Dieses Dokument beschreibt einen Mechanismus zur Verteilung und Aktivierung des Widerrufzertifikats des Tails-Signierschlüssels.

Status

Dieses Dokument ist veraltet.

Es wird durch tails/summit/-/issues/36 vereinfacht oder entfernt.

Ziele

Abgedeckt durch den aktuellen Vorschlag:

  • Verhindern, dass eine einzelne Person unseren Signierschlüssel widerruft.

  • Ermöglichen Sie einer Koalition von Personen aus dem Vorstand, unseren Signierschlüssel zu widerrufen, falls die meisten Personen aus dem Vorstand nicht mehr verfügbar sind.

  • Erlauben Sie einer Koalition von Personen, die nicht notwendigerweise dem Vorstand angehören müssen, unseren Signaturschlüssel zu widerrufen, falls alle oder fast alle Mitglieder des Vorstands nicht mehr verfügbar sind.

  • Es soll einer Koalition von Personen, die nicht im Vorstand sind, erschwert werden, unseren Signierschlüssel zu widerrufen, es sei denn, alle oder fast alle Vorstandsmitglieder werden nicht mehr verfügbar.

  • Personen, die nicht im Vorstand sind, sollten nicht wissen, wie die Anteile verteilt sind und wer sie besitzt.

  • Personen, die im Besitz eines Anteils des Widerrufszeugnisses des Signierschlüssels sind, sollten Anweisungen zur Verwendung erhalten, falls dies erforderlich ist.

Gruppen

Wir definieren vier komplementäre Gruppen vertrauenswürdiger Personen:

  • Gruppe A: Personen aus dem Vorstand selbst
  • Gruppe B
  • Gruppe C
  • Gruppe D

Alle diese Personen sollten einen OpenPGP-Schlüssel haben und verstehen, was ein Widerrufszertifikat ist.

Kryptografische Freigaben

Wir generieren ein Widerrufszertifikat des Signaturschlüssels und teilen es in eine Reihe von kryptografischen Freigaben auf, wobei wir beispielsweise Shamirs geheimes Freigabeschema, implementiert von "gfshare", verwenden.

Die folgenden Personenkombinationen könnten zusammenkommen und ihre Anteile wieder zusammensetzen, um ein vollständiges Widerrufszertifikat zu rekonstruieren:

  • Drei Personen aus dem Vorstand: A{3}
  • Two people from the Board and one person not from the Board: A{2}+(B|C|D)
  • One person from the Board, and two people not from the Board but from two different groups: A+(B|C|D){2}
  • Three people not from the Board but from three different groups: (B+C+D){3}

Wir generieren diese Freigaben:

  • N shares, one for each person from the Board
  • 1 Freigabe für Personen in Gruppe B
  • 1 Freigabe für Personen in Gruppe C
  • 1 Feigabe für Personen in Gruppe D

Wer weiß was

  • People from the Board know the composition of each group
  • People not from the Board:
    • Are explained in which circumstances they should revoke the signing key
    • Are told to write to a certain contact email address if they decide to revoke the signing key
    • Are told that they need three different shares to reassemble the revocation certificate

Infrastruktur

  • Jeder, der eine Freigabe besitzt, hat eine Mailingliste abonniert.
  • Diese Mailingliste wird auf einem vertrauenswürdigen Server gehostet, der sich von boum.org unterscheidet, um widerstandsfähiger als unsere üblichen Kommunikationskanäle zu sein.
  • Jemand, der die Mailingliste hostet, gehört zur Gruppe B, C oder D, damit er sicherstellen kann, dass die Liste auch dann funktioniert, wenn sie nie verwendet wird.

Ändern der Mitglieder der Gruppen B, C oder D

Um jemanden zu einer bestimmten Gruppe hinzufügen:

  • Bitten Sie jemanden aus dieser Gruppe, ihre Freigabe an die neue Person in der Gruppe zu senden.

