Bemerkung: Das Original ist neuer als diese Übersetzung.
Schlüssel-Signierung (Keysigning)
Da sich viele Entwickler bei Handelsmessen oder Konferenzen treffen, haben sich diese zu einer guten Möglichkeit entwickelt, um andere Leute den eigenen GnuPG-Schlüssel signieren zu lassen und das Web-of-Trust zu stärken. Speziell für Personen, die neu im Projekt sind, ist das Signieren von Schlüsseln und Treffen von anderen Entwicklern sehr interessant.
Dieses Dokument soll dabei helfen, eine Schlüssel-Signierungs-Veranstaltung
durchzuführen. Beachten Sie, dass alle Beispiele
keyring.debian.org
als Keyserver benutzen. Wenn der
betreffende Schlüssel sich nicht im Debian-Keyring befindet, ersetzen
Sie keyring.debian.org
mit einem öffentlichen Keyserver
wie zum Beispiel wwwkeys.pgp.net
(der – anders als sein Name dies
vermuten lässt – auch GnuPG-Schlüssel speichert).
Man soll einen Schlüssel nur unter zumindest zwei Voraussetzungen unterzeichnen (signieren):
- Der Besitzer des Schlüssels überzeugt den Unterzeichner, dass die Identität in der UID tatsächlich dessen eigene ist, durch jeden Beweis, den der Unterzeichner als überzeugend akzeptiert. Üblicherweise bedeutet das, dass der Besitzer des Schlüssels einen amtlichen Lichtbildausweis vorlegt, dessen Informationen mit dem Besitzer des Schlüssels übereinstimmen. (Einige Unterzeichner wissen, dass amtliche Lichtbildausweise u.U. gefälscht werden können und dass die Vertrauenswürdigkeit der ausstellenden Behörden teilweise suspekt ist, und verlangen daher zusätzliche und/oder alternative überzeugende Identitätsnachweise).
- Der Besitzer des Schlüssels versichert sich, dass der Fingerprint und die Länge des Schlüssels, der signiert werden soll, von seinem eigenen Schlüssel stammt.
Am Wichtigsten ist, dass Sie weder Voraussetzung 1 oder 2 abschließen können, falls der Besitzer des Schlüssels nicht aktiv am Austausch teilnimmt. Niemand anderes als der Schlüsselinhaber selbst kann dessen Part in Voraussetzung 1 übernehmen, da sich sonst jemand mit einem gestohlenen Ausweis und einem PGP-Key als Beauftragter des Schlüsselinhabers ausgeben könnte. Auch kann niemand als der Schlüsselinhaber selbst dessen Part in Voraussetzung 2 übernehmen, da ein solcher Beauftragter den Fingerprint durch den eines anderen Schlüssels austauschen könnte und so Leute dazu bringen könnte, den falschen Schlüssel zu signieren.
- Sie benötigen ausgedruckte GnuPG-Fingerprints, die Schlüssellängen und einen Lichtbildausweis, um Ihre Identität nachzuweisen (Reisepass, Führerschein oder Ähnliches).
- Die Fingerprints und Schlüssellängen werden den anderen Personen übergeben, die Ihren Schlüssel nach dem Treffen signieren sollen.
- Wenn Sie noch keinen GnuPG-Schlüssel haben, erstellen Sie einen mittels
gpg --gen-key
. - Signieren Sie nur dann einen Schlüssel, wenn die Identität der Person, deren Schlüssel Sie signieren sollen, nachgewiesen wurde.
- Nach dem Treffen müssen Sie sich den GnuPG-Schlüssel besorgen, um ihn
signieren zu können. Verwenden Sie dazu:
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
Beachten Sie, dass wir nur die letzten acht Hex-Ziffern des Fingerprints in dieser und den anderen GnuPG-Operationen verwenden. Das 0x davor ist ebenfalls optional.
- Um den Schlüssel zu signieren, begeben Sie sich ins Editier-Menü mittels
gpg --edit-key 0xDEADBEEF
- In GnuPG selektieren Sie alle UIDs, die Sie signieren wollen, mit
uid n
, wobein
die Nummer der UID ist, die im Menü angezeigt wird. Sie können auch Enter drücken, um alle UIDs zu signieren. - Um einen Schlüssel zu signieren, geben Sie
sign
ein. Ihnen wird dann der Fingerprint und die Länge des Schlüssels angezeigt, den Sie mit dem vergleichen müssen, den Sie von der getroffenen Person erhalten haben. - Wenn Sie nach der Genauigkeit der Überprüfung gefragt werden, wählen Sie
flüchtig
(casual
) aus. - Beenden Sie GnuPG mit
quit
- Um sich zu vergewissern, dass Sie den Schlüssel korrekt signiert haben,
können Sie Folgendes tun:
gpg --list-sigs 0xDEADBEEF
Sie sollten Ihren eigenen Namen und Fingerprint (in der Kurzform) in der Ausgabe sehen.
- Wenn Sie sich vergewissert haben, dass alles in Ordnung ist, können Sie
den signierten Schlüssel an seinen Inhaber schicken, indem Sie Folgendes
tun:
gpg --export -a 0xDEADBEEF > someguys.key
Die
-a
Option exportiert den Schlüssel im ASCII-Format, damit er ohne eventuelle Zerstörung per E-Mail verschickt werden kann. - Wenn jemand Ihren Schlüssel in dieser Art signiert hat, können Sie ihn zum
Debian-Keyring hinzufügen, indem Sie Folgendes eingeben:
gpg --import --import-options merge-only mysigned.key gpg --keyserver keyring.debian.org --send-keys <Ihre Schlüssel-ID>
Es kann eine Weile dauern, bis der Keyring-Betreuer Ihren Schlüssel aktualisiert, üben Sie sich bitte in Geduld. Sie sollten Ihren aktualisierten Schlüssel ebenfalls auf die öffentlichen Keyserver hochladen.
Das Debian-Paket signing-party stellt einige Werkzeuge zur Verfügung, die Ihnen bei diesem Prozess helfen können. gpg-key2ps wandelt einen GnuPG-Schlüssel in eine PostScript-Datei um, damit Sie kleine Zettel mit Ihrem Fingerprint ausdrucken können. gpg-mailkeys schickt einen signierten Schlüssel per E-Mail an den Inhaber. Das Paket enthält außerdem caff, ein etwas fortgeschritteneres Werkzeug. Schauen Sie in die Paketdokumentation für weitere Informationen.
Was Sie nicht tun sollten
Sie sollten niemals den Schlüssel von jemandem signieren, den Sie nicht persönlich getroffen haben. Einen Schlüssel aufgrund von anderen Dingen als direktem Kontakt zu signieren, zerstört den Nutzen des Web-of-Trust. Wenn ein Freund anderen Entwicklern Ihren Lichtbildausweis und Ihren Fingerprint zeigt, aber Sie nicht anwesend sind, um zu bestätigen, dass der Fingerprint Ihnen gehört, was für eine Verbindung haben dann die anderen Entwickler zwischen dem Fingerprint und Ihrem Ausweis? Sie haben nur das Wort des Freundes, und die anderen Signaturen auf Ihrem Schlüssel – das ist nicht besser, als wenn sie deren Schlüssel signiert hätten, weil es auch andere getan haben!
Es ist nett, mehr Signaturen auf seinen Schlüssel zu bekommen, und es liegt der Versuch nahe, einige Kurven auf dem Weg zu schneiden. Aber vertrauenswürdige Signaturen zu haben ist wichtiger als die reine Anzahl, daher ist es wichtig, dass wir den Schlüssel-Signierungs-Prozess so sauber wie möglich halten. Das Signieren eines fremden Schlüssels ist eine Bestätigung, dass Sie sich direkt von der Identität des Besitzers überzeugt haben. Wenn Sie ihn signieren, obwohl das nicht wirklich Ihre Absicht ist, kann dem Web-of-Trust nicht länger vertraut werden.