Riseup Zertifikatsstelle

Was ist eine Zertifikatsstelle?

Im Internet wird ein Zertifikat genutzt um die Identität von Menschen oder Computern zu bestätigen und um sichere Verbindungen zu Diensten herzustellen, damit Unbefugte nicht deine Verbindung abhören können. Alle riseup.net Dienste benötigen sichere Verbindungen und nutzen deshalb Zertifikate um die Identität vom Server nachzuweisen.

Damit ein Zertifikat als gültig erachtet wird, muss es von einem privaten Unternehmen abgesegnet werden, welches als Zertifikatsstelle agiert. Diese zentralisierte Behördenstruktur beunruhigt soziale und politische Verzweigungen, besonders wenn wir uns auf die Sicherheit stützen. Wir hoffen, dass eines Tages alternative, nicht hirarchische Strukturen dieses fehlerhafte System ersetzen werden.

Bis dahin kauft Riseup Zertifikate von kommerziellen Zertifizierungsstellen, welche von deinem Browser, Mail-Client oder Chat-Client anerkannt werden. Diese Zertifikate funktionieren selbstständig und ohne dein Zutun.

Trotzdem verwenden manche riseup.net Dienste, wie Riseup VPN, Zertifikate welche von unserer eigenen Zertifizierungsstelle abgesegnet wurden. Diese Seite ist für Leute die die Riseup Zertifizierungsstelle downloaden und installieren müssen.

Riseup Zertifikat herunterladen

Jede CA (Zertifizierungsstelle) hat eine Datei die öffentlich verteilt wird. Diese Datei, “CA Zertifikate” genannt, wird von unserem lokalen Programm benutzt um die Identität von Servern mit denen du dich verbindest zu bestätigen.

Riseup CA Zertifikat herunterladen:

Alle möglichen OpenVPN Clients benötigen diese Datei.

Bestätige das Riseup CA Zertifikat (optional)

Dieser Bestätigungsvorgang wird nicht benötigt um das Riseup CA Zertifikat zu benutzen. Trotzdem kannst du ohne Verifikation nicht sicher sein, dass du das richtige Zertifikat heruntergeladen hast und deine Verbindungen sicher sind.

Achtung: der Bestätigungsvorgang ist schwierig, benötigt Verständnis von OpenPGP und hängt letztlich davon ab ob man jemanden kennt der riseup.net’s öffentlichen OpenPGP Schlüssel vertraut.

Kurzgefasst sind die Schritte:

  1. Lade die RiseupCA.pem Datei runter (siehe oben).
  2. Importiere Riseup’s öffentlichen PGP Schlüssel
  3. Prüfe ob die Anweisungen auf dieser Seite von Riseup’s PGP Schlüssel verifiziert wurden.
  4. Berechne den Fingerabdruck von RiseupCA.pem
  5. Vergleiche den Fingerabdruck, den du berechnet hast, mit dem aufgelisteten, signierten Fingerabdruck auf dieser Seite.

Importiere Riseup’s öffentlichen PGP Schlüssel

In der Kommandozeile:

$ gpg --keyserver keys.riseup.net --recv-key 0x4E0791268F7C67EABE88F1B03043E2B7139A768E

Es gibt keinen bestimmten Grund, dass du diesem Schlüssel trauen solltest. Du kannst sehen wer ihm vertraut hat:

$ gpg --list-sigs 0x4E0791268F7C67EABE88F1B03043E2B7139A768E

Prüfe diese Anweisungen

Da du jetzt Riseup’s öffentlichen Schlüssel importiert hast, kannst du prüfen ob das Zertifikat ordnungsgemäß ist:

  1. Lade diese kryptographisch signierte Datei herunter, welche die SHA256 Summe von der RiseupCA.pem beinhalted.
  2. Führe dann diesen Befehl im Terminal aus: gpg --verify riseupCA-signed-sha256.txt
  3. Schreibe control-d
  4. Du solltest folgende Ausgabe erhalten:
    gpg: Good signature from "Riseup Networks <collective@riseup.net>"

Du solltest sicher stellen, dass die Ausgabe “Good signature” beinhaltet. Wenn der Text verändert wurde, sollte der Information nicht vertraut werden.

Wenn du nicht explizit Schritte unternommen hast um einen Vertrauenspfad zu dem Riseup Collective Schlüssel zu bilden, siehst du eine ähnliche Warnung:

  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.

Trotzdem solltest du “Good signature” in der Ausgabe sehen.

Berechne den Fingerabdruck von RiseupCA.pem

Öffne das Terminal und benutze sha256sum:

$ sha256sum RiseupCA.pem

Vergleiche die Fingerabdrücke

Da du jetzt die Fingerabdrücke oder SHA256-Summen von RiseupCA.pem berechnet hast, kannst du diesen Wert mit dem von Riseup signierten und hier aufgelisteten Wert verlgeichen.

Wenn die Werte übereinstimmen, und du dem öffentlichen Riseup PGP Schlüssel vertraust, kannst du sicher sein, dass du wirklich mit den riseup.net Servern kommunizierst wenn du eine Anwendung benutzt die RiseupCA.pem verwendet.

Beachte: Der Fingerabdruck ist wie oben beschrieben eine Prüfsumme vom Inhalt des Zertifikats, nicht die tatsächliche Datei RiseupCA.pem selbst. Um diesen von der Datei zu errechnen, müssen Kopf- und Fußzeilen entfernt und der verbleibende Inhalt base64-dekodiert werden. Danach kann die Prüfsumme errechnet werden. Dazu ein Beispiel:

head -n -1 RiseupCA.pem | tail -n +2 | base64 -d | sha256sum