=============================================================================== 2013-10-13 OpenPGP Key Signing Policy of Jan Boysen 0xDB488616 =============================================================================== ** Deutsche Version weiter unten / German version below ** Preliminaries: -------------- This policy is valid from 2013-09-30 for all signatures made by the GnuPG key: pub 8192R/DB488616 2013-09-30 key fingerprint = AF6A 65B2 2C01 EA58 E410 823F 0916 CA44 DB48 8616 uid [ uneing.] Jan Boysen uid [ uneing.] Jan Boysen (MindCrusher Studios) uid [ uneing.] Jan Boysen uid [ uneing.] Jan Boysen (Linux User Group Flensburg e.V.) uid [ uneing.] Jan Boysen (MediaWeb IT) uid [ uneing.] Jan Boysen (MediaWeb IT) sub 4096R/06931331 2013-10-13 [expires: 2015-10-13] The key can be obtained from the folloing resources: - A full version containing all signatures, from a common, public keyserver for example subkeys.pgp.net - A minimal version without signatures, from my webserver at https://wadd.nu/signing/0xDB488616.asc - Via E-Mail, by sending me a request to sent my public key This Signingpolicy may be replaced at any time with a new version. If a new version incorporates changes that might affect the strength or perceived strength of the resulting signature, the old version will be linked from the new one. This is version 1.0 and has been published on 2013-10-13 The signing policy is located at https://wadd.nu/signing/0xDB488616/v1_0.txt The signature for this signing policy is located at https://wadd.nu/signing/0xDB488616/v1_0.txt.asc Prerequisites for signing: -------------------------- Before I can sign a key the following steps are necessary: Identity verification: The key owner who wishes to obtain a signature to his/her key from me (hereafter called the "signee") must prove his/her identity to me by way of a national ID card, a driver's licence, or a similar token. The token must feature a photographic picture of the signee. This also implies that the signee's key must feature his/her real name. For people from outside the European Union, only a combination of at least two of the above tokens will be accepted. Exceptions will be made when the signee can come up with other means of proof of identity. But at least one of the above tokens will stay the minimum requirement. Please note that I require that proof of identity even for people I know personally. Hardcopy of fingerprint: The signee should have prepared a printout of the output of gpg --fingerprint for his/her key (or the equivalent command of his/her OpenPGP client). A hand-written sheet featuring the key ID, the fingerprint and all user IDs the signee wishes to obtain a signature to will also be accepted. If the signee wishes to obtain a signature to a photographic user ID, the printout should contain the image of that photographic user ID. A printout or photocopy of a photo clearly showing the same person as in the photographic user ID will also be accepted. Signing the key: ---------------- Before I sign your key, I download it from a keyserver. I check the fingerprint, UID and name against your hardcopy. To verify the email address in your key, I send a mail that is encrypted with your public key to every single UID in your key. This mail contains my signature to this UID. In this way I can confirm that you can access the email address, have access to the private key to decrypt the message and you can decide yourself if you would like to upload my signature to a keyserver. Level of Trust: --------------- Level 3: Certification level 3 is used for user IDs that passed identity, fingerprint and email verification and photographic user IDs that passed identity and fingerprint verification as described above. Level 2: Certification level 2 is used for sign-only keys, where a verification of the email address as described above can not be done. These can for example be pure sign keys. The identity and fingerprint have been verified as described above. Level 1: Certification level 1 is not used, as no keys will be signed without any verification. Expire date: ------------ All my signatures will expire at the same date, the signed key expires. ==================================================================================== 2013-10-13 OpenPGP Schlüssel Signaturrichtlinue von Jan Boysen 0xDB488616 ==================================================================================== Vorbemerkung : -------------- Diese Richtlinie ist gültig ab dem 2013-09-30 für alle Signaturen, die von folgendem OpenPGP-Schlüssels vorgenommen werden: pub 8192R/DB488616 2013-09-30 Schlüssel Fingerabdruck = AF6A 65B2 2C01 EA58 E410 823F 0916 CA44 DB48 8616 uid [ uneing.] Jan