-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo,
alle, die ihren Public-Key fuer die LUG registriert haben wollen, bringen ihn bitte am Mittwoch mit.
Ich werde uebrigens nur solche Keys registrieren: *Algorithmen: DSA, ElGamal, RSA (sprich: GnuPG 1.0.x und PGP 2.6) *mindestens 1024 bit lang *gehoert einer einzelnen Person, die sich _selbst_ identifizieren kann (sprich: Ausweis oder (Reise)Pass mitbringen! Und persoenlich anwesend sein.) *enthaelt RealName und reale eMail (Kindereien a'la "Haegar (der Grosse) bla@sabbel.de" werde ich nicht annehmen)
Fingerprints: - --------------
pub 1024D/0F4648C4 2000-05-20 Konrad Rosenbaum (default) konrad.rosenbaum@gmx.net uid Konrad Rosenbaum (default) htw6966@htw-dresden.de Key fingerprint = B333 F8FB 644A D695 F494 7068 9BAA 4EEC 0F46 48C4
pub 1024D/A58CE4AB 2000-06-19 LUG-DD Authority lug-dd@schlittermann.de Key fingerprint = 7627 1EEB FF1B 52F6 A4E3 B322 8213 42C1 A58C E4AB
Server - -------
Wird noch bekanntgegeben...
Das eigentliche PGP-Server-Protokoll braucht noch etwas, es ist etwas komplexer und zeitaufwaendiger als ich dachte (mein Prototyp brach jedenfalls schnell zusammen).
Ein Entwurf der Policy steht unter http://www.htw-dresden.de/~htw6966/lugauth.html
Hilfe gesucht - --------------
Es waere schoen, wenn sich noch ein oder zwei weitere Personen bereit erklaeren dauerhaft bei der Registrierung mitzumachen: 1. als Ersatzmann, falls mal einer ausfaellt oder nicht zum Treffen kommen kann 2. werden Probleme von mehreren schneller erkannt und behoben 3. koennen sich diese Leute gegenseitig kontrollieren, dadurch ist die Sache vertrauenswuerdiger
Ich denke mehr als drei Leute, die Zugriff auf den Schluessel haben sollten es nicht sein, da IMHO sonst das Risiko eines Sicherheitsloches zu hoch wird.
RFC - -----
Kommentare dazu sind staerkstens erwuenscht. (Zumindest solche von der konstruktiven Art.)
Konrad
Am Mon, 19 Jun 2000 schrieb Konrad Rosenbaum:
Hallo,
alle, die ihren Public-Key fuer die LUG registriert haben wollen, bringen ihn bitte am Mittwoch mit.
Ich werde uebrigens nur solche Keys registrieren: *Algorithmen: DSA, ElGamal, RSA (sprich: GnuPG 1.0.x und PGP 2.6) *mindestens 1024 bit lang *gehoert einer einzelnen Person, die sich _selbst_ identifizieren kann (sprich: Ausweis oder (Reise)Pass mitbringen! Und persoenlich anwesend sein.) *enthaelt RealName und reale eMail (Kindereien a'la "Haegar (der Grosse) bla@sabbel.de" werde ich nicht annehmen)
Realname und reale eMail hab ich, Ausweis auch.
Kannst du mal schnell sagen wie ich so einen Schlüssel generiere ?
Bye, Stephan
On Tue, Jun 20, 2000 at 11:27:52PM +0200, Stephan Goetter wrote:
Kannst du mal schnell sagen wie ich so einen Schluessel generiere ?
~$ gpg --gen-key Bitte wählen Sie, welche Art von Schlüssel Sie möchten: (1) DSA und ElGamal (voreingestellt) (2) DSA (nur signieren/beglaubigen) (4) ElGamal (signieren/beglaubigen und verschlüsseln) Ihre Auswahl? 1 Der DSA Schlüssel wird 1024 Bits haben. Es wird ein neues ELG-E Schlüsselpaar erzeugt. kleinste Schlüssellänge ist 768 Bit standard Schlüssellänge ist 1024 Bit größte sinnvolle Schlüssellänge ist 2048 Bit Welche Schlüssellänge wünschen Sie? (1024) Die verlangte Schlüssellänge beträgt 1024 Bit Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. 0 = Schlüssel verfällt nie <n> = Schlüssel verfällt nach n Tagen <n>w = Schlüssel verfällt nach n Wochen <n>m = Schlüssel verfällt nach n Monaten <n>y = Schlüssel verfällt nach n Jahren Der Schlüssel bleibt wie lange gültig? (0) Der Schlüssel verfällt nie. Ist dies richtig? (j/n) j
Sie benötigen eine User-ID, um Ihren Schlüssel eindeutig zu machen; das Programm baut diese User-ID aus Ihrem echten Namen, einem Kommentar und Ihrer E-Mail-Adresse in dieser Form auf: "Heinrich Heine (Der Dichter) heinrichh@duesseldorf.de"
Ihr Name ("Vorname Nachname"): Vorname Nachname E-Mail-Adresse: heinrichh@duesseldorf.de Kommentar: nur ein Test Sie haben diese User-ID gewählt: "Vorname Nachname (nur ein Test) heinrichh@duesseldorf.de"
Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(B)eenden? f Sie benötigen ein Mantra, um den geheimen Schlüssel zu schützen.
