1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
|
#use wml::debian::template title="Schlüssel-Signierung (Keysigning)"
#use wml::debian::translation-check translation="596248dcfc27520a5ab427fb809242b2c155be71"
# $Id$
# Translator: Rhonda D'Vine <rhonda@debian.org> 2001-10-21
# Updated: Holger Wansing <linux@wansing-online.de>, 2012, 2019.
<p>Da sich viele Entwickler bei Handelsmessen oder Konferenzen treffen, haben
sich diese zu einer guten Möglichkeit entwickelt, um andere Leute den eigenen
GnuPG-Schlüssel signieren zu lassen und das Web-of-Trust zu stärken.
Speziell für Personen, die neu im Projekt sind, ist das Signieren von Schlüsseln und
Treffen von anderen Entwicklern sehr interessant.</p>
<p>Dieses Dokument soll dabei helfen, eine Schlüssel-Signierungs-Veranstaltung
durchzuführen. Beachten Sie, dass alle Beispiele
<code>keyring.debian.org</code> als Keyserver benutzen. Wenn der
betreffende Schlüssel sich nicht im Debian-Keyring befindet, ersetzen
Sie <code>keyring.debian.org</code> mit einem öffentlichen Keyserver
wie zum Beispiel <code>wwwkeys.pgp.net</code> (der – anders als sein Name dies
vermuten lässt – auch GnuPG-Schlüssel speichert).</p>
<p>Man soll einen Schlüssel nur unter zumindest zwei
Voraussetzungen unterzeichnen (signieren):</p>
<ol>
<li>Der Besitzer des Schlüssels überzeugt den Unterzeichner, dass die Identität in
der UID tatsächlich dessen eigene ist, durch jeden Beweis, den der
Unterzeichner als überzeugend akzeptiert. Üblicherweise bedeutet das, dass der
Besitzer des Schlüssels einen amtlichen Lichtbildausweis vorlegt, dessen
Informationen mit dem Besitzer des Schlüssels übereinstimmen. (Einige
Unterzeichner wissen, dass amtliche Lichtbildausweise u.U. gefälscht werden
können und dass die Vertrauenswürdigkeit der ausstellenden Behörden teilweise
suspekt ist, und verlangen daher zusätzliche und/oder alternative
überzeugende Identitätsnachweise).
</li>
<li>Der Besitzer des Schlüssels versichert sich, dass der Fingerprint und die
Länge des Schlüssels, der signiert werden soll, von seinem eigenen Schlüssel stammt.
</li>
</ol>
<p>Am Wichtigsten ist, dass Sie weder Voraussetzung 1 oder 2 abschließen
können, falls der Besitzer des Schlüssels nicht aktiv am Austausch teilnimmt.
Niemand anderes als der Schlüsselinhaber selbst kann dessen Part in
Voraussetzung 1 übernehmen, da sich sonst jemand mit einem gestohlenen Ausweis
und einem PGP-Key als Beauftragter des Schlüsselinhabers ausgeben könnte.
Auch kann niemand als der Schlüsselinhaber selbst dessen Part in Voraussetzung 2
übernehmen, da ein solcher Beauftragter den Fingerprint durch den eines anderen
Schlüssels austauschen könnte und so Leute dazu bringen könnte, den falschen
Schlüssel zu signieren.
</p>
<ul>
<li>Sie benötigen ausgedruckte GnuPG-Fingerprints, die Schlüssellängen und
einen Lichtbildausweis, um Ihre Identität nachzuweisen (Reisepass,
Führerschein oder Ähnliches).
</li>
<li>Die Fingerprints und Schlüssellängen werden den anderen Personen übergeben,
die Ihren Schlüssel nach dem Treffen signieren sollen.</li>
<li>Wenn Sie noch keinen GnuPG-Schlüssel haben, erstellen Sie einen mittels
<code>gpg --gen-key</code>.
</li>
<li>Signieren Sie nur dann einen Schlüssel, wenn die Identität der Person,
deren Schlüssel Sie signieren sollen, nachgewiesen wurde.
