Page MenuHome GnuPG
Files F34102827

No OneTemporary
Actions

View Options

This document is not UTF8. It was detected as ISO-8859-1 (Latin 1) and converted to UTF8 for display.
diff --git a/doc/manual/gpg4win-compendium-de.tex b/doc/manual/gpg4win-compendium-de.tex
index 8079d8e9..6821cd7a 100644
--- a/doc/manual/gpg4win-compendium-de.tex
+++ b/doc/manual/gpg4win-compendium-de.tex
@@ -1,5594 +1,5594 @@
% gpg4win-compendium-de.tex
% Note, that this a HyperLaTeX source and not plain LaTeX!
\documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
% define packages
\usepackage{hyperlatex}
\usepackage{a4wide}
\usepackage{times}
\usepackage[latin1]{inputenc}
\usepackage[T1]{fontenc}
\usepackage{german}
\usepackage{graphicx}
\usepackage{alltt}
\usepackage{moreverb}
\usepackage{ifthen}
\usepackage{fancyhdr}
\W\usepackage{rhxpanel}
\W\usepackage{sequential}
% write any html files directly into this directory
% XXX: This is currently deactivated, but sooner or later
% we need this to not let smae filenames overwrite each other
% when we have more than one compendium. The Makefile.am needs
% to be updated for this as well - not a trivial change.
%\W\htmldirectory{./compendium-de-html}
% Hyperref should be among the last packages loaded
\usepackage{hyperref}
% page header
\T\fancyhead{} % clear all fields
\T\fancyhead[LO,RE]{Das Gpg4win Kompendium \compendiumVersionDE \manualinprogress \\ \itshape\nouppercase{\leftmark}}
\T\fancyhead[RO,LE]{\thepage}
\T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
\T\pagestyle{fancy}
% define custom commands
\newcommand{\Button}[1]{[\,#1\,]}
\newcommand{\Menu}[1]{\emph{#1}}
\newcommand{\Filename}[1]{\texttt{#1}}
\newcommand{\Email}{E-Mail}
\newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
\newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
% Note: Do not include more than one image on a source line.
\newcommand{\IncludeImage}[2][]{\texorhtml{%
\includegraphics[#1]{#2}%
}{%
\htmlimg{#2.png}%
}}
\T\DeclareGraphicsExtensions{.eps.gz,.eps}
\T\parindent 0cm
\T\parskip\medskipamount
% Get the version information from another file.
% That file is created by the configure script.
\input{version.tex}
% Define universal url command.
% Used for latex _and_ hyperlatex (redefine see below).
% 1. parameter = link text (optional);
% 2. parameter = url
% e.g.: \uniurl[example link]{http:\\example.com}
\newcommand{\uniurl}[2][]{%
\ifthenelse{\equal{#1}{}}
{\texorhtml{\href{#2}{#2}}{\xlink{#2}{#2}}}
{\texorhtml{\href{#2}{#1}}{\xlink{#1}{#2}}}}
%%% HYPERLATEX %%%
\begin{ifhtml}
% HTML title
\htmltitle{Gpg4win Kompendium}
% TOC link in panel
\htmlpanelfield{Inhalt}{hlxcontents}
% redefine bmod
\newcommand{\bmod}{mod}
% redefine &
\NotSpecial{\do\&}
% use hlx icons (default path)
\newcommand{\HlxIcons}{}
% Footer
\htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
\html{br/}
\html{small}
Das Gpg4win Kompendium ist unter der
\link{GNU Free Documentation License v1.2}{fdl} lizensiert.
\html{/small}}
% Changing the formatting of footnotes
\renewenvironment{thefootnotes}{\xname{fussnoten}\chapter*{Fußnoten}\begin{description}}{\end{description}}
% redefine universal url for hyperlatex (details see above)
\newcommand{\linktext}{0}
\renewcommand{\uniurl}[2][]{%
\renewcommand{\linktext}{1}%
% link text is not set
\begin{ifequal}{#1}{}%
\xlink{#2}{#2}%
\renewcommand{linktext}{0}%
\end{ifequal}
% link text is set
\begin{ifset}{linktext}%
\xlink{#1}{#2}%
\end{ifset}}
% german style
\htmlpanelgerman
\extrasgerman
\dategerman
\captionsgerman
% SECTIONING:
%
% on _startpage_: show short(!) toc (only part+chapter)
\setcounter {htmlautomenu}{1}
% chapters should be <H1>, Sections <H2> etc.
% (see hyperlatex package book.hlx)
\setcounter{HlxSecNumBase}{-1}
% show _numbers_ of parts, chapters and sections in toc
\setcounter {secnumdepth}{1}
% show parts, chapters and sections in toc (no subsections, etc.)
\setcounter {tocdepth}{2}
% show every chapter (with its sections) in _one_ html file
\setcounter{htmldepth}{2}
% set counters and numberstyles
\newcounter{part}
\renewcommand{\thepart}{\arabic{part}}
\newcounter{chapter}
\renewcommand{\thecapter}{\arabic{chapter}}
\newcounter{section}[chapter]
\renewcommand{\thesection}{\thechapter.\arabic{section}}
\end{ifhtml}
%%% TITLEPAGE %%%
\title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\ Das Gpg4win Kompendium}
\author{ \
% Hyperlatex: Add links to pdf versions and Homepage
\htmlonly{
\xml{p}\small
\xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
}
% Authors
Eine Veröffentlichung des Gpg4win Projekts\\
\small Basierend auf einem Original von
\T\\
\small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
\T\\[-0.2cm]
\small Dr. Francis Wray und Ute Bahn.
\\[0.2cm]
\small Überarbeitet von
\T\\
\small Werner Koch, Emanuel Schütze und Jan-Oliver Wagner.
}
\date{Version \compendiumVersionDE~vom \compendiumDateDE \manualinprogress}
%%% BEGIN DOCUMENT %%%
\begin{document}
\maketitle
\xname{impressum}
\T\section*{Impressum}
\W\chapter*{Impressum}
\thispagestyle{empty}
Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
mit dem Bundesministerium für Wirtschaft und Technologie erweckt
werden.}\\
Copyright \copyright{} 2005 g10 Code GmbH
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.2 or
any later version published by the Free Software Foundation; with no
Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
copy of the license is included in the section entitled "`GNU Free
Documentation License"'.
{\small [Dieser Absatz is eine unverbindliche Übersetzung des
oben stehenden Hinweises.]}\\
Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
verteilen und/oder zu verändern unter den Bedingungen der GNU Free
Documentation License, Version 1.2 oder einer späteren, von der Free
Software Foundation veröffentlichten Version. Es gibt keine
unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
hinteren Umschlagtext. Eine Kopie der "`GNU Free Documentation
License"' findet sich im Anhang mit dem gleichnamigen Titel.
Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
http://www.gnu.org/licenses/translations.html.
Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
sondern für jedermann.
\clearpage %% End of original page 4.
\xname{inhalt}
\tableofcontents
%%\clearpage
%% Orginal page 6
%% We don't use these foreword anymore because Mr. Müller is not
%% anymore minister of economic and technology. We might want to ask
%% for a new foreword by the current head of that minister.
\clearpage
%% Orginal page 7
\xname{ueber-dieses-handbuch}
\chapter*{Über dieses Handbuch \htmlonly{\html{br}\html{br}}}
\addcontentsline{toc}{chapter}{Über dieses Handbuch}
Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
\begin{itemize}
\item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
Schnelleinstieg in Gpg4win.
\item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
Das Hintergrundwissen für Gpg4win.
\item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
Entschlüsselung so oft üben können, wie Sie wollen.
\end{itemize}
\textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
und knapp durch die Installation
und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
etwa eine Stunde Zeit nehmen.
\textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
liefert Hintergrundwissen, das Ihnen die
grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
seltener benutzten Fähigkeiten erläutert.
Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
der angegebenen Reihenfolge lesen.
\textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
entschlüsselt sie auch. Sie können also mit Adele einen kompletten
Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
Gebrauch der Software vertraut gemacht haben.
Adele ist im Rahmen des alten GnuPP Projektes entstanden und
läuft dort noch immer. "`Das Gpg4win Kompendium"' verwendet diesen
zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
für den Betrieb von Adele.
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Part I
\clearpage
\xname{einsteiger}
\T\part{Einsteiger}
\W\part*{\textbf{I Einsteiger}}
\label{part:Einsteiger}
\addtocontents{toc}{\protect\vspace{0.3cm}}
\addtocontents{toc}{\protect\vspace{0.3cm}}
%% Orginal page 8
\xname{was-ist-gpg4win}
\chapter{Was ist Gpg4win?}
\textbf{Das Projekt Gpg4win (GNU Privacy Guard for Windows) ist eine
Verschlüsselungssoftware für \Email{}s und Dateien.
Gpg4win bezeichnet ein Gesamtpaket, welches in Version 2 die folgenden
Programme umfasst:}
\begin{description}
\item[GnuPG:] GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
\item[Kleopatra:] Die zentrale Zertifkatsverwaltung von Gpg4win.
Unterstützt OpenPGP und X.509\linebreak (S/MIME) und sorgt für
eine einheitliche Benutzerführung für alle
kryptographischen Operationen.
\item[GpgOL:] GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
Outlook 2003 und 2007, die verwendet wird um Nachrichten mit OpenPGP
oder S/MIME zu verschlüsseln.
\item[GpgEX:] GPG Explorer eXtension (GpgEX) ist eine Erweiterung für
den Windows Explorer, die es ermöglicht, Dateien über das
Kontextmenü zu verschlüsseln.
\item[GPA:] Der GNU Privacy Assistent (GPA) ist neben Kleopatra ein
alternatives Programm zum Verwalten von OpenPGP Schlüsseln.
\item[Claws Mail:] Claws Mail ist ein vollständiges
\Email{}-Programm mit sehr guter Unterstützug für GnuPG.
\end{description}
Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
jedermann \Email{}s sicher, einfach und kostenlos verschlüsseln. GnuPG
kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
von GnuPG eingesetzte Verschlüsselungstechnologie ist sehr
sicher und kann nach dem heutigen
Stand von Forschung und Technik nicht gebrochen werden.
GnuPG ist \textbf{Freie Software}\footnote{oft ungenau auch als Open Source
Software bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
nach Belieben kommerziell oder privat zu nutzen. Jedermann darf den
Quellcode, also die eigentliche Programmierung des Programms, genau
untersuchen und auch selbst Änderungen durchführen und diese
weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
durchführen, da hierdurch die Sicherheit der Software beeinträchtigt
werden kann.}
Für eine Sicherheits-Software ist diese garantierte Transparenz des
Quellcodes eine unverzichtbare Grundlage. Nur so läßt sich die
Vertrauenswürdigkeit eines Programmes prüfen.
GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC 2440), ist
vollständig kompatibel zu PGP und benutzt die gleiche Infrastruktur
(Schlüsselserver etc.). Seit Version 2 von GnuPG wird auch der
kryptographische Standard \textbf{S/MIME} (CMS/RFC 3852 bzw. X.509)
unterstützt.
PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
GnuPG erhältlich. Diese Version entspricht aber schon lange nicht
mehr dem Stand der Technik.
Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
Wirtschaft und Technologie, Gpg4win und Gpg4win-2
durch das Bundesamt für Sicherheit in der Informationstechnik
unterstützt.
Weitere Informationen zu GnuPG und den Projekten der Bundesregierung
zum Schutz des Internets finden Sie auf der Website
\uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
des Bundesamtes für Sicherheit in der Informationstechnik.
\clearpage
%% Original page 6
\xname{warum-ueberhaupt-verschluesseln}
\chapter{Warum überhaupt verschlüsseln?}
\label{ch:why}
Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
der Pharao Khnumhotep II, Herodot und Cäsar. Dank Gpg4win ist
Verschlüsselung nunmehr für jedermann frei und kostenlos
zugänglich\ldots
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{egyptian-stone}
\end{center}
Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
um rund um den Globus miteinander zu kommunizieren und uns zu
informieren. Aber Rechte und Freiheiten, die in anderen
Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
den neuen Technologien erst sichern. Das Internet ist so schnell und
massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
noch nicht so recht nachgekommen sind.
Beim altmodischen Briefschreiben haben wir die Inhalte unserer
Mitteilungen ganz selbstverständlich mit einem Briefumschlag
geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
Postkarte, die auch der Briefträger oder andere lesen können.
\clearpage
%% Original page 7
Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
man selbst und niemand sonst.
Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
\Email{} ist immer offen wie eine Postkarte, und der elektronische
"`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
zu verteilen, sondern auch, sie zu kontrollieren.
Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
zu lange gedauert. Mit der modernen Computertechnik ist das technisch
möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
schon im großen Stil mit Ihrer und meiner \Email{}
geschieht\footnote{Hier sei nur an das
\uniurl[Echelon System]{\EchelonUrl} erinnert%
\T; siehe \uniurl{\EchelonUrl}%
.}.
Denn: Der Umschlag fehlt.
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{sealed-envelope}
\end{center}
\clearpage
%% Original page 8
Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
für wichtig und schützenswert halten oder nicht.
Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
Gpg4win wahrnehmen. Sie müssen sie nicht benutzen -- Sie müssen ja auch
keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
Windows. GnuPG wird von Sicherheitsexperten in aller Welt als eine
praktikable und sichere Software angesehen.
\textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
Hand.}
Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
der Verschlüsselung und größtmöglicher Sicherheit. Dazu gehören die
wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
um Gpg4win richtig zu nutzen. In diesem Handbuch werden wir
Ihnen dieses Vorgehen Schritt für Schritt erläutern...
\clearpage
\xname{zwei-wege-ein-ziel}
\chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
\label{ch:openpgpsmime}
Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
\Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung
sind zwei Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
\subsubsection{Die Gemeinsamkeit: Das Public-Key-Verfahren}
Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
und zwar das Public-Key-Verfahren. Was heisst das?
Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
\textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der
\textbf{"`Geheimer Schlüssel"'}).
Klingt zwar komisch, wenn man an echte Schlösser denkt, aber bei
Software löst diese Idee das Problem, dass ich meinen Schlüssel
für jeden Empfänger aus der Hand geben müsste.
Denn normalerweise muss ein Schlüssel zum Verschlüsseln/Abschließen auch
zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste ich Ihnen,
wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
großes Problem.
Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
Ich muss also nur die Truhe zu Ihnen transportieren lassen.
Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
würde.
Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung
(Näheres erfahren wir später in Kapitel~\ref{ch:CreateKeyPair}).
\textbf{Falls Sie sich jetzt fragen, wie das Public-Key-Verfahren so
funktionieren kann, lesen Sie einmal
Kapitel~\ref{ch:FunctionOfGpg4win}.}
\textbf{Wenn Sie sich dann noch fragen, warum das Gpg4win so sicher ist,
sind vermutlich die Kapitel~\ref{ch:themath} und
\ref{ch:secretGnupg} genau das richtige für Sie!}
Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
Geheimnisse verstehen. Viel Spaß beim Entdecken.
% TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
\clearpage
\subsubsection{Der Unterschied: Die Authentifizierung}
Der wesentlichste Unterschied zwischen OpenPGP und S/MIME liegt
im Bereich der Authentifizierung.
