Hi,
da ich als GPG-Newbie zum ersten Mal bei einer kleinen Key-Signing-Party mitgemacht habe, muss ich nun auch brav die Schlüssel der anderen Teilnehmer auf ihre Richtigkeit mittels eines Challenges prüfen. Hat jemand soetwas schon mal gemacht und zufällig ein kleines Script dafür auf seiner Festplatte liegen?
7 Kontakte sind zwar nicht _so_ viel, aber dennoch zu viel um das von Hand zu machen ;)
Ciao, Tobias
Once upon a time, I heard Tobias Koenig say:
da ich als GPG-Newbie zum ersten Mal bei einer kleinen Key-Signing-Party mitgemacht habe, muss ich nun auch brav die Schlüssel der anderen Teilnehmer auf ihre Richtigkeit mittels eines Challenges prüfen.
Ich kenne den Begriff "Challenge" in diesem Zusammenhang nicht, wo muß ich lesen?
7 Kontakte sind zwar nicht _so_ viel, aber dennoch zu viel um das von Hand zu machen ;)
weird.
hej så länge.
On Mon, Jul 14, 2003 at 09:20:37PM +0200, Stefan Berthold wrote:
Once upon a time, I heard Tobias Koenig say:
Hi Stefan,
da ich als GPG-Newbie zum ersten Mal bei einer kleinen Key-Signing-Party mitgemacht habe, muss ich nun auch brav die Schlüssel der anderen Teilnehmer auf ihre Richtigkeit mittels eines Challenges prüfen.
Ich kenne den Begriff "Challenge" in diesem Zusammenhang nicht, wo muß ich lesen?
Um den Zusammenhang zwischen Schlüssel, Person und Key zu sichern, schickt man eine verschlüsselte Mail mit Zufallsdaten an alle angegebenen E-Mail Adressen der Person, deren Schlüssel man signieren soll. Die Person muss dann ein Reply auf alle E-Mails schicken und diese ebenfalls signieren.
Ciao, Tobias
Once upon a time, I heard Tobias Koenig say:
Um den Zusammenhang zwischen Schlüssel, Person und Key zu sichern, schickt man eine verschlüsselte Mail mit Zufallsdaten an alle angegebenen E-Mail Adressen der Person, deren Schlüssel man signieren soll. Die Person muss dann ein Reply auf alle E-Mails schicken und diese ebenfalls signieren.
Ahja, verstehe. Was ist, wenn einer in der Mitte sitzt und beiden Seiten mit seinen Fake-Schlüsseln eine direkte Verbindung vorspielt?
Hast Du Dich jemals mit den Leuten unterhalten? Einige tendieren dazu, ihren Geheimschlüssel in Rechenzentren und zudem ohne Paßwortschutz liegen zu lassen. Einige verwenden überall das selbe Paßwort, manchmal "1A2B3C" -- nur als Idee. Für die Nachhaltigkeit solcher Fehler sorgt dann noch das Backup-System des jeweiligen Rechenzentrums, was will man mehr...
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt. Damit würde vermutlich auch meine Vertrauenswürdigkeit bei einigen WoT-Konsumenten drastisch sinken.
hej så länge.
On Mon, Jul 14, 2003 at 10:36:24PM +0200, Stefan Berthold wrote:
Once upon a time, I heard Tobias Koenig say:
Hi Stefan,
Um den Zusammenhang zwischen Schlüssel, Person und Key zu sichern,
^^^ meinte EMail-Adresse
schickt man eine verschlüsselte Mail mit Zufallsdaten an alle angegebenen E-Mail Adressen der Person, deren Schlüssel man signieren soll. Die Person muss dann ein Reply auf alle E-Mails schicken und diese ebenfalls signieren.
Ahja, verstehe. Was ist, wenn einer in der Mitte sitzt und beiden Seiten mit seinen Fake-Schlüsseln eine direkte Verbindung vorspielt?
