Juni 2015

es gab mal wieder ein kleines Keysigning
es musste darauf hingewiesen werden, dass man den Fingerabdruck des eigenen Schlüssels auch selbst mitbringen muss; den Schlüssel einfach per Mail zu verteilen, beweist keinesfalls die Echtheit des Schlüssels
wenn man einen nichtkompromittierten Schlüssel ersetzen will, dann ist folgendes ein sinnvolles Vorgehen dazu:
- den neuen Schlüssel erstellen
- eine Übergangsmeldung erstellen (transition statement), mit diesem Inhalt:
  - alter und neuer Schlüssel mit Fingerabdruck
  - Hinweise wie man an den neuen Schlüssel kommt
  - Hinweise zum Prüfen der Signatur
  - Hinweis ob und wie man am web of trust teilnehmen möchte (will man die signaturen direkt auf einen keyserver hochgeladen haben oder nur persönlich zugeschickt bekommen)
  - Beispiel: http://fifthhorseman.net/key-transition-2007-06-15.txt
- die Übergangsmeldung mit dem alten und neuen Schlüssel signieren, beispielsweise so:
  - ```
  gpg -u $OLDID -u $NEWID --clearsign transition.txt
```
- die Übergangsmeldung verteilen/ veröffentlichen (auf der Homepage, per E-Mail, …)