PGP-Schlüssel verwalten
Gestern zeichneten wir bei Dirk die achte Folge von Deimhart auf und haben zugleich mit unserem Gast Martin Steiger die PGP-Schlüssel ausgetauscht. Für mich war das zugleich das erste mal, dass ich die Schlüssel anderer signiert und für vertrauenswürdig erklärt habe. Es war deshalb auch eine gute Vorbereitung auf die kommende Keysigning-Party vom 11. Dezember 2009 in Zürich.
Wir haben dazu auf unseren Ubuntu-Rechnern das Terminal benutzt, während dem Martin auf seinem Mac ein grafisches Tool eingesetzt hat. Welches er verwendet hat, wird im Laufe unserer 8. Folge, die am kommenden Montag veröffentlicht wird, erklärt. Mit dem Terminal ist das Ganze leicht umständlich, Freunde des Terminals sehen das aber wohl etwas anders. Idealerweise würde man dazu noch caff installieren, welches im Paket signing-party liegt. Dort ist es wichtig, dass zuerst der gewünschte lokale Mailer installiert wird, sonst löst die Abhängigkeit von apt die zusätzliche Installation von exim4 aus. Auf der Website der Keysigning-Party zu Zürich ist das Vorgehen per Terminal sehr gut beschrieben. Ich für meinen Teil habe es lieber etwas grafischer und suchte deshalb nach Alternativen.
Die wahrscheinlich einfachste Möglichkeit unter Gnome wird Seahorse sein, da dieses Programm seit Ubuntu 8.04 standardmässig mitinstalliert wird. Daneben gibt es noch GPA, das direkt vom GnuPG-Projekt stammt. Es ist aber recht spartanisch und bietet nicht viel, reicht aber im Allgemeinen für die Aufgaben im Zusammenhang mit der Schlüsselverwaltung. Für KDE-Freunde gibt es Kgpg. Wahrscheinlich gibt es noch weitere grafische Applikationen, um solche Aufgaben damit zu erledigen.
Ganz praktisch finde ich die Erweiterung für Thunderbird namens Enigmail. Es erweitert Thunderbird und weitere Klienten wie dem Mailer von SeaMonkey um Funktionen, mit denen GnuPG genutzt werden kann und Mails verschlüsselt oder signiert versandt oder empfangen werden. Mit dabei ist auch eine Schlüsselverwaltung, welche die nötigsten Funktionen wie Suchen auf einem Schlüsselserver, Signieren, Vertrauen, Exportieren und den Upload auf den Schlüsselserver bereitstellt. Damit lassen sich also auch alle anfallenden Tätigkeiten nach einer Keysigning-Party abwickeln.
Obschon das Vertrauen und Signieren mit Enigmail viel schneller erledigt werden kann, aber auch das Versenden des Schlüssels oder das Hochladen direkt auf den Server, sollte trotzdem exakt gearbeitet werden, damit wirklich nur solche Schlüssel signiert und für vertrauenswürdig eingestuft werden, deren Besitzer man eindeutig identifiziert hat. Auf der Website der Keysigning-Party heisst es dazu:
Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails walten zu lassen.
Ich freue mich auf die Party, zumal solche Veranstaltungen nicht nur für das Keysigning an sich genutzt werden, sondern auch die Kontaktpflege und der Austausch nicht zu kurz kommen. Und mit Enigmail kann ich die administrativen Aufgaben nach der Party wohl etwas einfacher erledigen – hoffe ich zumindest.
06. Dezember 2009 um 15:23:25 Uhr
[...] der gestrigen «DeimHart»-Podcast-Aufzeichnung hatte ich unter anderem Gelegenheit, meinen privaten OpenPGP-Schlüssel durch die «DeimHart»-Macher Dirk und Roman signieren zu las…. Dabei zeigte sich wieder einmal, dass auf dem Mac dabei einige Schwierigkeiten zu meistern [...]