IKI ry:n avaimenhaltijan ohjesääntö
- 1§
- Iki ry:n kokous nimittää yhden tai useampia avaimenhaltijoita,
joiden tehtävänä on toimia PGP-avainten allekirjoittajina.
- 2§
- Avaimenhaltija nimitetään aina kalenterivuodeksi.
- 3§
- Jokainen avaimenhaltija generoi itse oman avaimensa ja
varmistuu siitä, että avain pysyy vain hänen itsensä
tiedossa ja hallinnassa.
- 4§
- Avaimenhaltija yksin vastaa varmennusavaimensa säilytyksestä
myös toimikautensa jälkeen. Mikäli avaimenhaltija ei
toimikautensa jälkeen halua vastata avaimensa säilytyksestä,
tulee hänen tuhota kaikki varmennusavaimen salaisesta osasta
tehdyt kopiot.
- 5§
- Avaimenhaltijaksi nimitettävältä edellytetään kokemusta
julkisavainteknologiaan perustuvista salakirjoitusohjelmista
etenkin PGP:stä.
- 6§
- Avaimenhaltijaksi voidaan nimittää rehelliseksi tunnettu
vähintään 2 vuotta IKI ry:n jäsenenä ollut henkilö, jonka
yhdistyksen kokous tehtävään nimittää.
- 7§
- Avaimenhaltija allekirjoittaa sitoumuksen (malli), jossa hän
sitoutuu avaimenhaltijana toimimaan rehellisesti sääntöjen ja
hyvien tapojen mukaisesti. Sitoumuksen allekirjoittaa lisäksi
kaksi todistajaa omakätisesti. Sitoumuksesta ilmenee myös
avaimenhaltijan käyttämän varmennusavaimen key-id ja
key-fingerprint. Alkuperäinen sitoumus tehdään kahtena
kappaleena, joista toinen talletetaan IKI ry:n arkistoon ja
toisen saa avaimenhaltija.
- 8§
- IKI ry:n WWW-palvelimelle laitetaan sitoumuksen teksti
ASCII-muodossa sekä kunkin allekirjoittajan kyseisestä
tekstitiedostosta omalla henkilökohtaisella avaimellaan
generoima PGP-allekirjoitus.
- 9§
- Varmennusavaimet generoidaan PGP:n kansainvälisellä
versiolla.
- 10§
- Varmennusavaimet ovat yleisen käytännön mukaisia PGP-avaimia
ja ne ovat pituudeltaan vähintään puolitoistakertaisia
yleisimmin käytössä oleviin PGP-avaimiin verrattuna. Avaimen
modulus on ovat kuitenkin oltava aina vähintään 2048-bittinen.
- 11§
- Avaimenhaltijat numeroidaan juoksevalla numerolla. Mikäli
sama henkilö on avaimenhaltijana useampana vuonna, hän käyttää
samaa numeroa. Järjestysnumeroita ei käytetä uudelleen.
- 12§
- Avaimenhaltijaksi nimitettävä saa veloituksetta käyttöönsä
iki-aliaksen muotoa avaimenhaltija-x@iki.fi, jossa x on
avaimenhaltijan numero.
- 13§
- IKI:iin perustetaan postituslista avaimenhaltijat@iki.fi,
jossa on jäseninä kunkin vuoden avaimenhaltijat.
- 14§
- IKI:iin perustetaan vuosittain postituslista,
avaimenhaltijat-yyyy@iki.fi, jossa on jäsenenä kyseisen vuoden
avaimenhaltijat.
- 15§
- Varmennusavaimien key-id on muotoa:
"IKI ry - PGP-CA-x (zzzzzz/yyyy) <avaimenhaltija-x@iki.fi>",
jossa x on avaimenhaltijan järjestysnumero, yyyy on
vuosi, jonka ajaksi avaimenhaltija on nimitetty ja
zzzzzz on avaimenhaltijan sukunimi tarvittaessa etunim(i)en
etukirjainten kanssa. Key-id voi esimerkiksi olla:
"IKI ry - PGP-CA-1 (Rinne/1998) <avaimenhaltija-1@iki.fi>".
tai
"IKI ry - PGP-CA-12 (A.A.Virtanen/1998)
<avaimenhaltija-12@iki.fi>".