Um die Authentizität des Absenders festzustellen, ist bei
\textbf{S/MIME}
ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
unzweifelhaft beglaubigt.
Das heisst, dass ich meinen öffentlichen Schlüssel von einer dazu
berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
man \textbf{hierarchisches Vertrauenskonzept}. Zumeist ist die Kette nur 3 Elemente
lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
Wurzel zertifiziert CA, CA zertifiziert Anwender.
Im Gegensatz dazu erlaubt \textbf{OpenPGP} neben dieser baumartigen Zertifizierung
zusätzlich auch eine direkte "`peer-to-peer"' Zertifizierung (Anwender A zertfiziert
Anwender B, B zertifiziert A und C usw.) und macht damit
aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
\textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
also die Möglichkeit, \textit{ohne} die Zertifizierung von einer höheren Stelle verschlüsselte Daten und
\Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
\textbf{Nähere Informationen zu Authentifizierungswegen, wie zum Beispiel
dem Web-of-Trust oder den Zertifizierunsstellen, erhalten Sie später in Kapitel~\ref{ch:trust}.}
% TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
Was bedeutet das für Sie?
\begin{itemize}
\item Sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
bieten.
\item Beide Verfahren sind \textbf{nicht kompatibel} miteinander. Sie
bieten zwei separate Wege bei der Authentifizierung Ihrer geheimen Kommunikation.
Man sagt, sie sind nicht interoperabel.
\item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
\textbf{ parallele } Nutzung beider Systeme.
\end{itemize}
Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis
hin zur Verschlüsselung sowohl mit OpenPGP als auch
mit S/MIME detailliert erklärt.
Die beiden nachfolgenden Symbole weisen Sie in diesem Kompendium
auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer
schnell überblicken, welche Besonderheiten bei welchem Konzept zu
beachten sind.
\begin{center}
\IncludeImage[width=3cm]{openpgp-icon}
\hspace{1cm}
\IncludeImage[width=3cm]{smime-icon}
\end{center}
\clearpage
\xname{sie-installieren-gpg4win}
%% Orginal page 9
\chapter{Sie installieren Gpg4win}
Beginnen wir nun mit der Installation von Gpg4win. Beachten Sie, dass
Sie dafür Administrator-Rechte auf Ihrem Windows-System benötigen.
Sollte bereits eine GnuPG basierte Anwendung, wie z.B.
GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
wie Sie Ihre vorhandenen Schlüssel und Zertifikate übernehmen können.
Falls Sie Gpg4win aus dem Internet heruntergeladen haben:
\vspace{-0.28cm}
\begin{quote}
Klicken Sie
bitte auf diese neu abgespeicherte Datei, die den Namen\linebreak
\texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
haben sollte. Achten Sie unbedingt darauf, dass Sie die Datei von
einer vertrauenswürdigen Seite erhalten haben.
\end{quote}
Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
\vspace{-0.28cm}
\begin{quote}
Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs.
Öffnen Sie Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM-Icon mit
dem Titel "`Gpg4win"'. Anschließen klicken Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
\end{quote}
Die weitere Installation ist dann identisch:
Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
mit \Button{Ja}.
\clearpage
Es begrüßt Sie dieser Dialog:
% TODO screenshot: Welcome Seite Installer
\begin{center}
\IncludeImage{sc-inst-welcome}
\end{center}
Beenden Sie alle auf Ihrem Rechner laufenden Programme, und klicken Sie dann auf \Button{Weiter}.
\clearpage
%% Orginal page 10
Auf der Seite mit dem \textbf{Lizenzabkommen}, können Sie Informationen zu den
Lizenzen dieser Software lesen.
Wenn Sie die Software lediglich installieren und einsetzen wollen, so
haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
zu lesen.
Geben Sie allerdings diese Software weiter oder wollen Sie sie
verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
machen.
% Screenshot Lizenzseite des Installers
\begin{center}
\IncludeImage{sc-inst-license}
\end{center}
Klicken Sie auf \Button{Weiter}.
\clearpage
%% New page (not in original document)
Auf der Seite mit der \textbf{Komponentenauswahl} können
Sie entscheiden, welche Programme Sie installieren
möchten.
Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
jeweils rechts eine Kurzbeschreibung die Ihnen bei der
Entscheidung hilft.
Die Anzeige des benötigen Speichers auf der Festplatte
hilft Ihnen vielleicht ebenfalls weiter.
% sreenshot Auswahl zu installierender Komponenten
\begin{center}
\IncludeImage{sc-inst-components}
\end{center}
Alle sinnvollen Komponenten sind bereits vorausgewählt.
Den Rest können Sie bei Bedarf auch später installieren.
Klicken Sie auf \Button{Weiter}.
\clearpage
%% Original page 11
In der nun folgenden \textbf{Verzeichnisauswahl} können Sie eine Ordner auf Ihrem PC
aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
Normalfall den voreingestellten Ordner\\
\Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
übernehmen.
% screenshot: Auswahl des Installationsverzeichnis.
\begin{center}
\IncludeImage{sc-inst-directory}
\end{center}
Klicken Sie anschließend auf \Button{Weiter}.
\clearpage
Auf der folgenden Seite können Sie festlegen, welche
\textbf{Verknüpfungen} installiert werden. Voreingestellt ist
lediglich eine Verknüpfung mit dem Startmenü. Bitte beachten Sie, daß
sie diese Verknüpfungen auch jederzeit später mit den Bordmitteln von
Windows verändern können.
% screenshot: Auswahl des Links
\begin{center}
\IncludeImage{sc-inst-options}
\end{center}
Klicken Sie anschließend auf \Button{Weiter}.
\clearpage
%% Original page 12
Falls Sie auf der vorhergehenden Seite eine \textbf{Verknüpfung mit dem
Startmenü} ausgewählt haben (dies ist die Voreinstellung), so wird
Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
Startmenüs auswählen können.
% screenshot: Startmenu auswählen
\begin{center}
\IncludeImage{sc-inst-startmenu}
\end{center}
Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
klicken dann auf \Button{Installieren}.
\clearpage
Während der nun folgenden \textbf{Installation} sehen Sie einen
Fortschrittsbalken und Informationen, welche Datei momentan
installiert wird. Sie können jederzeit auf \Button{Details~anzeigen} drücken
um ein Protokoll der Installation sichtbar zu machen.
% Screenshot: Ready page Installer
\begin{center}
\IncludeImage{sc-inst-ready}
\end{center}
Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
\Button{Weiter}.
\clearpage
%% Original page 13
Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
% Screenshot: Finish page Installer
\begin{center}
\IncludeImage{sc-inst-finished}
\end{center}
Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie die
Option auf dieser Seite.
Klicken Sie schließlich auf \Button{Fertig stellen}.
\clearpage
In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
% Screenshot: Finish page Installer with reboot
\begin{center}
\IncludeImage{sc-inst-finished2}
\end{center}
Sie können hier auswählen, ob Windows sofort neu gestartet werden
soll oder später manuell.
Klicken Sie hier auch auf \Button{Fertig stellen}.
% FIXME: Wir müssen erklären wie man Word als Standard Editor in
% Outlook ausschaltet.
\clearpage
%% Original page 14
\textbf{Das war's schon!}
Sie haben Gpg4win erfolgreich installiert und können es gleich zum ersten Mal
starten.
Vorher sollten Sie aber Kapitel~\ref{ch:FunctionOfGpg4win} lesen.
Wir erklären dort den genialen Trick, mit dem Gpg4win Ihre \Email{}s
sicher und bequem verschlüsselt.
Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
vor sich geht.
Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
Weiter geben wir Ihnen in Kapitel~\ref{ch:passphrase} einige Tipps,
mit denen Sie sich einen sicheren
und trotzdem leicht zu merkenden Passphrase ausdenken können.
Für Informationen zur \textbf{automatischen Installation} von Gpg4win (wie sie
zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist),
lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"'
weiter.
\clearpage
\xname{sie-erzeugen-ihr-schluesselpaar}
%% Original page 15
\chapter{Sie erzeugen Ihr Schlüsselpaar}
\label{ch:CreateKeyPair}
Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
(Kapitel \ref{ch:themath})
und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
entsteht (Kapitel \ref{ch:passphrase}),
möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
Ein Schlüsselpaar besteht, wie wir im Kapitel~\ref{ch:openpgpsmime} gelernt haben,
aus einem \textbf{Zertifikat} und einem \textbf{geheimen Schlüssel}.
Das gilt sowohl für OpenPGP wie auch für S/MIME (die Schlüssel
und Zertifikate entsprechen einem Standard mit der Bezeichnung X.509).
~\\
\textbf{Eigentlich müsste man diesen wichtigen Schritt der
Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
Genau das können Sie tun - und zwar für OpenPGP:
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Sie können den gesamten Ablauf der Schlüsselerzeugung,
Verschlüsselung und Entschlüsselung durchspielen,
so oft Sie wollen, bis Sie ganz sicher sind.
Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
Problem mehr sein.
Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
\clearpage
%% Original page 16
\textbf{Los geht's!}
Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
% TODO screenshot Startmenu with Kleopatra highlighted
\begin{center}
\htmlattributes*{img}{width=400}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
\end{center}
Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
Zertifikatsverwaltung:
% TODO screenshot: Kleopatra main window
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
\end{center}
Zu Beginn ist diese Übersicht leer, da wir noch keine
Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
nachholen:
Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
Im folgenden Dialog entscheiden Sie sich für ein Format,
für das anschließend ein Zertifikat erstellt werden soll.
Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
Seite \pageref{ch:openpgpsmime}.
\label{chooseCertificateFormat}
% TODO screenshot: Kleopatra - New certificate - Choose format
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
\end{center}
%% Original page 17
Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
gliedert sich an dieser Stelle in zwei Abschnitte:
\textbf{OpenPGP-Schlüsselpaar erstellen} und
\textbf{X.509-Schlüsselpaar erstellen}.
Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat
Sie sich oben entschieden haben.
%% OpenPGP %%
%% Original page 18
\section{OpenPGP-Schlüsselpaar erstellen}
Klicken Sie im obigen Auswahldialog auf
%TODO:german
\Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
\Email{}-Adresse an.
% TODO screenshot: New Certificate - Personal details
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
\end{center}
Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
\Email{}-Adresse eingeben, z.B.:\\ \verb-Heinrich Heine- und \verb-heinrichh@gpg4win.de-.
Optional können Sie einen Kommentar zum Schlüssel eingeben.
Normalerweise bleibt dieses Feld leer; wenn sie aber einen
Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
eingeben. Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
Name und die \Email{}-Adresse später öffentlich sichtbar.
Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
über die Details informieren.
\clearpage
Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
\textbf{Kontrolle} aufgelistet. Falls Sie sich für die
(voreingestellten) Experten-Einstellungen interessieren, können Sie
diese über die Option
% TODO:german
\textit{Show all details} einsehen.
% TODO screenshot: New Certificate - Review Parameters
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
\end{center}
Sofern alles korrekt ist, klicken Sie anschließend auf
%TODO:german
\Button{Create Key}.
\clearpage
%% Original page 19
Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
Passphrase einzugeben:
%TODO screenshot: New certificate - pinentry
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
\end{center}
Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
\textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
Sicherheit Ihrer Passphrase ernst!
Sie sollten nun eine geheime, einfach zu merkende und schwer
zu knackende Passphrase parat haben und im obigen Dialog eintragen.
%TODO#: ist derzeit nich so:
%Falls die Passphrase nicht sicher genug sein sollte, werden Sie
%darauf hingewiesen.
Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
Ihre Eingabe jeweils mit \Button{OK}.\\
Nun wird Ihr OpenPGP-Schlüsselpaar angelegt:
% TODO screenshot: New Certificate - Create Key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
\end{center}
Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
\clearpage
Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
erhalten Sie folgenden Dialog:
%TODO screenshot: New certificate - key successfully created
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
\end{center}
Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
Sie brauchen sich die
Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
drei Möglichkeiten durchführen:
\begin{description}
\item[Erstellen Sie eine Sicherungskopie Ihres
OpenPGP-Schlüsselpaares.]
%TODO#: Paar od. geheimer Schluessel? Dateiformat?
~\\Klicken Sie dazu auf die Schaltfläche
%TODO:german
\Button{Make a Backup Of Your Certificate...}
Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
exportiert werden soll:
% TODO screenshot: New certificate - export key
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
\end{center}
Klicken Sie anschließend auf
\Button{OK}.
\textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
abgespeichert haben, so sollten Sie
baldmöglichst diese Datei auf einen anderen Datenträger (USB
Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
löschen. Bewahren Sie diesen Datenträger sicher auf.
Sie können eine Sicherungskopie auch jederzeit später anlegen;
wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
\Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...}
\item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
~\\Klicken Sie auf die Schaltfläche
%TODO:german
\Button{Send Certificate By EMail}.
Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
selbstversändlich \textit{nicht} versendet.
Geben Sie eine Empfänger-\Email{}-Adresse an und
ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
% TODO screenshot: New certificate - send openpgp key per email
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
\end{center}
\item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
~\\Klicken Sie auf
%TODO:german
\Button{Upload Certificate To Directory Service...}
und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
Verzeichnisdienst in Kleopatra konfiguriert haben.
Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
%TODO#: Mehr Erläuterungen nötig?
\end{description}
~\\
Beenden Sie anschließend den Kleopatra-Assistenten mit
%TODO:german
\Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
abzuschließen.
Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
auf Seite~\pageref{sec_finishKeyPairGeneration}. Von da an
sind die Erklärungen für OpenPGP und X.509 wieder identisch.
%% X.509 %%
%% Original page 21
\clearpage
\section{X.509-Schlüsselpaar erstellen}
Klicken Sie im Zertifikatsformat-Auswahldialog von
Seite~\pageref{chooseCertificateFormat} auf
%TODO:german
\Button{Create a personal X.509 key pair and certification request}.
%TODO# ggf "vgl. Abb"
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
\Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
(C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
% TODO screenshot: New X.509 Certificate - Personal details
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
\end{center}
Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
machen Sie beliebige Angaben für Name, Organisation und
Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
\verb-heinrichh@gpg4win.de-.
Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
über die Details informieren.
\clearpage
Es werden nun noch einmal alle Eingaben und Einstellungen zur
\textbf{Kontrolle} aufgelistet. Falls Sie sich für die
(voreingestellten) Experten-Einstellungen interessieren, können Sie
diese über die Option
% TODO:german
\textit{Show all details} einsehen.
% TODO screenshot: New Certificate - Review Parameters
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
\end{center}
Sofern alles korrekt ist, klicken Sie anschließend auf
%TODO:german
\Button{Create Key}.
\clearpage
%% Original page 19
Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
Passphrase einzugeben:
%TODO screenshot: New certificate - pinentry
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
\end{center}
Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
\textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
Sicherheit Ihrer Passphrase ernst!
Sie sollten nun eine geheime, einfach zu merkende und schwer
zu knackende Passphrase parat haben und im obigen Dialog eintragen.
Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
Ihre Eingabe jeweils mit \Button{OK}.\\
Nun wird Ihr X.509-Schlüsselpaar angelegt:
% TODO screenshot: New Certificate - Create Key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
\end{center}
Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
\clearpage
Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
erhalten Sie folgenden Dialog:
%TODO screenshot: New certificate - key successfully created
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
\end{center}
Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
drei Möglichkeiten durchführen:
\begin{description}
\item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.]