Ich habe schon deren öffentlichen Schlüssel vom KeyServer geladen und den FingerPrint überprüft.
Hast Du Dich jemals mit den Leuten unterhalten?
Natürlich, sogar ihren Pass gesehen und einen Zettel von ihnen bekommen mit Unterschrift.
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt.
Dann zweifelst du also das ganze PKI Konzept an?
Ciao, Tobias
Once upon a time, I heard Tobias Koenig say:
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt.
Dann zweifelst du also das ganze PKI Konzept an?
Nunja, die Aussage stimmt nicht als Folge des oben geschriebenen, aber generell sind derzeitige PKI-Implementierungen (von IPSec über SSL bis GnuPG) nicht der Weisheit letzter Schluß. Sie sind gute Weggefährten, wenn man sie versteht (was ich für mich nicht bis ins letzte Detail in Anspruch nehme), aber sie wecken in den meisten Fällen falsche Hoffnungen.
Zurück zu dem eigentlichen Problem: Ich habe -- wie Du sicherlich vermutest -- kein solches von Dir gesuchtes Programm und halte die automatische Abwicklung dieses "letzten" Schrittes für genauso gefährlich, wie die Automatisierung eines anderen Schrittes.
Ich komme gerade an Deinen Schlüssel nicht ran, vielleicht ist der öffentliche Teil auf einem permanent präsenten Internet Server (Uni?) besser aufgehoben.
Es stellen sich aber neben dem Blick auf den Paß usw. (Standardfrage: Kannst Du einen gefälschten Paß von einem echten auseinanderhalten?) auch noch andere Fragen. Eine davon könnte sein, wie lang Du die lifetime des Schlüssels gewählt hast. Ist sie unbegrenzt, würde ich es generell ablehnen, den Schlüssel zu bestätigen -- ist sie hingegen begrenzt stellt sich die Frage, wie Du das Problem umschiffst, daß mit Ablaufen Deines Schlüssels die Signaturen darunter ungültig werden. Selbst wenn Du ihn verlängerst, mußt Du alle Signaturen neu sammeln.
Ausweg hierfür könnte sein, verschiedene "Subkeys" zu erstellen. Dann bekommst Du aber massive Probleme mit kommerziellen PGP-Implemen- tierungen oder den meisten Key-Servern, da die nur mit den neusten Patches "multiple subkeys" annehmen.
Die Keyserver sind aber sowieso ein Problem: Ich hatte früher mal Probleme, ein Revocation-Certificate aufzuspielen, was ja dann doch langsam kein Spaß mehr ist, wenn es nicht funktioniert.
Aber da kommt man vom Hundertsten ins Tausende: Hast Du beispielsweise Deine Partner nach einem Revocation-Certificate gefragt oder wie sie dieses oder ihren Geheimschlüssel (möglicherweise auch ein vorhandenes Backup) aufbewahren?
Du weißt ja, Sicherheit war die Sache mit der Kette und dem schwächsten Glied darin.
hej så länge.
On Tuesday 15 July 2003 22:17, Stefan Berthold wrote:
Once upon a time, I heard Tobias Koenig say:
Dann zweifelst du also das ganze PKI Konzept an?
Nunja, die Aussage stimmt nicht als Folge des oben geschriebenen, aber generell sind derzeitige PKI-Implementierungen (von IPSec über SSL bis GnuPG) nicht der Weisheit letzter Schluß. Sie sind gute Weggefährten, wenn man sie versteht (was ich für mich nicht bis ins letzte Detail in Anspruch nehme), aber sie wecken in den meisten Fällen falsche Hoffnungen.
[cut]
Wenn wir schon beim Krümeln sind:
IPSec, SSL und GnuPG sind keine PKI! Sie sind Implementationen von Crypto-Protokollen. Eine PKI ist eine Infrastruktur zum verteilen und verwalten von Schlüsseln. IPSec besitzt bisher gar keine PKI, SSL basiert auf X.509, GnuPG benutzt die PGP-Keyserver.
Kryptografie ist immer ein Spiel mit Wahrscheinlichkeiten (möglichst sehr dicht an 1 bzw. 0).
Zum Thema Laufzeit und Revocation: Das schwierige an Crypto ist, dass man die sichere Lebenszeit eines Key nicht vorhersagen kann.
Eine Begrenzung auf einen bestimmten Zeitraum ist maximal für eine CA (Certification Authority) sinnvoll.
Dazu gibt es Revocation Zertifikate. Gehen wir mal etwas tiefer in die Materie am Beispiel GPG: Eigensignatur: bestätigt, dass derjenige, der diese UID (Mailadresse/Name) eingefügt hat auch den Schlüssel dazu besitzt und benutzen will. Sowie umgekehrt dass der Besitzer des Schlüssels auch gedenkt die Mailadresse zu verwenden. Signatur: bestätigt, dass derjenige, der signiert den Zusammenhang zwischen UID und Key bestätigt hat.
Was Signaturen nicht aussagen: 1) Eventuell fällt Dir auf, dass ich den Besitzer hier nicht sonderlich deutlich identifiziere: der Besitzer ist bei GPG/PGP nur indirekt via Mailadresse identifiziert, daher sind GPG-Signaturen auch nicht als offizielle (behördliche/geschäftliche) Unterschriften tauglich (dafür gibt es S/MIME)! Der Vergleich mit dem Ausweis bestätigt nur den Namen, eine recht schwache Bestätigung, wenn man bedenkt dass es allein in Dresden hunderte Ronny Müllers geben muss... 2) Signaturen drücken kein Vertrauen aus! Nur dass eine Prüfung eines Zusammenhangs stattgefunden hat. Daher halte ich den Begriff Web-of-Trust für irreführend.
Demzufolge sagen Revocation-sigs aus: UID-Revocation: die UID ist nicht mehr in Benutzung (wenn Du den Key 0f4648c4 ansiehst wirst Du an meiner HTW-Adresse eine revsig finden). Demzufolge sind auch alle anderen Signaturen auf dieser UID belanglos. Revocation of all UIDs: der Key ist ungültig, kompromittiert, nicht mehr sicher. Jeder Key-Besitzer ist verpflichtet diese Operation durchzuführen, wenn er feststellt, dass sein Schlüssel kompromittiert wurde oder der Algorithmus geknackt ist. Revoation einer normalen Sig: der Signierende vertraut der UID oder (wenn alle Sigs zurückgezogen werden) der Identität des Schlüssels nicht mehr (er ist überzeugt, dass der Schlüssel kompromittiert wurde oder der Algorithmus nicht mehr sicher genug ist).
Kurz: Du solltest immer ein Backup Deines eigenen Key und aller von Dir signierten Keys bereithalten, um die entsprechenden Revocations durchführen zu können.
U.a. aus diesem Grund weigere ich mich normalerweise, Keys zu signieren, die der Besitzer nicht ins Netz stellen will: ich habe keine gute Möglichkeit einer Revocation. (Der andere Grund: ich bin zu faul eine Liste von nicht-hochzuladenden Keys zu pflegen.)
Ausserdem ist Signatur ohne Challenge ebenfalls als sehr zweifelhaft anzusehen. Schließlich bestätige ich ja gerade den Zusammenhang zwischen Mailadresse und Key.
Bei PGP.net hatte ich übrigens noch nie Probleme mit den revsigs.
Konrad
Once upon a time, I heard Konrad Rosenbaum say:
On Tuesday 15 July 2003 22:17, Stefan Berthold wrote:
Nunja, die Aussage stimmt nicht als Folge des oben geschriebenen, aber generell sind derzeitige PKI-Implementierungen (von IPSec über SSL bis GnuPG) nicht der Weisheit letzter Schluß. Sie sind gute Weggefährten, wenn man sie versteht (was ich für mich nicht bis ins letzte Detail in Anspruch nehme), aber sie wecken in den meisten Fällen falsche Hoffnungen.
