Kategorien
Blog

Aktion: Zeig mir Deinen Key Fingerprint

Das ist jetzt erstmal der letzte Artikel zur Mailverschlüsselung, dann kümmere ich mich wieder um was anderes. Versprochen!

In dem Erklärbärartikel letzte Woche schrieb ich über die Identitätsprüfung im Web Of Trust:

Dazu muss über einen zweiten Kanal (der so sicher wie möglich nicht unter der Kontrolle des MITM [„Man in the Middle“] steht, am besten also ein persönliches Treffen) der sogenannte Fingerabdruck des Schlüssels miteinander verglichen werden.

Persönliche Treffen sind leider selten. Trotzdem weiß ich bei vielen von Euch, wie ihr ausseht. Ich schlage daher vor, dass wir als „zweiten Kanal“ uns alle mal mit unseren PGP-Key-Fingerprints fotografieren, und die Bilder an möglichst vielen Stellen veröffentlichen.

7383 4d64 1725 fb40  f474 5cd7 78e6 a8fa e80d

Das sieht dann ein wenig so aus wie die Bilder von Entführten mit aktueller Tageszeitung und verleiht der Verschlüsselungssache auch gleich einen leichten Guerillatouch. 😉

An je mehr unterschiedlichen Stellen derselbe Fingerabdruck zu sehen ist — am besten noch auf verschiedenen Bildern, desto unwahrscheinlicher ist, dass der „Man in the Middle“ die Bilder verfälscht hat. Mein Bild gibt es daher auch auf instagram und flickr.

Schickt mir weiter Eure PGP-Schlüssel, zeigt mir Eure Fingerprints und taggt sie mit „KeyFingerprint“!

Von dentaku

Site Reliability Engineer, Internet-Ureinwohner, Infrastrukturbetreiber, halb 23-Nerd halb 42-Nerd, links, gesichtsblind.

Schreibt mit "obwaltendem selbstironischem Blick auf alles Expertentum" (Süddeutsche Zeitung)

11 Antworten auf „Aktion: Zeig mir Deinen Key Fingerprint“

Das ist ja der komplette Key, ich habe nur den Fingerprint, den man unbedingt vergleichen sollte, bevor man einem Schlüssel vertraut. Die Kommandozeilenversion von gpg z.B. zeigt den Fingerprint mit „gpg –fingerprint“, also in Deinem Fall:

dentaku@nyx:~$ gpg  --fingerprint 544A4B32
pub   2048R/544A4B32 2013-03-25 [expires: 2018-03-24]
      Key fingerprint = F57B DACB 8C4F 7765 F8BA  BDA1 CA46 E5F2 544A 4B32
uid                  Alexander Schnapper 
sub   2048R/88084EAD 2013-03-25 [expires: 2018-03-24]

In den verschiedenen GUI-Versionen steht der Fingerprint meistens unter „Erweiterte Informationen“ (oder so).

PGP hat leider eine Schwachstelle, die es ermöglicht, Fingerprints zu faken, wenn man dafür die Schlüssellänge verändert.

Zusätzlich zum Fingerprint sollte man daher auch die Schlüssellänge auf Plausibilität überprüfen.

Es genügt eigentlich, darauf zu achten, dass die Schlüssellänge plausibel ist, also 1024, 2048, 4096 oder 8192. Krumme Längen sollten aufhorchen lassen. Ganz sicher gehen kannst du, indem du zum Fingerprint die Keylänge dazu schreibst.

Hehe da klicke ich nichtsahnend auf Grund der aktuellen Diskussion über Schriften und deren Größe auf Twitter hier her und finde diese super Idee.

Sollte ich das tatsächlich hinbekommen, für mich solch einen Finger zu erstellen, mache ich ganz klar mit.

[…] Mailverschlüsselung / Keysigning Diese Doppelsession hatte sich Patrick Schneider (@Schiri) vorher gewünscht. Sie bestand aus einem Vortrag von Frank Stohl, der Mailverschlüsselung mit PGP/GnuPG erklärte. Daran wollte ich ursprünglich eine GPG-Keysigning-Party anschließen, doch der zweite Vortragsslot wurde von der Diskussion vollständig ausgefüllt: statt die Schlüssel zu signieren haben wir die Theorie besprochen, wie und unter welchen Vorbedingungen denn Schlüssel zu signieren sind. Das hat so wahrscheinlich für die Teilnehmer größeren Nutzen gehabt als anders. Es folgte zum Beispiel von Oliver Gassner schon kurz danach ein Artikel mit den notwendigen Daten, um eine sichere und überprüfte Verschlüsselung aufzubauen. Weiterführende Artikel: Kryptographie ist schwierig und Aktion: Zeig mir Deinen Key Fingerprint. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert