Home

Über die LugBE | Mailing List | Treff & Events | Projekte | lost+found | Support

CAcert Assuring und PGP Keysigning

Nachdem das LugBE Web of Trust vor bald zwei Jahren eingeführt wurde, wird es wieder Zeit, eine neue Schlüssel-Austauschrunde zu machen. Also werden wir am 23. März 2006 ab ca. 20.00 Uhr im Restaurant Beaulieu, Erlachstr. 3 in Bern, eine zweite GPG Keysigning Party durchführen. Diese ist, wie alle Veranstaltungen der LugBE und das ganze Web of Trust überhaupt, natürlich öffentlich!

Neben dem GPG Keysigning werden auch einige CAcert Assurer anwesend sein und CAcert Benutzer assuren und Punkte vergeben. Für diejenigen, die CAcert nicht kennen: CAcert ist eine Zertifizierungsstelle (Root CA), die für jedermann kostenlose SSL-Zertifikate für verschiedene Einsatzgebiete ausstellt.
Angeboten werden insbesondere:

  • Client-Zertifikate (S/MIME): Können zum Verschlüsseln und Signieren von E-Mails und anderen Daten benutzt werden. Im Browser installiert erlauben sie eine Benutzeridentizifierung gegenüber einem Webserver (z.B. zum passwortlosen Zugriff auf geschützte Webseiten).
  • Server-Zertifikate (SSL/TLS): für verschlüsselte Verbindungen z. B. zu E-Mail- und Webserver.
  • Code-Signing-Zertifikate: zum Signieren von Software/Code

Im Unterschied zu anderen Anbietern von Zertifizierungsdiensten ist die Ausstellung von Zertifikaten bei CAcert wie gesagt kostenlos. Und: Die Leute von CAcert sind in Verhandlungen mit den großen Browser-Herstellern, dass ihr Root-Zertifikat in den Default-Installationen enthalten ist! Das heißt, dass dann alle Browser (und wohl bald auch andere Software) diesen Zertifikaten dasselbe Maß an Vertrauen entgegenbringen wie heute einem Zertifikat anderer, kommerzieller Anbieter (z.B Verisign etc.). Und je größer die Menge der Anwender, desto größer das Gewicht von CAcert in diesen Verhandlungen ...

Ablauf

  • Begrüßung
  • Kurzvortrag: "Zertifikate: was soll das? oder: Wie funktionieren PKI (Public Key Infrastructures) im Internet heute? " (Markus Wernig)
  • Kurze Einführung in CAcert (Benedikt Trefzer)
  • Freies Keysignen ....

Vorbereitung der Teilnehmenden

Folgende Vorbereitungen müssen durch die Teilnehmenden VOR der Veranstaltung erledigt werden:

GPG/PGP

  • GPG/PGP Key erstellen und auf einen Keyserver laden. (Details hier)
  • Fingerprint des Schlüssels bis am 20. März 2006 an Benedikt Trefzer (trefzera2x.ch) schicken.
  • Am 22. März 2006 wird ein Mail an alle Teilnehmer verschickt mit allen Fingerprints. Diese Datei ausdrucken und zusammen mit einer Identitätskarte (Pass, Führerausweis...) an die Party mitbringen.

CAcert

  • Für CAcert muss folgendes vorgängig gemacht werden:
  • Anmeldung mit Emailadresse auf http://www.cacert.org
  • Ausdrucken des Dokuments "WoT Form" (Achtung: Bringt mindestens 5 Ausdrucke mit. Gut ist, wenn ihr das Dokument gleich 20 mal ausdruckt, ihr braucht es später auch wieder). Wer erst einmal sehen will, um was es geht, kann auch das unpersönliche Formular ausdrucken und mitbringen (auch mehrmals ausdrucken!). Die Anmeldung kann dann auch nach dem Event erfolgen.
  • Für die CAcert Assurance sind ZWEI offizielle Dokumente notwendig. (Offizielle Dokumente sind Bsp: ID, Pass, Führerausweis. Nicht gültig sind Halbtaxabonnemente, Schülerausweise etc. (auch wenn sie über ein Foto verfügen !!))

