Difference between revisions of "Keysigning"

From C4 Wiki
Jump to: navigation, search
Line 3: Line 3:
 
Am 15.12. machen wir eine kurzen Einführung in Public Key Infrastructure (PKI) und PGP Signierung.
 
Am 15.12. machen wir eine kurzen Einführung in Public Key Infrastructure (PKI) und PGP Signierung.
  
Bitte lest die untenstehenden Artikel und bringt bei Interesse 2 Lichtbildausweise mit (CACert) und falls Ihr Euch für PGP/GPG Keys interessiert, erstellt am besten vorher einen eigenen und bringt einen Zettel mit Eurem Fingerprint mit.
+
Bitte lest die untenstehenden Artikel und bringt bei Interesse 2 Ausweisdokumente (o.Ä., Führerschein, etc. mit CACert) und falls Ihr Euch für PGP/GPG Keys interessiert, erstellt am besten vorher einen eigenes Key-Paar und bringt einen Zettel mit Eurem Fingerprint mit.
  
* [http://de.wikipedia.org/wiki/Web_of_Trust Web of Trust]
+
====Worum es geht====
 +
Verschlüsselung erforder in modernen Verfahren meist ein Schlüsselpaar, das eingebettet ist in eine sogenannte Public Key Infrastructure (PKI). Dabei erstellt man einen geheimen Schlüssel (secret key) und erstellt auch einen öffentlichen Schlüssel (public key).
 +
 
 +
Um eine Nachricht an den Empfänger zu verschlüsseln benötigt man den öffentlichen Schlüssel. Um nun sicher zu stellen das der öffentliche Schlüssel wirklich zum Empfänger gehört, hat es sich als sinnvoll erwiesen Signaturen zu erstellen. Dabei gibt es verschiedene Modelle die Echtheit einer Signatur zu überprüfen
 +
 
 +
* [http://de.wikipedia.org/wiki/Web_of_Trust Web of Trust] Man signiert seine Bekannten, Freunde und Geschäftspartner und stellt somit ein Netzwerk des Vertrauens auf. Vorteil: Einfach einzurichten und zumeist auch kostenfrei. Nachteil: Die Nachverfolgbarkeit und Verteilung der Schlüssel ist aufwendiger, gefälschte Signaturen sind schwerer zu entfernen. Ein Beispiel hierfür ist PGP bzw. dessen freie Implementierung Gnu Privacy Guard (GPG).
 +
 
 +
* Eine Zentrale Zertifizierungsstelle die auch eine Liste der ungültigen Zertifikate unterhält und bei Bedarf auch ausgegebene Schlüssel oder Unterzertifizierungsstellen als ungültig markieren kann. Hier gibt es zum Beispiel CA Cert, Thwate, Versign, Signtrust und viele andere.
 +
 
 +
====PGP/GPG Keysiegnierung====
 +
* [http://de.wikipedia.org/wiki/GNU_Privacy_Guard Gnu Privacy Guard]
 +
 
 +
====CACert====
 
* [http://de.wikipedia.org/wiki/CAcert CACert]
 
* [http://de.wikipedia.org/wiki/CAcert CACert]
* [http://de.wikipedia.org/wiki/GNU_Privacy_Guard Gnu Privacy Guard]
+
 
 +
====Siehe auch====
 
* [https://events.ccc.de/congress/2005/wiki/Keysigningparty Keysigning Party] beim 22C3
 
* [https://events.ccc.de/congress/2005/wiki/Keysigningparty Keysigning Party] beim 22C3

Revision as of 11:51, 14 December 2005

Keysigning am 15.12.2005

Am 15.12. machen wir eine kurzen Einführung in Public Key Infrastructure (PKI) und PGP Signierung.

Bitte lest die untenstehenden Artikel und bringt bei Interesse 2 Ausweisdokumente (o.Ä., Führerschein, etc. mit CACert) und falls Ihr Euch für PGP/GPG Keys interessiert, erstellt am besten vorher einen eigenes Key-Paar und bringt einen Zettel mit Eurem Fingerprint mit.

Worum es geht

Verschlüsselung erforder in modernen Verfahren meist ein Schlüsselpaar, das eingebettet ist in eine sogenannte Public Key Infrastructure (PKI). Dabei erstellt man einen geheimen Schlüssel (secret key) und erstellt auch einen öffentlichen Schlüssel (public key).

Um eine Nachricht an den Empfänger zu verschlüsseln benötigt man den öffentlichen Schlüssel. Um nun sicher zu stellen das der öffentliche Schlüssel wirklich zum Empfänger gehört, hat es sich als sinnvoll erwiesen Signaturen zu erstellen. Dabei gibt es verschiedene Modelle die Echtheit einer Signatur zu überprüfen

  • Web of Trust Man signiert seine Bekannten, Freunde und Geschäftspartner und stellt somit ein Netzwerk des Vertrauens auf. Vorteil: Einfach einzurichten und zumeist auch kostenfrei. Nachteil: Die Nachverfolgbarkeit und Verteilung der Schlüssel ist aufwendiger, gefälschte Signaturen sind schwerer zu entfernen. Ein Beispiel hierfür ist PGP bzw. dessen freie Implementierung Gnu Privacy Guard (GPG).
  • Eine Zentrale Zertifizierungsstelle die auch eine Liste der ungültigen Zertifikate unterhält und bei Bedarf auch ausgegebene Schlüssel oder Unterzertifizierungsstellen als ungültig markieren kann. Hier gibt es zum Beispiel CA Cert, Thwate, Versign, Signtrust und viele andere.

PGP/GPG Keysiegnierung

CACert

Siehe auch