GnuPG & CAcert

Posted on 23.09.2008 by mati

Diese Seite dient als Informationsseite für anstehende Keysigning-Parties für CAcert und GPG. Du findest hier ein paar ein- und weiterführende Informationen zu GPG und CAcert sowie über den typischen Ablauf unserer Keysigning-Parties.

Nächste Keysigning-Party:

  • Wann: Heute, 8.10.2008, 18:00
  • Wo: Aufgrund der Bauarbeiten in der FSINF diesmal im Informatik-Hörsaal, 2 Stockwerke unter der FSINF.

GnuPG

Der G NU P rivacy G uard, oft auch nur GnuPG oder GPG genannt, ist ein freies, asymmetrisches Verschlüsselungssystem das sich sowohl zur Verschlüsselung als zur Signierung von Daten eignet. Die größte Verbreitung hat GnuPG beim versenden von E-Mails und zur zusätzlichen Verschlüsselung von Jabberverbindungen, natürlich eignet es sich aber prinzipiell für jede Art von digitalen Daten.

Das besondere an GPG ist, dass die Vertrauenswürdigkeit von Schlüsseln über ein Web of Trust sichergestellt wird. Dabei können sich die GPG-BenutzerInnen gegenseitig ihre Schlüssel signieren um so ein Netz von vertrauenswürdigen Schlüsseln aufzubauen. Dieses Web of Trust funktioniert auch transitiv, das heißt, wenn Alice Bob vertraut und Bob Mallory vertraut, so kann Alice auch Mallory vertrauen.

Weitere Informationen zu GnuPG gibt es z.B. auf Wikipedia (in Englisch), oder etwa in dieser ausführlichen Anleitung. Auch der populäre E-Mail Client Thunderbird unterstützt GPG mittels der Enigmail-Erweiterung, dazu gibt es z.B. hier oder hier eine ausführliche Erklärung.

CAcert

CAcert.org ist eine Zertifizierungsstelle die SSL-Zertifikate ausstellt. Anders als bei fast alle anderen Anbietern sind die Zertifikate aber gratis. Bei CAcert kannst du Client-Zertifikate, Server-Zertifikate und Code-Signing-Zertifikate bekommen. Um Zertifikate bekommen zu können, musst du eine gewisse Punktezahl sammeln (je nach Art des Zertifikat brauchst du eine gewisse Punkteanzahl: Aufstellung). Um Punkte zu bekommen, musst du dich von erfahrenen BenutzerInnen bestätigen (“assuren”) lassen, die Assurer überprüfen dabei deine Identität. Sobald du 100 Punkte gesammelt und einen kleinen Test absolviert hast, kannst du selber andere Menschen überprüfen und Punkte an sie vergeben.

Nachteil: CAcert ist nur in wenigen Clients (Browsern, etc.) als vertrauenswürdige Zertifizierungsstelle eingetragen. Damit dein Client den von CAcert ausgestellten Zertifikaten vertraut, musst du erst die CAcert Root-Zertifikate importieren (Root-Zertifikate, Anleitung).

Die Fachschaft Informatik verwendet übrigens auf fast allen Servern (so auch auf fsinf.at) von CAcert ausgestellte Zertifikate.

Unsere Keysigning-Parties

Wir veranstalten in unregelmäßigen Abständen (etwa 2x im Semester) Treffen (oft “Keysigning-Parties” genannt) bei denen GPG-Schlüssel signiert und CAcert-Mitglieder bestätigt werden können. Diese Treffen werden möglichst groß angekündigt um möglichst viele Menschen zusammen zu bekommen, die sich gegenseitig signieren/bestätigen. Von der Fachschaft sind in der Regel zumindest 2 bis 3 CAcert-Assurer anwesend, die auch 35 Punkte ausstellen können.

Wie funktioniert das ganze?

Die Keysigning Party wird nach “Len Sassaman’s Efficient Group Key Signing Method” abgehalten.

