Version 0.71

Workshop: PGP Keysigning Party

Manager gnupg

This event is not going to be recorded

Wir führen eine Keysigning Party durch. Eine gute Gelegenheit, dein network of trust auf die gesamte Schweizer Hackerszene auszuweiten.

Um dich anzumelden, schicke die Ausgabe des folgenden Kommandos, an keysigning19@cosin.ch und hänge der E-Mail ein Kopie deines OpenPGP Zertifikates an.

gpg --keyid-format LONG --list-options no-show-uid-validity --fingerprint dein.name@example.com

Dein OpenPGP Zertifikat kannst du mit dem folgenden Kommando exportieren:

gpg --export --armor dein.name@example.com > zertifikat.pgp

Anmeldeschluss ist am Mittwoch, 2019-06-12 um 23:59 Uhr. Eine E-Mail mit allen weiteren Schritten erhälst du nach Ablauf der Anmeldefrist.

Anmeldung


Um dich anzumelden, schicke die Ausgabe des folgenden Kommandos, an keysigning19@cosin.ch und hänge der E-Mail ein Kopie deines OpenPGP Zertifikates an.

gpg --keyid-format LONG --list-options no-show-uid-validity --fingerprint dein.name@example.com

Dein OpenPGP Zertifikat kannst du mit dem folgenden Kommando exportieren:

gpg --export --armor dein.name@example.com > zertifikat.pgp

Anmeldeschluss ist am Mittwoch, 2019-06-12 um 23:59 Uhr. Die Liste aller Schlüssel der Teilnehmer werden wir am darauf folgenden Tag (Donnerstag, 2019-06-13) per E-Mail verschicken. Diese Email wird auch detaillierte Ausführungen zum weiteren Vorgehen enthalten. Neugierige und PGP Neulinge finden den gesamten Ablauf aber auch weiter unten in diesem Text.

Ablauf


Vor der Party


  • Du meldest dich an (siehe oben)

  • Wenn alle Anmeldungen eingegangen sind, erstellen wir eine Liste (Textdatei), sowie einen Keyring mit den Schlüsseln aller Teilnehmer

  • Liste und Keyring verschicken wir per E-Mail an alle Teilnehmer

    • Wir werden die Datei komprimiert als gzip und zip verschicken, da wir die Erfahrung gemacht haben, dass gewisse MUAs, die Webinterfaces gewisser E-Mail Anbieter und die Download Manager der Browser gerne das Encoding der Datei verändern, wodurch auch der Hashwert verändert wird.



  • Du entpackst die Datei

  • Prüfe, ob die Angaben zu deinem Schlüssel stimmen

    • Falls nicht, informiere uns bitte umgehend



  • Bilde die sha256 Prüfsumme der entpackten Datei

    • sha256sum <filename>

    • Es ist wichtig, dass die Datei zwischen dem Entpacken und dem Generieren der Checksumme nicht verändert wird



  • Vergleiche die Checksumme mit der Checksumme die wir in der E-Mail mitschicken werden


    • Sollten die beiden Werte nicht übereinstimmen, informiere uns bitte umgehend



WICHTIG! VERLASSE DICH UNTER KEINEN UMSTÄNDEN NUR AUF DIE MITGELIEFERTE PRÜFSUMME! ES IST VON GROSSER WICHTIGKEIT, DASS DU DIE PRÜFSUMME SELBST ERZEUGST!


  • Drucke die Datei aus

  • Schreibe die Prüfsumme auf den Ausdruck

    • Alternativ kannst du die generierte Prüfsumme unten in die Datei kopieren bevor du diese ausdruckst



WICHTIG! Du musst die Liste unbedingt selbst ausdrucken und die Prüfsumme selbst darauf schreiben. Verwende NIEMALS die Liste von Drittpersonen.

Die Party


  • Erscheine zum oben angegebenen Termin zum Keysigning

  • Bringe die ausgedruckte Liste mit

  • Bringe mindestens einen, besser zwei Lichtbildausweise mit

  • Denke auch daran, einen Schreiber mitzubringen

  • Einen Computer brauchst du für die Keysigning Party nicht

  • Wir werden die Prüfsumme der Datei vorlesen. Sollte sie nicht mit der Prüfsumme übereinstimmen die du erhalten hast, so lasse uns das umgehend wissen!

  • Wir werden alle auf der Liste aufgeführten Personen Fragen, ob sie anwesend seien und ob die Angaben auf der Liste zu ihrem Schlüssel stimmen. Personen die nicht anwesend sind oder deren Angaben nicht stimmen, solltest du wegstreichen und ihren Schlüssel später nicht signieren

  • Die Anwesenden werden sich nun in zwei Reihen vis-a-vis voneinander aufstellen. Jeder und Jede prüft nun die Informationen zu seinem/ihrem Vis-a-Vis mit den Informationen auf der Liste gegen

    • Es ist jedem/r selbst überlassen, welcher Art Identifikation er/sie trauen will. Üblich ist etwa eine ID, ein Pass, ein Führerschein, oder eine Kombination davon



  • Die Anwesenden iterieren nun um eine Position, so dass ihr der nächsten Person gegenüber steht. Auch diese Person identifiziert ihr jetzt, wie im vorigen Schritt. Dies wiederholen wir so lange, bis alle gegenseitig ihre Identität geprüft haben

Links und Hinweise für PGP Neulinge

Falls du noch keinen Schlüssel hast oder gar nicht mit PGP vertraut bist, informiere dich und erstelle einen Schlüssel. Du findest alle wichtigen Informationen auf der Website von GnuPG. Ausserdem findest du in deinem Chaostreff/Hackerspace oder der lokalen Linux User Group bestimmt jemanden der sich mit dem Thema auskennt und dir weiterhelfen kann.

Es kann sinnvoll sein, getrennte Subkeys zum signieren und verschlüsseln zu verwenden. Wieso das sinnvoll ist und wie das geht, liest du, zum Beispiel, unter in diesem Blogeintrag.

Es kann sinnvoll sein, eine PGP smartcard zu verwenden um den PGP Schlüssel vor Diebstahl zu schützen. Liegt der Schlüssel auf einer Smartcard, so kann er auch dann nicht gestohlen werden, wenn die Smartcard an einen infizierten Rechner angeschlossen wird. LWN.net hat einen ausführlichen Vergleich aktueller Smartcards veröffentlicht.

Wie du bestehende PGP Schlüssel auf eine PGP Smartcard verschiebst, ist ebenfalls ausführlich dokumentiert. Wie du nur Subkeys auf eine Smartcard verschiebst, ist in diesem Blogpost im Absatz "Move subkeys to YubiKey NEO" beschrieben.

Zum signieren der Schlüssel nach der Keysigning party ist es ratsam eine Software wie caff oder Pius zu verwenden. Diese Tools helfen Fehler vermeiden, setzen best practices um und helfen Zeit zu sparen.

Falls du dich für caff entscheidest und noch keinen MTA hast, empfehlen wir msmtp (hat nichts mit Microsoft zu tun) zusammen mit msmtp-mta.

Info

Day: 2019-06-16
Start time: 11:30
Duration: 00:30
Room: Workshop Room
Track: Anderes
Language: de

Links:

Concurrent Events