Keysigningparty zum Magdeburger Open-Source-Tag

Wenn du an der Keysigningparty beim Magdeburger Open-Source-Tag teilnehmen möchtest, lies dir bitte die folgenden Anweisungen genau durch:

Ort und Zeitpunkt der Keysigningparty

Die Keysigningparty wird am

2008-10-11 um 17:30:00 Uhr

im Raum 110 in Gebäude 22 der Otto-von-Guericke-Universität in Magdeburg stattfinden. Nach einer kurzen einführenden Erklärung startet die Veranstaltung und wird je nach Anzahl der Teilnehmer bis 18:30 Uhr dauern.

Keysigningparty? Was ist das überhaupt?

Wenn man sich nach den Fachbegriffen der Informatik richtet, bedeutet es lediglich ein "Kultiges Zusammensitzen und gemeinsames Murmeln magischer Zahlen". Natürlich hat eine Keysigningparty einen ernsthaften Hintergrund.

Die Teilnahme an einem Keysigning soll das Web of Trust stärken. Denn wenn ihr euren PGP-Schlüssel erzeugt habt, steht dieser zunächst allein auf weiter Flur und die Existenz dessen bedeutet noch lange nicht, dass er auch wirklich von dir stammt.

Hierzu dient das Keysigning. Viele verschiedene Leute treffen sich und vergleichen die Daten auf deinem Schlüssel mit einem Ausweisdokument. Falls die Daten übereinstimmen, beglaubigen sie dies mit einer Unterschrift unter deinen PGP-Schlüssel.

Somit kannst du den Vertrauensgrad in deine Schlüssel erhöhen und lernst nebenbei eine Menge netter Leute kennen.

Schritte zur Teilnahme

Wenn du teilnehmen möchtest, solltest du folgende Schritte unternehmen:

  1. Falls nicht bereits vorhanden, erzeuge ein Schlüsselpaar (Wie das geht steht im GPG-Mini-Howto.)
  2. Lade deinen Schlüssel auf einen der Keyserver:
    • subkeys.pgp.net
    • x-hkp://pool.sks-keyservers.net
  3. Sende den Fingerprint des Schlüssels bis spätestens 2008-10-08 an jens@kubieziel.de.
  4. Lade die Liste der Schlüssel nach dem Ende der Abgabefrist herunter und drucke diese aus.
  5. Prüfe, ob deine Daten auf dem Ausdruck korrekt sind und schicke eine E-Mail an jens@kubieziel.de, falls du Fehler findest.
  6. Errechne den MD5- oder SHA1-Hash der Datei und trage diesen im entsprechenden Feld des Ausdruckes ein.
  7. Stecke die Liste ein und bring zum Linuxinfotag mit (Vergiss auch nicht, deinen Ausweis einzustecken!).

Das Web of Trust sieht bisher so aus:
Ansicht des WoT

Nach dem Keysigning entstand die folgende Struktur:
Ansicht des WoT

Falls du wissen möchtest, welche Schlüssel schon mit deinem unterschrieben wurden, kannst das Perlskript von Uli Martens zusammen mit der Liste der Teilnehmer und dem öffentlichen Schlüsselring nutzen. Die Benutzung ist relativ einfach:

gpgsigs keyid [<keyring> [<keytxt> [<outfile>]]]

Das Skript gibt eine Liste aus, bei der jeder Schlüssel, der mit deinem Schlüssel unterzeichnet wurde, am Anfang ein "S" hat.

Ablauf der Keysigningparty

Wir treffen uns zu der oben genannten Uhrzeit und werden dann alle den errechneten MD5- bzw. SHA1-Hash der Liste aller Fingerprints vergleichen. So stellen wir sicher, dass jeder die gleiche Version hat. Danach werden wir uns wahrscheinlich in einer langen Reihe (abhängig von der Teilnehmerzahl) aufstellen und nacheinander den Fingerprint sowie den Ausweis des Gegenübers prüfen. Wer der Meinung ist, dass dies alles stimmt, macht auf der Liste an der entsprechenden Stelle einen Haken.

Wenn du dann wieder zu Hause angekommen bist und dich von den Strapazen erholt hast, setzt du dich vor den Rechner und unterschreibst alle Keys, die du für richtig hälst.