Diese Signierrichtlinie gilt für die Signaturen anderer OpenPGP-Schlüssel, die ich ab 2004-04-14 vergebe und bei denen ein Verweis auf diese Resource in die Signatur eingebunden ist. Für Schlüssel-Signaturen, die ich vor diesem Datum vergeben habe, gilt diese Richtlinie nicht.
Kleine redaktionelle Änderungen behalte ich mir ohne besondere Kennzeichnung vor, für inhaltliche Änderungen werde ich eine neue Version mit dann aktuellen Datum veröffentlichen.
Der aktuelle Standard RFC 2440 - OpenPGP Message Format führt für das Signieren von Schlüsseln verschiedene Signatur-Typen ein, definiert dabei aber bewusst keine feste Bedeutung:
5.2.1. Signature Types
There are a number of possible meanings for a signature, which are
specified in a signature type octet in any given signature. These
meanings are:
[...]
0x10: Generic certification of a User ID and Public Key packet.
The issuer of this certification does not make any particular
assertion as to how well the certifier has checked that the
owner of the key is in fact the person described by the user
ID. Note that all PGP "key signatures" are this type of
certification.
0x11: Persona certification of a User ID and Public Key packet.
The issuer of this certification has not done any verification
of the claim that the owner of this key is the user ID
specified.
0x12: Casual certification of a User ID and Public Key packet.
The issuer of this certification has done some casual
verification of the claim of identity.
0x13: Positive certification of a User ID and Public Key packet.
The issuer of this certification has done substantial
verification of the claim of identity.
Please note that the vagueness of these certification claims is
not a flaw, but a feature of the system. Because PGP places
final authority for validity upon the receiver of a
certification, it may be that one authority's casual
certification might be more rigorous than some other
authority's positive certification. These classifications allow
a certification authority to issue fine-grained claims.
[...]Es wird also vorgeschlagen, dass man zum Signieren feiner abgestufte, individuelle Richtlinien einführt, wenn man Signaturen vergibt.
Eine solche Signatur-Richtlinie stelle ich mit dem vorliegenden Dokument für die Schlüssel-Signaturen auf, die ich mit meinem Schlüssel 0x9A4C704C in Zukunft vergebe.
In der interaktiven Hilfe beim Signieren erklärt GPG (Version 1.2.4) die Verwendung der Signatur-Typen folgendermaßen:
Wenn Sie die User-ID eines Schlüssels beglaubigen wollen, sollten Sie zunächst
sicherstellen, dass der Schlüssel demjenigen gehört, der in der User-ID genannt
ist. Für Dritte ist es hilfreich zu wissen, wie gut diese Zuordnung überprüft
wurde.
"0" zeigt, dass Sie keine bestimmte Aussage über die Sorgfalt der
Schlüsselzuordnung machen.
"1" Sie glauben, dass der Schlüssel der benannten Person gehört,
aber Sie konnten oder nahmen die überpüfung überhaupt nicht vor.
Dies ist hilfreich für eine "persona"-überprüfung, wobei man den
Schlüssel eines Pseudonym-Trägers beglaubigt
"2" Sie nahmen eine flüchtige überprüfung vor. Das heisst Sie haben z.B.
den Schlüsselfingerabdruck kontrolliert und die User-ID des Schlüssels
anhand des Fotos geprüft.
"3" Sie haben eine ausführlich Kontrolle des Schlüssels vorgenommen.
Das kann z.B. die Kontrolle des Schlüsselfingerabdrucks mit dem
Schlüsselinhaber persönlich vorgenommen haben; dass Sie die User-ID des
Schlüssel anhand einer schwer zu fälschenden Urkunde mit Foto (wie z.B.
einem Pass) abgeglichen haben und schliesslich per E-Mail-Verkehr die
E-Mail-Adresse als zum Schlüsselbesitzer gehörig erkannt haben.
Beachten Sie, dass diese Beispiele für die Antworten 2 und 3 *nur* Beispiele sind.
Schlussendlich ist es Ihre Sache, was Sie unter "flüchtig" oder "ausführlich"
verstehen, wenn Sie Schlüssel Dritter beglaubigen.Diese Interpretation von RFC 2440 finde ich unbefriedigend. Meine Widersprüche dazu:
Für meine Schlüssel-Signaturen vom Schlüssel 1024D/9A4C704C (vom 2001-11-02, Fingerabdruck = 3ABA ADC6 6713 4FB5 36D0 B0BD D7D7 517F 9A4C 704C) werde ich in Zukunft folgende Kriterien verwenden:
"0x10" verwende ich normalerweise gar nicht. Falls doch, ist auf so eine Signatur diese Richtlinie nicht anwendbar.
"0x11" verwende ich für Schlüssel, die nicht eindeutig einer realen Person zuzuordnen sind, bei denen ich aber nach gründlicher Überprüfung sicher bin, dass sie zu ihrem "Inhaber" gehören. Das kann der Fall sein bei Pseudonymen, Role-Accounts und juristischen Personen.
(Beispiel: Dem Schlüssel pub 1024D/B3B2A12C 1999-05-11 ct magazine CERTIFICATE <pgpCA@ct.heise.de> würde ich heutzutage eine Signatur vom Typ 0x11 geben.)
"0x12" verwende ich für Schlüssel, bei denen ich
die Kontrolle des Schlüsselfingerabdrucks mit dem
Schlüsselinhaber persönlich vorgenommen habe
UND per E-Mail-Verkehr die
E-Mail-Adresse als zum Schlüsselbesitzer gehörig erkannt habe
UND die User-ID des
Schlüssels anhand eines amtlichen Lichtbildausweises abgeglichen habe.
(Beispiel: Das normale Procedere bei einer key-signing-party.)
"0x13" verwende ich für Schlüssel, bei denen ich die Kontrolle des Schlüsselfingerabdrucks mit dem Schlüsselinhaber persönlich vorgenommen habe UND per E-Mail-Verkehr die E-Mail-Adresse als zum Schlüsselbesitzer gehörig erkannt habe UND mir über Identität der User-ID mit dem Schlüssel-Inhaber durch enge persönliche Bekanntschaft zweifelsfrei sicher bin.
Michael Nahrath, Lübnitz, 2004-04-14