Boysen uid [ uneing.] Jan Boysen (MindCrusher Studios) uid [ uneing.] Jan Boysen uid [ uneing.] Jan Boysen (Linux User Group Flensburg e.V.) uid [ uneing.] Jan Boysen (MediaWeb IT) uid [ uneing.] Jan Boysen (MediaWeb IT) sub 4096R/06931331 2013-10-13 [verfällt: 2015-10-13] Der Schlüssel kann von einer der folgenden Resourcen bezogen werden: - Die komplette Version mit allen Signaturen, von einem der üblichen, öffentlichen Schlüsselserver zum Beispiel subkeys.pgp.net - Eine Minimierte Version ohne Signaturen, von meinem Webserver unter https://wadd.nu/signing/0xDB488616.asc - Per E-Mail an mich, mit einer entsprechenden Anfrage Diese Signatürrichtlinie kann jederzeit mit einer neuen Version ersetzt werden. Wenn eine neue Version Änderungen enthällt, die Einfluss auf die Stärke oder die wahrgenommene Stärke der resultierenden Unterschriften hat, wird die alte Version der Signaturrichtlinie aud der neuen verknüpft. Dies ist die Version 1.0 und wurde am 2013-10-13 veröffentlicht Die Signaturrichtlinie befindet sich unter https://wadd.nu/signing/0xDB488616/v1_0.txt Die Signatur der Signaturrichtlinie ist unter https://wadd.nu/signing/0xDB488616/v1_0.txt.asc zu finden. Voraussetzungen für eine Signatur: ---------------------------------- Bevor ich einen Schlüssel signiere, sind folgende Schritte erforderlich: Überprüfung der Identität Der Schlüssel Eigentümer muss, um eine Signatur seines / seiner Schlüssel von mir zu erhalten, mir gegenüber seine Identität glaubhaft darlegen. Dies kann in der Regel durch einen Personalausweis, Führerschein oder ein ähnliches Amtliches Dokument erfolgen. Das Dokument muss ein fotografisches Bild des Schlüssel Eigentümers enthalten. Dies impliziert auch, dass der Schlüssel den echten Name enthällt, der mit den amtlichen Dokumenten übereinstimmt. Für Menschen, die nicht Bürger der Europäischen Union sind, wird nur eine Kombination aus mindestens zwei der oben genannten amtlichen Dokumente akzeptiert. Ausnahmen werden gemacht, wenn der Schlüssel Inhaber seine Identität mit anderen Mitteln nachweisen kann. Aber zumindest das Vorlegen eines der oben genannten, amtlichen Dokumente wird die Mindestanforderung bleiben. Zu beachten ist auch, dass ich den Nachweis der Identität, wie oben beschrieben, von Personen verlange, die ich persönlich kenne. Ausdruck des Fingerabdrucks: Den ausgedruckten Fingerabdruck für den zu signierenden Schlüssel - Der Schlüssel Eigentümer sollte eine entsprechende gpg Ausgabe vorbereitet haben (oder der Entsprechung seiner OpenPGP Software). Ein handschriftliches Blatt mit der Schlüssel-ID, den Fingerabdruck und allen Benutzer-IDs die signiert werden sollen wird ebenfalls akzentiert. Wenn der Schlüssen Eigentümer eine Signatur auf seinem dem Schlüssel angefügten Foto wünscht, sollte der Ausdruck ebenfalls das Bild des Schlüssel Eigentümers enthalten. Eine Kopie eines Fotos wird jedoch auch akzeptiert. Genauso werden Foto-IDs akzeptiert, die die gleiche Person wie auf den amtlichen Dokumenten zeigen. Signieren der Schlüssel: ------------------------ Bevor ich einen Schlüssel signiere, lade ich diesen von einem Schlüsselserver herunter. Überprüfe den Fingerabdruck, UID und Namen mit den vorhandenen Unterlagen. (Ausdruck des Fingerabdrucks, Kopie des Fotos etc.) Um die E-Mail Adresse des/der in dem Schlüssel befibndlichen Benutzer-IDs zu verifizieren, schicke ich eine mit dem zu signierendem Schlüssel verschlüsselte E-Mail zu jeder einzelnen Benutzer-ID des Schlüssels. Diese Mail enthält meine Signatur zur jeweiligen Benutzer ID. Auf diese Weise kann ich bestätigen, dass der Schlüssel Eigentümer Zugriff auf die entsprechende E-Mail Adresse hat und im Besitz des privaten Schlüssels zum Entschlüsseln der Nachricht ist. Der Schlüssel Eigentümer kann dann selbst entscheiden, ob und welche meiner Signaturen er auf einen der öffentlichen Schlüsselserver hochlädt. Vertrauens-Stufen: ------------------ Stufe 3: Signaturen der Stufe 3 werden für Benutzer-IDs verwendet, bei denen die Identität, der Fingerabdruck und die E-Mail erfolgreich Überprüft wurden. Desweiteren für Foto-Benutzer-IDs, die wie oben beschrieben Überprüft worden sind. Stufe 2: Signaturen der Stufe 2 werden nur dort eingesetzt, wo eine Überprüfung der E-Mail Adresse wie oben beschrieben nicht erfolgen kann. Dies ist zum Beispiel bei reinen Signaturschlüsseln der Fall. Die Identität und der Fingerabdruck sind wie oben beschrieben erfolgreich überprüft worden. Stufe 1: Signaturen der Stude 1 werden von mir nicht durchgeführt, da jegliche Signatur immer wie oben beschrieben einer Prüfung bedarf. Verfallsdatum: -------------- Alle meine Signaturen werden zum gleichen Zeitpunkt, wie der zu signierende Schlüssel ablaufen.