</li>
<li>Nach dem Treffen müssen Sie sich den GnuPG-Schlüssel besorgen, um ihn
signieren zu können. Verwenden Sie dazu:
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Beachten Sie, dass wir nur die letzten acht Hex-Ziffern des Fingerprints
in dieser und den anderen GnuPG-Operationen verwenden. Das <tt>0x</tt> davor ist
ebenfalls optional.</p>
</li>
<li>Um den Schlüssel zu signieren, begeben Sie sich ins Editier-Menü mittels
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
</li>
<li>In GnuPG selektieren Sie alle UIDs, die Sie signieren wollen, mit
<code>uid n</code>, wobei <code>n</code> die Nummer der UID ist, die im
Menü angezeigt wird. Sie können auch Enter drücken, um alle UIDs zu
signieren.</li>
<li>Um einen Schlüssel zu signieren, geben Sie <code>sign</code> ein. Ihnen
wird dann der Fingerprint und die Länge des Schlüssels angezeigt, den Sie
mit dem vergleichen müssen, den Sie von der getroffenen Person erhalten haben.
</li>
<li>Wenn Sie nach der Genauigkeit der Überprüfung gefragt werden, wählen Sie
<q>flüchtig</q> (<q>casual</q>) aus.
</li>
<li>Beenden Sie GnuPG mit <code>quit</code>
</li>
<li>Um sich zu vergewissern, dass Sie den Schlüssel korrekt signiert haben,
können Sie Folgendes tun:
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Sie sollten Ihren eigenen Namen und Fingerprint (in der Kurzform) in der
Ausgabe sehen.</p>
</li>
<li>Wenn Sie sich vergewissert haben, dass alles in Ordnung ist, können Sie
den signierten Schlüssel an seinen Inhaber schicken, indem Sie Folgendes
tun:
<pre>
gpg --export -a 0xDEADBEEF > someguys.key
</pre>
<p>Die <code>-a</code> Option exportiert den Schlüssel im ASCII-Format,
damit er ohne eventuelle Zerstörung per E-Mail verschickt werden
kann.</p>
</li>
<li>Wenn jemand Ihren Schlüssel in dieser Art signiert hat, können Sie ihn zum
Debian-Keyring hinzufügen, indem Sie Folgendes eingeben:
<pre>
gpg --import --import-options merge-only mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><Ihre Schlüssel-ID></var>
</pre>
<p>Es kann eine Weile dauern, bis der Keyring-Betreuer Ihren Schlüssel
aktualisiert, üben Sie sich bitte in Geduld. Sie sollten Ihren
aktualisierten Schlüssel ebenfalls auf die öffentlichen Keyserver
hochladen.</p>
</li>
</ul>
<p>Das Debian-Paket <a href="https://packages.debian.org/signing-party">\
signing-party</a> stellt einige Werkzeuge zur Verfügung, die Ihnen bei
diesem Prozess helfen können. <tt>gpg-key2ps</tt> wandelt einen GnuPG-Schlüssel
in eine PostScript-Datei um, damit Sie kleine Zettel mit Ihrem Fingerprint
ausdrucken können. <tt>gpg-mailkeys</tt> schickt einen signierten Schlüssel
per E-Mail an den Inhaber. Das Paket enthält außerdem <tt>caff</tt>, ein
etwas fortgeschritteneres Werkzeug. Schauen Sie in die Paketdokumentation
für weitere Informationen.</p>
<h3>Was Sie nicht tun sollten</h3>
<p>Sie sollten niemals den Schlüssel von jemandem signieren, den Sie nicht
persönlich getroffen haben. Einen Schlüssel aufgrund von anderen Dingen als
direktem Kontakt zu signieren, zerstört den Nutzen des Web-of-Trust. Wenn ein
Freund anderen Entwicklern Ihren Lichtbildausweis und Ihren Fingerprint zeigt,
aber Sie nicht anwesend sind, um zu bestätigen, dass der Fingerprint Ihnen
gehört, was für eine Verbindung haben dann die anderen Entwickler zwischen dem
Fingerprint und Ihrem Ausweis? Sie haben nur das Wort des Freundes, und die
anderen Signaturen auf Ihrem Schlüssel – das ist nicht besser, als wenn sie
deren Schlüssel signiert hätten, weil es auch andere getan haben!
</p>
<p>Es ist nett, mehr Signaturen auf seinen Schlüssel zu bekommen, und es liegt
der Versuch nahe, einige Kurven auf dem Weg zu schneiden. Aber
vertrauenswürdige Signaturen zu haben ist wichtiger als die reine Anzahl,
daher ist es wichtig, dass wir den Schlüssel-Signierungs-Prozess so sauber wie
möglich halten. Das Signieren eines fremden Schlüssels ist eine Bestätigung,
dass Sie sich direkt von der Identität des Besitzers überzeugt haben. Wenn
Sie ihn signieren, obwohl das nicht wirklich Ihre Absicht ist, kann dem Web-of-Trust
nicht länger vertraut werden.
</p>
|
