if(is) PGP-Zertifizierungsinstanz

if(is) PGP-Zertifizierungsinstanz

if(is) PGP-Zertifizierungsinstanz

Das if(is) bietet einen kostenlosen Service zur Zertifizierung von OpenPGP-Schlüsseln an. Mit unserer PGP-Zertifizierungsinstanz (ZI) können Sie die Identität Ihres öffentlichen Schlüssels bei uns zertifizieren lassen und fortan Ihre E-Mails vor fremden Blicken schützen.
Nach Prüfung Ihrer Daten (Identität, öffentlicher Schlüssel, E-Mail-Adresse) veröffentlichen wir Ihren bestätigten öffentlichen OpenPGP-Schlüssel im Keyserver-Verbund, so dass andere Nutzer die von uns erzeugte Signatur kontrollieren können.

Quicklinks

Was ist OpenPGP?

OpenPGP (Pretty Good Privacy) ist ein seit Jahren anerkannter, sicherer und offener Verschlüsselungs-Standard für authentische und vertrauliche E-Mails. Bei diesem so genannten Public-Key-Verfahren besitzt jeder Nutzer einen geheimen und einen öffentlichen Schlüssel. Daten, die mit dem öffentlichen Schlüssel verschlüsselt werden, lassen sich mit dem dazugehörigen geheimen Schlüssel wieder entschlüsseln. So kann jeder mit dem öffentlichen Schlüssel E-Mails verschlüsseln, die nur vom Empfänger mit seinem geheimen Schlüssel zu entschlüsseln sind. Und eine Signatur, die der Absender mit seinem geheimen Schlüssel signiert hat, kann jeder anhand des öffentlichen Schlüssels überprüfen.

Warum OpenPGP?

OpenPGP hat sich seit Jahren als sicher und zuverlässig bewährt. Im Gegensatz zu anderen Verschlüsselungsverfahren stehen jedermann gute und kostenlose Implementierungen zur Verfügung. Das Verfahren erfordert keine zentrale Registrierung, ebenso können die Sendungen nicht während der Übermittlung durch Dritte entschlüsselt werden: die E-Mails werden bereits im Mail-Programm des Senders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Zwischendurch hat niemand sonst Zugriff auf den Klartext-Inhalt.

Wozu die if(is)-Zertifizierungsinstanz?

Wortwolke PGP, Verschlüsselung, VertrauenBei der Erzeugung seines Schlüssel-Paares gibt ein PGP-Nutzer seine E-Mail-Adresse und seinen Namen zur Bildung der Benutzerkennung an. Der öffentliche Teil des Schlüssels wird über das Internet verbreitet, so dass ihn jedermann zur Verschlüsselung geheimer Nachrichten nutzen kann. Vor der Nutzung eines solchen Schlüssels sollte man sich jedoch überzeugen, ob dieser wirklich zu der gesuchten Person gehört – zum Beispiel bei einem persönlichen Treffen, bei dem ein eindeutiger „Fingerabdruck“ des Schlüssels verglichen werden kann.
Schwierig wird dies, wenn man diese Person nicht persönlich kennt. Die „Echtheit“ eines Schlüssels kann aber auch durch ein Zertifikat eines Dritten bestätigt werden, dem man vertraut. Das if(is) als Vorreiter für den sicheren Umgang mit Daten im Internet ist eine vertrauenswürdige Instanz. Unsere Signatur unter dem Zertifikat bestätigt die Korrektheit von OpenPGP-Benutzerkennungen und des damit verbundenen öffentlichen PGP-Schlüssels. Die Authentizität unseres eigenen öffentlichen Schlüssels der Zertifizierungsinstanz kann der Nutzer bei der persönlichen Identitätsprüfung und Registrierung überprüfen. Außerdem wird dieser im Fachmagazin IT-SICHERHEIT abgedruckt.

Wie richte ich PGP ein?

Eine weitverbreitete Implementierung des OpenPGP-Standards stellt die freie Software „GNU Privacy Guard (GnuPG oder GPG) dar.
Im Internet steht dazu eine Vielzahl von Anleitungen zur Verfügung. Eine Auswahl haben wir Ihnen hier zusammengestellt:

Zusätzlich können wir Ihnen ein Video-Tutorial für Thunderbird anbieten:

Wie kann ich mich bei der if(is)-ZI zertifizieren lassen?

Sie haben zwei Möglichkeiten, Ihre Identität durch uns prüfen zu lassen und sich zu registrieren.

  1. Direkt bei uns am if(is) immer Dienstag zwischen 11 und 13 Uhr
    oder nach Absprache mit Kilian Kilden
    Westfälische Hochschule
    Institut für Internet-Sicherheit – if(is)
    Raum A4.0.10
    Neidenburger Straße 43
    45897 Gelsenkirchen
  2. Auf Veranstaltungen, Messen oder in Ihrem Unternehmen
    Sie können unserem Terminkalender entnehmen, wo if(is)-Mitarbeiter unterwegs sind und Vorträge halten. Vor Ort führen wir gerne die Identitätsprüfung und Registrierung durch.
    https://www.internet-sicherheit.de/aktuelles/termine/
    Als Service für Unternehmen können wir nach Absprache auch bei Ihnen vorbeischauen und die Identitätsprüfung und Registrierung Ihrer Mitarbeiter vor Ort vornehmen.

Zur Zertifizierung müssen Sie folgendes Formular ausfüllen und bei uns einreichen:
Zertifizierungsantrag (PDF-Dokument, 160 KB)
Zusätzlich senden Sie eine unverschlüsselte, unsignierte E-Mail mit Ihrem öffentlichen Schlüssel an: pgpZI@internet-sicherheit.de
Im Anschluss werden Ihre angegeben Daten durch unsere Mitarbeiter verifiziert und Ihr öffentlicher PGP-Schlüssel wird zertifiziert.
Die Richtlinien zu unserer ZI finden Sie hier.