Skip to content

[22C3] Letzte Worte zum Keysigning

Die Keysigningparty war dieses Jahr meine Domäne. Dies hatte ich u.a. auch hier angekündigt. Nach der Anmeldefrist stellte ich die Teilnehmerliste zusammen und verschickte eine Infomail an alle Teilnehmer. Damit begann der Ärger! Denn mutt war so freundlich, die Liste im Anhang ungefragt in UTF-8 umzuformatieren. Beim Versand fiel mir das nicht auf. Erst ein Eintrag im Wiki machte mich dann auf das Problem aufmerksam. Tja, was tun sprach Zeus? E-Mail bzw. vernünftige Internetverbindung war nicht vorhanden. Also konnte ich die Teilnehmer nicht nochmal per E-Mail informieren. Da es auch im Wiki hinreichend genau dokumentiert war (The list is encoded in ISO-8859-1 and the first two bytes of MD5 are C2 B0, the first two bytes of SHA1 05A3.), hoffte ich, dass alle wirklich die ISO-Hashsumme bilden. Zur Sicherheit errechnete ich mir noch die Hashsumme der UTF-8-Datei.

Nach einigen einführenden Worten kam ich dann zum Verlesen der Hashsummen bei der KSP. Ich erklärte den Fehler und bot obige Lösung an. Diese wurde auch akzeptiert. Doch als ich die SHA1-Summe der UTF-8-Datei verlas, kam Protest. Einige Teilnehmer hatten hier eine andere Hashsumme errechnet. Das obwohl die MD5-Summe stimmte! Damit war dann das Chaos vollständig. Denn nunmehr konnte wir nicht mehr davon ausgehen, alle dieselbe Version der Datei zu besitzen. Nach einigen Diskussionen entschieden wir uns, die “Originalliste” Schritt für Schritt durchzugehen und jeder musste dann die Einträge vergleichen bzw. bestätigen, dass diese korrekt sind. Dadurch wurde die Veranstaltung letztlich doppelt so lange wie geplant. Der Rest lief dann wieder normal durch.

Momentan ist mir noch nicht klar, wieso hier zwei unterschiedliche Hashsummen gebildet werden konnten. Eine Idee ist, dass wahrscheinlich OpenSSL das je nach gesetzter Locale anders berechnet. Ich werde hier noch testen müssen.

Tja, ich fand es wirklich schade, dass die Veranstaltung durch so eine Kleinigkeit so aus dem Ruder gelaufen ist und möchte mich auch nochmal bei allen Teilnehmern für das Chaos entschuldigen.

Mittlerweile ist aber auch das Signieren angelaufen. Meine Challengemails wurden zum grossen Teil beantwortet und auch ich erhalte viele Signaturen. Stefan Schmidt war so freundlich, wieder ein grafisches Web-of-Trust zu zeichnen. Bisher sieht der Graf so aus: WoT des 22C3
Ich bin gespannt, wie er sich entwickeln wird. Stefan wird gegen Ende Januar noch eine Auswertung machen.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

No comments

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob