GPG Key Signing Party

Special note by the Conference Committee regarding this year's keysigning party

The KSP this year is not an official event of 22C3. Originally, we did not plan for this event to take place at all due to the following things that happened at last year's event:

• keys of persons who were on the list yet did not attend the KSP were blindly signed anyway
• keys of persons were refused because they failed to show valid identification even though said persons' keys beared enough trusted signatures to warrant further signings

Obviously there was a problem with the comprehension of the Web of Trust. We therefore ask each and every participant this year to make sure they understand the fundamental concepts of the WoT before attending this event. In order to remedy any shortcomings we have conveniently scheduled this year's KSP to take place immediately following the talk Breaking Down the Web of Trust. Attendance here is highly recommended. Future key signing events at the congress will be dependent on the outcome of this year's KSP.

Thank you,
Conference Committee

When and where? --- Wann und wo?

The keysigning party will take place on the 29th of December 2005 at 23:50, right after Seth Hardy's talk Breaking Down the Web of Trust. We will meet in Saal 4.

Das Keysigning wird am 29. Dezember 2005 um 23:50 Uhr stattfinden, im Anschluss auf den Vortrag von Seth Hardy Breaking Down the Web of Trust. Wir treffen uns in Saal 4.

What is a keysigning party? --- Was ist ein Keysigning?

The main intentention of a keysigning party is to improve your personal web of trust. For this reason it is highly recommend for you to be present for the talk Breaking Down the Web of Trust by Seth Hardy to be held on the third day at 23:00 in Saal 4. The keysigning will be held directly afterwards.

When you create a PGP-key, nobody knows if it really belongs to you. (You can create keys for any name you want.) Therefore, people meet at keysigning parties and compare the data on a person's key with his or her passport, any other official documents or by comparing signatures already on that key to those already trusted. If they believe that key and person belong to each other, they will sign your key.

You can improve the trust level of your key and you'll also meet some interesting people. ;-)

As PGP/GPG-keys are mostly used for email, it's very important to check the email address and user name. A challenge/response-procedure is often used here. You first send an encrypted random string to each email address which is listed within the key. If your counterpart sends back the decrypted string, which matches your sent version, you sign the key. (Note: the link between the name/ID and the email/key isn't ensured by this procedure.) There are some programs, i.e. CAbot, which will do this task. Please look at "Another reason..." at 20C3-Wiki for a further discussion.

Die Teilnahme an einem Keysigning soll das Web of Trust stärken. Dazu wird die Teilnahme am Vortrag Breaking Down the Web of Trust von Seth Hardy strengstens empfohlen. Dieser wird am 3. Tag um 23:50 im Saal 4 stattfinden. Das Keysigning wird direkt im Anschluss stattfinden.

Denn wenn ihr euren PGP-Schlüssel erzeugt habt, steht dieser zunächst allein auf weiter Flur und die Existenz dessen bedeutet noch lange nicht, dass er auch wirklich von dir stammt.

Hierzu dient das Keysigning. Viele verschiedene Leute treffen sich und vergleichen die Daten auf deinem Schlüssel mit einem Ausweisdokument oder vergleichen die Signaturen auf dem Key mit denen, die einer/einem bereits vertraut sind. Falls die Daten übereinstimmen, beglaubigen sie dies mit einer Unterschrift unter deinen PGP-Schlüssel.

Somit kannst du den Vertrauensgrad in deine Schlüssel erhöhen und lernst nebenbei eine Menge netter Leute kennen.

Da GPG- wie GPG-Schlüssel zumeist für E-Mails verwendet werden, solltet ihr sowohl den Namen auf dem Schlüssel wie auch die E-Mailadresse prüfen. Viele nutzen hier ein Challenge/Response-Verfahren. Dazu wird eine verschlüsselte E-Mail mit einem zufälligen Wert an jede E-Mailadresse des Schlüssels gesandt. Der Empfänger muss jeden der Werte in einer entschlüsselten Variante an euch zurücksenden. Wenn das geschieht, kann der Schlüssel dann unterschrieben werden. Programme, wie der CAbot erledigen dies auch semiautomatisch. (Dabei wird nur gezeigt, dass der Schlüsselinhaber Zugang zur E-Mail hat. Die Verknüpfung zwischen Namen/Ausweis und Email/Schlüssel wird nicht überprüft.) Schaut euch auch die Diskussion unter der Überschrift "Another reason..." beim 20C3-Wiki an.

What can I do to participate? --- Was muss ich tun, um teilzunehmen?

registration closed
The registration period for the keysigning is now closed. If you want to join the keysigning and have not registered yet, please print out lots of fingerprints and join us.

