~ Oecher Keysigning Party I ~

Eine Keysigning Party ist ein Zusammentreffen von PGP-Benutzern mit dem Zweck, sich gegenseitig die PGP-Schlüssel zu unterzeichnen. Dies hilft dem Aufbau und der Erweiterung des Web of Trust (1, 2). Anfang Oktober 2002 wurde in der Newsgroup oecher.computer von mir (Marcus Frings) vorgeschlagen, in Aachen eine Keysigning Party zu veranstalten. Da der Vorschlag mit Interesse aufgenommen wurde, findet jetzt nach einiger Vorbereitungszeit die erste Oecher Keysigning Party in Zusammenarbeit mit dem Computer-Club an der RWTH Aachen statt.

Am Dienstag, den 04.02.2003, 19:15 - 22:00 Uhr im Raum 201 im Gebäude des Philosophischen Instituts der RWTH Aachen, Eilfschornsteinstraße 16.
Die Liste der Teilnehmer ist hier abrufbar. Dort befinden sich auch die beiden Schlüsselringe vor und nach der Keysigning Party.

Die erste Oecher Keysigning Party war ein toller Erfolg! Von ursprünglich 36 angemeldeten Personen haben insgesamt 30 teilgenommen. Das ist ein hervorragendes Ergebnis, da ich bei der Planung eigentlich mit einer geringeren Teilnehmerzahl von etwa 15 bis 20 Leuten gerechnet hatte. Die Anzahl der PGP-interessierten Menschen in Aachen ist glücklicherweise doch größer als von mir angenommen. :-) Dies hatte jedoch zur Folge, daß aufgrund der großen Teilnehmerzahl der angemietete Raum zu klein war und etliche Leute während der Veranstaltung leider stehen oder "in zweiter Reihe" sitzen mußten.
Nach einer Wartezeit von 15 Minuten auf eventuelle Nachzügler haben wir um 19:30 Uhr mit dem Vortragen der Schlüsseldaten angefangen. Alle Teilnehmer waren sehr aufmerksam bei der Sache dabei und haben sofort laut nachgefragt, wenn ein Buchstabe oder eine Zahl undeutlich ausgesprochen wurde. Gegen 21:00 Uhr waren wir dann auch mit dem Verifzieren der Personalausweise fertig und die Keysigning Party war somit am Ende angelangt.
Aufgrund der Teilnehmerschar und der ungünstigen Tischverteilung war es nicht möglich, zur Überprüfung der Ausweise eine Reihe zu bilden. Stattdessen haben wir aus der Not eine Tugend gemacht: Alle konnten auf ihren Plätzen sitzenbleiben und derjenige, der gerade seinen Ausweis vorzeigen mußte, stand auf und gab seinen Ausweis an den Tischnachbarn weiter. So wanderte der Ausweis von Person zu Person, kam am Ende wieder beim Eigentümer an und jeder konnte die Identität prüfen.

Christian Plätzinger hat auf der Party einige Fotos geschossen (Vielen Dank!), so daß man sich den Ablauf ansehen kann. Durch einen Klick auf das Thumbnail gelangt man zu einer vergrößerten Ansicht.

Einige Leute wollten sich noch am Tag der Party anmelden, wobei diese leider nicht mehr berücksichtigt werden konnten, da die Teilnehmerliste schon erstellt und vervielfältigt worden war. Da bereits diese erste Keysigning Party in Aachen aber ein großer Erfolg war und alle Teilnehmer mit Organisation und Ablauf zufrieden waren, werde ich sicherlich in einigen Monaten die "Oecher Keysigning Party II" planen, so daß auch andere die Möglichkeit erhalten, ihre Keys gegenseitig zu signieren. Dort werden dann sicherlich die Anregungen (z. B. größerer Raum, Einbinden der Lokalpresse...) einfließen, die ich bisher erhalten habe.

