FLUG Logo

Freiburger Linux User Group


Keysigning Party

Was ist eine Keysigning Party?

Eine Einführung, was eine Keysigning Party ist, gibt es in der GnuPG Keysigning-Party HOWTO im ersten Kapitel: Überblick über die Party. Kurz zusammengefasst: Es treffen sich Leute, die GnuPG (oder PGP) als Verschlüsselungssystem verwenden und die sich gegenseitig ihre Schlüssel "unterschreiben" (die Echtheit bestätigen) wollen. Durch eine vorherige Überprüfung mittels eines Ausweises wird sicher gestellt, daß der Schlüssel auch der Person gehört, die im Schlüssel selbst angegeben ist.

Was sind die Vorteile?

Wenn man zum Beispiel eine signierte oder verschlüsselte Mail erhält, so kann man sich sicher sein, daß die Mail auch wirklich von der Person stammt, wenn man den Schlüssel dieser Person vorher selbst unterschrieben hat. (A erhält eine signierte Mail von B und A hat den Schlüssel von B unterschrieben: A kann sicher sein, daß die Mail von B auch wirklich von B stammt.) Das Web-of-Trust (ein "Vertrauensnetz") macht die Sache noch effektiver: A erhält eine Mail von B, hat den Schlüssel von B aber nicht selbst unterschrieben. Der Schlüssel von B ist aber von C unterschrieben. Wenn A jetzt C vertraut und selbst den Schlüssel von C unterschrieben hat, so kann sich A sicher sein, daß die Mail auch wirklich von B ist, weil C die Echtheit des Schlüssels von B bestätigt:

Beispiel

A hat den Schlüssel von C unterschrieben ("sig")
C hat den Schlüssel von B unterschrieben ("sig")
B schickt eine Mail an A


Was wird benötigt?

Wie ist der Ablauf?

Vor der Party

Auf der Party

Nach der Party

Alle geprüften Schlüssel - und nur die geprüften - signieren. Allerdings sollte man auch die E-Mail-Adresse(n) überprüfen, die im Schlüssel angegeben ist (sind) und die man unterschreiben will. Dadurch kann sichergestellt werden, daß auch die angegebene(n) E-Mail-Adresse(n) zu der Person gehört, die man persönlich getroffen hat:

Man schickt an jede im Schlüssel angegebene E-Mail-Adresse eine zufällige Zeichenkette (und notiert sich selbst diese). Die Mail muß natürlich verschlüsselt werden. Zum verschlüsseln nimmt man einfach den Schlüssel, von dem man die Adresse übernommen hat. Wenn der Empfänger die Mail entschlüsseln kann, also der Besitzer des Schlüssels und der E-Mail-Adresse ist, muß die zufällige Zeichenkette wieder an den Absender zurück geschickt werden. Nachdem man diese Antwort mit der richtigen Zeichenkette erhalten hat, kann man die UID, die zu der Mailadresse passt, unterschreiben und je nach Wunsch an einen Keyserver oder per Mail versenden.

Falls der Empfänger die Mail nicht entschlüsseln kann - also nicht Besitzer des Schlüssels ist, kann er/sie die Mail nicht beantworten. Man wird also nie die zufällige Zeichenkette zu dieser UID zurück bekommen - und diese also auch nicht unterschreiben.

Wenn man den eigenen Schlüssel nicht auf einen Keyserver uploaden will, dann sollte man den Schlüssel mit den eingetroffenen Unterschriften wieder an den Koordinator senden, damit der aktualisierte Schlüssel an einer zentralen Stelle zur Verfügung gestellt werden kann.

Empfehlenswerte Links zum Thema

GnuPG Others