FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Public-Key-Zertifizierung durch FITUG

Um der Verbreitung gefäschter Keys vorzubeugen, kann niemand seinen Public Key selbst in die Datenbank des Keyservers eintragen. Jeder, der seinen Key bei FITUG abgelegt sehen möchte, muß sich der folgenden Zertifizierungsprozedur unterziehen. Wir sind uns bewußt, daß kein wie auch immer geartetes Verfahren absolut wasserdicht ist. Wir glauben aber auch, daß unser Vorgehen eine doch recht gute Vertrauensbasis sicherstellt.

Zertifizierungsprozedur

  1. Der Einreicher schickt seinen Public Key ein. Und zwar in zwei Formen:
    1. Papier-Ausdruck mit folgenden Angaben: Public Key in ASCII, Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse. Dazu Ort, Datum und Unterschrift.
      Um die Angaben zu belegen, ist eine Kopie von Personalausweis oder Reisepass beizulegen.
      Post-Adresse:
      FITUG e. V., c/o Prof. Plate
      Fachhochschule, FB 04
      Postfach 20 01 13

      80001 München

      (Sondermarke für den Keyserver-Betreuer nicht vergessen :-)

    2. Elektronisch per E-Mail oder auf Floppy-Disk.

  2. Nun erfolgt die Prüfung der Daten durch unseren Key-Administrator Verlief die Prüfung negativ (z. B. weil Angaben fehlten), erfolgt eine Benachrichtigung per E-Mail mit Vorgabe einer Antwortfrist. Erfolgt keine Antwort innerhalb dieser Frist, werden die Unterlagen vernichtet und das Verfahren erfolglos beendet.

  3. Sind alle Angaben vollständig und korrekt, werden zwei E-Mails an den Einreicher geschickt:
    1. Unverschlüsselte Mitteilung, daß eine Key eingereicht wurde mit der Bitte um Bestätigung oder Widerspruch innerhalb einer vorgegebenen Frist (z. B. für den Fall, daß jemand anderes den Key eingereicht hat).
    2. Verschlüsselte und signierte E-Mail an den Einreicher mit Vorgabe einer Frist, innerhalb welcher der Einreicher die E-Mail in verschlüsselter Form bestätigen muß.

  4. Reaktion von FITUG auf die Antwort des Einreichers:
    1. War die erste Antwortmail ein Widerspruch, werden die Unterlagen vernichtet und das Verfahren erfolglos beendet.
    2. Wird die Antwortfrist bei einer der E-Mails nicht eingehalten, so wird Punkt 3 einmal wiederholt.

  5. Sind beide Antwortmails fristgerecht eingegangen, so wird der eingereichte Schlüssel unterschrieben und auf den FITUG-Keyserver abgelegt. Diese Info wird zusätzlich per E-Mail an den Einreicher geschickt. Die eingesandten Unterlagen werden archiviert.

Das Ändern von Angaben im Key oder das Löschen von Keys kann entweder durch eine signierte E-Mail eingefordert werden oder es ist ein Brief mit Angaben und Ausweiskopie entsprechend Punkt 1.1 notwendig.

Förderverein Informationstechnik und Gesellschaft, JPL, 24.06.97
webmaster@www.fitug.de