Gunter Ohrner hat die beiden Keyringe vor und nach der Party mit Hilfe von sig2dot.pl visualisiert (durch Klick auf die jeweilige Grafik gelangt man zur Vollbildansicht):

Vor der Party: Nach der Party:

Anmeldung:

Jeder Teilnehmer sendet seinen öffentlichen Schlüssel mit Angabe des Namens, der E-Mail-Adresse (primäre Benutzer-ID sowie ggf. weitere Identitäten), der Key-ID, der Schlüssellänge, des Schlüsseltyps und des Fingerprints bis Samstag, den 01.02.2003, an den Koordinator, Marcus Frings. Dabei werden nur Schlüssel von natürlichen Personen akzeptiert. Public Keys von Organisationen oder sonstigen juristischen Personen werden nicht angenommen. Ebenso werden keine Schlüssel mit Pseudonymen als Namen akzeptiert. Schlüssel, die nach dieser Frist (oder gar erst auf der Keysigning Party selbst) eingereicht werden, können leider nicht mehr bearbeitet bzw. angenommen werden.
Achtung:
<Paranoia-Modus an> Enthält der Public Key neben der primären Benutzer-ID weitere Identitäten, deren E-Mail-Adressen nicht auf den Eigentümer zurückschließen lassen, werden an diese Adressen Mails mit einem zufallsgenerierten String geschickt, die der Teilnehmer mit seiner Hauptidentität beantworten muß. Damit ist sichergestellt, daß diese Adresse wirklich zu der Person gehört, da er Zugriff auf das Mailkonto besitzt. <Paranoia-Modus aus>

Sammeln und Auflisten der Schlüssel:

Von den Keys, die der Koordinator bis zum Ende der Anmeldefrist (01.02.2003) der Keysigning Party erhalten hat, erstellt er eine Liste. Diese Liste beinhaltet die oben aufgeführten Daten. Auf der Party wird jeder Teilnehmer eine Kopie dieser Liste mit den Schlüsseldaten der anderen Personen erhalten.

Liste mit den eigenen Keydaten mitbringen:

Jeder Teilnehmer schreibt für sich seine Schlüsseldaten (siehe oben), die bereits an den Koordinator geschickt worden sind, auf einem eigenen Zettel auf, überprüft diese Informationen sorgfältig auf Richtigkeit und nimmt diesen Zettel dann zur Keysigning Party mit. Der Grund dafür folgt im nächsten Abschnitt.

Verifizieren der Schlüsseldaten:

Nachdem sich alle Teilnehmer auf der Party eingefunden haben, kann es losgehen. Der Koordinator ruft die Teilnehmer der Reihe nach auf, an den Tisch zu kommen. Jeder verliest dort laut die Daten seines Schlüssels, und zwar von seinem mitgebrachten Zettel. Alle anderen vergleichen die vorgelesenen Informationen mit denen, die sich auf der ausgehändigten Liste befinden. Erweisen sich diese als korrekt, wird der Schlüssel auf der Kopie der Liste im betreffenden Feld als gültig markiert. Stimmen die vorgelesenen Schlüsseldaten nicht mit denen der Liste überein, gilt der Key als falsch.

Verifizieren der Identität der Teilnehmer:

Nachdem sich die Teilnehmer von der Korrektheit der Schlüssel überzeugt haben, muß noch überprüft werden, ob die Schlüssel auch tatsächlich den Personen zugeordnet werden können. Dazu stellen sich alle in einer Reihe hintereinander auf. Der erste dreht sich um und geht Person für Person die Reihe ab und zeigt dabei den anderen seinen Lichtbildausweis, so daß diese die Identität des Teilnehmers verifizieren können. Gehört der Ausweis zum entsprechenden Teilnehmer, wird auch dieser Punkt auf der Liste gekennzeichnet. Danach stellt sich der erste hinten an die Reihe an, so daß jetzt die ursprünglich zweite Person der erste in der Reihe ist. Diese Person folgt dann analog dem Vorgänger, geht die Reihe entlang, zeigt seinen Ausweis vor und reiht sich wieder hinten ein. Auf diese Weise rotiert dann einmal komplett die ganze Reihe der Teilnehmer.
Damit ist der offizielle Teil der Keysigning Party eigentlich zu Ende. Selbstverständlich kann der Rest der Zeit noch für anregende Diskussionen rund um Kryptograhie, Sicherheit oder sonstige Themen genutzt werden. :-)

Importieren der Schlüssel:

