Fingerprint: B406 7AB6 AC7B 0434 65B2 63A8 8401 C647 363E F006
Version 2, 01.05.2011
Der Schlüssel 0x363EF006 ist der inoffizielle Signaturschlüssel des Kreisverbands Steglitz-Zehlendorf. Der Kreisverband bietet zwar regelmäßig Kryptografieschulungen an, hat aber bisher keinerlei Regeln dazu aufgestellt; die Zertifizierungsmodalitäten hat das Vorstandsmitglied Hauke Laging, das die Schulungen durchführt, festgelegt, weil man für eine Schulung sinnigerweise einen Zertifizierungsschlüssel benötigt. Zertifizierungen mit diesem Schlüssel sind ein technisch und organisatorisch qualifiziertes Angebot, aber eben kein offizielles des Kreisverbands.
Eine Übersicht der Versionen dieser Signaturrichtlinie und die Signaturen für deren Datei gibt es unter http://www.hauke-laging.de/openpgp/index.363ef006.html. Diese Adresse wird per --set-policy-url in die Zertifizierungen und Signaturen geschrieben.
Der Schlüssel ist auf einem sicheren System (Knoppix) erzeugt worden, wird nur auf solchen Systemen verwendet. Er wird auf einem USB-Stick gespeichert; als Backup auch auf einem PC, aber mit einer individuellen Verschlüsselung (ca. 128 Bit stark), die nur von einem sicheren Bootmedium aus eingegeben wird. Er wird nur für Schlüsselzertifizierungen (und das Signieren der Schlüsselrichtlinien und der Schulungsunterlagen) verwendet; er kann nicht für Verschlüsselung genutzt werden.
Zertifiziert auf Stufe 2 (normale Prüfung, "casual verification") werden nur Schlüssel, die bzw. deren Fingerprint persönlich vorgelegt wurden; Schlüssel, die auf anderen Wegen verifiziert wurden (etwa per telefonischem Fingerprintabgleich), erhalten nur eine Zertifizierung auf Stufe 1 (keine Prüfung). Um eine Zertifizierung der Stufe 2 zu erhalten, muss derjenige, der den Schlüssel vorlegt, nachweislich im Besitz des geheimen Schlüssels sein und sich ausweisen (oder persönlich zweifelsfrei bekannt sein). Der Zertifizierer ist allerdings nicht trainiert im Umgang mit Ausweisen (d.h. im Erkennen von Fälschungen). Für Stufe 3 (gründliche Prüfung, "extensive verification" wird zudem geprüft, dass derjenige Zugriff auf die angegebene E-Mail-Adresse hat, sofern dies nicht schon bekannt ist. Diese Prüfung erfolgt bei mehreren UIDs für jede Adresse einzeln. UIDs ohne E-Mail-Adresse erhalten nur eine Level-2-Zertifizierung. Es kommt vor, dass zunächst eine Level-2-Zertifizierung und erst später eine Level-3-Zertifizierung erzeugt wird.
Wenn der Schlüssel im Rahmen einer Schulung auf einem sicheren System erzeugt wurde und nur die Unterschlüssel (--export-secret-subkeys) importiert (oder dafür vorbereitet) wurden, so dass der Hauptschlüssel außerhalb eines (nicht dafür dedizierten) PCs gespeichert werden soll und kann, dann erhält die Zertifizierung den Vermerk (--cert-notation) offlinekey@gruene-suedwest.de=yes
. Wird der Schlüssel auf einer Smartcard erzeugt und als Backup von dieser exportiert (oder auf einem sicheren System erzeugt und in eine Smartcard importiert), dann erhält sie den Vermerk smartcard@gruene-suedwest.de=yes
. Wird der Schlüssel auf einer Smartcard ohne Backup erzeugt (so dass er die Smartcard nicht mehr verlassen kann), dann lautet der Vermerk smartcardonly@gruene-suedwest.de=yes
. Mit Ausnahme des letzten sind diese Vermerke natürlich keine Gewähr dafür, dass der Schlüsselinhaber auch nach der Zertifizierung entsprechend sorgsam mit dem Schlüssel umgeht.