news
Umstellung auf einen neuen OpenPGP-Signierschlüssel

Umstellung auf einen neuen OpenPGP-Signierschlüssel 2015-03-16

announce

Tails stellt auf einen neuen OpenPGP-Signierschlüssel um.

Der Signierschlüssel ist der Schlüssel, den wir verwenden, um:

Signieren Sie unsere offiziellen ISO-Images.
Zertifizieren Sie die anderen OpenPGP-Schlüssel, die von dem Projekt verwendet werden.

Der vorherige Signierschlüssel ist sicher und nach bestem Wissen ist er nicht kompromittiert worden.

Wir nehmen diese Änderung vor, um unsere Sicherheitspraktiken beim Umgang mit einem so kritischen Datenelement zu verbessern.

Der alte Schlüssel kann weiterhin verwendet werden, um Tails 1.3 ISO-Images zu überprüfen.
Der neue Schlüssel wird verwendet, um ISO-Images ab Tails 1.3.1 zu signieren.

Importieren und verifizieren Sie den neuen Signaturschlüssel
Sicherheitspolitik für den neuen Signaturschlüssel
Web-of-Trust with the Debian keyring

Importieren und verifizieren Sie den neuen Signaturschlüssel

Klicken Sie auf die folgende Schaltfläche, um den neuen Signaturschlüssel herunterzuladen und zu importieren:

neuer Tails-Signierschlüssel

Der neue Signierschlüssel wird selbst vom alten Signierschlüssel signiert. Sie können also diesem neuen Schlüssel vertrauen, wenn Sie dem alten Signierschlüssel vertraut haben.

To verify that the new key is correctly signed by the old key, you can execute the following command:

gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F

Die Ausgabe sollte eine Signatur des neuen Schlüssels durch den alten Schlüssel enthalten, wie zum Beispiel:

sig!         0x1202821CBE2CD9C1 2015-01-19  Tails developers (signing key) <tails@boum.org>

In dieser Ausgabe wird der Status der Überprüfung durch eine Flagge direkt nach dem "sig"-Tag angezeigt. Ein "!" zeigt an, dass die Signatur erfolgreich überprüft wurde.

Sicherheitspolitik für den neuen Signaturschlüssel

Here is the full description of the new signing key:

    pub   4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11]
          Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
    uid                 [ unknown] Tails developers (offline long-term identity key) 
    uid                 [ unknown] Tails developers 
    sub   4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11]
    sub   4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]

You can see that it has:

Ein Primärschlüssel (markiert als pub) mit der ID 0xDBB802B258ACD84F. Dieser Primärschlüssel:
- Is not owned in a usable format by any single individual. It is split cryptographically using gfshare.
- Is only used offline, in an air-gapped Tails.
- Expires in less than one year. We will extend its validity as many times as we find reasonable.
Two subkeys (marked as sub) with IDs 0x98FEC6BC752A3DB6 and 0x3C83DCB52F699C56 which are stored on OpenPGP smartcards and owned by our release managers. Smartcards ensure that the cryptographic operations are done on the smartcard itself and that the secret cryptographic material is not directly available to the operating system using it.

Web-of-Trust with the Debian keyring

This new signing key has already been signed by various Debian developers, namely:

gregor herrmann gregoa@debian.org, with key 0xBB3A68018649AA06
Holger Levsen holger@debian.org, with key 0x091AB856069AAA1C
Stefano Zacchiroli zack@debian.org, mit dem Schlüssel 0x9C31503C6D866396

Sie können die in unserer Dokumentation beschriebene Technik verwenden, um den Tails-Signierschlüssel weiter gegen den Debian-Schlüsselbund zu verifizieren, indem Sie einen dieser drei Schlüssel verwenden.