Zertifizierungsrichtlinien
Mehr Vertrauen. Mehr Sicherheit. Mehr Lebensqualkiität. Mit unserer Zertifizierungsinstanz (ZI) möchten wir alle User motivieren, ihre Sicherheit im Web autarker zu gestalten. Schließlich kann jeder einzelne dank der Kryptografie zur Stärkung des Web of Trust beitragen und so für seine eigene Sicherheit sorgen.
Die if(is)-Zertifizierungsinstanz (PGP-ZI) zertifiziert ausschließlich PGP-Schlüssel. Zur Identitätsprüfung ist grundsätzlich die persönliche Vorlage eines Personalausweises oder Reisepasses (oder entsprechenden Dokuments bei Ausländern) erforderlich. Ein Zertifizierungsantrag kann am Institut für Internet-Sicherheit – if(is), Neidenburger Str. 43, 45897 Gelsenkirchen immer dienstags in der Zeit von 11 Uhr bis 13 Uhr bei Kilian Kilden eingereicht werden. Zusätzlich nehmen wir Anträge auf Messen (it-sa, CeBIT) entgegen.
Der Zertifizierung kommt keinerlei rechtliche Bedeutung zu. Es besteht kein Anspruch auf Erteilung eines Zertifikats. Dem Antragsteller entstehen keine Kosten. Die if(is)-ZI bietet keinen Schlüssel-Generierungs-Dienst an.
Bei der if(is)-PGP-Zertifizierungsinstanz gilt es Folgendes zu beachten:
- Die PGP-Benutzerkennung muss den vollen Namen (Vorname, Nachname) des Schlüsselinhabers enthalten.
- PGP-Schlüssel müssen ein Eigenzertifikat tragen.
- Zusätzliche Benutzerkennungen werden nur zertifiziert, falls sie im Antrag zahlenmäßig aufgeführt und mit einem Eigenzertifikat versehen sind.
- Wir zertifizieren maximal zehn zusätzliche Benutzerkennungen.
- PGP-Schlüssel müssen eine Mindestlänge von 1024 Bit haben, wir empfehlen aber eine minimale Länge von 2048 Bit.
- Unvollständig ausgefüllte Zertifizierungsanträge werden nicht bearbeitet.
- Um die Zugehörigkeit der in den Benutzerkennungen vermerkten E-Mail-Adressen zum Antragsteller sicherzustellen, wird bei Einsendung des Schlüssels an jede Adresse eine Bestätigungsnachricht geschickt. Diese E-Mail wird mit dem eingereichten Schlüssel verschlüsselt und enthält eine eindeutige Web-Adresse, durch deren Aufruf der Erhalt und die erfolgreiche Entschlüsselung der Nachricht bestätigt wird. Nur Benutzerkennungen mit bestätigten E-Mail-Adressen können zertifiziert werden.
Die Daten der Anträge werden ausschließlich zur Archivierung der Identitätsprüfung genutzt und weder zu eigenen Marketingzwecken verwendet noch an Dritte weitergegeben. Eine elektronische Erfassung ohne weitere Benachrichtigung bleibt vorbehalten.
Alle zertifizierten Schlüssel werden von der if(is)-Zertifizierungsinstanz in das weltweit synchronisierte Netzwerk der Keyserver eingespeist. Zusätzlich erhält der Schlüsselinhaber seinen signierten Schlüssel an die E-Mail-Adresse der (primären) Benutzerkennung zugeschickt.
PGP ist ein Trademark von PGP Corporation.