Wichtige Veranstaltungen in Zusammenhang mit Debian / Schlüssel-Signierung (Keysigning)

Schlüssel-Signierung (Keysigning)

Da viele Entwickler sich bei Handelsmessen oder Konferenzen treffen, haben sich diese zu einer guten Möglichkeit entwickelt, um andere Leute den eigenen GnuPG-Schlüssel signieren zu lassen und das Web-of-Trust zu stärken. Speziell für Personen, die neu im Projekt sind, ist das Signieren von Schlüsseln und Treffen von anderen Entwicklern sehr interessant.

Dieses Dokument beabsichtigt dabei zu helfen, eine Schlüssel-Signierungs-Veranstaltung durchzuführen. Beachten Sie, dass alle Beispiele keyring.debian.org als Keyserver benutzen. Wenn der betreffende Schlüssel sich nicht im Debian-Keyring befindet, ersetzen Sie keyring.debian.org mit einem öffentlichen Keyserver wie zum Beispiel wwwkeys.pgp.net (der trotz seines Namens auch GnuPG-Schlüssel speichert).

Man soll einen Schlüssel nur unter zumindest zwei Voraussetzungen unterzeichnen (signieren):

1. Der Besitzer des Schlüssels überzeugt den Unterzeichner, dass die Identität in der UID tatsächlich dessen eigene Identität ist, durch jeden Beweis, den der Unterzeichner als überzeugend akzeptiert. Üblicherweise bedeutet das, dass der Besitzer des Schlüssels einen amtlichen Lichtbildausweis vorzeigt, dessen Informationen mit dem Besitzer des Schlüssels übereinstimmen. (Einige Unterzeichner wissen, dass amtliche Lichtbildausweise leicht gefälscht werden können und dass die Vertrauenswürdigkeit der ausstellenden Behörden oft suspekt ist, und verlangen daher nach zusätzlichen und/oder alternativen überzeugenden Identitätsnachweisen).
2. Der Besitzer des Schlüssels überprüft, dass der Fingerprint und die Länge des Schlüssels, der signiert werden soll, sein eigener ist.

Am Wichtigsten ist, dass Sie weder Voraussetzung 1 oder 2 abschließen können, falls der Besitzer des Schlüssels nicht aktiv am Austausch teilnimmt. Niemand kann den Part des Besitzers des Schlüssels in der Voraussetzung 1 übernehmen, da sonst jemand mit einem gestohlenen Ausweis ganz leicht damit mit einem PGP-Key sich als der Beauftragte des Schlüssel-Besitzers ausgeben könnte. Niemand kann für den Besitzer des Schlüssels den Part in der Voraussetzung 2 übernehmen, da der Beauftragte den Fingerprint durch einen anderen PGP-Key mit dem Namen des Besitzers austauschen könnte und so jemanden dazu bringen könnte, den falschen Schlüssel zu signieren.

• Sie benötigen ausgedruckte GnuPG-Fingerprints, die Schlüssellängen und einen Lichtbildausweis, um Ihre Identität nachzuweisen (Reisepass, Führerschein oder Ähnliches).
• Die Fingerprints und Schlüssellängen werden den anderen Personen gegeben, die Ihren Schlüssel nach dem Treffen signieren sollen.
• Wenn Sie noch keinen GnuPG-Schlüssel haben, erstellen Sie einen mittels gpg --gen-key.
• Signieren Sie nur dann einen Schlüssel, wenn die Identität der Person, deren Schlüssel Sie signieren sollen, nachgewiesen ist.
• Nach dem Treffen müssen Sie sich den GnuPG-Schlüssel besorgen, um ihn signieren zu können. Das Folgende sollte helfen:

         gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
    

  Beachten Sie, dass wir nur die letzten acht Hex-Ziffern des Fingerprints in dieser und anderen GnuPG-Operationen verwenden. Das 0x davor ist ebenfalls optional.