Geben Sie das Mantra ein: Geben Sie das Mantra nochmal ein: Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen. +++++++++++++++++++++++++++++++++++..+++++.++++++++++++++++++++++++++++++++++++++++.+++++++++++++++.+++++.++++++++++++++++++++++++++++++>.++++++++++......+++++ Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen. +++++.+++++++++++++++.++++++++++.+++++.++++++++++.+++++.++++++++++..++++++++++.+++++.+++++++++++++++.+++++++++++++++++++++++++.++++++++++.+++++............>.+++++.......................................................+++++^^^ Öffentlichen und geheimen Schlüssel erzeugt und signiert. ~$
Torsten
On Mon, Jun 19, 2000 at 01:36:49PM +0200, Konrad Rosenbaum wrote:
Fingerprints:
pub 1024D/0F4648C4 2000-05-20 Konrad Rosenbaum (default) konrad.rosenbaum@gmx.net uid Konrad Rosenbaum (default) htw6966@htw-dresden.de Key fingerprint = B333 F8FB 644A D695 F494 7068 9BAA 4EEC 0F46 48C4
pub 1024D/A58CE4AB 2000-06-19 LUG-DD Authority lug-dd@schlittermann.de Key fingerprint = 7627 1EEB FF1B 52F6 A4E3 B322 8213 42C1 A58C E4AB
[...]
Hilfe gesucht
Es waere schoen, wenn sich noch ein oder zwei weitere Personen bereit erklaeren dauerhaft bei der Registrierung mitzumachen:
- als Ersatzmann, falls mal einer ausfaellt oder nicht zum Treffen kommen
kann 2. werden Probleme von mehreren schneller erkannt und behoben 3. koennen sich diese Leute gegenseitig kontrollieren, dadurch ist die Sache vertrauenswuerdiger
Ich denke mehr als drei Leute, die Zugriff auf den Schluessel haben sollten es nicht sein, da IMHO sonst das Risiko eines Sicherheitsloches zu hoch wird.
RFC
Kommentare dazu sind staerkstens erwuenscht. (Zumindest solche von der konstruktiven Art.)
Hallo Konrad, ich hoffe du findest folgendes konstruktiv. Es ist jedenfalls so gemeint: Frage: Wozu willst du neben neben Crosszertifikaten der Lug-Leute eine CA aufbauen? OK, prinzipiell waere eine lokale CA in Dresden schon eine nette Sache, das man bei *ordentlichem Betrieb* irgendwann sicherlich Zertifikate ander Stellen fuer diese CA bekommt und somit viele Leute "erreicht".
Ich bin mir allerdings sicher, dass du mit deiner jetzigen Aktion die Anforderungen an eine ernstzunehmende CA bei weitem nicht erfüllen kannst. Das meine ich sowohl technisch als auch vom KnowHow her.
Schau dir mal folgende Beispiele fuer anerkannte CA-Policies an: http://www.pca.dfn.de/dfnpca/policy/lowlevel.html (vor allem Punkt 4) und http://www.in-ca.individual.net/policy.html (Punkt 6 besondes 6.2/6.3)
Ein Beispiel: Wenn ich obige Key-ID mit "LUG-DD Authority lug-dd@schlittermann.de" lese, komme ich ins gruebeln. Daraus wird man nichtmal schlau, ob das der Key der CA fuer die Kommunikation mit anderen ist, oder der fuer Zertifizierungen verwendete Key. Dazu kommt die völlig sinnfreie Angabe einer Mailingliste als email zum Key. Die Infos auf der angegeben Webseite bestaerken meine oben geaußerten Vorbehalte. Was soll z.B. die Verquickung von deimem neuprogrammierten Keyserver mit der CA? Die Seite laesst den Schluss zu, dass das irgendwas miteinander zu tun hat.
Mein Fazit: Ich koennte mir durchaus mittelfristig den Betrieb eine CA durch die Lug in Dresden vorstellen, lehne aber den Schnellschuss in seiner jetzigen Form ab.