~\\Klicken Sie dazu auf die Schaltfläche
%TODO:german
\Button{Save Request To File...}
Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
gespeichert werden soll. Als Dateiendung wählen Sie
\textit{*.p10} und
bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
auf verschiedene Weise an eine Zertifizierungsstelle geben.
\item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
~\\Klicken Sie auf die Schaltfläche
%TODO:german
\Button{Send Certificate By EMail}.
Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
Zertifizierungs-Anfrage im Anhang.
Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
vorbereiteten Text dieser \Email{}.
% ggf TODO screenshot: New certificate - send openpgp key per email
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
\end{center}
Sobald der Request von der CA bestätigt wurde, erhalten Sie von
Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
X.509-Zertifikat.
\end{description}
\clearpage
Beenden Sie anschließend den Kleopatra-Assistenten mit
%TODO:german
\Button{Finish}.
Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
auf der nächsten Seite. Von nun an
sind die Erklärungen für OpenPGP und X.509 wieder identisch.
\clearpage
%% Original page 23
\section{Schlüsselpaar-Erstellung abgeschlossen}
\label{sec_finishKeyPairGeneration}
\textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.
Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
Sie sehen jetzt wieder das Hauptfenster von Kleopatra.
Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate}
(hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
%TODO screenshot: Kleopatra with new openpgp certificate
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
\end{center}
Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
nachlesen zu können:
%TODO screenshot: details of openpgp certificate
\begin{center}
\htmlattributes*{img}{width=508}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
\end{center}
Was bedeuten die einzelnen Zertifikatsdetails?
Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein
"`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich
zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
%TODO# DSA erklären
\textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
Kapitel~\ref{KeyDetails}.
Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
Informationen benötigen.}
\clearpage
\xname{sie-veroeffentlichen-ihr-zertifikat}
%% Original page 24
\chapter{Sie veröffentlichen Ihr Zertifikat}
\label{ch:publishCertificate}
Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen
Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
Denn:
\textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
das Zertifikat des anderen besitzen und benutzen. Natürlich
braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
kann, wie zum Beispiel Gpg4win.}
Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
will, muss er Ihr Zertifikat haben und zum Verschlüsseln
benutzen.
Deshalb werden Sie nun Ihr Zertifikat öffentlich
zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen,
gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
beispielsweise ...
\begin{itemize}
\item ... direkt per \textbf{\Email{}} an bestimmte
Korrespondenzpartner (vgl. Abschnitt~\ref{sec_publishPerEmail}).
\item ... auf einem \textbf{OpenPGP-Schlüsselserver};
gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{sec_publishPerKeyserver}).
\item ... über die eigene Homepage.
\item ... persönlich, z.B. per USB-Stick.
\end{itemize}
Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
näher anschauen.
%% Original page 25
\clearpage
\section{Veröffentlichen per \Email{}}
\label{sec_publishPerEmail}
Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
\Email{}. Wie das genau funktioniert, erfahren Sie in diesem
Abschnitt.
~\\
Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
X.509-Zertifikaten finden Sie auf
Seite~\pageref{publishPerEmailx509}.}
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
\textbf{Adele}
ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
korrespondieren können. Weil man gewöhnlich mit einer klugen und
netten jungen Dame lieber korrespondiert als mit einem Stück Software
(was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
vorgestellt:
% Cartoon: Adele mit Buch ind er Hand vor Rechner ``you have mail"'
\begin{center}
\IncludeImage{adele01}
\end{center}
Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
eine \Email{} an Sie und sendet sie zurück.
Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
legt Adele ihren eigenen öffentlichen Schlüssel bei.
Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
wie die Ihrer echten Korrespondenzpartner. Andererseits können Sie
mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
Adressat wahrscheinlich ziemlich übel nehmen würde.
Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
\Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
\clearpage
%% Original page 26
\subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
Selektieren Sie in Kleopatra das zu exportierende Zertifikat
(durch Klicken auf die entsprechende Zeile in der Liste der
Zertifikate) und klicken Sie dann auf
\Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
\textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
-- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
Schlüssel exportieren.
%% Original page 27
Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
Windows Explorer und wählen denselben Ordern aus, den Sie beim
Exportieren angegeben haben.
\textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
und Zahlenblock:
% screenshot: Editor mit ascii armored key
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
\end{center}
\clearpage
%% Original page 28
\subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
versenden}
Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
Schlüssel eigentlich besteht.
\textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
Schlüssel von
\verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
bis\\
\verb+-----END PGP PUBLIC KEY BLOCK-----+
und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
reine Textnachrichten gesendet werden und keine HTML formatierte
Nachrichten.
Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
"`Copy \& Paste"'.
\textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
schreiben in die Betreffzeile z.B.: \textit{Mein OpenPGP-Zertifikat}.
So etwa sollte Ihre \Email{} nun aussehen:
%TODO (zertifikat statt schlüssel) screenshot: Eines composer Windows.
\begin{center}
\IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
\end{center}
\T\enlargethispage{2\baselineskip}
Schicken Sie die \Email{} an Adele ab.
Nur zur Vorsicht: Natürlich
sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
Beispieladresse als Absender haben, sondern \textit{Ihre eigene
\Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
bekommen$\ldots$
\clearpage
%% Original page 29
\subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
versenden}
Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
versenden. Das ist oftmals das
einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
transparenter und leichter nachzuvollziehen ist.
Schreiben wir Adele nun noch einmal eine neue Mail mit der
Zertifikatsdatei im Anhang:
Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
\Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
Ergänzen Sie den Empfänger
(\verb-adele@gnupp.de-) und einen Betreff, z.B.
\textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
als zu diesem Übungszweck programmiert worden.
Ihre fertige \Email{} sollte dann etwa so aussehen:
%TODO (zertifikat statt schlüssel) screenshot: Eines composer Windows.
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
\end{center}
Senden Sie nun die \Email{} mit Anhang an Adele ab.
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
Sie haben Ihr OpenPGP-Zertifikat in
Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
\Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
(z.B. Kleopatra) importieren kann.
%TODO: ggf Verweis auf Zertifikats-Import
~\\Nachdem \label{publishPerEmailx509}
Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
\Email{} veröffentlichen, wird Sie sicher interessieren wie das
Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
Kapitel~\ref{ch:openpgpsmime}).
Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
\textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!}
Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
aussuchen oder Sie schreiben testweise an sich selber.
Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
eine Datei abspeichern wollen. Ersteres ist empfehlenswert, denn
Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette die er sonst
zusammensuchen müsste.
Klicken Sie dazu in Kleopatra alle Kettenelemente mit
gedrückter Shift-Taste an und exportieren Sie diese markierten
Elemente nach oben beschriebener Regel.
Hatte Ihr Korrespondenzpartner das Wurzel-Zertifkat noch nicht,
so muss er dieser Wurzel das Vertrauen aussprechen bzw. durch
einen Administrator ausprechen lassen um letztlich auch Ihnen
zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie
beide zur selben Wurzel gehören, selbst bei unterschiedlichen
Zertifizierungstellen), dann besteht das Vertrauen unmittelbar
mit der Verfügbarkeit der Kette.
\clearpage
%% Original page 30
\section{Veröffentlichen per Schlüsselserver}
\label{sec_publishPerKeyserver}
\textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
internationalen Schlüsselserver bietet sich eigentlich
immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
\Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
Korrespondenzpartner.
\textsc{Vorsicht: Die Veröffentlichung Ihrer E-Mail-Adresse
auf einem Keyserver birgt leider das Risiko, dass Ihnen
auch ungebetene Personen E-Mails schreiben können und die
SPAM-Menge für Ihre E-Mail-Adresse dadurch zunehmen kann.
Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
Falls Sie keinen wirksamen Spamfilter benutzen,
sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
Keyserver absehen.}
~\\
\textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
Menü auf
%TODO:german
\Menu{Datei$\rightarrow$Export Certificate to Server...}.
Sofern Sie noch keinen Schlüsselserver
definiert haben, bekommen Sie eine Warnmeldung:
% screenshot: GPA export key to keyserver
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
\end{center}
Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
\texttt{keys.gnupg.net} bereits voreingestellt.
Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
verbundenen Keyserver weitergereicht.
Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
Übungsschlüssel bitte nicht ab. Er ist wertlos und kann nicht
mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
Clinton"' dort schon seit Jahren herumliegen$\ldots$
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
Schlüsselserver im Internet veröffentlichen.
\textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
Schlüsselservern suchen und importieren, beschreiben wir im
Kapitel~\ref{ch:keyserver}.
Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
Funktion benötigen.}
\clearpage
%% Original page 31
\xname{sie-entschluesseln-eine-email}
\chapter{Sie entschlüsseln eine \Email{}}
\label{ch:decrypt}
Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
und wollen diese nun entschlüsseln?
Alles was Sie dazu brauchen ist Gpg4win, Ihr Schlüsselpaar und
natürlich ganz wichtig: Ihre Passphrase.
In diesem Kapitel erklären wir Ihnen Schritt für Schritt, wie Sie Ihre
\Email{}s in Microsoft Outlook mit Gpg4win entschlüsseln.
~\\
Wir üben jetzt diesen Vorgang einmal mit Adele und Ihrem
OpenPGP-Zertifikat!\\
\textit{Achtung: Die folgenden Übungen gelten nur für OpenPGP!
Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
Ende dieses Kapitels.} %TODO:Seitenzahl
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
Im Abschnitt~\ref{sec_publishPerEmail} haben Sie Adele Ihr
OpenPGP-Zertifikat geschickt.
Mit Hilfe dieses Zertifikats verschüsselt Adele nun eine
\Email{} und sendet sie an Sie zurück. Nach kurzer Zeit sollen Sie
Adeles Antwort erhalten.
% cartoon: Adele typing and sending a mail
\begin{center}
\IncludeImage{adele02}
\end{center}
\clearpage
%% Orginal page 32
\subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
Für die meisten Mailprogramme gibt es spezielle Erweiterungen
(sogenannte Plugins), mit denen die Ver- und Entschlüsselung direkt im
jeweiligen Mailprogramm erledigt werden kann. --
\textbf{GpgOL} ist ein solches Plugin für MS Outlook, dass wir in
diesem Abschnitt nutzen wollen, um die \Email{} von Adele zu
entschlüsseln.
Hinweise zu weiteren Software-Lösungen finden Sie im Kapitel~\ref{ch:plugins}.
Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
~\\
Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
Kleopatra haben wir bisher nur als Zertifikatsverwaltung kennengelernt.
Das Programm leistet aber weitaus mehr: Es kann die eigentliche Verschlüsselungs-Software
GnuPG steuern und damit nicht nur Schlüssel und Zertifikate verwalten sondern
auch sämtliche kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
Kleopatra sorgt für die graphische Benutzeroberfläche, also die Dialoge
die Sie als Benutzer sehen während Sie eine \Email ver- oder entschlüsseln.
Das heisst auch, dass Sie immer die gleichen Dialog sehen, egal ob
Sie mit Outlook, einem anderen \Email-Programm oder auch mit dem Windows Explorer
etwas verschlüsseln.
Kleopatra bearbeitet also die verschlüsselte \Email{} von
Adele. Diese \Email{} hat Adele mit \textit{Ihrem} OpenPGP-Zertifikat verschlüsselt.
Um die
Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (zum
Schlüsselpaar gehörigen) Passphrase. Geben Sie diese in den
aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
einen Statusdialog. Mit \Button{Details einblenden} können Sie sich
weitere Informationen der \Email{}-Überprüfung anzeigen lassen:
%TODO screenshot: Kleopatra - successfully encrypt/verify dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
\end{center}
Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
entschlüsselte \Email{} zu lesen.
Möchten Sie den Prüfdialog nach dem Lesen der Mail noch einmal manuell aufrufen,
so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
Enschlüsseln/Prüfen}.
Doch nun wollen wir das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
%So sollte Adeles Antwort-\Email{} etwa aussehen:
%
%\begin{verbatim}
%From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
%Subject: Re: Mein OpenPGP-Zertifikat
%To: heinrichh@gpg4win.de
%Date: Thu, 08 Jul 2008 09:17:28 +0100
%
%-----BEGIN PGP MESSAGE-----
%Version: GnuPG v1.4.1 (GNU/Linux)
%
%hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
%QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
%NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
%
%...
%
%ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
%A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
%bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
%=VCHb
%-----END PGP MESSAGE-----
%\end{verbatim}
%\textit{(Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
%stark gekürzt.)}
%\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
\clearpage
%% Original page 36
\subsubsection{Die entschlüsselte Nachricht}
Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
von der Softwareversion von Adele kann dies auch etwas
unterschiedlich aussehen.}:
%TODO: lieber ein OL-Screenshot der mail.
\begin{verbatim}
Hallo Heinrich Heine,
hier ist die verschlüsselte Antwort auf Ihre E-Mail.
Ihr öffentlicher Schlüssel mit der Schlüssel-ID
57251332CD8687F6 und der Bezeichnung
`Heinrich Heine <heinrichh@duesseldorf.de>'
wurde von mir empfangen.
Anbei der öffentliche Schlüssel von adele@gnupp.de,
dem freundlichen E-Mail-Roboter.
Viele Grüße,
adele@gnupp.de
\end{verbatim}
Der Textblock, der darauf folgt, ist das Zertifikat von Adele.
Wir werden im nächsten Kapitel dieses Zertifikat importieren und
an Ihrem Schlüsselbund befestigen. Importierte Zertifikate können
Sie jederzeit zum
Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
oder dessen signierte Mails überprüfen.
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
\begin{enumerate}
\item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
Schlüssel entschlüsselt.
\item Der Korrespondenzpartner hat sein eigenes Zertifikat
beigelegt, damit Sie ihm verschlüsselt antworten können.
\end{enumerate}
~\\Nachdem
Sie gelernt haben, wie Sie \Email{}s mit Ihrem OpenPGP-Zertifikat
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte
\textbf{S/MIME}-\Email{}s entschlüsseln.
Die Antwort lautet auch hier: Genauso wie bei OpenPGP!
Der Unterschied zu OpenPGP ist lediglich, dass S/MIME \textit{nicht}
von Adele unterstützt wird und somit die obige Übung nur für OpenPGP
gilt.
Zum entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie
die Nachricht in Outlook und geben im aufgehenden Dialog Ihre Passphrase ein.
Sie bekommen einen ähnlichen
Statusdialog wie bei OpgenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
entschlüsselte S/MIME-\Email{}.
\clearpage
%% Original page 37
\xname{sie-importieren-ein-zertifikat}
\chapter{Sie importieren ein Zertifikat}
\label{ch:keyring}
Ihr Korrespondenzpartner muss nicht jedes Mal sein Zertifikat
mitschicken, wenn er Ihnen signiert schreibt.
Sie bewahren seinen öffentlichen Schlüssel einfach an
Ihrem GnuPG-"`Schlüsselbund"' (oder besser: "`Zertifikatsbund"') auf.
\subsubsection{Zertifikat abspeichern}
Bevor Sie ein Zertifikat in Kleopatra importieren,
müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
\Email{} bekommen haben, gehen Sie wie folgt vor:
\begin{itemize}
\item Liegt das Zertifikat einer \Email{} als \textbf{Dateianhang} bei, speichern
Sie es (wie Sie es in Ihrem Mailprogramm gewohnt sind)
auf einem Ort Ihrer Festplatte ab.
