Ich möchte sowohl auf der WikiCon in Karlsruhe als auch auf dem Offenen Sonntag nach der Mitgliederversammlung, die eine Woche später in Berlin stattfindet, ein PGP-Keysigning[1] anbieten. Willkommen ist dazu jedermann (Wikipedianer, Vereinsmitglieder, WMDE-Angestellte, Freunde, Gäste, Fremde etc. pp). Die einzigen Voraussetzungen sind der Besitz eines PGP-Keys und der Wille sich von einem Anderem identifizieren zu lassen (z.B. mittels Personalausweis). Sinn und Zweck der Party ist es, den Verknüpfungsgrad der PGP-Keys der Teilnehmer zu erhöhen, Neulingen eine Möglichkeit der Aufnahme zu bieten, die Akzeptanz von PGP zu erweitern und etwas Spaß zu haben.
Eine Keysigning-Party besteht aus drei Komponenten: Der Vorbereitung, der Party selber und dem Signieren daheim. Die Vorbereitung werde so weit wie möglich ich übernehmen. Wie die Party genau ablaufen wird, ergibt sich aus der Vorbereitungsphase (genauer: Wie viele Leute mitmachen möchten). Die letzte Phase muss von jedem selber durchgeführt werden.
Vorbereitung
BearbeitenDas ist die Phase wo ich die Keys der Teilnehmer einsammele. Wenn du bei der Party mitmachen möchtest, so sende mir bitte deinen PGP-Key (ID reicht) möglichst bis zum 31. Oktober an keyparty-2013-01@dabpunkt.eu[2] – letztmöglicher Zeitpunkt ist 1 Woche vor der jeweiligen Veranstaltung. Der Versand muss von einer Adresse erfolgen, die in deinem Key aufgeführt ist. Teile mir bitte mit, ob du bei der Wikicon, dem Offenen Sonntag, oder beiden Veranstaltungen mitmachen möchtest.
Bitte füge auch eine Identifizierungsmöglichkeit hinzu. Die meisten Key-Signierer verlangen ďazu den Real-Namen, den sie vor Ort mit einem Personalausweis abgleichen. Sofern keine sehr guten Gründe dagegen sprechen, solltest du daher deinen Real-Namen in der eMail angeben. Solltest du deinen Real-Namen nicht angeben, kannst du trotzdem beim Keysigning mitmachen, du musst allerdings damit rechnen nur sehr wenige Signaturen zu bekommen.
Du kannst auch gerne deinen Benutzernamen der eMail hinzufügen. Beachte aber bitte, dass dadurch eine spätere Zuordnung Real-Namen zu Benutzernamen möglich sein kann.
Die IDs der Keys die ich erhalte, werde ich auf dieser Seite vermerken (damit du prüfen kannst ob deine eMail auch angekommen ist). Nicht hier vermerken werde ich die Identifizierungsmöglichkeit oder den Benutzernamen. Weiterhin werde ich den Key einem Key-Ring hinzufügen (siehe dazu den Abschnitt #Signieren).
Party
BearbeitenWie die Party genau abläuft, hängt von der Anzahl der Teilnehmer ab und entscheidet sich daher erst im November. Auf jeden Fall erhält jeder Teilnehmer, der vor Ort ist, eine ausgedruckte Liste der Teilnehmer. Auf der Liste befindet sich eine fortlaufende Nummer, die Key-ID, der Key-Fingerabdruck die Identifizierungsmöglichkeit und eventuell der Benutzername. Außerdem wird auf dem Blatt die Download-Adresse des Key-Rings vermerkt sein.
Weitere Details hier im November.
