Keysigning

Sicherheit und Privatsphäre sind wichtige Themen des Chaostreff Bern. Durch das gegenseitige Signieren von PGP/GPG Schlüsseln wollen wir die sichere Kommunikation untereinander vereinfachen.

Ankündigung: Keysigning 2016

2016 gibt es wieder ein Keysigning. Details gibt es hier.

Worum gehts?

OpenPGP ist ein Standard der sichere elektronische Kommunikation ermöglicht. Durch die Verwendung von public-key Kryptographie können E-mails (und andere Formen der Kommunikation) verschlüsselt und signiert werden. Dies schütz die Nachrichten vor neugierigen Augen und Fälschungen. GnuPG ist eine freie Implementation des OpenPGP Standards die auf einer breiten Zahl von Betriebssystemen funktioniert und sich in viele der gängigen E-mail Clients integrieren lässt.

Damit das System aber funktioniert und man sich auf die Authentizität von PGP signierten E-mails verlassen kann (und ausgehende Nachrichten auf wirklich mit dem korrekten Key verschlüsselt), muss man den Schlüsseln der Kommunikationspartner vertrauen können. Das Web of Trust beschreibt ein System, in dem sich die Nutzer ihre Schlüssel gegenseitig signieren und so ein Netzwerk des Vertrauens aufbauen.

Schrittweises Keysigning

Um den Einstieg in GnuPG und das Key Signing für Neulinge zu vereinfachen, habe ich mir ein schrittweises Verfahren ausgedacht. Wer Fragen hat oder Hilfe braucht, darf sich am Treffen gerne an uns wenden.

  1. Informieren über PGP/GPG, erstellen eines Key Pairs und einrichten im E-Mail Programm der Wahl. Anleitungen zu GnuPG finden sich im Netz, etwa hier oder hier.
  2. Damit die anderen Menschen deinen Key einfach bekommen können, solltest du diesen mit gpg2 --keyserver pool.sks-keyservers.net --send-keys <email address> zu den öffentlichen Keyserver senden. Achtung: Du wirst diesen nie wieder von dort löschen können.
  3. Keys und E-Mail Programm parat? Dann ist es Zeit, sich mit dem Web of Trust und dem Signieren von Schlüsseln auseinander zu setzen. Als Vorbereitung für das Keysigning ist es ausserdem ratsam, ein Tool wie Pius, caff oder Monkeysign zu installieren. Ein derartiges Programm ist für das Keysigning zwar keine zwingende Voraussetzung, kann die Arbeit aber erheblich vereinfachen.
  4. Zum Verteilen von GPG Keys eignen sich Schnipsel, welche den Menschen gegeben werden können. Diese können mit gpg-key2ps <email address> > out.ps erstellt werden und danach mit evince, okular oder anderen Programmen geöffnet und ausgedruckt werden.
  5. Die Schnipsel mit an ein Chaostreff bringen und den Leuten abgeben. Achte darauf, einen gültigen Ausweis dabei zu haben, da es Menschen gibt, welche diesen sehen wollen.