Key (Key-ID, Name, Fingerprint, Datum) mitbringen oder vor Ort ausdrucken
# Geeigneten Identitätsnachweis (Perso, Reisepass, Kellogs-Clubkarte, ...) mitbringen
# coole Badge bauen und gut sichtbar am eigenen Körper anbringen
# Alle Veranstaltungen besuchen, die irgendwas mit Keysigning zu tun haben
 
== Anleitung für alle Anderen ==
 
Die folgende Kurzanleitung sollte jeden GPN-Besucher in die Lage versetzen, auf der GPN PGP-Schlüssel zu signieren und seine eigenen Schlüssel signiert zu bekommen. Da quasi alle mir bekannten GPG-Frontends irgendwo im Backend ein gpg-Binary (gpg.exe für die Windows-User) nutzen, benutzt diese Anleitung einfach die entsprechenden Kommandozeilenaufrufe.
 
'''KEYID''' steht hier immer für die Key-ID des bearbeiteten Schlüssels. Man bekommt diese mittels <tt>gpg -K</tt> für die eigenen Schlüssel und mittels <tt>gpg -k</tt> für alle bekannten öffentlich Schlüssel.
 
Installiert euch am besten [[http://pgp-tools.alioth.debian.org/|diese PGP Tools]] (<tt>yum install pgp-tools</tt> für Fedora/Redhat, <tt>apt-get install signing-party</tt> für Ubuntu/Debian), das vereinfacht vieles.
 
=== Vor der GPN ===
 
Das geht prinzipiell natürlich auch während der GPN...
 
* Wenn noch nicht vorhanden, (mindestens einen) OpenPGP-Key erzeugen: [http://keyring.debian.org/creating-key.html], [http://www.gnupg.org/gph/en/manual.html] [https://help.riseup.net/en/howto-gpg-keys] [http://www.gpg4win.org/doc/de/gpg4win-compendium_12.html]
* (optional, aber eine echt gute Idee): Backup des eigenen Schlüssels erzeugen
gpg -a --export-secret-keys KEYID > backup_KEYID.asc
Schlüsseldatei ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften).
* (optional, aber eine echt gute Idee): Revocation-Zertifikat erzeugen, um bei Verlust den Schlüssel entsorgen zu können
gpg --gen-revoke KEYID > backup_KEYID.revcert
Revocation-Zertifikat ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften). Am besten woanders ablegen als das Backup.
* (optional, aber eine echt gute Idee): Den eigenen Schlüssel mit einem Ablaufdatum versehen. Das ist nicht final, sondern kann jederzeit verlängert werden. Wenn man seinen Schlüssel verliert, bekommt man nicht bis an sein Lebensende verschlüsselte Mails, die man nicht wieder loswird.
gpg --edit-key KEYID > backup_KEYID.revcert
  edit
  # Datum eingeben
  save
* Genügend »Keyslips« ausdrucken und mitbringen:
Nehmt die Ausgabe von <pre>gpg --fingerprint KeyID</pre> und druckt in genügend großer Anzahl aus; ihr müsst jedem signierbereiten GPN-Besucher eins davon geben. Beim letzten auf der GPN7(?) waren das ~10 Menschen. Diesmal sind über 430 Leute da, nehmt euch also am besten 30 Keyslips mit.
 
Mit den PGP Tools geht das einfach mittels
gpg-key2ps -p A4 KeyID > Keyslips.ps
 
Es gibt am Infotresen einen Drucker, wo man das (wenn die Verpeilung und das technische Chaos es zulassen) auch noch vor Ort nachholen kann.
 
=== Auf der GPN ===
 
* Kommt zum »What to hack« und dem Keysigning-Workshop (to be announced).
* Bastelt euch eine coole »Ich will Keysigning machen«-Badge (das RZL hat da coole Hardware für), damit man euch als keysignfreudig erkennen kann
* Signiert Schlüssel und seid guter Dinge!
# Finde signierwillige Menschen.
# Prüfe ihre Identität.
# Wenn Prüfung erfolgreich, markiere ihren Keyslip als geprüft (bspw. durch Unterschrift)
# Fragt euren Gegenüber, ob er seinen signierten Key per Mail und/oder über die Keyserver haben möchte.
 