\item Sollte das Zertifikat als \textbf{Textblock} innerhalb Ihrer \Email{}
übermittelt worden sein, so müssen Sie zunächst das vollständige
Zertifikat markieren:
Bei OpenPGP-Zertifikaten markieren Sie den Bereich von
\verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
bis\\
\verb+-----END PGP PUBLIC KEY BLOCK-----+
so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon getan haben.
Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
Texteditor ein und speichern Sie das Zertifikat ab. Als Dateiendung
sollten Sie für OpenPGP-Zertifikate \textit{*.asc} und für X.509-Zertifikate
z.B. \textit{*.pem} wählen.
\end{itemize}
%% Original page 38/39
\clearpage
\subsubsection{Zertifikat in Kleopatra importieren}
Ob Sie nun das Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
haben, ist egal: In beiden Fällen importieren Sie dieses
abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung
\textbf{Kleopatra}.
Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
Klicken Sie im Menü auf
\Menu{Datei$\rightarrow$Zertifikat importieren...},
suchen das eben abgespeicherte Zertifikat aus und laden es.
Sie erhalten einen Informations-Dialog mit dem Ergebnis des Importvorgangs:
%TODO screenshot: Kleopatra - certificate import dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-certificate_de}
\end{center}
%TODO#: Anmerkungen zu Insgesamt bearbeitet, Importiert, Unverändert, ...
Das erfolgreich importierte Zertifikat wird nun in Kleopatra angezeigt
-- und zwar unter einem separatem Reiter "`Importierte
Zertifikate von \textit{<Pfad-zur-Zertifikatsdatei>}"':
%TODO screenshot Kleopatra with new certificate
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
\end{center}
Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr als nur ein
Zertifikat enthalten kann. Schließen Sie diesen Reiter mit
dem rot-weißen Schließen-Button am Rechten Fensterrand.
Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
das von Ihnen importierte Zertifikat sehen.
Damit haben Sie ein fremdes Zertifikat­-- in diesem Beispiel das
OpenPGP-Zertifikat von Adele -- importiert und an Ihrem Schlüsselbund
befestigt. Sie können dieses Zertifikat jederzeit benutzen, um
verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
senden und Signaturen zu prüfen.
Sobald sie E-Mail-Verschlüsselung häufiger und mit vielen
Korrspondenzpartnern betreiben, werden Sie aus Gründen des Komforts
die Zertifikate über weltweite Verteilungsdienste suchen und importieren
wollen. Wie das geht, können Sie in Kapitel~\ref{ch:keyserver} nachlesen.
\clearpage
\subsubsection{Bevor wir weitermachen, eine wichtige
Frage:}
Woher wissen Sie eigentlich, dass das fremde
OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
gar nichts.
Wie können Sie also sichergehen, dass ein Zertifikat auch wirklich
seinem Absender gehört?
\textbf{Die Kernfrage der Zertifikatsprüfung erläutern wir im
Kapitel~\ref{ch:trust}. Lesen Sie bitte jetzt dort weiter, bevor
Sie danach an dieser Stelle fortfahren.}
\clearpage
%% Original page 42
\xname{sie-verschluesseln-eine-email}
\chapter{Sie verschlüsseln eine \Email{}}
\label{ch:encrypt}
Jetzt wird es noch einmal spannend: Wir versenden eine verschlüsselte \Email{}!
Sie brauchen dazu Outlook, Kleopatra und natürlich ein Zertifikat
Ihres Korrespondenzpartners.
~\\
Erstellen Sie zunächst in Outlook eine neue \Email{} und adressieren Sie diese an Ihren
Korrespondenzpartner.
%% Original page 45
\textit{Hinweis nur für OpenPGP:}\\Sie können zum Üben dieses Vorgangs
mit OpenPGP wieder Adele nutzen. S/MIME wird von Adele nicht
unterstützt! \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
\verb-adele@gnupp.de-. Der Inhalt der Nachricht ist egal -- Adele kann
nicht wirklich lesen...
\clearpage
\subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
\label{encryptProtocol}
Bestimmen Sie nun das Protokoll -- PGP/MIME oder S/MIME --
mit der Sie Ihre Nachricht verschlüsseln wollen. Die hängt davon ab,
in welchem Format das Zertifikat Ihres Korrespondenzpartners bei Ihnen
vorliegt.
Klicken Sie dazu im Menü \Menu{Extras$\rightarrow$GnuPG Protokoll} des geöffneten
Outlook-Nachrichtenfensters auf:
\textit{PGP/MIME}, \textit{S/MIME} oder \textit{automatisch}.
Sofern Sie diese Auswahl auf der Voreinstellung \textit{automatisch} lassen, haben Sie
später im Verschlüsselungsprozess noch die Möglichkeit zwischen PGP/MIME und S/MIME zu wählen.
Haben Sie ein bevorzugtes GnuPG-Protokoll? Dann können Sie unter den
den GpgOL-Optionen
(\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL})
PGP/MIME oder S/MIME als Voreinstellung definieren.
~\\
\textbf{Wichtiger Hinweis nur für S/MIME:}\\
Nach der Installation von Gpg4win ist die
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
S/MIME-Funktionalität in GpgOL deaktiviert. Wenn Sie S/MIME nutzen
möchten, sollten Sie zuvor unter
\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
\textit{S/MIME Unterstützung einschalten} aktivieren:
% TODO screenshot: GpgOL options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
\end{center}
Lesen Sie sich die angezeigten Informationen sorgfältig durch,
vor allem dann wenn Sie schon vorher mit S/MIME über ein anderes Plugin-Produkt
gearbeitet haben.
\clearpage
\subsubsection{Verschlüsselung aktivieren}
Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht auch wirklich
verschlüsselt versenden wollen:
Wählen Sie \Menu{Extras$\rightarrow$Nachricht mit GnuPG verschlüsseln}.
Die Schaltfläche mit dem Schloss-Icon in der
Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
Schaltfläche klicken).
Ihre Outlook-Nachrichtenfenster sollte nun etwas so aussehen
(exemplarisch wurde hier OpenPGP als Verschlüsselungstechnik gewählt):
% TODO screenshot: OL composer with Adele's address and body text
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
\end{center}
Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
erneuter Klick auf die o.g. Schaltfläche.
Klicken Sie nun auf \Button{Senden}.
\clearpage
\subsubsection{Zertifikatsauswahl}
Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das Zertifikat des
Empfängers angeben. Kleopatra wählt -- abhängig von der
Empfänger-\Email{}-Adresse -- in der Regel das passende Zertifikat
automatisch aus.
% TODO screenshot: kleopatra encryption dialog - certificate selection
% (with Adele + my own certificate)
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
\end{center}
Im Normalfall können Sie dieses vorausgewähte Zertifikat mit
\Button{Weiter} bestätigen.
\clearpage
Sollte es jedoch nicht das richtige Zertifikat sein -- z.B. weil zu der \Email{}-Adresse
mehrere Zertifikate existieren oder Sie bewusst ein anderes Zertifikat
auswählen wollen -- klicken Sie
auf den \Button{...}-Button neben der Drop-Down-Liste.
Sie bekommen einen Kleopatra-Dialog mit einer Auflistung aller Zertifikate des
gewählten Zertifikatstyps, die in Ihrer Zertifikatsverwaltung
existieren (also von Ihnen bis dahin importiert wurden).
Exemplarisch sehen Sie hier eine Auswahl von verfügbaren
OpenPGP-Zertifikaten:
% TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
\end{center}
Wählen Sie das korrekte Zertifikat Ihres Korrespondenzpartners aus, denn damit muss Ihre Nachricht ja
verschlüsselt werden.
Sie erinnern sich an den Grundsatz:
\begin{quote}
\textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.}
\end{quote}
Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun verschlüsselt.
\clearpage
\subsubsection{Verschlüsselung abschließen}
Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
Sie eine Meldung, die Ihnen dies bestätigt:
% TODO screenshot: kleopatra encryption successfully
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
\end{center}
\textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
verschlüsselt!}
%% Original page 37 & 40
\xname{sie-signieren-eine-email}
\chapter{Sie signieren eine \Email{}}
\label{ch:sign}
Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
Echtheit eines OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
geheimen OpenPGP-Schlüssel signieren können.
In diesem Kapitel wollen wir uns damit beschäftigen,
wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
\textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
einer elektronischen Unterschrift (eine Art elektronisches Siegel) versehen.
Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
feststellen, ob die \Email{} unterwegs manipuliert oder verändert
wurde.
Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
korrespondieren, dessen Zertifikat Sie nicht haben~(aus welchem
Grund auch immer), können Sie so die Nachricht wenigstens
mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
\textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht mit den
\Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
fungieren, schützt die elektronische Signatur Ihre \Email{} vor
Manipulationen und bestätigt den Absender.
Übrigens ist die elektronische Unterschrift auch nicht mit der
qualifizierten digitalen Signatur gleichzusetzen, wie sie im
Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
genau denselben Zweck.
% cartoon: Müller mit Schlüssel
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{man-with-signed-key}
\end{center}
\clearpage
%% Original page 38
\section{Signieren}
Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
\Email{} verfasst haben, gehen wir -- analog zur Verschlüsselung --
folgende Schritte durch:
\begin{itemize}
\item Protokoll bestimmen -- PGP/MIME oder S/MIME
\item Signierung aktivieren
\item Zertifikatsauswahl
\item Signierung abschließen
\end{itemize}
Auf den nächsten Seiten beschreiben wir diese Schritte im Detail.
\clearpage
\subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
Genauso wie beim Verschlüsseln von \Email{}s müssen Sie vorher das
Protokoll bestimmen, nach welchem Verfahren signiert bzw.
verschlüsselt werden soll.
Nutzen Sie dazu das Menü
\Menu{Extras$\rightarrow$GnuPG Protokoll} im
Outlook-Nachrichtenfenster und wählen Sie \textit{PGP/MIME},
\textit{S/MIME} oder \textit{automatisch}. -- Die Erklärungen und
Hinweise vom Verschlüsseln (siehe Seite~\pageref{encryptProtocol}) gelten auch
für das Signieren.
\subsubsection{Signierung aktivieren}
Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass
Ihre Nachricht signiert versendet werden soll:
Dazu aktivieren Sie den Menüeintrag \Menu{Extras$\rightarrow$Nachricht
mit GnuPG signieren}. Die Schaltfläche mit dem unterschreibenden Stift
wird aktiviert.
Ihr \Email{}-Fenster sollte anschließend etwa so aussehen (als
Protokoll wurde hier exemplarisch OpenPGP gewählt):
% TODO screenshot: OL composer with Adele's address and body text
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
\end{center}
Wie beim Verschlüsseln können Sie natürlich auch die Signieroption
jederzeit mit einem erneuten Klick auf die Schlatfläche wieder deaktivieren.
Klicken Sie nun auf \Button{Senden}.
\clearpage
\subsubsection{Zertifikatsauswahl}
Daraufhin öffnet Kleopatra ein Fenster, in dem -- anders als beim
Verschlüsseln -- Ihre \textit{eigenen} Zertifikate angezeigt werden.
% TODO screenshot: kleopatra sign dialog - certificate selection
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
\end{center}
Denn:
\begin{quote}
\textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
\end{quote}
Logisch, denn nur Ihr eigener geheimer Schlüssel bestätigt Ihre
Identität. Der Korrespondenzpartner kann dann mit Ihrem Zertifikat, das
er bereits hat oder sich besorgen kann, Ihre Identität überprüfen.
Denn nur Ihr geheimer Schlüssel passt zu Ihrem Zertifikat.
Im Normalfall können Sie im obigen Dialog Ihr vorausgewähtes Zertifikat mit
\Button{Weiter} bestätigen. Beim ersten Durchlauf des Signierprozesses müssen
Sie jedoch zunächst Kleopatra Ihr bevorzugtes Zertifikat für OpenPGP
bzw. S/MIME mitteilen.
Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges
Zertifikat angezeigt sein -- z.B. weil Sie mehrere Zertifikate
besitzen -- klicken Sie auf \Button{Signaturzertifikate ändern ...}.
\clearpage
Sie bekommen einen Auswahl-Dialog mit einer Auflistung aller Ihrer
eigenen Zertifikate, die in Ihrer Zertifikatsverwaltung existieren.
Nachfolgend der Dialog, gefüllt mit Beispielzertifikaten für OpenPGP
und S/MIME:
% TODO screenshot: kleopatra sign dialog 2 - choose certificate
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
\end{center}
Wählen Sie Ihr korrektes Zertifikat aus, mit dem Sie Ihre Nachricht
signieren wollen.
Klicken Sie anschließend auf \Button{OK}. Ihr ausgewähltes Zertifikat
wird in den letzten "`\Email{} signieren"'-Dialog übernommen.
Bestätigen Sie Ihr Zertifikat mit \Button{Weiter}.
\clearpage
\subsubsection{Signierung abschließen}
Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
% TODO screenshot: kleopatra sign dialog 2 - choose certificate
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
\end{center}
Dies ist notwendig, weil Sie mit Ihrem eignen geheimen Schlüssel
signieren. Bestätigen Sie Ihre Eingabe mit \Button{OK}.
Ihre Nachricht wird nun signiert und versandt.
Nach erfolgreicher Signierung Ihrer Nachricht, erhalten
Sie folgenden Dialog:
% TODO screenshot: kleopatra sign successful
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
\end{center}
\textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
signiert!}
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
\textbf{signieren}.
Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine
\Email{} mit dem Zertifikat Ihres Korrespondenzpartners
\textbf{verschlüsseln}.
Damit beherschen Sie nun die beiden wichtigsten Techniken für einen
sicheren \Email{}-Versand.
Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden wollen
-- je nachdem, wie wichtig und schutzbedürftig der
Inhalt Ihrer \Email{} ist:
\begin{itemize}
\item unverschlüsselt
\item verschlüsselt
\item signiert
\item signiert und verschlüsselt \textit{(Mehr dazu im
Abschnitt~\ref{sec_encsig}, S.~\pageref{sec_encsig})}
\end{itemize}
Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
S/MIME realisieren.
\clearpage
\section{Signatur mit GpgOL überprüfen}
%% Original page 41
Angenommen Sie erhalten eine signierte \Email{} Ihres
Korrespondenzpartners.
Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
Alles was Sie dazu brauchen, ist das OpenPGP- oder X.509-Zertifikat
Ihres Korrespondenzpartners.
Dessen Zertifikat sollten Sie vor der Überprüfung bereits
in Ihre Kleopatra Zertifikatsverwaltung importiert haben
(vgl. Kapitel~\ref{ch:keyring}).
Um eine signierte OpenPGP- oder S/MIME-\Email{} zu überprüfen,
gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
(vgl. Kapitel~\ref{ch:decrypt}):
Starten Sie Outlook und öffnen Sie die signierte \Email{}.
GpgOL übergibt die \Email{} automatisch an Kleopatra zur
Prüfung der Signatur. Kleopatra meldet das Ergebnis
in einem Statusdialog:
%TODO screenshot: Kleopatra - successfully encrypt/verify dialog
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
\end{center}
Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
signierte \Email{} zu lesen.
Möchten Sie die Überprüfung noch einmal manuell aufrufen,
so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
Enschlüsseln/Prüfen}.
