Was ist GPG?
GPG ist ein Programm zur Ver- und Entschlüsselung, Signierung
und Signaturüberprüfung von Daten, typischerweise e-Mail, auf der
Basis von asymmetrischer Kryptographie.
Hierzu sind zwei Keys notwendig:
- der secret key, und
- der public key.
Der secret key (auch private key genannt) ist geheim und darf nicht
bekannt gemacht werden, während der public key für die
Oeffentlichkeit bestimmt ist und auf die Keyserver gehört.
Vorbereitungen zur GPG-Keysigning-Party
Generierung eines Keypaares [falls noch nicht vorhanden]
Um Mails überhaupt chiffriert versenden zu können, braucht man
den Public Key des Empfängers und um sie zu unterschreiben, muss
man vorher einen Secret Key erzeugt haben.
- Key generieren:
gpg --gen-key
- Momentan benutzen praktisch alle Leute, die einen Key neu
erzeugen,einen Schlüssel der mindestens 1024 bits lang ist
- Den Passphrase soll wie alle Passwörter
nicht aufgeschrieben werden. Er darf allerdings
auch nicht vergessen werden!
- Man soll eine möglichst permanente e-Mail Addresse wählen, da
die Signaturen auf die e-Mail gehen!
- Self-Certificate
(nur für pgp , gpg macht dies
automatisch)
Nachdem man für sich einen Schlüssel generiert hat, sollte
man ihn mit diesem Schlüssel signieren. Damit wird
verhindert, dass spätere Aenderungen am Key undetektiert
bleiben.
Bei gpg kann man dies mit
gpg --list-sigs id verifizieren
- Revocation-Key erstellen:
gpg --revoke-key id
Das Revocation-Zertifikat generieren und ausdrucken.
Diesen gut aufbewahren!
Den Revocation-Key braucht man, falls man den Secret-Key
kompromittiert (und/oder die Passphrase dazu) oder verliert.
- den generierten public key auf einen Keyserver (einer genügt,
sie werden unter den Keyservern weiterverteilt) uploaden und im
Falle einer Keysigning-Party an den Organisator schicken:
gpg --send-key id --keyserver wwwkeys.eu.pgp.net
Key-Strip ausdrucken
Seinen Key-Strip mit gpg --fingerprint id|lpr
ausdrucken und genügend vervielfältigen.
An der Party
Mit den Kopien des Keystrips und einer ID erscheinen
Keine Computer mitnehmen (jedenfalls keine mit
secret Keys darauf!)
An der Party wird folgendes gemacht:
- Die Leute identifizieren sich gegenseitig mit der ID, und
- geben den Keystrip weiter (mit der Angabe welche e-Mails
signiert werden sollen)
Nach der Party
Fremde Keys
- Die Keys der erhaltenen Keystrips in seinen Keyring
aufnehmen:
gpg --recv-key id --keyserver
wwwkeys.eu.pgp.net
- Für alle Keys jeden einzelnen Keys signieren:
gpg --sign-key id
- den Fingerprint überprüfen
- überlegen welche e-Mails-Addressen man unterschreiben will
und allenfalls die e-Mail-Adressen verifizieren, indem man an
die Adressen eine Mail schreibt und schaut, ob die richtige
Person antwortet (Check auf Gültigkeit der Adressen)
- überlegen, welchen Trust (=Validty) man dem Key zuweisen
will.
ACHTUNG:Dieser Trust ist der Trust
(=Validity), d.h. wie gut hat man den Key geprüft hat, nicht
der Owner-Trust (inwieweit ist die Person
vertrauenswürdig?). - überlegen, welchen Owner-Trust
(=Trust) man der Personen zuweisen will.
- Den unterschriebenen Key an die unterschriebene Person
senden. Diese lädt ihn dann (nachdem sie andere Signaturen
mitgesammelt hat) auf den Keyserver.
Eigener Key
- Für den eigenen Key:
Die Leute senden einem nach und nach signierte Keys zu. Diese
werden mit
gpg --import key.gpg
in den eigenen Keyring eingefügt (resp. aus dem Mailer heraus).
Teile des Inhalts aus dem GnuPG
Keysigning Party HOWTO.
Wir haben mit einer angepassten Version von sig2dot.pl Grafiken des Keyrings
erstellt, ein Mal vor und ein Mal nach der Party.
- Vorher (der Keyring)
- als PS oder grosses JPG oder dot.
- Party am 4. Juli 2002
- Nachher (der Keyring)
- als PS oder grosses JPG oder dot.
Ein ziemliches Gewirr an Signaturen ist da entstanden:
Scheinbar hat sich der Einsatz gelohnt. Gemäss der Ausgabe von GnuPG
sind da 743 neue Signaturen.
David Frey
|