PGP (Pretty Good Privacy) en GPG (Gnu Privacy Guard) maken het mogelijk veilig te e-mailen door middel van encryptie en digitale handtekeningen. Net als bij technieken zoals SSL of HTTPS werkt dit door middel van public key cryptografie. Hierbij zijn er twee sleutels: een geheime (private key), die het mogelijk maakt berichten digitaal te ondertekenen en versleutelde berichten te ontcijferen, en een openbare (public key) die het mogelijk maakt voor anderen om de handtekening te controleren of een bericht te versleutelen zodat alleen de eigenaar van de geheime sleutel het kan lezen.
Public key cryptografie heeft echter wel een zwakke plek: het is alleen te vertrouwen als je zeker bent dat een public key inderdaad van de juiste persoon is. Om dit op te lossen gebruiken SSL en andere X.509-gebaseerde systemen een beperkt aantal "certificate authorities" die na de nodige controles instaan voor de identiteit van bedrijven en eindgebruikers. GPG (en PGP) daarentegen werkt met een "web of trust": iedere gebruiker heeft de mogelijkheid via een signature (handtekening) aan te geven dat hij instaat voor de identiteit van een andere gebruiker. Door nu een keten van signatures te volgen kunnen ook mensen die nooit in levende lijve een public key uitgewisseld hebben (redelijk) veilig met elkaar communiceren.
Zo'n web of trust valt of staat met de beschikbaarheid van voldoende goed gecontroleerde signatures. En dat is waar een key signing party goed voor is: hierbij ontmoeten GPG/PGP gebruikers elkaar, en na de nodige controles signen ze elkaars public key. Tijdens "Lies on the Beach" zal een key signing party plaatsvinden die als volgt in zijn werk gaat:
1. Iedereen die mee wil doen meldt zich aan door een mailtje naar keysigningparty@security.nl te sturen. Sign het mailtje of vermeld je key id. Aanmelden kan tot uiterlijk 13 augustus om 16 uur.
2. In principe verwachten we dat je je public key naar pgp.mit.edu upload. Mocht je dit niet willen, geef dit dan aan in je aanmelding (er gaan dan een paar dingen wat anders).
3. Zaterdag de 14e neem je je key fingerprint en een identiteitsbewijs mee. Je computer kan je thuislaten: die heb je voor de key signing party niet nodig.
4. Je krijgt van ons een lijst met namen, key ids en fingerprints, en een sticker met daarop een sleutel. (Opplakken op een goed zichtbare plaats.)
5. Mensen die meedoen aan de KSP kan je herkennen aan de sticker. Let op dat iedereen zelf zijn of haar sign-beleid kan bepalen. Mocht je genegen zijn iemand anders key te signen, vergelijk dan de gegevens van de ander (met name de fingerprint die zij zelf meegenomen heeft) met de gegevens op de lijst. Je moet zelf bepalen hoe je weet of de ander daadwerkelijk is wie hij zegt. Over het algemeen controleer je een paspoort/id-kaart/rijbewijs. Maak een aantekening op de lijst dat alle gegevens kloppen.
6. Bij thuiskomst haal je de keys die je gaat signen op vanaf de keyserver (pgp.mit.edu), controleer je de gegevens van de key met die op je lijst en genereer je een signature. Daarna mail je de key naar de persoon in kwestie en/of upload je hem naar de server.
Deze posting is gelocked. Reageren is niet meer mogelijk.