Sollte die Signaturprüfung fehlt schlagen,
% TODO: ggf. Screenshot mit neg. Meldung.
wurde die Nachricht bei der Übertragung verändert.
Aufgrund der technischen Gegebenheiten im Internet ist es
nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten,
erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
\clearpage
\subsubsection{Übrigens...}
Wenn Sie kein Gpg4win installiert haben und eine signierte
\Email{} öffnen, lässt sich die Signatur natürlich nicht überprüfen.
Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
ist die Signatur.
Exemplarisch für OpenPGP zeigen wir Ihnen, wie dann so eine
OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussieht:
Die \Email{} beginnt mit:
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
\begin{verbatim}
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
\end{verbatim}
und endet unter der \Email{}-Nachricht mit:
\begin{verbatim}
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
=O6lY
-----END PGP SIGNATURE-----
\end{verbatim}
\textit{Dies ist ein Beispiel -- Abwandlungen sind natürlich möglich.}
\clearpage
%% Original page 40
\section{Gründe für eine gebrochene Signatur}
\label{sec_brokenSignature}
Es gibt mehrere Gründe, die zu einem Bruch einer Signatur
führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
dass Ihre \Email{} manipuliert sein könnte; d.h. jemand hat vielleicht
den Inhalt oder den Betreff der \Email{} verändert.
Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten,
dass Ihre \Email{} manipuliert wurde:
\begin{enumerate}
\item Aufgrund der technischen Gegebenheiten ist es nicht
auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
über das Internet verändert wurde.
\item Das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
sind, die \Email{} schon beim Versand verändern. Dazu zählt
"`HTML-Mails"' und "`Word Wrap"'.
"`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
niemand sie willentlich verändert hat. Bei Outlook 2003
beispielsweise muss diese Option unter
\Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das Nachrichtenformat
auf \textit{Nur Text} eingestellt sein.
\end{enumerate}
Häufig sind falsche Einstellungen am \Email{}-Programm der Grund für
eine gebrochene Signatur.
\textbf{In jedem Fall sollten Sie die \Email{} erneut beim Absender anfordern!}
\clearpage
%% Original page 42
\section{Verschlüsseln und signieren}
\label{sec_encsig}
Normalerweise verschlüsseln Sie eine Nachricht mit dem Zertifikat
Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
\Email{} entschlüsselt.
Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
verschlüsseln --, ist technisch nicht möglich und macht keinen Sinn,
weil alle Welt das dazugehörigen (öffentliche) Zertifikat kennt und die
Nachricht damit entschlüsseln könnte.
Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
beschrieben haben. Solch eine digitale Signatur bestätigt eindeutig
die Urheberschaft -- denn wenn jemand Ihr Zertifikat
auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
haben.
Wenn Sie ganz sicher gehen wollen, können Sie beide Möglichkeiten
kombinieren, also die \Email{} verschlüsseln und signieren:
\begin{enumerate}
\item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
Schlüssel. Damit ist die Urheberschaft nachweisbar.
\item Dann \textbf{verschlüsseln} Sie den Text mit dem Zertifikat
des Korrespondenzpartners.
\end{enumerate}
Damit hat die Botschaft sozusagen zwei Briefumschläge:
\begin{enumerate}
\item Einen Innenumschlag, der mit einem Siegel verschlossen ist (die
Signatur mit Ihrem eigenen geheimen Schlüssel).
\item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
Zertifikat des Korrespondenzpartners).
\end{enumerate}
Ihr Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
Hülle öffnet er mit Ihrem Zertifikat und hat den Beweis Ihrer
Urheberschaft, denn wenn Ihr Zertifikat passt, kann er nur mit Ihrem
Geheimschlüssel kodiert worden sein.
Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
ganz einfach.
\clearpage
%% Original page 47
\xname{wie-sie-ihre-emails-verschluesselt-archivieren}
\chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
Eine Einstellung müssen Sie nun noch vornehmen: Es geht um Ihre
\Email{}s, die Sie verschlüsselt versendetet haben.
Wie können Sie diese wichtigen Nachrichten sicher archivieren?
Natürlich können Sie einfach eine Klartextversion Ihrer Texte aufbewahren,
aber das wäre eigentlich nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
Sie sollten also stets Ihre verschlüsselt gesendeten \Email{}s auch
\textit{verschlüsselt} aufbewahren!
Sie ahnen das Problem: zum Entschlüsseln Ihrer archivierten
(versendeten) \Email{}s braucht Sie aber den geheimen Schlüssel des
Empfängers -- und den haben Sie nicht und werden Sie nie haben$\ldots$
Also was tun?
Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
selbst!}
Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
(z.B. Adele) verschlüsselt und ein weiteres Mal auch für Sie, mit
Hilfe Ihres eigenen Zertifikats. So können Sie die \Email{} auch später noch einfach
mit Ihrem eigenen geheimen Schlüssel wieder lesbar machen.
Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen (Sie
können ja auch mehrere haben) müssen Sie dem Programm dies
mitteilen.
Wie? -- Das erfahren Sie auf der nächsten Seite.
\clearpage
%% Original page 48
%TODO#: Encrypt to this key - Wo in den Einstellungen?
Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie Kleopatra und
dort das Menü \Menu{TODO}.
% screenshot: Winpt configuration dialog
%\begin{center}
%\IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
%\end{center}
%In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
%"`Encrypt to this key"' Ihren Schlüssel ein bzw. die
%dazugehörige \Email{}-Adresse.
Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
die GnuPG direkt unterstützen.
\clearpage
%% Original page 49
\subsubsection{Fassen wir kurz zusammen...}
\begin{enumerate}
\item Sie haben mit dem Zertifikat Ihres Korrespondenzpartners eine
\Email{} verschlüsselt und ihm damit geantwortet.
\item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten \Email{}s auch
zusätzlich mit Ihrem eigenen Zertifikat, so dass die Nachrichten für
Sie lesbar bleiben.
\end{enumerate}
\vspace{2cm}
\textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums werden
Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win besitzen.}
\textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
funktioniert, empfehlen wir Ihnen sich nun mit dem zweiten,
fortgeschrittenen Teil von Gpg4win zu beschäftigten. Wir versprechen
Ihnen, Sie werden viele spannende Dinge darin entdecken!
Genau wie das Kryptographiesystem Gpg4win wurden dieses Kompendium nicht nur
für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
sondern \textbf{für jedermann.}
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Part II
% page break in toc
\addtocontents{toc}{\protect\newpage}
\clearpage
\xname{fortgeschrittene}
\T\part{Fortgeschrittene}
\W\part*{\textbf{II Fortgeschrittene}}
\label{part:Fortgeschrittene}
\addtocontents{toc}{\protect\vspace{0.3cm}}
\clearpage
%% Original page 9
\xname{wie-funktioniert-gpg4win}
\chapter{Wie funktioniert Gpg4win?}
\label{ch:FunctionOfGpg4win}
Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
ist, dass sie jeder verstehen kann und soll. Nichts daran ist
Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
knacken ist.
\clearpage
%% Original page 10
\subsubsection{Der Herr der Schlüsselringe}
Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
nur einmal gibt und den man ganz sicher aufbewahrt.
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
\end{center}
Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
fällt mit der Sicherheit des Schlüssels. Also hat man den Schlüssel
mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
\clearpage
%% Original page 11
Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
geheimhielt. Dies wirklich sicher zu machen ist sehr umständlich und
dazu auch sehr fehleranfällig.
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
\end{center}
Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
und dass sowohl der Absender als auch der Empfänger diesen geheimen
Schlüssel kennen.
Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
solchen System ein Geheimnis (eine verschlüsselte Nachricht)
mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
Schlüssel) mitgeteilt haben. Und da liegt der Hase im Pfeffer: man
muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
Dritten abgefangen werden darf.
\clearpage
%% Original page 12
Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel -- mit einem
weiteren Schlüssel (engl. "`key"'), der vollkommen frei und öffentlich
(engl. "`public"') zugänglich ist.
Man spricht daher auch von
Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
Weitergegeben wird nur der öffentliche Schlüssel (das Zertifikat)­-- und den kennt
sowieso jeder.
Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
eine zweite öffentliche Schlüsselhälfte. Beide Hälften sind durch
eine komplexe mathematische Formel untrennbar miteinander verbunden.
Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir,
warum das so ist.
% Note: The texts on the signs are empty in the current revision.
% However, I used the original images and wiped out the texts ``Open
% Source"' and ``gratis"' - need to replace with something better.
% What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{verleihnix}
\end{center}
\clearpage
%% Original page 13
Das Gpg4win-Prinzip ist wie gesagt recht einfach:
Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
(engl ,,secret key'' oder ,,private key''), muss geheim gehalten werden.
Der \textbf{öffentliche Schlüssel}, auch \textbf{Zertifikat} genannt
(public key), soll so
öffentlich wie möglich gemacht werden.
Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
\bigskip
\begin{quote}
Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
\end{quote}
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
\end{center}
\begin{quote}
Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
\end{quote}
\clearpage
%% Original page 14
\subsubsection{Der öffentliche Safe}
In einem kleinen Gedankenspiel
wird die Methode des Public-Key Verschlüsselungssystems
und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher...
\bigskip
\textbf{Die "`nicht-Public-Key Methode"' geht so:}
Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
auf, über den Sie geheime Nachrichten übermitteln wollen.
Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
Nachrichten zunächst einmal gut gesichert.
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{letter-into-safe}
\end{center}
Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
und eine Geheimnachricht deponieren zu können.
\clearpage
%% Original page 15
Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
Wege übergeben.
\bigskip
\bigskip
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.7\textwidth]{secret-key-exchange}
\end{center}
\clearpage
%% Original page 16
Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
öffnen und die geheime Nachricht lesen.
Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
die Botschaft selbst.
Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
gleich die geheime Mitteilung übergeben\ldots
\textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
\Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
austauschen, bevor sie geheime Nachrichten per \Email{} versenden
könnten.
Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
\end{center}
\clearpage
%% Original page 17
\textbf{Jetzt die Public-Key Methode:}
Sie installieren wieder einen Briefkasten vor Ihrem Haus. Aber:
dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
-- stets offen. Direkt daneben hängt --­ weithin öffentlich sichtbar
-- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
\textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.7\textwidth]{pk-safe-open}
\end{center}
Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: es ist Ihr
öffentlicher Schlüssel.
Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
ab. Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
frei zugänglich.
Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
Botschaft nachträglich zu verändern.
Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
Aufschließen kann man den Briefkasten nur mit einem einzigen
Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
\clearpage
%% Original page 18
\textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
einen geheimen, sondern ganz im Gegenteil einen vollkommen
öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
Spielen wir das Gedankenspiel noch einmal anders herum:
Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
verfügbaren Schlüssel.
Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
unzugänglich für jeden anderen, auch für Sie selbst. Nur der
Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
und die Nachricht lesen.
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
\end{center}
\clearpage
%% Original page 19
\textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
geheimen Schlüssel!?
Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
allerdings ein gewaltiger:
Ihren privater Schlüssel kennen und benutzen nur Sie selbst. Er wird
niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
Übergabe entfällt, sie verbietet sich sogar.
Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
geheimes Codewort.
Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: alle
"`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
bringen kann.
Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
Schlüsselbund.
\clearpage
%% Original page 20
\xname{die-passphrase}
\chapter{Die Passphrase}
\label{ch:passphrase}
Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
(und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
Korrespondenzpartnern austauschen, aber nach wie vor ist seine
Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
abzuspeichern. Dies geschieht auf zweierlei Weise:
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{think-passphrase}
\end{center}
Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
weder zum schreiben noch zum lesen. Es ist deswegen unbedingt zu
vermeiden, den Schlüssel in einem öffentlichen Ordner
(z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen. Gpg4win
speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
("`Homedir"') von GnuPG
ab. Dies kann sich je nach System an unterschiedlichen Orten
befinden; für einen Benutzer mit
dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
\verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
sein. Der geheime Schlüssel befindet sich dort in eine Datei mit dem
Namen \verb=secring.gpg=.
Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
der Administrator des Rechners immer auf alle Dateien zugreifen --
also auch auf Ihren geheimen Schlüssel. Zum anderen könnte der Rechner
abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
Trojanersoftware) kompromittiert werden.
Ein weiterer Schutz ist deswegen notwendig. Dieser besteht aus einer
Passphrase.
Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
haben und niemals aufschreiben müssen.
Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
merkende und nur sehr schwer zu erratende Passphrase ausdenken
können.
\clearpage
%% Original page 21
Eine \textbf{gute Passphrase} kann so entstehen:
Denken Sie an einen Ihnen gut bekannten Satz, z.B.:
$\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
$\qquad$\verb-nieufdahnlnr-
\texttt{\scriptsize{(Ei\textbf{n}
bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
\textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
Ko\textbf{r}n.)}}
Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächnis. Erraten
kann diese Passphrase niemand.
Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
persönlichen Langzeitgedächtnis verankert hat. Vielleicht gibt es
einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
Sie wichtigen Liedes.
Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
"`ß"', "`\$"' usw.
Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
einem fremden Rechner benutzen wollen, bedenken Sie, dass
fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
Beispielsweise werden Sie kein "`ä"' auf einer englischen
Tastatur finden.
%% Original page 22
Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
Natürlich müssen Sie sich diese "`feLer"' gut merken können. Oder
wechseln Sie mittendrin die Sprache. Aus dem schönen Satz:
$\qquad$\verb-In München steht ein Hofbräuhaus.-
könnten man beispielsweise diese Passphrase machen:
$\qquad$\verb-inMinschen stet 1h0f breuhome-
Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
sich aber doch merken können, wie z.B.:
$\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.-
Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
geheimen Schlüssel.
Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
z.B. so:
$\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
Das ist nun kürzer, aber nicht mehr so leicht zu merken.
Wenn Sie eine noch kürzere Passphrase verwenden,
indem Sie hier und da Sonderzeichen benutzen,
haben Sie zwar bei der Eingabe weniger zu tippen, aber die
Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
noch größer.
Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
sichere Passphrase ist dieses hier:
$\qquad$\verb-R!Qw"s,UIb *7\$-
In der Praxis haben sich solche Zeichenfolgen allerdings als recht
wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
für die Erinnerung hat.
\clearpage
%% Original page 23
Eine \textbf{schlechte Passphrase} ist blitzschnell geknackt, wenn sie:
\begin{itemize}
\item schon für einen anderen Zweck benutzt wird; z.B. für einen
\Email{}-Account oder Ihr Handy
\item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
\item aus einem Geburtsdatum oder einem Namen besteht. Wer sich die
Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
diese Daten herankommen.
\item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
be or not to be"'. Auch mit derartigen gängigen Zitaten testen
Cracker routinemäßig und blitzschnell eine Passphrase.
\item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
Denken Sie sich eine längere Passphrase aus.
\end{itemize}
Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
\textit{auf gar keinen Fall} eines der oben angeführten Beispiele. Denn es liegt auf
der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
nicht eines dieser Beispiele genommen haben.
\bigskip
\textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
Unvergesslich und unknackbar.
Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
\clearpage
%% Original page 24
\xname{schluessel-im-detail}
\chapter{Schlüssel im Detail}
\label{KeyDetails}
Der Schlüssel, den Sie erzeugt
haben, besitzt einige
Kennzeichen:
\begin{itemize}
\item die Benutzerkennung
\item die Schlüsselkennung
\item das Verfallsdatum
\item das Benutzervertrauen
\item das Schlüsselvertrauen
\end{itemize}
\textbf{Die Benutzerkennung} besteht aus dem Namen und der
\Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
haben, also z.B. \newline
\verb=Heinrich Heine <heinrichh@gpg4win.de>=
\textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
\textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
"`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
Beispiel, um sie an externe Mitarbeiter auszugeben.
\textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
korrekt zu signieren. Es kann über die Schaltfläche "`Ändern"'
editiert werden.
\textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
volles "`Schlüsselvertrauen"'.
Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
\clearpage
%% Original page 25
\xname{die-openpgp-schluesselserver}
\chapter{Die OpenPGP-Schlüsselserver}
\label{ch:keyserver}
Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
OpenPGP-Zertifikats haben wir Ihnen bereits im
Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
Kapitel beschäftigt sich mit den Details von Schlüsselservern.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
%% Original page 26
Schlüsselserver können von allen Programmen benutzt werden, die den
OpenPGP-Standard unterstützen.
In Kleopatra ist ein Keyserver bereits voreingestellt:
\texttt{hkp://keys.gnupg.net}.
Ein Mausklick unter
%TODO:german
\Menu{Datei$\rightarrow$Export Certificate to Server...}.
genügt, und Ihr öffentlicher Schlüssel ist unterwegs rund um die Welt.
Es genügt, den Schlüssel an irgendeinen der verfügbaren
Keyserver zu senden, denn fast alle synchronsieren sich weltweit
miteinander.
Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
-verfügbar ist, aber dann haben Sie einen globales Zertifikat!
+verfügbar ist, aber dann haben Sie ein globales Zertifikat!
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.3\textwidth]{keyserver-world}
\end{center}
Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
-über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
-nicht. Dieses verteilte Netz von Keyservern sorgt für eine bessere
+über ihre Zahl gibt es nicht. Eine Statistik über die aktuelle Anzahl
+von Schlüsseln sowie anderer Betriebsparameter können auf der Seite
+\uniurl{http://keystats.gnupg.net} eingesehen werden.
+
+ Dieses verteilte Netz von Keyservern sorgt für eine bessere
Verfügbarkeit und verhindert dass einzelne Systemandministratoren
Schlüssel löschen um so die Kommunikation unmöglich zu machen
("`Denial of Service"'-Angriff).
-%%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
-%%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
-%%%ebenfalls http://germany. keyserver.net/en/ oder der Keyserver des
-%%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/.
-
-Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
-Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
-umgehen können.
+Wir raten dringend dazu, nur moderne Keyserver zu verwendet (auf denen
+die SKS Software läuft), da nur diese mit den neueren Merkmalen von
+OpenPGP umgehen können.
\clearpage
\subsubsection{Adressen einiger Schlüsselserver}
-Hier eine Auswahl von gut funktionierenden Schlüsselservern:
+Hier eine Auswahl von hoch verfügbaren SKS Schlüsselservern:
\begin{itemize}
-\item hkp://blackhole.pca.dfn.de
+\item hkp://pgpkeys.pca.dfn.de
+\item hkp://pgp.uni-mainz.de
+\item hkp://minsky.surfnet.nl
+\item hkp://keyserver.pramberger.at
\item hkp://pks.gpg.cz
\item hkp://pgp.cns.ualberta.ca
-\item hkp://minsky.surfnet.nl
\item hkp://keyserver.ubuntu.com
-\item hkp://keyserver.pramberger.at
+\item http://pgpkeys.pca.dfn.de
\item http://gpg-keyserver.de
+\item http://minsky.surfnet.nl
\item http://keyserver.pramberger.at
+\item hkp://keys.gnupg.net
+\item http://http-keys.gnupg.net
\end{itemize}
-Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
-besten die Keyserver, deren URL mit \verb-http://- beginnen.
-Die Keyserver unter den Adressen
-\begin{itemize}
-\item hkp://keys.gnupg.net
-\item hkp://subkeys.pgp.net
-\end{itemize}
-sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
-dann zufällig ein konkreter Server ausgewählt.
+Die Schlüsselserver deren Adressen auf \verb-gnupg.net- enden, sind
+ein Sammelpunkt für ein ganzes Netz dieser Server; es wird dann
+zufällig ein konkreter Server ausgewählt.
+
+Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie am
+besten die Keyserver, deren URL mit \verb-http://- beginnen.
\textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
werden.
\clearpage
\subsubsection{Zertifikate auf Schlüsselservern suchen}
%% Original page 27
Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen,
können Sie auch nach Zertifikaten suchen.
Klicken Sie dazu in Kleopatra auf
\Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
können:
%screenshot: Kleopatra certification search dialog
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
\end{center}
Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
auf die Schaltfläche \Button{Details ...}.
\subsubsection{Zertifikate vom Schlüsselservern importieren}
%% Original page 28
Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
Zertifikatssammlung hinzufügen? Dann selektieren Sie das
Zertifikat aus der Liste der Suchergebnisse und
klicken Sie auf \Button{Importieren}!
Kleopatra zeigt Ihnen anschließend einen Dialog mit den
Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
\Button{OK}.
War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
der Kleopatra-Zertifikatsverwaltung.
\clearpage
%% Original page 31
\xname{die-zertifikatspruefung}
\chapter{Die Zertifikatsprüfung}
\label{ch:trust}
Woher wissen Sie eigentlich, dass das fremde Zertifikat
wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
Korrespondenzpartner glauben, dass das Zertifikat, das Sie
ihm geschickt haben, auch wirklich von Ihnen stammt? Die
Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
hin oder her. Eine \Email{}-Adresse besagt überhaupt nichts über die
Identität des Absenders.
\clearpage
\subsubsection{Der Fingerabdruck}
Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
die Sache mit der Identität schnell geregelt: Sie prüfen den
Fingerabdruck des anderen Zertifikats.
Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
"`Fingerprint"'.
Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
dessen 40-stelligen Fingerabdruck:
%TODO: mit Adeles Zertifikat
% screenshot: GPA key listing with fingerprint
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
\end{center}
Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:\\
%TODO
\verb+DD87 8C06 E8C2 BEDD D4A4 40D3 E573 3469 92AB 3FF7+
%% Original page 32
~\\
Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
Besitzer eindeutig.
Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben
mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
eindeutig das richtige Zertifikat.
Natürlich können Sie sich auch persönlich mit dem Eigentümer des
Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
den Anruf ersparen.
\clearpage
\subsubsection{OpenPGP-Zertifikat signieren}
Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
dieses Zertifikat zu signieren.
\textit{Beachten Sie: \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Signieren von Zertifikaten durch Benutzer ist nur mit OpenPGP
möglich. Bei X.509 ist das authorisierten Stellen vorbehalten!}
Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen
(Gpg4win-)Benutzern mit, dass Sie dieses
Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
Echtheit.
\textbf{Wie funktioniert das Signieren nun genau?}\\
Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
halten und signieren möchten. Wählen Sie anschließend im Menü:
%TODO:german
\Menu{Zertifikate$\rightarrow$Certify
Certificate...}
Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu signierende
OpenPGP-Zertifikat mit \Button{Weiter}:
% TODO screenshot: Kleopatra certify certificate 1
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
\end{center}
\clearpage
Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
(im letzten Schritt ausgewählte) Zertifikat signieren wollen:
% TODO screenshot: Kleopatra certify certificate 2
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
\end{center}
%TODO:german
Entscheiden Sie hier, ob die Signierung nur für Sie lokal
\Button{Certify only for myself} oder für alle sichtbar
\Button{Certify for everyone to see} werden soll. Bei
letzterer Variante haben Sie die Option, das signierte Zertifikat
anschließend auf einen Keyserver hochzuladen.
Bestätigen Sie Ihre Auswahl mit \Button{Certify}.
%TODO#:Passphrase eingeben!
%\clearpage
Bei erfolgreicher Signierung erhalten Sie folgendes Fenster:
% TODO screenshot: Kleopatra certify certificate 3
\begin{center}
\IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
\end{center}
%TODO#: Wie kann man Signierung überprüfen? -> Zertifikatsdetails...
\clearpage
%% Original page 33/34
\subsubsection{Das Netz des Vertrauens}
So entsteht -- auch über den Kreis von
Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.9\textwidth]{key-with-sigs}
\end{center}
Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats,
wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat
wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
Zertifikat wirklich Ihnen und niemandem sonst gehört.
Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
Beglaubigungs-Infra\-struktur.
Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung
aushebeln kann: Jemand schiebt Ihnen einen falsches
Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde. Wenn ein
solches gefälschtes Zertifikat signiert wird, hat das "`Netz des
Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
vergewissern, ob ein Zertifikat, wirklich zu der Person
gehört, der er zu gehören vorgibt.
Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
nicht die Lösung sein\ldots
\clearpage
%% Original page 35
\subsubsection{Zertifizierungsinstanzen}
Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
vertrauen können. Sie überprüfen ja auch nicht persönlich den
Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
sondern vertrauen darauf, dass die ausstellende
Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
Verschlüsselung für OpenPGP. In Deutschland bietet unter anderem z.B. die
Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
wie viele Universitäten.
\T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
sich darauf verlassen.
~\\
Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
anderen Verschlüsselungssystemen -- wie z.B. S/MIME --
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
vorgesehen.
Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' beglaubigt und
ihnen das Recht vergibt, Benutzerzertifikate zu beglaubigen
(vgl. Kapitel~\ref{ch:openpgpsmime}).
Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
berichtigte Institution geben, die die Befugnis dazu wiederum von einer
übergeordneten Stelle erhalten hat.
%% Original page 36
Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
beruhende "`Web of Trust"' von GnuPG. Der Kern der
Beglaubigung selbst ist allerdings völlig identisch: Gpg4win
unterstützt neben dem "`Web of Trust"' (OpenPGP) zusätzlich auch
eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach
bietet Gpg4win eine Grundlage um dem strengen Signaturgesetz der
Bundesrepublik Deutschland zu entsprechen.
Wenn Sie sich weiter für dieses Thema interessieren, dann
können Sie sich an der Quelle informieren: die Website
\uniurl["`Sicherheit im Internet"']{http://www.bsi-fuer-buerger.de}
\T(\uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de})
des Bundesministeriums für Wirtschaft und Technologie
hält Sie über dieses und viele andere
Themen aktuell auf dem Laufenden.
Eine weitere exzellente, mehr technische Informationsquelle zum Thema
der Beglaubigungsinfrastrukturen bietet das
\uniurl[Original GnuPG Handbuch]{http://www.gnupg.org/gph/de/manual},
das Sie ebenfalls im Internet finden%
\T\linebreak(\uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual})
.
\clearpage
%% Original page 43
\xname{dateianhaenge-verschluesseln}
\chapter{Dateianhänge verschlüsseln}
Wenn Sie eine verschlüsselte \Email{} versenden und
Dateien anhängen, so wollen Sie in der Regel sicherlich auch, dass
die Anhänge verschüsselt werden.
Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
sollten Anhänge genauso behandelt werden wie der eigentlichen
Text Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
Bei weniger komfortablen Integrationen müssen Sie aufpassen: Die
Anhänge werden oft unverschlüsselte mitgesendet.
Was kann man in so einem Fall tun?
Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
dann in verschlüsseltem Zustand an die \Email{} an.
Es läuft also auf ein ganz normales verschlüsseln von Dateien hinaus.
Und das ist in Kapitel~\ref{ch:EncFiles} beschrieben.
\clearpage
\xname{dateien-signieren-und-verschluesseln}
\chapter{Dateien signieren und verschlüsseln}
\label{ch:EncFiles}
Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
\begin{itemize}
\item Sie \textbf{signieren} eine Datei mit Ihrem Zertifikat, um sicherzugehen, dass die
Datei unverändert bei Ihrem Empfänger ankommt.
\item Sie \textbf{verschlüsseln} eine Datei mit dem Zertifikat des Empfängers, um
die Datei vor unbefugten Personen geheim zu halten.
\end{itemize}
Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
Ihrem Windows Explorer heraus signieren oder verschlüsseln -- egal ob
OpenPGP oder S/MIME.
Dieses Kapitel erläutert Ihnen, wie das genau funktioniert.
Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B. GpgOL
automatisch die Signierung bzw. Verschlüsselung der Datei zusammen mit
Ihrer \Email{}.
Sie brauchen sich in diesem Fall nicht gesondert darum kümmern.
\clearpage
%% Original page 41
\section{Dateien signieren und überprüfen}
\label{sec_signFile}
Beim Signieren einer Datei kommt es nicht vorrangig auf die
Geheimhaltung, sondern auf die Unverändertheit der Datei an.
Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem Kontextmenü des
Windows Explorer ausführen. Selektieren Sie eine Datei und öffnen Sie
mit der rechten Maustaste das Kontextmenü:
% TODO screenshot GpgEX contextmenu sign/encrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
\end{center}
Dort wählen Sie \Menu{Verschlüsseln und Signieren} aus.
\clearpage
Es erscheint folgendes Fenster:
%TODO screenshot GpgEX sign file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile1_de}
\end{center}
Selektieren Sie die Option \Menu{Nur unterschreiben}.
Der darunter liegende Rahmen \Menu{Verschlüsselungseinstellungen}
wird dadurch ausgegraut, da sie ja lediglich signieren möchten.
Im letzten Abschnitt \Menu{Signatur-Zertifikate} wählen Sie -- sofern nicht
schon vorausgewählt -- Ihr (OpenPGP oder S/MIME) Standardzertifikat aus, mit dem Sie die
Datei signieren möchten.
Klicken Sie nun auf \Button{Weiter}.
\clearpage
Nun haben Sie die Möglichkeit, die Auswahl der zu bearbeitenden Dateien
zu bestätigen oder ggf. die Auswahl zu korrigieren.
%TODO screenshot GpgEX sign/encrypt file, step 2: choose object
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
\end{center}
Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
Sie müssen nun Ihre Passphrase in den aufkommende Dialog eingeben.
\clearpage
Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
%TODO screenshot GpgEX sign file, step 3: finish
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile3_de}
\end{center}
Sie haben damit Ihre Datei erfolgreich signiert.
Abhängig davon, ob Sie OpenPGP oder S/MIME zum Signieren genutzt
haben, erhalten Sie als Ergebnis eine Datei mit der Endung
\textit{*.sig} (bei OpenPGP) oder \textit{*.p7s} (bei S/MIME).
Beim Signieren einer Datei wird stets eine "`abgetrennte"' Signatur
verwendet. Dies bedeutet, dass Ihre zu signierende Datei unverändert bleibt
und eine zweite Datei mit der eigentlichen Signatur erzeugt wird.
Um die Signatur später zu überprüfen, sind beide Dateien notwendig.
Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
wenn Sie Ihre ausgewählte Datei (hier \texttt{<dateiname>.txt}) mit OpenPGP
bzw. S/MIME signieren:
\begin{description}
\item[OpenPGP:]~\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}
\item[S/MIME:]~\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}
\end{description}
\clearpage
\subsubsection{Signatur überprüfen}
Wir wollen nun überprüfen, ob die eben signierte Datei korrekt ist.
