- news
- Umstellung auf einen neuen OpenPGP-Signierschlüssel
Tails stellt auf einen neuen OpenPGP-Signierschlüssel um.
Der Signierschlüssel ist der Schlüssel, den wir verwenden, um:
- Signieren Sie unsere offiziellen ISO-Images.
- Zertifizieren Sie die anderen OpenPGP-Schlüssel, die von dem Projekt verwendet werden.
Der vorherige Signierschlüssel ist sicher und nach bestem Wissen ist er nicht kompromittiert worden.
Wir nehmen diese Änderung vor, um unsere Sicherheitspraktiken beim Umgang mit einem so kritischen Datenelement zu verbessern.
- Der alte Schlüssel kann weiterhin verwendet werden, um Tails 1.3 ISO-Images zu überprüfen.
- Der neue Schlüssel wird verwendet, um ISO-Images ab Tails 1.3.1 zu signieren.
Importieren und verifizieren Sie den neuen Signaturschlüssel
Klicken Sie auf die folgende Schaltfläche, um den neuen Signaturschlüssel herunterzuladen und zu importieren:
Der neue Signierschlüssel wird selbst vom alten Signierschlüssel signiert. Sie können also diesem neuen Schlüssel vertrauen, wenn Sie dem alten Signierschlüssel vertraut haben.
To verify that the new key is correctly signed by the old key, you can execute the following command:
gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F
Die Ausgabe sollte eine Signatur des neuen Schlüssels durch den alten Schlüssel enthalten, wie zum Beispiel:
sig! 0x1202821CBE2CD9C1 2015-01-19 Tails developers (signing key) <tails@boum.org>
In dieser Ausgabe wird der Status der Überprüfung durch eine Flagge direkt
nach dem "sig
"-Tag angezeigt. Ein "!
" zeigt an, dass die Signatur
erfolgreich überprüft wurde.
Sicherheitspolitik für den neuen Signaturschlüssel
Here is the full description of the new signing key:
pub 4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11] Key fingerprint = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F uid [ unknown] Tails developers (offline long-term identity key) uid [ unknown] Tails developers sub 4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11] sub 4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]
You can see that it has:
Ein Primärschlüssel (markiert als
pub
) mit der ID0xDBB802B258ACD84F
. Dieser Primärschlüssel:- Is not owned in a usable format by any single individual. It is split cryptographically using gfshare.
- Is only used offline, in an air-gapped Tails.
- Expires in less than one year. We will extend its validity as many times as we find reasonable.
Two subkeys (marked as
sub
) with IDs0x98FEC6BC752A3DB6
and0x3C83DCB52F699C56
which are stored on OpenPGP smartcards and owned by our release managers. Smartcards ensure that the cryptographic operations are done on the smartcard itself and that the secret cryptographic material is not directly available to the operating system using it.
Web-of-Trust with the Debian keyring
This new signing key has already been signed by various Debian developers, namely:
- gregor herrmann gregoa@debian.org, with key
0xBB3A68018649AA06
- Holger Levsen holger@debian.org, with key
0x091AB856069AAA1C
- Stefano Zacchiroli zack@debian.org, mit dem Schlüssel
0x9C31503C6D866396
Sie können die in unserer Dokumentation beschriebene Technik verwenden, um den Tails-Signierschlüssel weiter gegen den Debian-Schlüsselbund zu verifizieren, indem Sie einen dieser drei Schlüssel verwenden.