Keysigning Party Sommer 2004

Die DaLUG veranstaltet in regelmäßigen Abständen (zum Sommergrillen und zur Weihnachtsfeier) Keysigning Parties. Der nachfolgende Text entstand zur Keysigning Party der Weihnachtsfeier 2004 und soll als Beispiel dienen, wie man eine Keysigning Party abhalten kann.

Wie läuft die Keysigning Party ab und was müssen die Teilnehmer vor, während und nach der Party machen?

Für unsere Keysigningparty nutzen wir die effiziente Gruppensigningmethode nach Len Sassaman.

Vor jeder Keysigning Party gibt es eine Ankündigung mit ausführlichen Informationen zur Keysigning Party sowie den Zeiten und Download-Links.

Um an einer Keysigning Party teilnehmen zu können, muss man seinen eigenen öffentlichen Schlüssel in ASCII-exportierter Form an die Adresse ksp@dalug.org senden. Meist wird von den Veranstaltern der Keysigning Party hierzu eine Frist gesetzt, bis wann der Schlüssel dort hingesendet sein muss.

Man kann seinen Schlüssel exportieren, indem man z. B. mit dem Programm "gpg" folgenden Befehl ausfuehrt:

gpg --export -a KEYID > KEYID.asc

Auch mehrere Schlüssel pro Datei sind möglich und zulässig.

gpg --export -a KEYID1 KEYID2 KEYID3 > ALLEMEINEKEYIDS.asc

Bitte die eMail, mit der man den Schlüssel schickt, weder verschlüsseln noch signieren, und nach Möglichkeit den Schlüsselring als Anhang (nicht inline) verschicken.

Einige Tage vor der Keysigning Party wird dann der offizielle Schlüsselring sowie die offizielle Liste der Teilnehmer veröffentlicht. Diese Liste sollte man ausdrucken und zur Keysigning Party mitbringen. Ausserdem sollte man von der Datei dieser Liste einen MD5 bzw. SHA1 Hash bilden. Dies stellt sicher, dass alle Anwesenden der Keysigning Party mit der selben Datei arbeiten.

Dies kann geschehen mit:

md5sum OFFIZIELLE_LISTE.TXT

sha1sum OFFIZIELLE_LISTE.TXT

oder mit:

gpg --print-md md5 OFFIZIELLE_LISTE.TXT

gpg --print-md sha1 OFFIZIELLE_LISTE.TXT

Außerdem sollte man noch seine(n) eigenen Fingerprints überprüfen.

 

Zur Keysigning Party muss der Teilnehmer den MD5 bzw. SHA1 Hash der offiziellen Liste sowie einen Ausdruck derselbigen mitbringen. Der Schlüsselring ist nicht erforderlich. Außerdem wird noch ein gültiger amtlicher Lichtbildausweis des Teilnehmers benötigt. Diesen also unbeding mitbringen.

Auf der Keysigning Party wird dann der MD5 bzw. SHA1 Hash der offiziellen Liste lauf vorgelesen. Jeder Teilnehmer überprüft, ob der vorgelesene Hashwert mit dem selbst errechneten Hashwert übereinstimmt. So wird sicher gestellt, dass alle Teilnehmer die selbe Liste mit Schlüsseln und Teilnehmern besitzen.

Sollte der berechnete Hashwert nicht mit dem vorgelesenen übereinstimmen, bitte keine Panik. Das kann passieren, sollte aber nicht. Meist hat man dann irgendetwas mit den oben erwähnten Programmen falsch gemacht. Ein nicht übereinstimmender Hashwert disqualifiziert aber nicht von der Teilnahme an der Keysigning Party. Man sollte sich den vorgelesenen Wert notieren, und nach der Keysigning Party nochmals versuchen, den Hashwert neu berechnen. Sollte auch dies nicht helfen, sollte man sich dringenst an den Veranstalter der Keysigning Party wenden.

Nun bestätigt jeder Teilnehmer, der Reihe nach, die Korrektheit des Fingerprint seines Schlüssels, der in der offiziellen Teilnehmerliste abgedruckt ist. Da im Schritt vorher überprüft wurde, dass alle Teilnehmer mit der selben Liste arbeiten, ist ein "Ja, die Angaben zu meinem Schlüssel sind korrekt!" ausreichend.

Jeder Teilnehmer überprüft nun den amtlichen Lichtbildausweis jedes anderen Teilnehmers. Am sinnvollsten stellt man sich dazu in der Reihenfolge der offiziellen Liste nach auf.

 

Damit ist der offizielle Teil der Keysigning Party vorbei. Wenn die Teilnehmer wieder zu Hause sind, signieren sie den Schlüssel der anwesenden Teilnehmen, bei denen sowohl der Fingerprint als auch der Lichtbildausweis okay waren.

An dieser Stelle sei noch auf die Tips auf unserer GPG-Seite hingewiesen.

Was müssen die Teilnehmer zur Keysigning Party mitbringen?

• Einen Ausdruck der offiziellen Teilnehmerliste (vorher überprüfen, ob der eigene Fingerprint stimmt!).
• Den MD5 und oder SHA1 Hash der offiziellen Teilnehmerliste (um sicherzustellen, dass alle mit identischen Kopien arbeiten!).
• Einen gültigen amtlichen Lichtbildausweis (z.B. Personalausweis, Reisepass oder Führerschein).
  
• Einen Kugelschreiber.