- 16§
- Varmennusavainta käytetään vain yhden kalenterivuoden ajan.
Mikäli sama henkilö toimii avaimenhaltijana useampana vuonna,
generoi hän uuden avaimen joka vuosi.
- 17§
- Avaimenhaltijat allekirjoittavat henkilökohtaisella
avaimellaan omat varmennusavaimensa.
- 18§
- Avaimenhaltijat allekirjoittavat ristiin toistensa
varmennusavaimet.
- 19§
- Edellisen vuoden avaimenhaltijat allekirjoittavat seuraavan
vuoden avaimenhaltijoitten avaimet, mikäli mahdollista.
- 20§
- PGP:tä käyttävät IKI ry:n hallituksen jäsenet
allekirjoittavat henkilökohtaisella avaimellaan
avaimenhaltijoiden käyttämät varmennusavaimet.
- 21§
- Avaimenhaltijat allekirjoittavat ensisijaisesti IKI ry:n
jäsenten avaimia.
- 22§
- Avaimenhaltijat allekirjoittavat vain yksityishenkilöiden
PGP-avaimia. Lisäksi IKI ry:n hallitus voi valtuuttaa
avaimenhaltijan allekirjoittamaan muiden PGP-CA
organisaatioiden varmennusavaimia.
- 23§
- Avaimenhaltijat allekirjoittavat ainoastaan avaimia, joiden
key-id:stä ilmenee avaimen omistajan nimi sekä toimiva
sähköpostiosoite. Esimerkki kelvollisesta key-id:stä on
"Timo J. Rinne <tri@iki.fi>".
- 24§
- Avaimenhaltijat eivät allekirjoita avaimia, jotka ovat
pituudeltaan alle kullakin hetkellä yleisesti turvallisena
pidetyn minimin. Avaimenhaltijat eivät allekirjoita alle
1024-bittisiä avaimia.
- 25§
- Avaimenhaltijat allekirjoittavat ainoastaan avaimia, joiden
omistajan henkilöllisyyden he ovat riittävästi varmistaneet.
Riittävä varmistus on virallinen henkilöllisyystodistus, jonka
avaimenhaltija hyväksyy.
- 26§
- Nykyisten henkilöllisyydenvarmistusmenetelmien käytössäollessa
edellyttää avaimen allekirjoittaminen aina fyysistä
tapaamista avaimenhaltijan ja allekirjoitusta pyytävän
välillä. Mikäli tulevaisuudessa otetaan käyttöön yleisesti
hyväksyttyjä sähköisiä tunnistusmenetelmiä, voidaan niitäkin
käyttää, mikäli avaimenhaltija ne hyväksyy.
- 27§
- Halutessaan avaimenhaltija voi vaatia useita eri
henkilöllisyyden todistamistapoja käytettäväksi.
- 28§
- Avaimenhaltijan allekirjoitusta pyytävä toimittaa avaimensa
sähköpostitse osoitteeseen avaimenhaltijat@iki.fi tai mikäli
asiasta on etukäteen sovittu, suoraan kyseiselle
avaimenhaltijalle osoitteeseen avaimenhaltija-x@iki.fi, jossa
x on kyseisen avaimenhaltijan järjestysnumero. Tämän jälkeen
hän varmistaa henkilöllisyytensä avaimenhaltijalle samalla
ilmoittaen avaimensa key-id:n ja key-fingerprintin.
- 29§
- Avaimenhaltija toimittaa allekirjoitetun avaimen
sähköpostitse ja käyttäjä itse huolehtii allekirjoitetun
julkisen avaimen toimittamisesta avainpalvelimiin sekä
on yksin vastuussa avaimen käytöstä sekä siitä, että avaimen
salainen osa ei joudu vääriin käsiin.
