PGP/GnuPG Workshop & Keysigning Party

Posted on 07.01.2011 by Stefan

Auf dieser Seite findet ihr alle Informationen über den kommenden OpenPGP Workshop und die darauf folgende Keysigning Party. Ziel der Veranstaltungen ist es Interessierten die Verwendung von OpenPGP zur Mailverschlüsselung näher zu bringen, sie in das Web of Trust einzugliedern und im Allgemeinen Spaß mit Kryptographie zu haben. Studenten aller Sparten, wie auch Nicht-Studenten, sind herzlich willkommen!

OpenPGP-Einsteiger Workshop:

  • Wann: Samstag, 15.01.2011, Beginn 18 Uhr

  • Wo: Im Lernraum der FSINF

Beim Workshop werden den Teilnehmern die Grundlagen der Verschlüsselung mit PGP/GPG beigebracht: Was ist OpenPGP? Wie benutzt man es? Was für Software ist nötig?

Der Fokus des Workshop liegt auf den praktischen Aspekten der Verschlüsselung mit GPG, auf der tatsächlichen Anwendung der Software und den Best Practices. Die Theorie hinter asymmetrischer Verschlüsselung wird kurz und überblicksmäßig erwähnt, allerdings ohne ins Detail zu gehen oder mit Mathematik aufzufahren.Im Workshop geht es darum zu lernen mit der Software umzugehen, diese zu installieren und sich die nötigen Fertigkeiten anzueignen um GPG auch selbst im Alltag einsetzten zu können. (Beispielsweise wenn man eine Woche später an der Keysigning Party mitmacht.)

Teilnehmer brauchen keine speziellen Vorkenntnisse, wer Software auf dem eigenen Rechner installieren kann ist fit für den Workshop. Laptops sind explizit erwünscht, damit das gelernte gleich am eigenen Pc angewendet und getestet werden kann.

Anmeldung:

Wer am Workshop teilnehmen möchte schickt bitte eine Mail an oder meldet sich bei unserer Mailing Liste an. (Leute ohne Google Account können sich mittels Mail an ebenfalls für die Mailing Liste anmelden.)

GnuPG

Der GNU Privacy Guard, oft auch nur GnuPG oder GPG genannt, ist ein freies, asymmetrisches Verschlüsselungssystem das sich sowohl zur Verschlüsselung als zur Signierung von Daten eignet. Die größte Verbreitung hat GnuPG beim versenden von E-Mails und zur zusätzlichen Verschlüsselung von Jabberverbindungen, natürlich eignet es sich aber prinzipiell für jede Art von digitalen Daten.

Das besondere an GPG ist, dass die Vertrauenswürdigkeit von Schlüsseln über ein Web of Trust sichergestellt wird. Dabei können sich die GPG-BenutzerInnen gegenseitig ihre Schlüssel signieren um so ein Netz von vertrauenswürdigen Schlüsseln aufzubauen. Dieses Web of Trust funktioniert auch transitiv, das heißt, wenn Alice Bob vertraut und Bob Mallory vertraut, so kann Alice auch Mallory vertrauen.

Weitere Informationen zu GnuPG gibt es z.B. auf Wikipedia (in Englisch), oder etwa in dieser ausführlichen Anleitung. Auch der populäre E-Mail Client Thunderbird unterstützt GPG mittels der Enigmail-Erweiterung, dazu gibt es z.B. hier oder hier eine ausführliche Erklärung.

Keysigning-Party:

  • Wann: Samstag, 22.01.2011, Beginn 18 Uhr

  • Wo: Im Lernraum der FSINF

Ziel der Keysigning Party ist es möglichst viele Leute zusammen zu bekommen, die sich gegenseitig ihre Schlüssel verifizieren und signieren um so das Web of Trust zu vergrößern und verstärken. Und Spaß sollte man dabei auch noch haben. ^_^

Wie funktioniert das ganze?

Die Keysigning Party wird nach “Len Sassaman’s Efficient Group Key Signing Method” abgehalten.

  • Wenn du mitmachen willst schick deinen GPG Key mittels signierter Mail an . Das solltest du bis Freitag, 21.01.2011, 12 Uhr, gemacht haben.

