Keysigning Party

Eine Keysigning-Party gehört zu einer solchen Veranstaltung traditionell dazu. Was ist das? Eine kurze Erläuterung:

Um Mails zu verschlüsseln oder zu signieren, verwendet man meist ein OpenPGP-kompatibles Programm wie beispielsweise GnuPG oder PGP. Um allerdings die Identität des Kommunikationspartners feststellen zu können, hat es sich eingebürgert, OpenPGP-Schlüsseln erst dann zu vertrauen, wenn man sich im wahren Leben einmal getroffen hat. Die Sammlung aller solcher bestätigten Schlüssel innerhalb eines Schlüsselbundes bilden dann die Basis für das Web of Trust.

Die Keysigning-Party dient also dazu, sich gegenseitig die Schlüssel zu signieren.

Der Ablauf dazu ist wie folgt:

Einsendeschluß für Fingerprints/Schlüssel ist der 1. Mai 2004.

Die Party...

Wir werden uns um 17:00 Uhr Workshopraum treffen. Du solltest einen Ausdruck Deiner KeyID und Deines Fingerprint sowie einen gültigen Ausweis/Pass/Führerschein mitbringen.

Bitte bring einen Ausdruck des Keyrings mit. Berechne zu Hause die MD5-Summe des Keyrings, vor Ort wird diese Summe verglichen.

Anschließend werden Namen und Ausweise verglichen (das Verfahren wird vor Ort bekannt gegeben).

Signieren...

Zu Hause kann man dann in aller Ruhe die Schlüssel signieren. Es sollten nur gültige UIDs signiert werden, wer es genau wissen will sollte einen Challenge durchführen.

Dazu zieht man sich die Schlüssel aus dem Netz:

gpg --keyserver wwwkeys.de.pgp.net --recv-keys Key-ID

Dann vergleicht man den Fingerprint. Jetzt kann man den Schlüssel entweder sofort signieren, oder wenn man absolut sicher gehen will kann man noch eine Challenge durchführen.