Zum Überprüfen der Unverändertheit und der Authentizität
müssen die Signatur-Datei und die unterschriebene Datei (Originaldatei) im selben
Verzeichnis liegen. Selektieren Sie die Signatur-Datei -- also die mit der
Endung \textit{*.sig} oder \textit{*.p7s} -- und wählen Sie aus dem Kontextmenü des Windows Explorer
den Eintrag \Menu{Entschlüsseln und Verifizieren}:
% TODO screenshot GpgEX contextmenu verifiy/decrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
\end{center}
\clearpage
Daraufhin erhalten Sie folgendes Fenster:
% TODO screenshot kleopatra verify file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile1_de}
\end{center}
Kleopatra listet unter \textit{Eingabe-Datei} den vollständigen
Pfad zur ausgewählten Signatur-Datei auf.
Die Option \Menu{Eingabe-Datei ist eine angehängte Unterschrift} ist
aktiviert, da wir ja unsere Originaldatei
(hier: \textit{unterschriebene Daten}) mit der Eingabe-Datei signiert haben.
Kleopatra findet automatisch die zugehörige unterschriebene
Originaldatei.
Automatisch ist auch der \textit{Ausgabe-Ordner} auf den gleichen
Pfad ausgewählt.
Der wird aber erst relevant wenn Sie mehr als eine Datei gleichzeitig
verarbeiten.
Bestätigen Sie die gegebenen Operationen mit
\Button{Entschlüsseln/überprüfen}.
\clearpage
Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
Fenster:
% TODO screenshot kleopatra verify file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile2_de}
\end{center}
Das Ergebnis zeigt, dass die Signatur gültig ist --
also die Datei nicht verändert wurde. Selbst wenn nur ein Zeichen
hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
ungültig angezeigt.
% TODO: hier ein Screenshot wie es aussueht, wenn die Datei kompromittiert wurde (rot)
\clearpage
\section{Dateien verschlüsseln und entschlüsseln}
Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern auch
verschlüsseln. Das wollen wir im folgenden Abschnitt mit GpgEX und
Kleopatra einmal durchspielen.
Selektieren Sie eine Datei und öffenen Sie mit der rechten Maustaste
das Kontextmenü:
% TODO screenshot GpgEX contextmenu sign/encrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
\end{center}
Wählen Sie hier \Menu{Verschlüsseln und Signieren} aus.
\clearpage
Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
Abschnitt~\ref{sec_signFile}) schon kennen:
% TODO screenshot kleopatra encrypt file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile1_de}
\end{center}
Entscheiden Sie sich im oberen Feld für die Option \Menu{Nur
Verschlüsseln}.
Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
umstellen:
\begin{description}
\item[Ausgabe als Text (ASCII-Mantel):] Bei Aktivierung dieser
Option erhalten Sie die verschlüsselte Datei mit der
Dateiendung \textit{*.asc} (OpenPGP) bzw. \textit{*.pem} (S/MIME).
Diese Dateitypen sind mit jedem Texteditor lesbar -- Sie würden dort
den Buchstaben- und Ziffernsalat sehen, den Sie schon kennen.
Ist diese Option nicht ausgewählt (Voreinstellung), so wird
eine verschlüsselte Datei mit der Endung \textit{*.gpg}
(OpenPGP) bzw. \textit{*.p7m} (S/MIME) angelegt. Diese Dateien
sind Binärdateien -- eine Betrachtung im Texteditor ist also
sinnlos.
Was Sie hier benutzen ist eigentlich gleichgültig;
Gpg4win kommt mit beiden Arten klar.
\item[Unverschlüsseltes Original anschließend löschen:] Ist diese
Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem
Verschlüsseln gelöscht.
\end{description}
Klicken Sie auf \Button{Weiter}.
\clearpage
Nun haben Sie wieder die Möglichkeit, die Auswahl zu bestätigen oder
zu korrigieren:
% TODO screenshot kleopatra sign/encrypt file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
\end{center}
Bestätigen Sie abschliessend mit \Button{Weiter}.
\clearpage
An wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
Dialog einen oder mehrere Empfänger aus:
% TODO screenshot kleopatra encrypt file, step 3
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile3_de}
\end{center}
Klicken Sie dazu auf \Button{Empfänger hinzufügen...} und wählen aus
Ihrer Zertifikatsliste den oder die Empfänger aus. Abhängig vom
gewählten Empfänger-Zertifikat und deren Typ (OpenPGP oder S/MIME) wird Ihre
Datei anschließend für OpenPGP und/oder S/MIME verschlüsselt. Haben
Sie also ein OpenPGP-Zertifikat \textit{und} ein S/MIME-Zertifikat ausgewählt,
werden Sie zwei verschlüsselte Dateien erhalten.
Die möglichen Dateitypen der verschlüsselten Dateien finden Sie auf der nächsten Seite.
Klicken Sie nun auf \Button{Weiter}, um Ihre Datei zu verschlüsseln.
\clearpage
Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
aussehen:
% TODO screenshot kleopatra encrypt file, step 4
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile4_de}
\end{center}
Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten
Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.
Beim Verschlüsseln Ihrer Originaldatei (hier \texttt{<dateiname>.txt})
sind insgesamt vier Dateitypen als Ergebnis möglich:
\begin{description}
\item[OpenPGP:]~\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.gpg}}\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
~ \small (bei Ausgabe als Text/ASCII-Mantel)
\normalsize
\item[S/MIME:]~\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7m}}\\
\texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
~ \small{ (bei Ausgabe als Text/ASCII-Mantel)}
\normalsize
\end{description}
Eine der vier verschlüsselten Ergebnisdateien geben Sie nun an Ihren ausgewählten
Empfänger weiter. Anders als beim Signieren einer Datei wird die
unverschlüsselte Originaldatei natürlich \textit{nicht} weitergegeben.
\clearpage
\subsubsection{Datei entschlüsseln}
Wir wollen nun die zuvor verschlüsselte Datei zum Testen einmal entschlüsseln.
Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes Zertifikat
verschlüsselt haben -- andernfalls können Sie die Datei nicht mit
Ihrer Passphrase entschlüsseln.
Selektieren Sie die verschlüsselte Datei -- also die mit der
Endung \textit{*.gpg}, \textit{*.asc}, \textit{*.p7m} oder \textit{*.pem} --
und wählen Sie aus dem Kontextmenü des Windows Explorer
den Eintrag \Menu{Entschlüsseln und Verifizieren}:
% TODO screenshot GpgEX contextmenu verifiy/decrypt
\begin{center}
\IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
\end{center}
\clearpage
Im folgenden Entschlüsselungsdialog können Sie, bei Bedarf, noch den
Ausgabe-Ordner verändern.
% TODO screenshot kleopatra decrypt file, step 1
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-decryptFile1_de}
\end{center}
Klicken Sie auf \Button{Entschlüsseln/überprüfen}.
Geben Sie anschließend Ihre Passphrase ein.
\clearpage
Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:
% TODO# screenshot kleopatra decrypt file, step 2
\begin{center}
\IncludeImage[width=0.7\textwidth]{sc-kleopatra-decryptFile2_de}
\end{center}
Sie sollten nun die entschlüsselte Datei problemlos entziffern
oder mit einem entsprechenden Programm verwenden können.
\clearpage
\subsubsection{Fassen wir kurz zusammen...}
Sie haben gelern, wie Sie mit GpgEX:
\begin{itemize}
\item Dateien signieren
\item signierte Dateien verifizieren
\item Dateien verschlüsseln
\item verschlüsselte Dateien entschlüsseln
\end{itemize}
\subsubsection{Gleichzeitig signieren und verschlüsseln}
Ihnen ist diese Option bestimmt schon in den entsprechenden
Dialogen aufgefallen.
Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben in einem
Schritt.
Bechten Sie, dass immer {\em zuerst signiert} erst danach verschlüsselt
wird.
Die Unterschrift wird also immer als geheim mitverschlüsselt.
Sie kann nur von denjenigen gesehen und geprüft werden,
die die Datei erfolgreich entschlüsseln konnten.
Möchten Sie Dateien signieren \textit{und} verschlüsseln ist das
derzeit nur mit OpenPGP möglich.
\clearpage
%% Original page 45
\xname{im-und-export-eines-geheimen-schluessels}
\chapter{Im- und Export eines geheimen Schlüssels}
\label{ch:ImExport}
In den Kapiteln \ref{ch:publishCertificate} und \ref{ch:keyring} haben
wir den Im- und Export von Zertifikaten besprochen. Wir haben
Ihr eigenes Zertifikat exportiert, um es zu veröffentlichen,
und wir haben das Zertifikat Ihres Korrespondenzpartners importiert
und am "`Schlüsselbund"' befestigt.
Dabei ging es stets um den \textit{öffentlichen} Schlüssel -- das Zertifikat. Es gibt aber auch
hin und wieder die Notwendigkeit, einen \textit{geheimen} Schlüssel zu im- oder
exportieren. Wenn Sie zum Beispiel ein bereits vorhandenes
(OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win weiterbenutzen wollen,
müssen Sie es importieren. Oder wenn Sie Gpg4win von einem anderen Rechner aus
benutzen wollen, muss ebenfalls zunächst das gesamte Schlüsselpaar dorthin
transferiert werden --~der öffentliche und der private Schlüssel.
%% Original page 46
\clearpage
\section{Export}
Immer wenn Sie einen geheimen Schlüssel auf einen anderen Rechner
transferieren oder auf einer anderen Festplattenpartition bzw. einem
Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
Sicherungskopie erstellen.
So eine Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
OpenPGP-Zertifikatserzeugung angelegt. Da Ihr OpenPGP-Zertifikat aber inzwischen weitere
Schlüsselunterschriften haben kann, sollte Sie die Sicherung erneut durchführen.
Öffnen Sie Kleopatra. Selektieren Sie Ihr eigenes Zertifikat und
klicken Sie auf \Menu{Datei$\rightarrow$Geheimen Schlüssel
exportieren}.
% TODO# screenshot kleopatra decrypt file, step 2
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
\end{center}
Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.
Der Dateityp wird automatisch gesetzt. Abhängig davon ob Sie einen
geheimen OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist
standardmäßig die Dateiendung \textit{*.gpg} (OpenPGP) oder \textit{*.der} (S/MIME)
ausgewählt. Bei diesen Dateien handelt es sich um Binärdateien -- eine Betrachtung im
Texteditor ist hier also sinnlos.
Bei Aktivierung der Option
%TODO check german translation
\Menu{Ausgabe als Text (ASCII-Mantel)}
erhalten Sie die Dateiendung
\textit{*.asc} (OpenPGP) bzw. \textit{*.pem} (S/MIME).
Diese beiden Dateitypen sind mit jedem Texteditor lesbar -- Sie würden dort
den üblichen Buchstaben- und Ziffernsalat sehen.\\
Ob Sie diese Option nutzen oder nicht ist eigentlich gleichgültig;
Gpg4win kommt mit beiden Arten klar.
Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
Kleopatra in dieser einen Datei abgespeichert.
\textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie enthält Ihren
geheimen Schlüssel und damit sicherheitskritische Informationen!
\clearpage
\section{Import}
Zum Importieren Ihres vorher exportierten geheimen Schlüssels
in Kleopatra, gehen Sie so vor, wie Sie es beim
Importieren von (fremden) Zertifikaten gewohnt sind:
\Menu{Datei$\rightarrow$Zertifikat importieren...}, Datei auswählen
und bestätigen (vgl. Kapitel~\ref{ch:keyring}). Fertig.
Sie erhalten einen Infodialog, der Ihnen die Ergebnisse des
Importvorgangs auflistet; hier am Beispiel eines geheimen
OpenPGP-Schlüssels:
% TODO# screenshot kleopatra decrypt file, step 2
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
\end{center}
Kleopatra hat damit sowohl den geheimen als auch den
öffentlichen Schlüssel aus der Sicherungsdatei importiert. Ihr
Zertifikat ist damit unter "`Meine Zertifikate"' in der
Zertifikatsverwaltung von Kleopatra sichtbar.
\textit{\textbf{Achtung:} Löschen Sie danach unbedingt die oben erstellte
Sicherungskopie Ihres geheimen Schlüssels von Ihrer Festplatte und
sichern Sie vorher diese wichtige Datei möglicht irgendwo auf einem externen Medium.
Denken Sie daran die gelöschte Datei aus Ihrem "`Papierkorb"' zu
entfernen. Andernfalls stellt diese Datei ein Sicherheitsrisiko für
Ihre geheime \Email{}-Verschlüsselung dar!}
%TODO#: Gültig auch für Gpg4win2?
\textit{Anmerkung:} Es kann in einigen Fällen vorkommen, dass Sie einen importierten
Schlüssel nicht direkt benutzen können. Dies äußert sich darin, dass
Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
-wird. Das kommt daher, dass einige Versionen von PGP intern den
+wird. Das kommt daher, dass ältere Versionen von PGP intern den
IDEA Algorithmus verwenden. Dieser kann von GnuPG aus rechtlichen
Gründen nicht unterstützt werden. Um das Problem zu beheben,
ändern Sie in PGP einfach die Passphrase und
exportieren/importieren Sie den Schlüssel erneut. Sollte dies auch
nicht funktionieren, so setzen Sie die Passphrase in PGP auf
"`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
-- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
\textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
eine echte Passphrase zu setzen.}
~\\
\textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr Schlüsselpaar exportiert und
wieder importiert.}
\clearpage
\xname{systemweite-konfiguration-und-vorbelegungen-fuer-smime}
\chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
in denen viele Anwender auf einem System arbeiten,
ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
für Gpg4win einzurichten.
Das betrifft vor allem S/MIME, denn bei streng vorgegebenen
Vertrauensketten macht es Sinn dass die Anwender die Informationen
dazu miteinander Teilen.
Einige typische systemweite Einrichtungen sind:
\begin{itemize}
\item Vertrauenswürdige Wurzel-Zertifikate
Um zu vermeiden, dass jeder Anwender selbst die notwendigen
Wurzelzertifikate suchen und installieren sowie Vertrauenswürdigkeit
prüfen und setzen muss, ist eine systemweite Vorbelegung der
wichtigsten Wurzel-Zertifikate sinnvoll.
Dafür sind folgende Schritte durchzuführen:
\begin{enumerate}
\item Die Wurzel-Zertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
beschrieben.
\item Die vertrauenswürdigen Wurzeln definieren wie unter
Abschnitt \ref{sec_systemtrustedrootcerts}
beschrieben.
\end{enumerate}
\item Direkt verfügbare CA-Zertifkate
Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
(Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
eine systemweite Vorbelegung der wichtigsten CA-Zertifkate sinnvoll.
Folgen Sie dazu der Beschreibung unter Abschnitt
\ref{extracertsdirmngr}.
\item Proxy für Verzeichnisdienst-Suche
Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
Systeme nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.
Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
LDAP-Abfragen der Fall, so führen Sie folgende Schritte durch:
\begin{enumerate}
\item Stellen Sie LDAP-Verzeichnisdienst-Suchen auf Ihren Proxy wie unter Abschnitt \ref{ldapservers} ein.
\item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
wie z.B.:
\small
\verb@http-proxy http://proxy.mydomain.example:8080@\\
\normalsize
(ggf. analog für LDAP) als Administrator in die Datei\newline
\small
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
\normalsize
eintragen.