Signieren
BearbeitenWenn du wieder daheim bist, dich von der Veranstaltung erholt und einen ruhigen Moment hast, kann es ans Signieren gehen. Damit du nicht alle Keys selber suchen und herunterladen musst, kannst du einfach den angegebenen Keyring herunterladen (ein Keyring ist eine Zusammenstellung von Keys) und ihn importieren. Als nächstes geht es ans Signieren. Anfängern wird oft geraten nur solche Keys zu signieren deren Eigentümer sich mit einem Personalausweis ausgewiesen haben. Es bleibt aber ganz dir überlassen welche Kriterien du anlegst – manchen Menschen reicht die Zuordnung eMail-Adresse zu Key aus, Andere verlangen 2 amtliche Dokumente mit Photo und die Zusicherung einer dritten Person, und die Meisten irgendwas dazwischen. Die meisten Programme fragen bei der Signierung auch, wie sicher man die Person identifiziert hat, hier kannst du also auch variieren.
Auf jeden Fall solltest du den Key-Fingerabdruck auf der ausgedruckten Liste mit dem Fingerdruck des heruntergeladenen Keys vergleichen, bevor du ihn signierst. Nur so ist sichergestellt, dass du auch den richtige Key signierst und niemand (z.B. ich) etwas manipuliert hat.
Damit die ganze Arbeit auch etwas bewirkt, muss abschließend der signierte Key veröffentlicht werden. Dazu gibt es zwei Möglichkeiten: Du machst es selber oder du lässt es den Eigentümer machen. Variante 1 (selber machen) ist einfacher für dich und den Eigentümer: Du weist dein Programm an den Key auf einen Key-Server zu veröffentlichen und gut ist. Variante 2 (der Eigentümer kümmert sich) ist komplizierter, fügt aber eine zusätzliche Sicherheitsschicht ein. Bei dieser Variante exportierst du den signieren Key in eine Datei und schickst diese per eMail an den Eigentümer (einige Leute verschlüsseln diese eMail sogar). Sofern der Eigentümer Zugriff auf diese eMail-Adresse hat, kann er den signierten Key veröffentlichen. So ist sichergestellt, das dem Key-Eigentümer auch wirklich eine eMail-Adresse gehört. Eventuell bietet dein Programm dazu auch eine Funktion, für Linux-Menschen gibt es das Programm caff
das genau das macht[3].
Keyserver
BearbeitenEs ist recht egal, welchen Keyserver man benutzt. Alle Keyserver tauschen nämlich kontinuierlich ihre Datenbestände untereinander aus so das sich neue oder aktualisierte Keys nach einer Weile überall befinden. Falls dein Programm keine sinnvolle Grundeinstellung dazu hat, benutze hkp://subkeys.pgp.net
(damit wird zufällig einer ausgesucht).
Liste der erhaltenen Keys
BearbeitenWikiCon
BearbeitenEinsendefrist abgelaufen.
2D3EE2D42B255885, 522E185CB94985F4 (0xB94985F4), 544DAA282D645673 (2D645673), AE693A70A914873D (A914873D), DE506186DBA82478 (DBA82478), CE2E9350AC1A230E, A7EA9471B12BE7A6, E02F23329EB4FA3A (9EB4FA3A), D3F2CBA7A7AE3DA4 (A7AE3DA4), F56D06EFE58D0685 (E58D0685)
Offener Sonntag
Bearbeiten2D3EE2D42B255885, CE2E9350AC1A230E, A7EA9471B12BE7A6, 7A1DAF7F2E322E62
Hinweise
Bearbeiten- ↑ Auf dieser Seite wird durchgängig „PGP“ benutzt, da es der etabliertere Begriff ist. GPG- oder GnuPG-Benutzer/Bevorzuger ersetzen bitte im Kopf :-).
- ↑ Diese eMail-Adresse ist nur für diese beiden Veranstaltungen gedacht und wird (auf Grund des zu erwartenden SPAMs) am Ende des Jahres deaktiviert. Aufnahme in Adressbücher daher sinnlos ;-).
- ↑ Kurzer Hinweis an Leute, die ihre
.gpg.conf
angepasst haben: caff benutzt eine eigene Version der Datei in~/.caff/gnupghome/
.