  • Die Schlüssel der Teilnehmer findet ihr unter http://story-games.at/keysigning/klst-220111.txt , in ASCII-Panzerung. Um sie zu importieren reicht ein einfaches gpg –import klst-220111.txt.

  • Wenn dein Key nicht bis dahin angekommen ist und du trotzdem mitmachen möchtest:

    • Bring einen Ausdruck der Schlüsselliste mit

    • Erstelle die Prüfsummen auf dem Zettel korrekt

    • Zusätzlich: Bring einen Ausdruck mit den nötigen Informationen deines Keys mit (ca. 50)

  • Die Schlüsselliste der Teilnehmer (+Key-ID, Fingerprint, etc.) ist zu finden unter: http://story-games.at/keysigning/ksp-220111.txt

  • Trag in diesem File die Prüfsummen ein um sie bei der Keysigning Party zur Hand zu haben.

    • md5sum ksp-220111.txt
    • sha256sum ksp-220111.txt
    • gpg –print-md md5 ksp-220111.txt
    • gpg –print-md sha256 ksp-220111.txt
  • Diese Prüfsumme wird bei der Keysigning Party vorgelesen und sie muss auf jedem Ausdruck die selbe sein! Wenn das nicht der Fall ist ist das Mitgebrachte Dokument ungültig und kann nicht verwendet werden!

  • Danach werden wir jeden Namen auf dem Dokument vorlesen und der/die Anwesende sollte bestätigen das Fingerprint und KeyID auf dem Ausdruck korrekt sind. (Ein simple “Ja, korrekt” reicht vollkommen aus). Überprüft also eure eigenen Daten nach Möglichkeit vor der Party.

  • Als nächstes werden anhand eines Lichtbildausweises die Identitäten der Teilnehmer bzw. Teilnehmerinnen überprüft.

  • Danach sind wir fertig und später können alle Leute zuhause die Keys signieren.

Challenge/Response Bots

Es kommt immer wieder vor das Leute GPG/PGP Bots verwenden die ein Challenge/Response verfahren anstoßen. Bei den meisten sind diese Bots sehr unbeliebt. Um das signieren der Keys zu erleichtern empfiehlt sich daher das Tool caff. Das übernimmt die Aufgabe des versendens einer Mail die mit dem Key des Empfängers verschlüsselt und den signierten Key beinhaltet so dass man keine weiteren Schritte machen tätigen muss um die signierten Keys zu verteilen.

Hochladen anderer Keys auf einen Keyserver

Ein Großteil der Leute möchte nicht das signierte Keys ungefragt auf die Keyserver hochgeladen werden. Dies widerspricht auch der Möglichkeit zu überprüfen ob die Person deren Identität man bestätigt tatsächlich hinter der Email Addresse steht die angegeben wurde. Bitte verschickt die
signierten Keys also nicht direkt an den Keyserver sondern, auch wenn ihr nicht caff verwendet, schickt eine Mail mit dem signierten Key an den/die Besitzer oder Besitzern des Keys.

Wenn Ihr fragen zu dem ganzen habt könnt Ihr jederzeit unter nachfragen um Unklarheiten aus dem Weg zu räumen.

Was soll ich mitbringen?

  • Zumindest einen aktuellen Lichtbildausweis. Bei zwei Ausweisen wird sich aber niemand beschweren :-)

  • Sollte das Photo zu alt sein und du nicht mehr erkennbar, kann es dir passieren, dass Leute den Ausweis nicht mehr anerkennen

  • Für das signieren von GPG-Schlüssel solltest du Schlüssel-ID, Schlüssellänge, Fingerprint, Namen und E-Mail von deinem Schlüssel parat haben. Wenn dein Schlüssel mehrere IDs beinhaltet, halte bitte alle IDs parat.

Was soll ich nicht mitbringen?

Primär sind Computer während dem Treffen unerwünscht. Das signieren der Schlüssel bzw. das Eintragen in das CAcert-System soll zu Hause in einer ruhigen Umgebung (wo du auch konzentrierter Arbeiten kannst) passieren.