Da haben wir heute abend gleich noch ein nettes Thema zum diskutieren.
Viele Gruesse, Reinhard
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Wed, 21 Jun 2000, Reinhard Foerster wrote:
On Mon, Jun 19, 2000 at 01:36:49PM +0200, Konrad Rosenbaum wrote:
Hilfe gesucht
Es waere schoen, wenn sich noch ein oder zwei weitere Personen bereit erklaeren dauerhaft bei der Registrierung mitzumachen:
- als Ersatzmann, falls mal einer ausfaellt oder nicht zum Treffen kommen
kann 2. werden Probleme von mehreren schneller erkannt und behoben 3. koennen sich diese Leute gegenseitig kontrollieren, dadurch ist die Sache vertrauenswuerdiger
Ich denke mehr als drei Leute, die Zugriff auf den Schluessel haben sollten es nicht sein, da IMHO sonst das Risiko eines Sicherheitsloches zu hoch wird.
RFC
Kommentare dazu sind staerkstens erwuenscht. (Zumindest solche von der konstruktiven Art.)
Hallo Konrad, ich hoffe du findest folgendes konstruktiv. Es ist jedenfalls so gemeint:
keine Angst, tu ich...
Frage: Wozu willst du neben neben Crosszertifikaten der Lug-Leute eine CA aufbauen? OK, prinzipiell waere eine lokale CA in Dresden schon eine nette Sache, das man bei *ordentlichem Betrieb* irgendwann sicherlich Zertifikate ander Stellen fuer diese CA bekommt und somit viele Leute "erreicht".
Die Idee mit der CA ist vielleicht etwas zu schnell gekommen... (s.u.)
Ich bin mir allerdings sicher, dass du mit deiner jetzigen Aktion die Anforderungen an eine ernstzunehmende CA bei weitem nicht erfüllen kannst. Das meine ich sowohl technisch als auch vom KnowHow her.
Ich erfuelle in etwa die Anforderungen des DFN an eine Sub-CA des DFN-CERT.
Schau dir mal folgende Beispiele fuer anerkannte CA-Policies an: http://www.pca.dfn.de/dfnpca/policy/lowlevel.html (vor allem Punkt 4) und http://www.in-ca.individual.net/policy.html (Punkt 6 besondes 6.2/6.3)
Ein Beispiel: Wenn ich obige Key-ID mit "LUG-DD Authority lug-dd@schlittermann.de" lese, komme ich ins gruebeln. Daraus wird man nichtmal schlau, ob das der Key der CA fuer die Kommunikation mit anderen ist, oder der fuer Zertifizierungen verwendete Key. Dazu kommt die völlig sinnfreie Angabe einer Mailingliste als email zum Key.
sorry, als ich den Schluessel erzeugt habe hatte ich noch weniger Ahnung....
Die Infos auf der angegeben Webseite bestaerken meine oben geaußerten Vorbehalte. Was soll z.B. die Verquickung von deimem neuprogrammierten Keyserver mit der CA? Die Seite laesst den Schluss zu, dass das irgendwas miteinander zu tun hat.
Ist ebenfalls nur ein Prototyp.
Mein Fazit: Ich koennte mir durchaus mittelfristig den Betrieb eine CA durch die Lug in Dresden vorstellen, lehne aber den Schnellschuss in seiner jetzigen Form ab.
Vorschlag: * nutzen wir den KeyServer erst mal zur Cross-Zertifizierung zwischen den LUG-Mitgliedern (ich hoffe ihn Montag installieren zu koennen) * betrachten wir den CA-Key als eine Art Testlauf mit fast echten Bedingungen, wenn es klappt und der Key anerkannt wird ist schoen, wenn nicht bauen wir halt einen neuen Key, sobald wir wissen, wie man das wirklich aufzieht * ich mach erst mal weiter wie gehabt, nur etwas langsamer, und fuege an einigen Stellen das Stichwort "Testlauf" ein * die Gestaltung der Webpage muss ich nochmal gruendlich ueberdenken, wenn ich dich richtig verstanden habe, habe ich zu viele Informationen auf der selben Seite mit zu wenig Erlaeuterungen - richtig?
Ich hoffe das findet Eure Zustimmung. Fuer weitere Kommentare bin ich offen...
Konrad
PS.: die gestern registrierten und signierten Keys sind unter http://www.htw-dresden.de/~htw6966/allkeys.gpg gespeichert
lug-dd@mailman.schlittermann.de
-
Konrad Rosenbaum -
Reinhard Foerster -
Stephan Goetter -
Torsten Werner