IPSec, SSL und GnuPG sind keine PKI!
Die "PKI-Implementierungen" waren als Begriff unglücklich gewählt.
IPSec besitzt bisher gar keine PKI
Einige IPSec-Implementationen können auch mit X.509-Zertifikaten umgehen. Debian's frees/wan-Pakete kommen mit entsprechend aufbereitet daher.
GnuPG benutzt die PGP-Keyserver.
... auch. Nebenbei kann eine Verteilung von Schlüsseln auf anderen Wegen erfolgen und wesentliche Bestandteile der PKI bleiben dennoch erhalten. Die Tatsache, daß bei X.509 normalerweise ein ganzer Directory-Service dranhängt zwingt den End-Nutzer ebenfalls zu nichts.
Das schwierige an Crypto ist, dass man die sichere Lebenszeit eines Key nicht vorhersagen kann.
Deswegen wählt man eine Zeit, die vertretbar ist. Im Falle einer kompletten Havarie hat dann das Problem auch aus technischer Sicht ein End-Datum.
Eine Begrenzung auf einen bestimmten Zeitraum ist maximal für eine CA (Certification Authority) sinnvoll.
Über welche Art von Schlüsseln reden wir jetzt? Bei X.509 zieht die CA die Gültigkeit der untergeordneten Schlüssel nach sich und sie nimmt auch eine steuernde Funktion ein -- das ist bei der dezentralen Zertifizierung wie in PGP oder GnuPG möglich standardmäßig nicht so.
Signatur: bestätigt, dass derjenige, der signiert den Zusammenhang zwischen UID und Key bestätigt hat.
In GnuPG wurde vor einiger Zeit die Möglichkeit gegeben, dem Schlüssel ein Attribut "Policy-URL" mitzugeben. Darin kannst Du detailliert beschreiben, was Du vor Deiner Signatur überprüft hast.
der Besitzer ist bei GPG/PGP nur indirekt via Mailadresse identifiziert,
Schlimmer noch: Besitzverhältnisse können gar nicht wiedergegeben werden. Die UID ist eine Nummer, als Attribute können Namen, e-mail und ein Kommentar hinzugefügt werden.
Je nach Politik des Unterzeichners und nach Vertrauen zu ihm, kann man aber aus den Attributen eine Vermutung machen (bei den meisten MUAs vollkommen überbewertet).
daher sind GPG-Signaturen auch nicht als offizielle (behördliche/geschäftliche) Unterschriften tauglich (dafür gibt es S/MIME)!
Wenn notariell eine Zuordnung zwischen UID und juristischer Person vorgenommen wird, wäre sowas denkbar. S/MIME hat da nicht viele Vorteile, außer ein paar mehr Attributen und einer steiferen Auslegung der "Vertrauensfindung", da auf X.509 zurückgegriffen wird.
- Signaturen drücken kein Vertrauen aus! Nur dass eine Prüfung eines
Zusammenhangs stattgefunden hat. Daher halte ich den Begriff Web-of-Trust für irreführend.
Hmm, schon wahr, aber die Prüfung eines Zusammenhangs durch einen Dritten schafft auch Vertrauen zu diesem Zusammenhang, wenn man dem Prüfer vertraut. Wie man genau die dadurch reduzierte Unsicherheit definiert hängt von der Art des geprüften Zusammenhangs ab -- was oft falsch verstanden bzw. auf die eigenen Wünsche erweitert wird.
Revoation einer normalen Sig: der Signierende vertraut der UID oder (wenn alle Sigs zurückgezogen werden) der Identität des Schlüssels nicht mehr (er ist überzeugt, dass der Schlüssel kompromittiert wurde oder der Algorithmus nicht mehr sicher genug ist).
