Zertifikate

Was sind Zertifikate?

Im Internet ist ein Public-Key-Zertifikat notwendig, um die Identität von Personen oder Computern zu überprüfen. Diese Zertifikate werden auch “SSL-Zertifikate” oder “Identitäts-Zertifikate” genannt. Wir werden sie hier einfach “Zertifikate” nennen.

Konkret werden Zertifikate benötigt, um sichere Verbindungen herzustellen. Ohne Zertifikate könntest Du zwar ausschließen, dass niemand mitliest – aber Du könntest mit einem völlig falschen Computer kommunizieren! Alle Riseup-Server und -Dienste ermöglichen oder benötigen sichere Verbindungen.

Um sicherzustellen, daß Du die sichere Verbindung auch wirklich mit Riseup herstellst, kannst Du die folgenden Schritte unternehmen, um unsere Zertifikate zu überprüfen. Dies ist zwar nicht notwendig, um Riseups Dienste zu nutzen, aber ohne diese Verifizierung hast Du keine Garantie, daß Du wirklich mit unseren Servern verbunden bist, bzw. daß die Verbindung sicher ist.

Verifizierung der Gültigkeit von Riseups Zertifikaten

Um diese Prüfsummen (“Fingerprints”) zu verifizieren, musst Du schauen, welche Prüfsummen Dein Browser für die Zertifikate angibt und diese dann mit den unten gelisteten vergleichen. Wenn sie sich unterscheiden, besteht ein Problem. Sei gewarnt: die vollständige Verifizierung ist schwierig und erfordert Verständnis von E-Mail-Verschlüsselung.

Die Prüfsummen von Riseups Zertifikaten sind:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


As of May 29, 2017, the following are the fingerprints for Riseup's
certificates:

!!! NOTE: This following certificate is now an auto-renewed Let's Encrypt
    certificate, it will be renewed in approximately 3 months and we will cease
    to list its fingerprint here
!!!
.  help.riseup.net
	SHA-256 fingerprint:
	      4df80dbf1c44d4a4edc8fdf000afec2093fe2ed7e3be5495749227d646347f5c
        SHA-1 fingerprint:
              f8bd3869d4f879cacc524860a176fa997ea73a88

!!! NOTE: This following certificate is now an auto-renewed Let's Encrypt
    certificate, it will be renewed in approximately 3 months and we will cease
    to list its fingerprint here
!!!
. riseup.net
      SHA-256 fingerprint:
              9c03fbef8e9c0c33ad604214abff0c1418278eec2e7919ecc943077fb4d8da25
      SHA-1 fingerprint:
              4c67b75e91037d96af97009cfe7a931135af4301

!!! NOTE: This following certificate is now an auto-renewed Let's Encrypt
    certificate, it will be renewed in approximately 3 months and we will cease
    to list its fingerprint here
!!!
. www.riseup.net
      SHA-256 fingerprint:
              c760ccc1bed90d26eaa514a3d8b83791c2b1db871cfc43e66442e9ccd499a53f
      SHA-1 fingerprint:
              b93def89e3602c4276e685875c1fdfcb93df9f65
              
 .  *.riseup.net, riseup.net
        SHA-256 fingerprint:
                101c50eb4d4ac4cb9633c4de10c09c5fbee46801c023d48d2dfe0b02e27eedc0
	SHA1 fingerprint:
		86a010ddba262196d7f6f1f47ae03032f9031c32

-----BEGIN PGP SIGNATURE-----
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=KEoA
-----END PGP SIGNATURE-----

Wann sollte ich diese Prüfsummen verifizieren?

Du solltest diese Prüfsummen immer dann verifizieren, wenn sie sich ändern – oder wenn Du einen Computer nutzt, der nicht unter Deiner Kontrolle steht, wie z.B. im Internetcafe oder in der Bücherei.

Einfache Verifizierung

Zuerst finde die Prüfsumme von Riseups Zertifikat in Deinem Browser. Dafür musst Du in den meisten Browsern entweder das kleine Vorhängeschloss-Symbol, das Du am unteren Fensterrand oder in der Adresszeile findest, oder unseren schwarz-roten Stern in der Adresszeile anklicken. Dies sollte ein Fenster mit detaillierten Informationen zum genutzten Zertifikat öffnen, das auch die Prüfsumme beinhaltet.

Wenn Du nun diese Prüfsumme mit den unten Stehenden vergleichst, hast Du schon mal eine einfache Verifizierung durchgeführt.

Falls Du an einer vollständigen Verifizierung interessiert bist, musst Du einen etwas komplizierteren technischen Vorgang durchführen, der Verständnis von OpenPGP erfordert.