Um jemanden aus einer bestimmten Gruppe zu entfernen:

  • Senden Sie neue Freigaben an alle außer an die Person, die entfernt wird.
  • Fordern Sie alle auf, ihre vorherige Freigabe zu löschen und verfolgen Sie dies. Sobald jeder in 2 Gruppen B, C oder D seine Freigabe gelöscht hat, kann er das Widerrufszertifikat nicht mehr mit dem vorherigen Satz von Freigaben zusammensetzen.
  • Hoffen wir, dass dies nicht sehr oft vorkommt :)

Ablauf

Es gibt kein Ablaufdatum für Widerrufsbescheinigungen. Eine Möglichkeit, die Widerrufsmacht aufzuheben, besteht darin, alle Kopien der Anteile von 2 Gruppen unter B, C oder D zu vernichten.

Einladungs-E-Mail

Jemand, der eine persönliche Vertrauensbeziehung zu der eingeladenen Person hat, sendet diese E-Mail.

Subject: distribution

Hi,

We want to propose you to be part of a distributed mechanism for the
revocation certificate of the Tails signing key.

Die Idee ist, kryptografische Anteile dieses Widerrufszertifikats an
Personen zu verteilen, denen wir vertrauen. Diese kryptografischen Anteile
können zusammengefügt werden, um das Widerrufszertifikat wiederherzustellen
und den Tails-Signierschlüssel zu widerrufen. Dies könnte erforderlich sein,
falls uns etwas Schlimmes zustößt und wir den Widerruf nicht selbst
durchführen können.

Note: In all this document, 'us' refers to the Board.

Sie können eine vollständige Beschreibung des Verteilungsmechanismus unter
folgender Adresse lesen:

https://tails.net/doc/about/openpgp_keys/signing_key_revocation.

Das Rezept ist öffentlich, und die einzige geheime Komponente ist die Liste
der Personen, die im Besitz des kryptografischen Materials sind.

Wir schlagen dies Ihnen vor, weil wir sowohl auf Ihre technischen
Fähigkeiten vertrauen, Ihren Anteil an einem sicheren Ort zu speichern und
ihn bei Bedarf zu handhaben. Aber auch, weil wir Ihnen als Mensch vertrauen,
informierte Entscheidungen darüber zu treffen, wann Sie Ihren Anteil
verwenden und nur im Interesse von Tails zu handeln.

Die schlechten Dinge, die passieren könnten, wenn der Mechanismus
fehlschlägt, sind:

A. Der Signaturschlüssel wird nicht widerrufen, wenn er widerrufen werden
sollte. Dies könnte es möglichen Angreifern ermöglichen, bösartige
Tails-Images zu verbreiten oder bösartige Informationen in unserem Namen zu
veröffentlichen.

B. Der Signaturschlüssel wird widerrufen, obwohl dies nicht hätte geschehen
dürfen. Dies würde es den Menschen verhindern, unsere Images mit OpenPGP zu
verifizieren, bis wir einen neuen Signaturschlüssel veröffentlichen und
Vertrauen in ihn aufbauen.

Verteilung der Anteile
======================

Jede Person aus dem Board, Gruppe A, hat einen *verschiedenen* Anteil, A1,
A2, ..., An.

Darüber hinaus haben wir drei komplementäre Gruppen, B, C und D, von
vertrauenswürdigen Personen definiert, die eine enge Beziehung zu Tails
haben, jedoch unterschiedliche Interessen und unterschiedlichen Zugang zu
Informationen über uns. Sie sind Teil einer dieser Gruppen.

Jeder in Gruppe B hat einen *identischen* Anteil B.

Jeder in Gruppe C hat einen *identischen* Anteil C.

Jeder in Gruppe D hat einen *identischen* Anteil D.

Drei verschiedene Anteile sind erforderlich, um das Widerrufszertifikat
wiederherzustellen. Zum Beispiel die Anteile A1, A2 und A3 oder die Anteile
A1, B und C.

How to store your share
=======================

Please keep your share in an encrypted storage and make it as hard as you
can for untrusted people to get a copy of it.

You can rename the file as long as you keep the number in the file name of
your share as it is needed to use the share.

Feel free to back up the file but we might also request you to delete it at
some point and you should be able to know whether you still have a copy of
it or not. It is all-right to lose your share as long as you tell us that
you have lost it. It is actually worse to still have a copy of the share
"somewhere" while thinking that you don't, than to lose it by mistake.

Don't hesitate to ask us if you need clarification on the technical aspects
of this.

When to use your share
======================

Everybody in possession of a share is subscribed to a mailing list.