Du benutzt hier selbst das Wort "vertraut", aber kurzum: Durch ein Zurückziehen einer Signatur wird das Vertrauen in den geprüften Zusammenhang entzogen.
Kurz: Du solltest immer ein Backup Deines eigenen Key und aller von Dir signierten Keys bereithalten, um die entsprechenden Revocations durchführen zu können.
Lösche "bereithalten", weil irreführend und setze "irgendwo havarie- sicher verstecken".
U.a. aus diesem Grund weigere ich mich normalerweise, Keys zu signieren, die der Besitzer nicht ins Netz stellen will: ich habe keine gute Möglichkeit einer Revocation.
Grundsätzlich gilt, daß Schlüssel oder deren Erweiterungen beim Verursacher zu suchen sind. Du kannst eine Liste von Widerrufen auf Deine Homepage stellen (nur ein Beispiel). Alles, was Du selbst verursacht hast, stellst auch Du online, alles andere bleibt wo es ist.
Du suchst die Vorteile von zentral organisierten PKIs.
(Der andere Grund: ich bin zu faul eine Liste von nicht-hochzuladenden Keys zu pflegen.)
Verschiedene Keyrings helfen Dir dabei.
Ausserdem ist Signatur ohne Challenge ebenfalls als sehr zweifelhaft anzusehen. Schließlich bestätige ich ja gerade den Zusammenhang zwischen Mailadresse und Key.
Es ist *ein* Zusammenhang, das hat ja auch keiner bezweifelt.
Bei PGP.net hatte ich übrigens noch nie Probleme mit den revsigs.
Eine möglicherweise nicht komplette Übersicht findest Du auf:
http://keyserver.kjsl.com/~jharris/keyserver.html
hej så länge.
Tobias Koenig (tokoe@kde.org) schrieb auf LUG-DD am Mon, 14 Jul, 2003; 21:12 +0200:
Hi,
da ich als GPG-Newbie zum ersten Mal bei einer kleinen Key-Signing-Party mitgemacht habe, muss ich nun auch brav die Schlüssel der anderen Teilnehmer auf ihre Richtigkeit mittels eines Challenges prüfen.
Mir haben einige eine automatisch generierte Key-Challange geschickt, deren E-Mail User-Agent: pp-ca 0.1, (c) 1998 Ian Jackson, 2001 Peter Palfrader im Header trägt. Leider bin ich weder mit www.alltheweb.com, freshmeat.net noch mit www.google.com fündig geworden.
Hat jemand soetwas schon mal gemacht und zufällig ein kleines Script dafür auf seiner Festplatte liegen?
Damit habe ich jetzt angefangen. Wenn man's benutzen kann, schicke ich es Dir.
Gruß,
Frank
Hallo Tobias!
da ich als GPG-Newbie zum ersten Mal bei einer kleinen Key-Signing-Party mitgemacht habe, muss ich nun auch brav die Schlüssel der anderen Teilnehmer auf ihre Richtigkeit mittels eines Challenges prüfen.
Hört hört :) Na da weiss ich ja, wer das nexte mal zum Treffen einen Ausweis und seinen Fingerprint mitbringt ;)
Hat jemand soetwas schon mal gemacht und zufällig ein kleines Script dafür auf seiner Festplatte liegen?
Unter http://savannah.nongnu.org/projects/cabot gibt es ein Script, das offenbar ein paar Leute vom Signing in Karlruhe benutzen. Leider hat es keine richtige Doku, weswegen ich mangels Zeit auch noch nicht dazu gekommen bin mich damit zu beschäftigen :(
7 Kontakte sind zwar nicht _so_ viel, aber dennoch zu viel um das von Hand zu machen ;)
Frag mal mich. In Karlruhe waren's gleich mal über 100 ;)
Schönen Tag noch, Christian Horchert
lug-dd@mailman.schlittermann.de
-
Christian H.Horchert -
Frank Becker -
Konrad Rosenbaum -
Stefan Berthold -
Tobias Koenig