1. Download the list of all participants and print it.
2. Check your key(s) on the list and send a mail to mailto:jens@kubieziel.de if there are any mistakes.
3. Calculate the MD5- or SHA1-hash of the list and enter these value into the corresponding field. The list is encoded in ISO-8859-1 and the first two bytes of MD5 are C2 B0, the first two bytes of SHA1 05A3.
4. Take the list and your passport to Berlin and enjoy the keysigning party :-)

It is often useful to see which keys you already signed, therefore you can use Uli Martens' gpgsigs-script together with the list of all participants and the public keyring. The script is very simple to use:

gpgsigs keyid [<keyring> [<keytxt> [<outfile]]]

It outputs a list similar to the above mentioned, but shows an "S" in front of every uid that is signed by your key.

Registrieung beendet
Die Anmeldefrist für das Keysigning ist zu Ende. Wenn du trotzdem am Keysigning teilnehmen möchtest, drucke dir deine Fingerprints in hinreichender Menge aus und komme zur angesetzten Zeit mit vorbei.

1. Lade die Liste der Schlüssel herunter und drucke diese aus
2. Prüfe, ob deine Daten auf dem Ausdruck korrekt sind und schicke eine E-Mail an mailto:jens@kubieziel.de, falls du Fehler findest.
3. Errechne den MD5- oder SHA1-Hash der Datei und trage diesen im entsprechenden Feld des Ausdruckes ein. Die Liste ist ISO-8859-1-kodiert. Die ersten Bytes des MD5-Hash sind C2 B0 und von SHA1 05A3.
4. Stecke die Liste ein und bring sie mit nach Berlin (Vergiss auch nicht, deinen Ausweis einzustecken!)

Falls du wissen möchtest, welche Schlüssel schon mit deinem unterschrieben wurden, kannst das Perlskript von Uli Martens zusammen mit der Liste der Teilnehmer und dem öffentlichen Schlüsselring nutzen. Die Benutzung ist relativ einfach:

gpgsigs keyid [<keyring> [<keytxt> [<outfile]]]

Das Skript gibt eine Liste aus, bei der jeder Schlüssel, der mit deinem Schlüssel unterzeichnet wurde, am Anfang ein "S" hat.

How does the whole thing work? --- Wie geht so ein Keysigning von statten?

We will meet at the above mentioned time and will compare the MD5-/SHA1-values that everyone has calculated for his own. If these values are all equal, everyone has the same version of the list. Hereafter we create a long line and everyone will check fingerprint and passport of its opposite.

When you return home and have recovered from the 22C3-strains, sign all keys which you believe are valid.

Stefan Schmidt will make a graph of the keyring. You can find it at his site.

Wir treffen uns zu der oben genannten Uhrzeit und werden dann alle den errechneten MD5- bzw. SHA1-Hash der Liste aller Fingerprints vergleichen. So stellen wir sicher, dass jeder die gleiche Version hat. Danach werden wir uns wahrscheinlich in einer langen Reihe (abhängig von der Teilnehmerzahl) aufstellen und nacheinander den Fingerprint sowie den Ausweis des Gegenübers prüfen. Wer der Meinung ist, dass dies alles stimmt, macht auf der Liste an der entsprechenden Stelle einen Haken.

Wenn du dann wieder zu Hause angekommen bist und dich von den Strapazen erholt hast, setzt du dich vor den Rechner und unterschreibst alle Keys, die du für richtig hälst.

Stefan Schmidt wird nach dem Keysigning einen Graph des Keyrings erstellen. Ihr könnt euch die Daten dann von seiner Seite herunterladen.

Who's participating? --- Wer nimmt teil?

Please see the list of all participants.

Auf der Liste aller angemeldeten Personen findest du die Teilnehmer am Keysigning.

Where do I get further information? --- Wo kann ich weitere Informationen bekommen?

If you have further questions about the keysigning party, you may want to have a look at the Keysigning Party HOWTO or just mail your questions to mailto:jens@kubieziel.de. If you have general questions about maintaining your keyring, you should read the GPG Mini HOWTO, the GNU Privacy Handbook or the GnuPG FAQ.

Falls du noch Fragen zum Ablauf des Keysignings hast, schau dir das Keysigning Party HOWTO an oder schreibe eine E-Mail mit deinen Fragen an mailto:jens@kubieziel.de. Wenn du generell Fragen zur Verwaltung von Schlüsseln hast, solltest du dir das GPG Mini HOWTO, das Handbuch zum Schutz der Privatsphäre oder auch die GnuPG FAQ durchlesen.