CAcert

Für alle, die CAcert nicht kennen, hier einige Links:
  • Eine kurze Übersicht zu CAcert findet ihr auf der Wikipedia (eigentlich ist dem gar nicht mehr viel bezufügen ...)
  • Die Webseite von CAcert bietet auch einige Hinweise. Insbesondere erfahrt ihr auf dieser Seite, welche Arten von Zertifikaten erworben werden können.
  • Wie das ganze mit den Punkten funktioniert, werde ich zu Beginn kurz erklären. Hier nur soviel: Um CAcert nutzen zu können, muss eure Identität durch ein CAcert Mitglied (einen Assurer) bestätigt werden (ähnlich wie beim GPG Web of Trust). Durch jede Bestätigung erhaltet ihr Punkte. Je mehr Punkte ihr habt, desto mehr vertraut CAcert euch. Entsprechend können einige Funktionen erst ab einer gewissen Punktzahl genutzt werden. Wir sind bestrebt, dass genügend Assurer anwesend sind, so dass jedermann auf genügend Punkte kommt, um die gesamten Funktionen nutzen zu können (Falls du Assurer bist und an dem Event teilnehmen willst, dann melde dich doch kurz bei mir (trefzera2x.ch), dann müssen wir jemanden weniger einfliegen!!)

PGP Keysigning

GPG (gnupg, Gnu Privacy Guard) ist die Open-Source-Implementation von PGP (Pretty Good Privacy), einem Public-Key-Verfahren, das hauptsächlich zur Verschlüsselung und zum fälschungssicheren Unterschreiben von Mails verwendet wird. (Man kann damit aber auch Dateien auf der Festplatte verschlüsselt ablegen oder sie so verschlüsseln, dass nur ein einziger Empfänger sie lesen kann.)

Ziel der Party ist es, dass die Teilnehmer/innen gegenseitig ihre GPG-Keys austauschen. Diese (Public) Keys braucht man, wenn man jemandem eine verschlüsselte Information schicken will, oder eine angebliche Unterschrift überprüfen.

Der Name "Keysigning Party" ist insofern etwas irreführend, als das eigentliche "Signing", also das Signieren der jeweils anderen Schlüssel, gar nicht dort an dem Event passiert, sondern später, zuhause. Dort lädt sich jede/r dann die Keys der jeweils anderen Teilnehmer von dem öffentlichen Keyserver (auf den sie natürlich vorher exportiert werden sollten ;-) und überprüft sie vor dem eigentlichen Signieren anhand der Angaben, die er/sie an der Keysigning Party mitgenommen hat. Danach wird der Key wieder zurück auf den Server geladen - je mehr das tun, desto "vertrauenswürdiger" ist ein solcher Schlüssel.

Wer schon mit GPG (gnupg) o.ä. arbeitet, kennt das folgende Prozedere wohl zum Großteil schon. Für die, die das noch nicht tun und noch keinen eigenen Schlüssel haben, finden sich im "GnuPG Keysigning-Party HOWTO" weitere Informationen. Für die letzte Keysigning Party der LugBE gibt es schon eine Kurzanleitung (Tutorial am Schluss des Dokuments), welche nach wie vor gilt. Die Bemerkungen hier sind nur als kurze Auffrischung gedacht. Wer beim Keysigning mitmachen will, liest also bitte unbedingt das LugBE WoT-Tutorial!!

Wer schon einen Schlüssel hat, muss ihn natürlich nicht neu erzeugen; exportiert muss er aber sein. Und was auch unumgänglich ist: Jede/r Teilnehmer/in muss den Fingerprint seines/ihres Keys VORHER an den Koordinator der Party schicken, in diesem Fall bin das ich: trefzera2x.ch (Benedikt Trefzer). Ich werde anschliessend die Schlüssel in eine Datei verpacken und allen Teilnehmenden zuschicken. Die ausgedruckte Datei nehmt ihr anschliessend an die Party mit, sie dient dem Überprüfen der anderen Teilnehmenden.

Bei Fragen wendet euch bitte an die Liste lugbelugbe.ch, so bekommen alle die Fragen und Antworten mit.


Webmaster at lugbe.ch

Die Artikel dieser Seite stehen unter Copyleft ihrer jeweiligen Autoren. Ihre Nutzung, Wiedergabe etc. untersteht den Bedingungen der GNU Free Documentation License (http://www.gnu.org/copyleft/fdl.html), wo nicht explizit anders vermerkt.