meine Signaturrichtlinien – my key signing policy

zur Startseite

Die auf dieser Seite klassifizierten Schlüssel:

  1. DE3A4C87 – boris @ kirk.de

PGP stellt zwar technisch ein sehr hohes Maß an Sicherheit zur Verfügung, aber das bringt einem nicht viel, wenn diese technischen Möglichkeiten organisatorisch nicht angemessen eingebettet sind. Kann man sich darauf verlassen, dass ein Schlüssel wirklich zu demjenigen gehört, dessen Name eingetragen ist? Das hängt davon ab, unter welchen Voraussetzungen diejenigen, auf die man sich verlässt, Schlüssel signieren.

PGP stellt leider kaum Möglichkeiten zur Verfügung, zum Ausdruck zu bringen, welche Identifikationsqualität eine Signatur hat. Was heißt schon man hat den Schlüssel beiläufig geprüft oder man hat den Schlüssel sehr gründlich geprüft? Was bringt es, wenn man einen Schlüsselinhaber anhand seines Personalausweises überprüft, wenn man (wie ich) kaum in der Lage ist, einen gefälschten Ausweis zu erkennen? Immerhin erlaubt PGP es, eine policy URL in die Signatur zu schreiben. Diese Möglichkeit nutze ich (seit dem 24.02.2013). Auf dieser Seite gebe ich für meine relevanten Schlüssel an, nach welchen Kriterien ich sie für Signaturen nutze, so dass jeder für sich entscheiden kann, was er davon hält.

Da diese Seite natürlich manipuliert sein kann, kann man sich anhand ihrer Signaturdatei (folgt noch) von ihrer Echtheit überzeugen. Andererseits: Wenn jemand es schaffen sollte, diese Datei zu manipulieren, dann wird er natürlich diesen Hinweis entfernen. Und wer würde – vor allem beim ersten Besuch – dieser Seite misstrauen, wenn sie scheinbar nicht signiert ist? ;-)


english:
PGP offers a high level of technical security but this is useless if these possibilities are not backed up by organizational rules. Can you rely on it that a key belongs to the claimed owner? This depends on the circumstances under which the one whom you rely on signs a key.

PGP offers few possibilities to state what identification quality a signature has. What do casual verification and extensive verification mean? Of what use is a passport verification if the signer (like me) is hardly capable of recognizing a forged passport? At least PGP allows to write a policy URL into the signature. I use this option (starting on February 24th, 2013). On thos page I explain my criteria for signing a key so that everyone can decide for himself how to assess a certain signature by me.

Of course, this page can be forged so you can verify it by its signature files (to do...). On the other hand: If somebody really manages to forge this page then he certainly would remove this hint. And who would be distrustful – above all at his first visit – if this page was seemingly not signed? ;-)


DE3A4C87 – boris @ kirk.de (1024 Bit/DSA)

Dies ist mein zweiter ernsthaft benutzter Schlüssel. Er gehört zu folgenden Adressen:

NameVerwendung:Adresse
Boris Kirkorowicz(private Mail):boris05 @ kirk.de
Boris Kirkorowicz(Für Usenet):boris-un05a @ kirk.de
Boris Kirkorowicz(Für Mailinglisten):boris-ml07 @ kirk.de
Boris Kirkorowicz(Für Web-Formulare):boris-web05 @ kirk.de
Boris Kirkorowicz(nicht aktiv genutzt):boris @ kirk.de

Er ist eingetragen auf den Schlüsselservern des Pools eu.pool.sks-keyservers.net und ist vorerst gültig bis zum 30.12.2015.


english:
This is the second key which I have seriously used. It belongs to the email addresses mentioned below.

NameVerwendung:Adresse
Boris Kirkorowicz(private mail):boris05 @ kirk.de
Boris Kirkorowicz(used for usenet):boris-un05a @ kirk.de
Boris Kirkorowicz(used for mailing lists):boris-ml07 @ kirk.de
Boris Kirkorowicz(used in web forms):boris-web05 @ kirk.de
Boris Kirkorowicz(not actively used):boris @ kirk.de

I (nearly?) always create signatures at the certification level 3. If I should ever have used a different one then because I could not verify the key as explained. However I had to realize recently that several gpg GUIs do not write this statement into the signature (you have to use gpg on the command line in order to use this). Thus up to now (December 2013) probably hardly any signatures by me with this statement exist.