  • Wenn du mitmachen willst schick deinen GPG Key an keyserver.marcher.name: gpg --keyserver hkp://keyserver.marcher.name --send _YOURKEYID_. Das solltest du bis Montag, 2008-10-06 12:00h, gemacht haben.
  • Wenn dein Key nicht bis dahin auf den Keyserver geladen hast und trotzdem mitmachen möchtest:
    • Bring einen Ausdruck der Schlüsselliste mit
    • Erstelle die Prüfsummen auf dem Zettel korrekt
    • Zusätzlich: Bring einen Ausdruck mit den nötigen Informationen deines Keys mit (ca. 50)
  • Die Schlüsselliste der Teilnehmer ist zu finden unter: http://xover.htu.tuwien.ac.at/~ekimus/ksp-fsinf102008.txt.
  • Trag in diesem File die Prüfsummen ein um sie bei der Keysigning Party zur Hand zu haben.
    • md5sum ksp-fsinf102008.txt
    • sha256sum ksp-fsinf102008.txt
    • gpg –print-md md5 ksp-fsinf102008.txt
    • gpg –print-md sha256 ksp-fsinf102008.txt
  • Diese Prüfsumme wird bei der Keysigning Party vorgelesen und sie muss auf jedem Ausdruck
    die selbe sein! Wenn das nicht der Fall ist ist das Mitgebrachte Dokument ungültig und kann nicht verwendet werden!
  • Danach werden wir jeden Namen auf dem Dokument vorlesen und der/die Anwesende sollte bestätigen das Fingerprint und KeyID auf dem Ausdruck korrekt sind. ( Ein simple “Ja, korrekt” reicht vollkommen aus ). Überprüft also eure eigenen Daten nach Möglichkeit vor der Party.
  • Als nächstes werden anhand eines Lichtbildausweises die Identitäten der Teilnehmer bzw. Teilnehmerinnen überprüft.
  • Danach sind wir fertig und später können alle Leute zuhause die Keys signieren.

Challenge/Response Bots

Es kommt immer wieder vor das Leute GPG/PGP Bots verwenden die ein Challenge/Response verfahren anstossen. Bei den meisten sind diese Bots sehr unbeliebt. Um das signieren der Keys zu erleichtern empfiehlt sich daher das Tool caff. Das übernimmt die Aufgabe des versendens einer Mail die mit dem Key des Empfängers verschlüsselt und den signierten Key beinhaltet so dass man keine weiteren Schritte machen tätigen muss um die signierten Keys zu verteilen.

Hochladen anderer Keys auf einen Keyserver

Ein Großteil der Leute möchte nicht das signierte Keys ungefragt auf die Keyserver hochgeladen werden. Dies widerspricht auch der Möglichkeit zu überprüfen ob die Person deren Identität man bestätigt tatsächlich hinter der Email Addresse steht die angegeben wurde. Bitte verschickt die
signierten Keys also nicht direkt an den Keyserver sondern, auch wenn ihr nicht caff verwendet, schickt eine Mail mit dem signierten Key an den/die Besitzer oder Besitzern des Keys.

Wenn Ihr fragen zu dem ganzen habt könnt Ihr jederzeit unter keysigning (at) fsinf (dot) at nachfragen um Unklarheiten aus dem Weg zu räumen.

Was soll ich mitbringen?

  • Zumindest einen aktuellen Lichtbildausweis. Bei zwei Ausweisen wird sich aber niemand beschweren :-)
    • Sollte das Photo zu alt sein und du nicht mehr erkennbar, kann es dir passieren, dass Leute den Ausweis nicht mehr anerkennen
    • Für CAcert muss der Ausweis von einer Behörde ausgestellt sein, das sind z.B. Führerschein, Pass und Personalausweis
    • Bei CAcert muss der Name, inklusive Mittelname, im Ausweis, am Formular und im Webinterface exakt übereinstimmen.
  • Für das signieren von GPG-Schlüssel solltest du Schlüssel-ID, Schlüssellänge, Fingerprint, Namen und E-Mail von deinem Schlüssel parat haben. Wenn dein Schlüssel mehrere IDs beinhaltet, halte bitte alle IDs parat.
  • Für CAcert reicht es, die primäre E-Mail Adresse und den exakten Namen, den du im System hast, zu wissen. Außerdem kannst du hier

vorausgefüllte Formulare drucken.

Was soll ich nicht mitbringen?

Primär sind Computer während dem Treffen unerwünscht. Das signieren der Schlüssel bzw. das Eintragen in das CAcert-System soll zu Hause in einer ruhigen Umgebung (wo du auch konzentrierter Arbeiten kannst) passieren.