=== Nach der GPN ===
 
Wer die PGP Tools (und Linux) hat, geht einfach nach [http://mruiz.openminds.cl/blog/index.php/2009/12/03/signing-keys-with-caff/] vor. Wenn ihr keinen benutzbaren MTA auf eurem Rechner habt, müsst ihr in der <tt>~/.caffrc</tt> unbedingt '''<tt>$CONFIG{'mailer-send'}</tt>''' konfigurieren (siehe Manpage).
 
Alle anderen müssen ein paar mehr Schritte manuell erledigen:
 
# zu signierenden Schlüssel besorgen (<tt>gpg --recv-keys ALLE_KEYIDs</tt>),
# jeden davon einzeln signieren (<tt>gpg --sign-key KEYID</tt>) und dann
# alle Schlüssel wieder hochladen (<tt>gpg --send-keys ALLE_KEYIDs</tt>).
 
Wer seinen signierten Schlüssel nur per E-Mail bekommen hat (passiert insbesondere, wenn die signierende Gegenseite CAFF benutzt) und diesen auf dein Keyserver seiner Wahl befördert möchte, importiert einfach alle alle Mailanhänge (<tt>gpg --import KEYID</tt>) – GnuPG importiert effektiv nur die Updates – und schickt danach (<tt>--send-key EIGENER_KEYID</tt>) seinen (eigenen) Schlüssel denn selbst weg.


GPG-Keys & CAcert


{{Navigationsleiste GPN13}}
{{Navigationsleiste GPN13}}
[[Kategorie:GPN13:Events]]
[[Kategorie:GPN13:Events]]

Aktuelle Version vom 16. April 2018, 13:46 Uhr


Update: statt caff vll. [1] oder [2] benutzen.

Dieses Jahr neu: CAcert!

CAcert

CAcert hat etwas strengere Richtlinien als das bekanntere PGP: Ein Assurer muss von seinem Assuree (mindestens) zwei (!!!) gültige, staatlich ausgestellte Lichtbildausweise sehen. Bitte denkt daran, sonst kann man euch nur PGP signieren und nicht CAcert assuren.

Außerdem braucht man ein ausgedrucktes Formular: Nachdem beide ausgefüllt und unterschrieben haben, behält und bewahrt der Assurer diesen auf.

Idealerweise haben alle Teilnehmer sich auf CAcert schon einen Account angelegt und sich ein bisschen eingelesen. Wenn nicht, helfen wir euch gerne auch direkt vor Ort aus. Und keine Sorge: Es ist vollkommen legitim, sich auch erst assuren zu lassen und dann erst ein Account zu machen – das sollte dann aber bald passieren und die Account-Daten müssen auf jeden Fall und 100%-ig mit den assurten übereinstimmen (sonst klappt das Assuren nicht).

PGP Keysigning

Ultrakurzanleitung für extrem Lesefaule

  1. Ausreichend Ausdrucke vom eigenen Key (Key-ID, Name, Fingerprint, Datum) mitbringen oder vor Ort ausdrucken
  2. Geeigneten Identitätsnachweis (Perso, Reisepass, Kellogs-Clubkarte, ...) mitbringen
  3. coole Badge bauen und gut sichtbar am eigenen Körper anbringen
  4. Alle Veranstaltungen besuchen, die irgendwas mit Keysigning zu tun haben

Anleitung für alle Anderen

Die folgende Kurzanleitung sollte jeden GPN-Besucher in die Lage versetzen, auf der GPN PGP-Schlüssel zu signieren und seine eigenen Schlüssel signiert zu bekommen. Da quasi alle mir bekannten GPG-Frontends irgendwo im Backend ein gpg-Binary (gpg.exe für die Windows-User) nutzen, benutzt diese Anleitung einfach die entsprechenden Kommandozeilenaufrufe.

