Key Signing Party und CAcert Assurances auf der IT-Defense

Auf der diesjährigen IT Defense wird erstmalig eine Key Signing Party sowie CAcert Assurances für die Teilnehmer angeboten:

Westin Hotel Leipzig, Raum Schiller, Dienstag 3.2.2015 um 18:30 Uhr

Key Signing Partys dienen dazu, dass die Teilnehmenden gegenseitig ihre öffentlichen GnuPG Schlüssel (Public Keys) austauschen und dabei die korrekte Zuordnung zum Besitzer überprüfen können. Fällt diese Prüfung zufriedenstellend aus, kann der Schlüssel von den anderen Teilnehmenden als vertrauenswürdig unterschrieben werden. (siehe auch rhonda.deb.at/projects/gpg-party/gpg-party.de.html)

Die IT-Defense-Teilnehmer können an der Party aktiv teilnehmen, wenn sie das Formular im Vorfeld ausfüllen und zurücksenden oder spätestens zur Party ausgefüllt mitbringen. Zur Verifikation vor Ort sollen sie einen Ausdruck des Formulars mit ihren Schlüsseldaten und einen amtlichen Lichtbildausweis mitbringen.
Mit der Rücksendung des ausgefüllten Formulars erklären sich die Teilnehmer einverstanden, dass die darin enthaltenen Daten an die Teilnehmer der Key Signing Party weitergegeben werden.

Key Signing Partys unterstützen die Sicherheit von GnuPG. Bei GnuPG handelt es sich um ein Standard-Verschlüsselungsverfahren, das vorwiegend zur Absicherung von E-Mail eingesetzt wird (neben dem zertifikatsbasierten S/Mime-Verfahren). Die größte Schwäche besteht jedoch in der Problematik, zu prüfen, ob die verwendeten Schlüssel tatsächlich den vermeintlichen Besitzern gehören. Stattdessen könnten von einem Angreifer zu beliebigen Identitäten (z.B. auch fremden oder erfundenen E-Mailadressen) Schlüssel generiert und in Umlauf gebracht werden. Im Gegensatz zu S/Mime Zertifikaten, die auf einem hierarchischen Vertrauen zu einer (mehr oder weniger vertrauenswürdigen) herausgebenden CA basieren, nutzt GnuPG das Web of Trust Konzept, wonach jeder nur Schlüsseln nach seiner ganz persönlichen Vertrauensbeziehung zum Ersteller vertraut. Das Web of Trust wird durch eben solche Vertrauensbeziehungen gewebt, die auch indirekt wirken können (Motto: Ich vertraue mittelbar auch Schlüsseln Dritter, die Leute unterschrieben haben, deren Schlüsseln ich direkt vertraue, sogenanntes transitives Vertrauen).  

Die Key Signing Party erlaubt das Verifizieren der Zugehörigkeit der Schlüssel aller Teilnehmenden untereinander, indem diese ihre Schlüssel mitbringen und die Korrektheit der Beziehung zwischen den Schlüsseln und deren Besitzern direkt vor Ort überprüft wird. Dadurch kann zwischen den Teilnehmenden bereits ein kleines, aber sehr festes IT-Defense Web of Trust gewebt werden, das über mittelbares Vertrauen mit anderen Web of Trusts verknüpft ist.

Nach der Party kann jeder Teilnehmer in seiner GnuPG Schlüsselverwaltung entsprechend eintragen, wem er nun vertraut. Er kann (muss aber nicht) die Echtheit der auf der Party geprüften Schlüssel für Dritte bestätigen und dies veröffentlichen.

Hinweis:
Wer GnuPG noch gar nicht installiert und benutzt hat und deshalb noch keinen Schlüssel besitzt, sollte dies vor der Party tun. Für Einsteiger und unerfahrene Benutzer kann als Einstiegshilfe auch eine sogenannte Cryptoparty dienen, bei der es einen Einführungsvortrag und praktische Installationshilfe gibt. Cryptoparties finden regelmäßig an verschiedenen Orten statt: www.cryptoparty.org

Zusätzliche wird es eine CAcert Assurance geben.

CAcert bietet kostenlose Zertifikate, die für S/Mime-Verschlüsselung geeignet sind.
Mehrere IT Defense Teilnehmer sind bereits CAcert Assurer und können im Rahmen der Key Signing Party auch Assurences für CAcert anbieten. Der Vorgang ist thematisch mit dem Key Signing verwandt, da auch hier die Identität samt E-Mail-Adresse mit einem Schlüssel (enthalten im CAcert Zertifikat) verknüpft wird.

Einschränkung:
Für Authentisierung von Webservices sind CAcert Zertifikate im Moment nur sehr eingeschränkt geeignet, da die CAcert-Root-Zertifikate standardmäßig nicht als vertrauenswürdige CA in den Browsern gespeichert sind. Beim Erstbesuch der Webseite https://CAcert.org kommt es daher auch zu einer Zertifikatswarnung.  

CAcert ist eine ebenfalls auf dem Web of Trust basierende CA, die kostenlos Zertifikate an ihre Community-Mitglieder herausgibt. Dazu muss sich der Antragsteller nur auf der Webseite CAcert.org registrieren und den Regeln der Community zustimmen, die im Wesentlichen folgende Punkte umfassen:

• die für die Registrierung verwendete E-Mail-Adresse soll dauerhaft genutzt und die Zugangsdaten zum E-Mail-Konto sicher und ausschließlich vom Antragsteller verwendet werden
• die Haftung für Missbrauch oder Fehler im Zusammenhang mit den von CAcert ausgestellten Zertifikaten ist auf max. 1000 € pro Fall begrenzt.
• Sollte es zu Problemen oder Streitigkeiten im Zusammenhang mit den Zertifikaten kommen, ist zunächst die Community interne Abuse-Stelle einzuschalten und nur, wenn sich das Problem auf diesem Weg nicht zufriedenstellend lösen lässt der Gerichtsweg zu beschreiten.   

Community-Mitglieder können nach ausreichender Prüfung ihrer Identität durch andere Community-Mitglieder (CAcert Assurer) eine Assurer-Prüfung ablegen und danach selbst weitere Community-Mitglieder assuren, also deren Identität verifizieren. Es sind mindestens zwei Assurences durch unterschiedliche Mitglieder und mit direktem persönlichen Kontakt und Sichtprüfung vorgelegter gültiger Ausweisdokumente erforderlich, wodurch ein 4-Augen-Prinzip gewahrt wird.
Durch die Assurences der anderen Mitglieder wird die Identität des Community-Mitglieds mit der registrierten E-Mail-Adresse verknüpft und bestätigt und das so bestätigte Mitglied kann sich ein Class-3-Zertifikat auf seinen Namen ausstellen lassen.

Ohne Assurances ist nur die Ausstellung von Class-1-Zertifikaten möglich, die zwar mit der registrierten E-Mail-Adresse, nicht aber mit einer geprüften Identität verknüpft sind.

Vorbereitung CAcert Assurances:

• mindestens ein (besser zwei) gültige amtliche Ausweisdokument(e) mit Lichtbild
• Idealerweise können sich Interessierte bereits vorab auf CAcert.org registrieren und mit der entsprechenden Funktion das bereits ausgefüllte CAB-Formular mitbringen.