• Um den Schlüssel zu signieren, begeben Sie sich ins Editier-Menü mittels

         gpg --edit-key 0xDEADBEEF
    

• In GnuPG selektieren Sie alle UIDs, die Sie signieren wollen, mit uid n, wobei n die Nummer der UID ist, die im Menü angezeigt wird. Sie können auch Enter drücken, um alle UIDs zu signieren.
• Um einen Schlüssel zu signieren, geben Sie sign ein. Ihnen wird dann der Fingerprint und die Länge des Schlüssels angezeigt, den Sie mit dem von der getroffenen Person vergleichen müssen.
• Wenn Sie nach der Genauigkeit der Überprüfung gefragt werden, wählen Sie flüchtig (casual) aus.
• Beenden Sie GnuPG mit quit
• Um sich zu vergewissern, dass Sie den Schlüssel korrekt signiert hat, können Sie Folgendes tun:

         gpg --list-sigs 0xDEADBEEF
    

  Sie sollten Ihren eigenen Namen und Fingerprint (in der Kurzform) in der Ausgabe sehen.

• Wenn Sie sich vergewissert haben, dass alles in Ordnung ist, können Sie den signierten Schlüssel an seinen Empfänger schicken, indem Sie Folgendes tun:

         gpg --export -a 0xDEADBEEF > someguys.key
    

  Die -a Option exportiert den Schlüssel im ASCII-Format, damit er ohne die Möglichkeit der Zerstörung per E-Mail verschickt werden kann.

• Wenn jemand Ihren Schlüssel in dieser Art signiert, können Sie ihn zum Debian-Keyring hinzufügen, indem Sie Folgendes eingeben:

         gpg --import mysigned.key
         gpg --keyserver keyring.debian.org --send-keys <Ihre Schlüssel-ID>
    

  Es kann eine Weile dauern, bis der Keyring-Betreuer Ihren Schlüssel aktualisiert, üben Sie sich bitte in Geduld. Sie sollten Ihren aktualisierten Schlüssel ebenfalls auf die öffentlichen Keyserver hochladen.

Das Debian-Paket signing-party stellt einige Werkzeuge zur Verfügung, die Ihnen bei diesem Prozess helfen. gpg-key2ps wandelt einen GnuPG-Schlüssel in eine PostScript-Datei um, damit Sie kleine Zettel mit Ihrem Fingerprint ausdrucken können. gpg-mailkeys schickt einen signierten Schlüssel per E-Mail an den Autor. Das Paket enthält außerdem caff, ein etwas fortgeschritteneres Werkzeug. Schauen Sie in die Paketdokumentation für weitere Informationen.

Was Sie nicht tun sollten

Sie sollten niemals den Schlüssel für jemand signieren, den Sie nicht persönlich getroffen haben. Einen Schlüssel aufgrund von anderen Dingen als direktem Kontakt zu signieren zerstört den Nutzen des Web-of-Trust. Wenn ein Freund anderen Entwicklern Ihren Lichtbildausweis und Ihren Fingerprint zeigt, aber Sie nicht anwesend sind, um zu bestätigen, dass der Fingerprint Ihnen gehört, was für eine Verbindung haben dann die anderen Entwickler zwischen dem Fingerprint und dem Ausweis? Sie haben nur das Wort des Freundes, und die anderen Signaturen auf Ihrem Schlüssel – das ist nicht besser als wenn sie Ihren Schlüssel signiert hätten, weil es auch andere getan haben!

Es ist nett, mehr Signaturen auf seinen Schlüssel zu bekommen, und es liegt der Versuch nahe, einige Kurven auf dem Weg zu kratzen. Aber vertrauenswürdige Signaturen zu haben ist wichtiger als viele Signaturen zu haben, daher ist es wichtig, dass wir den Schlüssel-Signierungs-Prozess so rein wie möglich halten. Das Signieren eines fremden Schlüssels ist eine Bestätigung, dass Sie sich direkt von der Identität des Besitzers überzeugt haben. Wenn Sie ihn signieren, obwohl Sie das nicht wirklich vorhaben, kann dem Web-of-Trust nicht länger vertraut werden.

Zurück zur Homepage des Debian-Projekts.