KEYID steht hier immer für die Key-ID des bearbeiteten Schlüssels. Man bekommt diese mittels gpg -K für die eigenen Schlüssel und mittels gpg -k für alle bekannten öffentlich Schlüssel.

Installiert euch am besten [PGP Tools] (yum install pgp-tools für Fedora/Redhat, apt-get install signing-party für Ubuntu/Debian), das vereinfacht vieles.

Vor der GPN

Das geht prinzipiell natürlich auch während der GPN...

  • Wenn noch nicht vorhanden, (mindestens einen) OpenPGP-Key erzeugen: [3], [4] [5] [6]
  • (optional, aber eine echt gute Idee): Backup des eigenen Schlüssels erzeugen
gpg -a --export-secret-keys KEYID > backup_KEYID.asc

Schlüsseldatei ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften).

  • (optional, aber eine echt gute Idee): Revocation-Zertifikat erzeugen, um bei Verlust den Schlüssel entsorgen zu können
gpg --gen-revoke KEYID > backup_KEYID.revcert

Revocation-Zertifikat ordentlich sichern (USB-Stick im Banksafe oder Ausdrucken und gut wegheften). Am besten woanders ablegen als das Backup.

  • (optional, aber eine echt gute Idee): Den eigenen Schlüssel mit einem Ablaufdatum versehen. Das ist nicht final, sondern kann jederzeit verlängert werden. Wenn man seinen Schlüssel verliert, bekommt man nicht bis an sein Lebensende verschlüsselte Mails, die man nicht wieder loswird.
gpg --edit-key KEYID > backup_KEYID.revcert
 edit
 # Datum eingeben
 save
  • Genügend »Keyslips« ausdrucken und mitbringen:

Nehmt die Ausgabe von

gpg --fingerprint KeyID

und druckt in genügend großer Anzahl aus; ihr müsst jedem signierbereiten GPN-Besucher eins davon geben. Beim letzten auf der GPN7(?) waren das ~10 Menschen. Diesmal sind über 430 Leute da, nehmt euch also am besten 30 Keyslips mit.

Mit den PGP Tools geht das einfach mittels

gpg-key2ps -p A4 KeyID > Keyslips.ps

Es gibt am Infotresen einen Drucker, wo man das (wenn die Verpeilung und das technische Chaos es zulassen) auch noch vor Ort nachholen kann.

Auf der GPN

  • Kommt zum »What to hack« und dem Keysigning-Workshop (to be announced).
  • Bastelt euch eine coole »Ich will Keysigning machen«-Badge (das RZL hat da coole Hardware für), damit man euch als keysignfreudig erkennen kann
  • Signiert Schlüssel und seid guter Dinge!
  1. Finde signierwillige Menschen.
  2. Prüfe ihre Identität.
  3. Wenn Prüfung erfolgreich, markiere ihren Keyslip als geprüft (bspw. durch Unterschrift)
  4. Fragt euren Gegenüber, ob er seinen signierten Key per Mail und/oder über die Keyserver haben möchte.

Nach der GPN

Wer die PGP Tools (und Linux) hat, geht einfach nach [7] vor. Wenn ihr keinen benutzbaren MTA auf eurem Rechner habt, müsst ihr in der ~/.caffrc unbedingt $CONFIG{'mailer-send'} konfigurieren (siehe Manpage).

Alle anderen müssen ein paar mehr Schritte manuell erledigen:

  1. zu signierenden Schlüssel besorgen (gpg --recv-keys ALLE_KEYIDs),
  2. jeden davon einzeln signieren (gpg --sign-key KEYID) und dann
  3. alle Schlüssel wieder hochladen (gpg --send-keys ALLE_KEYIDs).

Wer seinen signierten Schlüssel nur per E-Mail bekommen hat (passiert insbesondere, wenn die signierende Gegenseite CAFF benutzt) und diesen auf dein Keyserver seiner Wahl befördert möchte, importiert einfach alle alle Mailanhänge (gpg --import KEYID) – GnuPG importiert effektiv nur die Updates – und schickt danach (--send-key EIGENER_KEYID) seinen (eigenen) Schlüssel denn selbst weg.