PGP-Beglaubigungsrichtlinien

Dies sind die Richtlinien, nach denen ich fremde PGP-Schlüssel mit meinem eigenen Schlüssel [Key ID: 12631e82] signiere.

Diese richten sich nach der Standardbeschreibung von OpenPGP [welche in RFC 2440 niedergeschrieben steht], nach welcher es 4 verschiedene Zertifizierungslevel gibt, welche mit 0x10, 0x11, 0x12 und 0x13 nummeriert sind [in vielen Programmen auch von 0-3 durchnummeriert]. Genaueres hierzu findet man in der RFC 2440 unter Punkt 5.2.1. Signature Types, aus welchen ich die wichtigen Punkte am Ende zitieren werde.

Das Signieren von Schlüsseln bedeutet, dass man mit seinem eigenen Schlüssel beglaubigt, dass es sich bei dem Schlüsselbesitzer tatsächlich um die Person handelt, die beim Schlüssel angegeben wird. Folglich signiere ich nur Schlüssel von Leuten, bei denen ich auf irgendeiner weise davon überzeugt worden bin, dass ein Schlüssel auch wirklich der Person gehört. Der Zertifizierungslevel gibt hierbei Auskunft darüber, auf welche weise ich davon überzeugt worden bin, und wie sehr ich davon überzeugt bin.

0x10

Dieser Level besagt, dass der Signierer keine Auskunft darüber geben will, in wiefern er den Key verifiziert hat, und wie sicher er sich ist, dass diese Person tatsächlich diese Person ist. Da ich denke, dass dies nicht verschwiegen werden sollte, werde ich diesen Level auch nicht einsetzten [Eine Unterschrift soll ja auch ein gewisses "Vertrauens-Gewicht" haben].

0x11

Bei diesem Level sagt man, dass man die Person nicht kennt, und die Identifikation nicht verifiziert hat, aber glaubt, dass es sich um die Person handelt. Sinn macht das in meinen Augen nur, wenn man von einer dritten Person [in diesem Sinne versteh ich auch persona], überzeugt wird. Und das wiederum kann nur eine Person, die ich persönlich kenne, und der ich starkes vertrauen schenke, also wird dieser Fall wahrscheinlich auch so gut wie nie eintreten.

0x12

Dieser Level sagt aus, dass man die Identität der Person über ein Dokument, welches diese Person eindeutig und sicher identifiziert [z.B. ein Ausweis], überprüft hat, und damit ziemlich sicher sagen kann, dass die Person auch wirklich die Person ist, die auf der Schlüssel-ID steht.
Ich verwende diesen Level bei Leuten, die ich persönlich kenne, oder persönlich getroffen hab, bei denen ich ein amtliches Dokument gesehen hab, und von denen ich auch aus erster Hand den Schlüssel bekommen hab.

0x13

Den höchsten Level bekommen wirklich nur Leute, denen ich sehr stark vertraue [welches dann auch noch nie gebrochen wurde] und die ich schon über Jahre kenne, und auch wirklich kenne, so dass ich wirklich sicher sagen kann, dass diese Person wirklich die Person ist, die sie zu sein vorgibt.
Alles in allen wird also auch eine Signatur des Levels 3 nur sehr, sehr selten von mir vergeben werden.

Ausnahmen von diesen Richtlinien werden nicht gemacht und anfragen dieser Art mit Verweis auf diese Policy ignoriert.

Weiter möchte ich hier noch sagen, dass das Signieren eine freiwillige Sache von mir ist. Keiner hat einen Anspruch auf eine Signatur von mir und wenn mir eine Person suspekt erscheint, wird es diese auch nicht von mir bekommen.

Ich möchte hier nochmal die Definitionen aus der OpenPGP-Spezifikation [RFC 2440] anbringen, die diesbezüglich von Interesse sind:

0x10: Generic certification of a User ID and Public Key packet.
      The issuer of this certification does not make any particular
      assertion as to how well the certifier has checked that the
      owner of the key is in fact the person described by the user
      ID.  Note that all PGP "key signatures" are this type of
      certification.

0x11: Persona certification of a User ID and Public Key packet.
      The issuer of this certification has not done any verification
      of the claim that the owner of this key is the user ID
      specified.

0x12: Casual certification of a User ID and Public Key packet.
      The issuer of this certification has done some casual
      verification of the claim of identity.

0x13: Positive certification of a User ID and Public Key packet.
      The issuer of this certification has done substantial
      verification of the claim of identity.

      Please note that the vagueness of these certification claims is
      not a flaw, but a feature of the system. Because PGP places
      final authority for validity upon the receiver of a
      certification, it may be that one authority's casual
      certification might be more rigorous than some other
      authority's positive certification. These classifications allow
      a certification authority to issue fine-grained claims.

Desweiteren gibt es hier eine Signatur, die ich mit meinem Schlüssel erzeugt habe, und anhand der ihr verifizieren könnt, dass es sich bei dieser Policy tatsächlich um meine Worte handelt, und dass diese auch so Rechtskräftig ist, und nicht gefälscht wurde ;)

by: Kannan 'pygospa' Thambiah, Mo., 20. Juni 2005.
Letzte Änderung: -