Vollständige Verifizierung

Warnung: Dieser Vorgang ist ziemlich technisch. Er erfordert Kenntnis von OpenPGP und der Befehlszeile. Es geht davon aus, dass das Programm gpg installiert ist.

Die folgende Anleitung zeigt die Befehle, die Du im Terminal eingeben musst. Den Befehlen ist ein ‘$’-Zeichen vorangestellt, das für die Eingabeaufforderung steht. Diese Eingabeaufforderung zeigt an, dass das System auf einzutippende Befehle wartet. In deiner Kommandozeile kann das anders aussehen, falls es also kein ‘$’ ist, macht das nichts! Gib einfach den Befehl in Deiner Kommandozeile ein, der diesem Zeichen folgt.

Importieren von Riseups öffentlichem Schlüssel

Bevor du weiter machst, wähle einen sicheren Schlüsselserver.

Öffne ein Terminal (drücke Alt+F2 und gib gnome-terminal ein) und importiere Riseups öffentlichen OpenPGP-Schlüssel von einem Schlüsselserver:

$ gpg --keyserver keys.riseup.net --recv-key 0x4E0791268F7C67EABE88F1B03043E2B7139A768E
$ gpg --fingerprint 0x4E0791268F7C67EABE88F1B03043E2B7139A768E

Die erste Zeile importiert den Schlüssel in deinen Schlüsselbund, aber es gibt keine Garantie, dass das der richtige ist. Daher zeigt dir der zweite Befehl die Prüfsumme des importierten Schlüssel an. Stelle sicher, dass sie mit dieser übereinstimmt:

Key fingerprint = 4E07 9126 8F7C 67EA BE88 F1B0 3043 E2B7 139A 768E

Es gibt keinen guten Grund, diesem Schlüssel zu vertrauen. Du kannst aber sehen, wer dem Schlüssel das Vertrauen ausgesprochen hat:

$ gpg --list-sigs 0x4E0791268F7C67EABE88F1B03043E2B7139A768E

Verifiziere diese Anleitung

Jetzt, da Du Riseups öffentlichen Schlüssel importiert hast, kannst Du verifizieren, daß die Prüfsummen, die auf dieser Seite aufgeführt sind, wirklich von Riseup stammen:

  1. Lade die hier verlinkten PGP-signierten Prüfsummen unserer SSL-Zertifikate herunter:
    wget riseup.net/certificates/riseup-signed-certificate-fingerprints.txt
  2. Danach führe folgenden Befehl aus:
    gpg --verify riseup-signed-certificate-fingerprints.txt
  3. Du solltest nun folgende Ausgabe bekommen:

gpg: Korrekte Unterschrift von “Riseup Networks <collective@riseup.net>”

Du solltest sicherstellen, daß dort wirklich “Korrekte Unterschrift” (oder “Good signature”) steht! Falls der Text abweicht, solltest Du der Information nicht trauen.

Falls Du keine konkreten Schritte unternommen hast, einen Vertrauenspfad zum Schlüssel des Riseup-Kollektivs aufzubauen, wirst Du eine Warnung erhalten, die dieser ähnelt:

gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.

Trotzdem solltest Du “Korrekte Unterschrift” sehen.

Vergleichen der Prüfsummen

Jetzt, da Du sichergestellt hast, daß die obige Nachricht wirklich die Prüfsummen unserer Zertifikate enthält, kannst Du sie mit den Werten, die Dein Browser angibt, vergleichen. Dafür musst Du in den meisten Browsern entweder das kleine Vorhängeschloss-Symbol, das Du am unteren Fensterrand oder in der Adresszeile findest, oder unseren schwarz-roten Stern in der Adresszeile anklicken. Dies sollte ein Fenster mit detaillierten Informationen zum genutzten Zertifikat öffnen, das auch die Prüfsumme beinhaltet.

Falls sie übereinstimmen und Du Riseups öffentlichem PGP-Schlüssel traust, kannst Du davon ausgehen, daß Du wirklich mit Riseups Servern kommunizierst.

Ich will mehr wissen!

Super, dies ist auch ein wichtiges Thema und wir wollen Dir nahelegen, [diesen (englischen) Text→lair.fifthhorseman.net/~dkg/tls-centralization/] zu lesen, der auf nicht-technische Weise sehr gut die Probleme mit zentralen Zertifizierungsstellen darstellt und gleichzeitig einige interessante Vorschläge macht, wie die Situation mit kleinen Veränderungen der existierenden Infrastruktur und Protokolle verbessert werden könnte.