If someone in possession of a share gets to learn about a very bad event
that happened to many of us and really thinks that we are not capable of
revoking the Tails signing key ourselves anymore, then this person should
write to the mailing list explaining why she thinks that the signing key
needs to be revoked.

Yes, there is no mathematically proven algorithm for this and here is where
your judgment as a human being is needed. The description of the very bad
event should be checked or backed by enough people to be plausible.

People on the list who are also convinced that the signing key should be
revoked share their shares until they have 3 different shares. Then they can
assemble the revocation certificate and publish it to revoke the signing
key.

Bitte beachten Sie, dass wir den Signaturschlüssel weiterhin selbst
widerrufen könnten, solange drei von uns in der Lage sind, zu kommunizieren
und ihre Anteile zu sammeln. Daher benötigen wir Ihre Hilfe nur, wenn nicht
mehr als zwei von uns noch kommunizieren können.

Unless you really want to start the key revocation process, do not write to
this mailing list.

Further communications
======================

In case we need to communicate with you about this revocation mechanism in
the future, we will always do it through the tails@boum.org mailing list. We
might do so for example to:

  - Ask you to send your share to a new member of your group.

  - Ask you to delete your share. This could be needed to cancel the power
    of others people's share: as long as enough of you delete their shares,
    the few people that might not delete them would end up with unusable
    shares.

The tails@boum.org mailing list has its own OpenPGP key, which is signed by
the Tails signing key itself:

    https://tails.net/tails-email.key

So, can we count on you for this?

If you answer positively, we will send you your share and subscribe you to
the mailing list.

Thanks, and may the force be with you!

Die Mitglieder der Gruppen B, C und D auf dem neuesten Stand halten

Mindestens alle 2 Jahre stellen wir sicher, dass der Mechanismus noch funktioniert:

  1. Wir überprüfen intern die Liste der Mitglieder jeder Gruppe und entscheiden über mögliche Ergänzungen und Abnahmen in jeder Gruppe.

  2. We write to every individual member of each group to ask them to check that they still have their share and the number in the file name.

  3. We log in to the administration interface of the mailing list, make sure that it still exists, and is configured correctly.

Update email

We send these emails through tails@boum.org to avoid the need for a personal trust relationship between the person sending the mail and the recipient. We don't send shares from groups B, C, or D with tails@boum.org by doing so.

Subject: update

Hi,

Some years ago, you agreed to be part of a distributed mechanism for the
revocation certificate of the Tails signing key and we sent you a
cryptographic share of this revocation certificate.

Today, we are asking you to:

1. Verify the authenticity of this email, either by verifying that it is
   signed by the tails@boum.org mailing or by talking directly to someone
   from the Board.

   The tails@boum.org mailing list has its own OpenPGP key, which is
   signed by the Tails signing key itself:

   https://tails.net/tails-email.key

2. Confirm whether you still have in your possession:

   - Your share of the revocation certificate.

   - The number NNN in the file name of your share.

     The file was named tails-signing-key-revocation-cert.asc.NNN, where
     NNN is a 3 digit number.

For the record, the address of the mailing list that you should write to in
case you want to assemble the revocation certificate is:

    address@example.org

Do not write to this mailing list unless you really want to start the key
revocation process.

We are also copying below a summary of the mechanism.

XXX: Copy the invitation email:
XXX: - Include "You can read a complete description of the distribution mechanism on:"
XXX: - Stop before "So, can we count on you for this?"

Adding a new member

  1. Send the invitation email to the new member.

  2. If they agree, ask someone else from the same group to send them their share of the key.

    Unfortunately, this reveals some membership information to these two people.

  3. Ask the new member to confirm the reception of their share.

Sharing email

We send these emails through tails@boum.org to avoid the need for a personal trust relationship between the person sending the mail and the recipient. We don't send shares from groups B, C, or D with tails@boum.org by doing so.

Subject: sharing

Hi,

We asked someone else from your group to send you a copy of your share.

Bitte sagen Sie uns einmal Bescheid, sobald Sie es erhalten.

The address of the mailing list that you should write to in case you want to
assemble the revocation certificate is:

    address@example.org

Do not write to this mailing list unless you really want to start the key
revocation process.

Thanks, and may the force be with you!