- 30§
- Avaimenhaltija ei ole vähimmässäkään määrin vastuussa siitä,
mihin tarkoitukseen käyttäjä avaimenhaltijan allekirjoittamaa
avainta käyttää.
- 31§
- Mikäli avaimenhaltija katsoo, ettei allekirjoitusta pyytävän
henkilöllisyys ole tullut riittävästi varmistettua, hän voi
kieltäytyä allekirjoittamasta avainta.
- 32§
- Avaimenhaltija voi myös kieltäytyä allekirjoittamasta avainta
muusta perustellusta syystä. Pyydettäessä perustelu
käsitellään IKI ry:n hallituksessa, mutta ne voidaan osittain
tai kokonaan jättää esittämättä allekirjoitusta pyytävälle.
- 33§
- Avaimenhaltijat pitävät allekirjoittamistaan avaimista
lokikirjaa, johon merkitään allekirjoituspäivä,
allekirjoitetun avaimen key-id ja key-fingerprint sekä tapa,
jolla allekirjoitetu avaimen omistajan henkilöllisyys on
varmistettu. Kukin avaimenhaltija säilyttää itse
lokikirjansa ja on velvollinen pyydettäessä viipymättä
esittämään sen IKI ry:n hallitukselle
- 34§
- Avaimenhaltijat esittävät raportin vuosikokoukselle
toiminnastaan.
- 35§
- Mikäli avaimenhaltija käyttää asemaansa väärin, yhdistyksen
kokous voi yhdistyksen hallituksen esityksestä erottaa hänet.
Erotettu avaimenhaltija ei saa allekirjoittaa avaimia käyttäen
varmennusavaintaan.
- 36§
- Erotetun avaimenhaltijan käyttämät varmennusavaimet listataan
IKI ry:n www-sivuilla sekä Ikitotuus julkaisussa. Erotetun
avaimenhaltijan on myös ensi tilassa toimitettava
varmennusavaimensa key-revocation-certificate
avainpalvelimiin.
- 37§
- Mikäli avaimenhaltijan varmennusavaimen salainen osa
varotoimista huolimatta joutuu vääriin käsiin tai on olemassa
perusteltu epäilys siitä, että näin on voinut tapahtua,
ilmoitetaan asiasta viipymättä IKI ry:n www-sivuilla sekä
Ikitotuus julkaisussa. Kyseisen varmennusavaimen
key-revocation-certificate toimitetaan myös ensi tilassa
avainpalvelimiin.
- 38§
- Mikäli näitä sääntöjä muutetaan kesken avaimenhaltijan
toimikautta, koskevat muutetut säännöt avaimenhaltijaa vain,
mikäli avaimenhaltija ilmoittaa yhdistyksen hallitukselle
hyväksyvänsä muutokset.
- 39§
- Mikäli avaimenhaltija kieltäytyy hyväksymästä muutettuja
sääntöjä, hänen on ilmoitettava hallitukselle, ettei hän voi
enää jatkaa avaimenhaltijana. Tässä tapauksessa
avaimenhaltija ei enää saa allekirjoittaa avaimia
varmennusavaimellaan. Avaimenhaltijan aikaisemmin
allekirjoittamat avaimet säilyttävät kuitenkin statuksensa
eikä avaimenhaltijan varmennusavainta merkitä listalle, jonne
merkitään erotettujen avaimenhaltijoiden avaimet.
- 40§
- Lista aktiivisista ja entisistä avaimenhaltijoista pidetään
näkyvissä IKI ry:n www-palvelimella. Listasta ilmenee
kunkin avaimenhaltijan toimikausi.
- 41§
- Tämä ohjesääntö on vahvistettu IKI ry:n kokouksessa
19.2.1998.
- 42§
- Nämä säännöt ovat voimassa toistaiseksi ja näitä sääntöjä
voidaan muuttaa yhdistyksen kokouksessa.
Lisätietoja <avaimenhaltijat@iki.fi>