Key Signing Party

Organisatorisches

Am 26.Februar fand die 1. LUGA PGP Key Signing Party statt.
Ort : Institut für höhere Studien (IHS), Stumpergasse 56, A-1060 Wien
Zeit : 19:00 Uhr

Der (unsignierte) Keyring (binary, uuencoded).

Der Keyring mit den signierten Keys (binary, uuencoded).

Die folgende Beschreibung hab ich versucht so einfach wie möglich zu halten. Trotzdem muß man sich einmal in Ruhe die Dokumentation durchlesen - Plug-and-Play Security gibt es leider nicht.

Vorbereitung

  1. PGP installieren (lt. PGP Doku) - im Moment ist Version 2.6.3i zu empfehlen. Natürlich aus dem Softwarecorner zu beziehen ...
  2. Mit pgp -kg ein eigenes Keypair anlegen (lt. PGP Doku). Verwende dabei etwas wie "Vorname Nachname Emailadresse" als UserId (z.B. hab ich "Bernd Petrovitsch <bernd@ict.tuwien.ac.at>") genommen.
  3. Mit pgp -kxa <userid> in ein Textfile speichern.
  4. Dieses Textfile an pgp-keysigning@luga.or.at schicken.
  5. Mit pgp -kvc <userid> den Fingerprint und die KeyId generieren und aufschreiben. Das mußt zu der Party mitbringen.

Bei der Party

  1. Zur Bestätigung der Identität bitte einen amtlichen Lichtbildausweis oder uns bekannten LUGArianer mitnehmen.
  2. Den Fingerprint und die KeyId mitnehmen.
  3. Du bekommst einen Zettel mit den Fingerprints und KeyIds aller Personen auf der Party.
  4. Nacheinander stehen alle auf und lassen sich ihre Identität bestätigen. Dann lesen sie den mitgebrachten Fingerprint und die KeyId vor. Alle anderen vergleichen die vorgelesenen mit dem verteilten Fingerprint und KeyId. Dadurch ist die Echtheit der verteilten Ausdrucke bestätigt.
  5. Wenn Du 3.1) nicht kannst oder willst, dann bring eine Diskette mit, um den Keyring zu kopieren.

Nachbereitung

  1. Den Keyring mit den Public Keys aller Partyteilnehmer nach Hause holen (ftp, http).
  2. Die Fingerprints auf dem Ausdruck mit dem Output von pgp -kvc <keyring> vergleichen. Das garantiert die Echtheit des Keyringfiles.
  3. Die Keys im Keyring mit pgp -ks 0x<KeyID> <keyring> signieren.
  4. Den Keyring an pgp-keysigning@luga.or.at zurueckschicken.
  5. Irgendwann bekommst Du einen Keyring, wo alle Keys von allen signiert sind. Die Keys aus diesem Keyringfile in den eigenen Keyring mit pgp -ka <keyring> importieren.

Weiter Informationen

  1. natürlich die PGP Dokumentation selber
  2. http://www.pgpi.com/
  3. Was ist eine Key Signing Party ?