Ist jeder wieder zu Hause angekommen, importiert er die Schlüssel der anderen Teilnehmer in seinen Schlüsselbund. Diese können entweder direkt über PGP/GPG, über das Webinterface von einem der zahlreichen Keyserver per Copy&Paste oder hier von dieser Seite importiert werden.
Eine alternative und wahrscheinlich bessere Möglichkeit zum unkomplizierten Handling ist folgende: Der alte, bestehende Public Keyring (für GnuPG-Benutzer heißt er in der Regel pubring.gpg) wird (temporär für die Zeit des Signierens) umbenannt oder in einen anderen Ordner verschoben. Nun wird von dieser Seite der unsignierte Keyring oecher-keyring-vorher.gpg mit allen Teilnehmern heruntergeladen und in pubring.gpg umbenannt. Dieser wird dann zum Signieren verwendet und anschließend als Datei dem Koordinator Marcus Frings zugemailt. Siehe auch nächsten Abschnitt zum Vorgang des Signierens! Danach kann wieder der eigene, originale und vorher umbenannte Keyring zurückimportiert werden.

Signieren der Schlüssel:

Sind die Schlüssel dann importiert worden, signiert jeder Teilnehmer diejenigen Schlüssel, für die sowohl die Daten des Schlüssels als auch die Identität des Teilnehmers als korrekt auf der Liste markiert wurden. Fehlt auf der Liste mindestens eine der beiden Markierungen zur Bestimmung der Echtheit des Schlüssels und der Person, darf der Schlüssel nicht signiert werden!

Exportieren der Schlüssel:

Hat man die Schlüssel signiert, werden sie bzw. der Keyring (siehe auch Abschnitt Importieren der Schlüssel) wieder in eine Datei exportiert und innerhalb von sieben Tagen (also bis zum 11.02.2003) an den Koordinator Marcus Frings zurückgemailt. Nach Ablauf dieser einwöchigen Frist erstellt er daraus einen Keyring oecher-keyring-nachher.gpg und lädt ihn auf diese Seite hoch oder schickt ihn per Mail wieder den einzelnen Teilnehmern zu. Es sollte unbedingt davon abgesehen werden, die signierten Keys fremder Personen selbst auf die Keyserver hochzuladen, weil dies als unhöflich gilt. Nur der Eigentümer des jeweiligen Schlüssels sollte entscheiden, wie und wo sein Schlüssel Verbreitung findet.

Nachdem Du Deinen öffentlichen Schlüssel mitsamt den dazugehörigen Daten im Vorfeld an Marcus Frings geschickt hast, ist es erforderlich, daß folgendes von Dir zur Keysigning Party mitgebracht wird:

• Ein amtliches Dokument mit Lichtbild, das Dich eindeutig ausweist (nur Personalausweis oder Führerschein).
• Die Key-ID (die Kurzform 0x12345678 ist ausreichend) Deines öffentlichen Schlüssels.
• Der Typ und die Länge Deines Schlüssels.
• Der Fingerprint Deines Schlüssels.
• Alle Benutzer-IDs (in Form von "Vorname Nachname <meine@email.adresse>"), die in Deinem Key enthalten sind und die Du von den anderen Teilnehmern signiert haben möchtest.
• Ein Kugelschreiber.

Um Mißbrauch und Kompromittierung der Schlüssel zu vermeiden, dürfen keine

• Computer oder
• Datenträger wie Disketten oder CD-ROMs,

die den öffentlichen oder privaten Schlüssel enthalten, mitgebracht werden.

Homepage von GnuPG
Die internationale PGP Homepage
Die offizielle Homepage von PGP
Umfangreiche Webseite mit vielen Anleitungen von Kai Raven rund um PGP und GPG
GnuPG Keysigning Party HOWTO
Keyserver der DFN-PCA
Zertifizierungsstelle der RWTH Aachen

Schreibt an Marcus Frings oder an die Mailingliste der Oecher Keysigning Party (vorher bitte abonnieren).

Ich (Marcus Frings) danke allen Helfern für die zahlreiche Unterstützung. Mein besonderer Dank gilt dem Computer-Club an der RWTH Aachen für das Hosten dieser Seite und der Bereitstellung der Räumlichkeiten und Ralf G. R. Bergs für die Mailingliste.