![]() |
Über die LugBE | Mailing List | Treff & Events | Projekte | lost+found | Support |
CAcert Assuring und PGP KeysigningNachdem das LugBE Web of Trust vor bald zwei Jahren eingeführt wurde, wird es wieder Zeit, eine neue Schlüssel-Austauschrunde zu machen. Also werden wir am 23. März 2006 ab ca. 20.00 Uhr im Restaurant Beaulieu, Erlachstr. 3 in Bern, eine zweite GPG Keysigning Party durchführen. Diese ist, wie alle Veranstaltungen der LugBE und das ganze Web of Trust überhaupt, natürlich öffentlich!
Neben dem GPG Keysigning werden auch einige CAcert Assurer anwesend sein und
CAcert Benutzer assuren und Punkte vergeben. Für diejenigen, die CAcert
nicht kennen: CAcert ist eine Zertifizierungsstelle (Root CA), die für jedermann
kostenlose SSL-Zertifikate für verschiedene Einsatzgebiete ausstellt.
Im Unterschied zu anderen Anbietern von Zertifizierungsdiensten ist die Ausstellung von Zertifikaten bei CAcert wie gesagt kostenlos. Und: Die Leute von CAcert sind in Verhandlungen mit den großen Browser-Herstellern, dass ihr Root-Zertifikat in den Default-Installationen enthalten ist! Das heißt, dass dann alle Browser (und wohl bald auch andere Software) diesen Zertifikaten dasselbe Maß an Vertrauen entgegenbringen wie heute einem Zertifikat anderer, kommerzieller Anbieter (z.B Verisign etc.). Und je größer die Menge der Anwender, desto größer das Gewicht von CAcert in diesen Verhandlungen ... Ablauf
Vorbereitung der TeilnehmendenFolgende Vorbereitungen müssen durch die Teilnehmenden VOR der Veranstaltung erledigt werden: GPG/PGP
CAcert
CAcertFür alle, die CAcert nicht kennen, hier einige Links:
PGP KeysigningGPG (gnupg, Gnu Privacy Guard) ist die Open-Source-Implementation von PGP (Pretty Good Privacy), einem Public-Key-Verfahren, das hauptsächlich zur Verschlüsselung und zum fälschungssicheren Unterschreiben von Mails verwendet wird. (Man kann damit aber auch Dateien auf der Festplatte verschlüsselt ablegen oder sie so verschlüsseln, dass nur ein einziger Empfänger sie lesen kann.) Ziel der Party ist es, dass die Teilnehmer/innen gegenseitig ihre GPG-Keys austauschen. Diese (Public) Keys braucht man, wenn man jemandem eine verschlüsselte Information schicken will, oder eine angebliche Unterschrift überprüfen. Der Name "Keysigning Party" ist insofern etwas irreführend, als das eigentliche "Signing", also das Signieren der jeweils anderen Schlüssel, gar nicht dort an dem Event passiert, sondern später, zuhause. Dort lädt sich jede/r dann die Keys der jeweils anderen Teilnehmer von dem öffentlichen Keyserver (auf den sie natürlich vorher exportiert werden sollten ;-) und überprüft sie vor dem eigentlichen Signieren anhand der Angaben, die er/sie an der Keysigning Party mitgenommen hat. Danach wird der Key wieder zurück auf den Server geladen - je mehr das tun, desto "vertrauenswürdiger" ist ein solcher Schlüssel. Wer schon mit GPG (gnupg) o.ä. arbeitet, kennt das folgende Prozedere wohl zum Großteil schon. Für die, die das noch nicht tun und noch keinen eigenen Schlüssel haben, finden sich im "GnuPG Keysigning-Party HOWTO" weitere Informationen. Für die letzte Keysigning Party der LugBE gibt es schon eine Kurzanleitung (Tutorial am Schluss des Dokuments), welche nach wie vor gilt. Die Bemerkungen hier sind nur als kurze Auffrischung gedacht. Wer beim Keysigning mitmachen will, liest also bitte unbedingt das LugBE WoT-Tutorial!! Wer schon einen Schlüssel hat, muss ihn natürlich nicht neu erzeugen; exportiert
muss er aber sein. Und was auch unumgänglich ist: Jede/r Teilnehmer/in muss den Fingerprint
seines/ihres Keys VORHER an den Koordinator der Party schicken, in diesem Fall bin das ich:
trefzer
Bei Fragen wendet euch bitte an die Liste lugbe Die Artikel dieser Seite stehen unter Copyleft ihrer jeweiligen Autor*innen. Ihre Nutzung, Wiedergabe etc. untersteht den Bedingungen der GNU Free Documentation License (http://www.gnu.org/copyleft/fdl.html), wo nicht explizit anders vermerkt. |