\end{enumerate}
\end{itemize}
\clearpage
\xname{bekannte-probleme-und-was-man-tun-kann}
\chapter{Bekannte Probleme und was man tun kann}
\section{GpgOL Menüs und Dialog nicht mehr in Outlook zu finden}
Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
die Menüs und Dialog die von GpgOL zu Outlook hinzugefügt
werden nicht mehr zu finden sind.
Das ist dann der Fall wenn ein technisches Problem auftrat
und Outlook aus diesem Grund das GpgOL Element deaktiviert.
Reaktivieren Sie GpgOL über das Outlook-Menü
\Menu{Hilfe$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}.
\section{Keine S/MIME Operationen mehr möglich (Systemdienst ,,DirMngr'' läuft nicht)}
Der \textit{Directory Manager} (\textit{DirMngr}) ist ein über
Gpg4win installierter Dienst der die Zugriffe auf Verzeichnisdienste
(z.B. LDAP) verwaltet. Eine der häufigsten Aufgaben ist das Laden
von Sperrlisten für S/MIME Zertifikate.
Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
werden, da möglicherweise ein kompromittiertes Zertifkat genutzt wird.
Abhilfe schaffe ein Neustart des ,,DirMngr'' durch den
Systemadministrator.
Dies erfolgt über \linebreak
\Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.
In der Liste finden Sie ,,DirMngr'' --
über das Kontextmenü kann der Dienst neu gestartet werden.
\clearpage
\xname{wo-finde-ich-die-dateien-und-einstellungen-von-gpg4win}
\chapter{Wo finde ich die Dateien und Einstellungen von Gpg4win?}
\section{Persönliche Einstellungen der Anwender}
Die persönlichen Einstellungen für jeden Anwender befinden sich
im Verzeichnis \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
Verzeichnis: \newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}\textit{<name>}\back{}Anwendungsdaten\back{}gnupg\back{}}
Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt.
Um es sichtbar zu schalten, müssen Sie im Explorer über das Menü
\Menu{Extras$\rightarrow$Ordneroptionen}
im Reiter \Menu{Ansicht} die Option \Menu{Alle Dateien und Ordner
anzeigen} unter der Rubrik \Menu{Versteckte Dateien und Ordner} aktivieren.
In diesem gnupg-Verzeichnis befinden sich sämtliche persönlichen GnuPG Daten,
also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und
Programmkonfigurationen.
\section{Zwischengespeicherte Sperrlisten}
Der systemweite Dienst ,,DirMngr'' (Directory Manager) prüft unter anderem, ob
ein Zertifkat gesperrt ist und daher nicht verwendet werden darf.
Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate
(,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
zwischengespeichert.
%TODO#: korrekter Pfad?
Abgelegt werden diese Sperrlisten unter:\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\newline
Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
Hierbei handelt es sich um \textit{geschützte} Dateien,
die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie
dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die
Option \Menu{Geschützte Systemdateien ausblenden} in den
Ansicht-Einstellungen des Windows Explorer.
In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
\section{Vertrauenswürdige Wurzeln von DirMngr \label{trustedrootcertsdirmngr}}
Für eine vollständige Prüfung von Zertifkats-Gültigkeiten
muss auch den Wurzel-Zertifkaten vertraut werden, in deren
Zertifizierungskette die Sperrlisten unterschrieben wurden.
Die Liste der Wurzel-Zertifkate, denen DirMngr bei den
Prüfungen vertrauen soll, liegt unter:\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\newline
etc\back{}dirmngr\back{}trusted-certs\back{}}
Für systemweite Vorgaben sollten hier die Wurzel-Zertifkate abgelegt werden
denen alle Anwender vertrauen können.
\section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
Um, wie oben beschrieben, die Zertifizierungskette zu
prüfen sind auch die Zertifkate der Zertifizierungsstellen
(Certificate Authorities, CAs) zu prüfen.
Für eine direkte Verfügbarkeit können sie in diesem (systemweiten) Verzeichnis abgelegt
werden:\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\newline
lib\back{}dirmngr\back{}extra-certs\back{}}
Zertifkate, die nicht hier oder bei den Anwendern vorliegen, müssen
entweder automatisch von LDAP-Servern geladen werden oder (falls so nicht
verfügbar) per Hand importiert werden.
Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
wichtigsten CA-Zertifkate abzulegen.
\section{Konfiguration zur Verwendung externer LDAP Verrzeichnisdienste \label{ldapservers}}
GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende Zertifkate
oder Sperrlisten auf externen Verzeichnisdiensten gesucht werden.
Der Systemdienst ,,DirMngr'' verwendet dafür die Liste der Dienste, die
in der Datei\newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\\
etc\back{}dirmngr\back{}ldapservers.conf}\\
angegeben sind.
Sind im internen Netz die Zugänge zu externen LDAP-Servern gesperrt, so
kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung
konfigurieren, wie folgende Zeile im Beispiel illustriert:
\verb#proxy.mydomain.example:389:::O=myorg,C=de#
Die genaue Syntax für die Einträge lautet übrigens:
\verb#HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN#
\section{Systemweite vertrauenswürdige Wurzel-Zertifikate}
\label{sec_systemtrustedrootcerts}
Die systemweit als vertrauenswürdig vorbelegten Wurzel-Zertifkate werden
in der Datei\\
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\\
etc\back{}gnupg\back{}trustlist.txt}\\
definiert.
%TODO#: Beispiel zur Syntax-Erklärung? 'Fingerprint S', was bedeutet S?
\clearpage
\xname{fehler-in-den-gpg4win-programmen-aufspueren}
\chapter{Fehler in den Gpg4win-Programmen aufspüren}
Es kann vorkommen, dass eines der Gpg4win-Programme
nicht wie erwartet zu funktionieren scheint.
Nicht selten ist dabei eine Besonderheit der
Arbeitsumgebung verantwortlich, so dass die Software-Entwickler von
Gpg4win das beobachtete Problem gar nicht selbst nachvollziehen können.
Um die Software-Entwickler bei der Problemsuche zu
unterstützen oder um auch einmal selbst in die technischen
Detail-Abläufe reinzuschnuppern, bieten die Gpg4win-Programme
Unterstützung an.
In der Regel muss diese Unterstützung aber erst einmal
eingeschaltet werden. Eine der wichtigsten Hilfsmittel sind
Logbücher. Dort werden detaillierte Informationen zu den
technischen Vorgängen vermerkt. Ein Software-Entwickler kann
ein Problem und die mögliche Lösung oft leicht daran ablesen,
auch wenn es auf den ersten Blick sehr unverständlich
und viel zu umfangreich wirken mag.
Wenn Sie einen Fehler-Bericht an die Software-Entwickler
senden wollen, so finden Sie auf dieser Web-Seite einige Hinweise:
\uniurl{http://www.gpg4win.de/reporting-bugs-de.html}
Logbücher -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
sind besonders wertvoll und sollten bei einem Fehler-Bericht
mitgeschickt werden.
In diesem Kapitel wird beschrieben, wie Sie
Programmablauf-Informationen (darum handelt es sich
letztlich bei den Logbüchern) zu den einzelnen Gpg4win-Programmen
einschalten können.
\clearpage
\section{Logbuch von Kleopatra einschalten}
Das Logbuch von Kleopatra besteht aus vielen Dateien,
daher ist der erste Schritt ein Verzeichnis für
das Logbuch zu erstellen. Denkbar ist z.B.
\Filename{C:\back{}TEMP\back{}kleologdir}.
Bitte beachten Sie hierbei, dass es hier um Einstellungen
des Anwenders, nicht des Systemadministrators geht.
Die Einstellungen müssen also für jeden Anwender der ein
Logbuch erstellen möchte separat vorgenommen werden und dabei
insbesondere aufgepasst werden, dass unterschiedliche \Filename{kleologdir}
Verzeichnisse verwendet werden.
Der Pfad zu diesem Verzeichnis muss nun in der neuen Umgebungsvariable
\Filename{KLEOPATRA\_LOGDIR} vermerkt werden:
Öffnen Sie dazu die Systemsteuerung, wählen dort \Menu{System}, dann
den Reiter \Menu{Erweitert} und schließlich den Knopf \Button{Umgebungsvariablen}.
Fügen Sie dort folgende neue \textit{Benutzer}variable ein:
\begin{quote}
Name der Variable: \Filename{KLEOPATRA\_LOGDIR}
Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
\end{quote}
Beachten Sie, dass das angegebene Verzeichnis existieren muss. Sie können es
auch nachträglich erstellen.
Um die Log-Funktion wirksam werden zu lassen, muss Kleopatra beendet
und neu gestartet werden. Spätestens jetzt muss das Log-Verzeichnis erstellt worden
sein.
Während Kleopatra nun verwendet wird, zeichnet es viele Daten in die
Datei \Filename{kleo-log} (Haupt-Logbuch) sowie möglicherweise viele Dateien
\Filename{pipe-input-ZEITSTEMPEL-ZUFALLSZEICHEN}.
Möglicherweise reichen diese Informationen einem Software-Entwickler
nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine weitere
Umgebungsvariable anzulegen
-- so wie Sie es schon oben getan haben:
\begin{quote}
Name der Variable: \Filename{KLEOPATRA\_LOGPTIONS}
Wert der Variable: ~~\Filename{all}
\end{quote}
Möglicherweise werden die Logbuch-Dateien sehr schnell sehr groß.
Sie sollten diese Logbuch-Aufzeichnung nur einschalten und dann
ein bestimmtes Fehlverhalten durchspielen. Anschliessend schalten
Sie die Aufzeichnung wieder aus indem Sie die Umgebungsvariable
löschen oder den Namen leicht variieren (für späteres leichtes
reaktivieren). Vergessen Sie nicht, die Logbücher zu löschen falls
sie umfangreich geworden sind oder es sehr viele Dateien sind. Am besten immer
bevor Sie eine neue Aufzeichnung machen.
\clearpage
\section{Logbuch von GpgOL einschalten}
%TODO#: Logbuch erstellen geht auch als Administrator!
Für das Einschalten des Logbuches von GpgOL müssen Sie mit Ihrem
normalen Benutzerkonto (also nicht als Administrator) den Registrierungs-Editor
starten. Geben Sie dazu das Kommando \verb:regedit: unter
\Menu{Start$\rightarrow$Ausführen} oder in einer Eingabeaufforderung ein.
Wählen Sie nun aus dem Verzeichnisbaum auf der linken Seite das
folgende GpgOL-Verzeichnis aus:\\
\verb:HKEY_CURRENT_USER\Software\GNU\GpgOL:
Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
(sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten Werten.
Diese Einträge werden nach dem ersten Start von Outlook mit GpgOL
angelegt.
Zum Aktivieren des GpgOL-Logbuchs Doppelklicken Sie auf den Eintrag
\Filename{enableDebug} und setzte Sie dessen Wert auf \Filename{1}.
Je größer Sie den Wert von \Filename{enableDebug} wählen, umso mehr
interne Programmablaufinformationen werden im Logbuch gespeichert.
Es ist empfehlenswert mit \Filename{1} zu beginnen und nur
höhere Werte einzusetzen, falls es eine tiefere
Programmablaufanalyse erfordern sollte.
%TODO#: Mögliche Werte für enableDebug ergeben sich aus 2er Potenzen?
%also: 0-1-2-4-8-.. etc.
% Genauer Wertebereich?
Als Wert für \Filename{logFile} geben Sie nun einen Dateinamen an,
wohin das Logbuch geschrieben werden soll; z.B.:
\Filename{C:\back{}TEMP\back{}gpgol.log}.
Bedenken Sie, dass diese Datei ggf. im weiteren Verlauf sehr
umfangreich werden kann. Stelle Sie \Filename{enableDebug} auf
\Filename{0}, sobald Sie das GpgOL-Logbuch nicht mehr benötigen.
\section{Logbuch von DirMngr einschalten}
Bei DirMngr handelt es sich um einen systemweiten Dienst und daher
ist das Einschalten des Logbuches nur mit Administator-Rechten
möglich.
Um das Logbuch einzuschalten, tragen Sie folgende zwei Zeilen in
die Datei\\
\Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}\\
etc\back{}dirmngr\back{}dirmngr.conf}\\
ein:
\begin{quote}
\verb@debug-all@ \\
\verb@log-file C:\TEMP\dirmngr.log@
\end{quote}
Starten Sie anschließend den Dienst unter
\Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste} neu,
so dass die geänderte Konfiguration eingelesen werden.
\clearpage
\section{Logbuch von GnuPG einschalten}
%TODO#: Titel ok?
Für folgende GnuPG-Programme können Sie jeweils einzeln ein Logbuch
einschalten:
\begin{itemize}
\item GPG Agent
\item GPG für S/MIME
\item GPG für OpenPGP
\item Smartcard Daemon
\end{itemize}
Für diese Programme können Anwender persönliche Konfigurationen vornehmen.
Dazu gehört auch das Einstellen einer Protokolldatei für den Programmablauf.
Eingeschaltet wird das jeweilige Logbuch im GnuPG Backend --
erreichbar über das Kleopatra Menü
\Menu{Einstellungen$\rightarrow$GnuPG Backend einrichten...}.
Für jede der o.g. vier Programme existieren in diesem
Konfigurationsfenster zwei Debug-Optionen:
\begin{itemize}
\item \textbf{Option "`Setze die Debug-Stufe auf"'}\\
Hier definiern Sie die Ausführlichkeit der aufzuzeichnenden
Informationen. Die Debugstufe \texttt{guru} ist die höchste Stufe und
erzeugt entsprechend große Dateien.
Schalten Sie daher die Logbücher wieder aus (Debugstufe
\texttt{none}), wenn Sie diese nicht mehr benötigen.
\item \textbf{Option "`Schreibe im Servermodus Logs auf DATEI"'}\\
Geben Sie hier die Logdatei an, in der alle Debug-Informationen
gespeichert werden sollen; z.B.
\Filename{C:\back{}TEMP\back{}gpgsm.log}.
\end{itemize}
\clearpage
%% Original page 49
\xname{warum-gpg4win-nicht-zu-knacken-ist}
\chapter{Warum Gpg4win nicht zu knacken ist~$\ldots$}
\label{ch:themath}
$\ldots$ jedenfalls nicht mit heute bekannten Methoden und sofern die
Implementierung der Programme frei von Fehlern ist.
In der Realität sind genau solche Fehler in den Programmen, im
Betriebssystem oder nicht zuletzt in der Benutzung der letzte
Weg, um doch noch an die geheimen Informationen zu gelangen. --
Auch deshalb sollte Sie dieses Kompendium bis hierhin gelesen haben.
In jedem Beispiel dieses Kompendiums haben Sie gesehen, dass zwischen dem
geheimen und dem öffentlichen Schlüsselteil eine geheimnisvolle
Verbindung besteht. Nur wenn beide zueinander passen, kann man
Geheimbotschaften entschlüsseln.
Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
unbedingt kennen ­-- Gpg4win funktioniert für Sie auch so. Man kann
diese komplexe mathematische Methode aber auch als Normalsterblicher
und Nichtmathematiker verstehen. Sie müssen eigentlich nur einfache
Additionen ($2 + 3$) und Multiplikationen ($5 * 7$) beherrschen.
Allerdings in einer ganzen anderen Rechenmethode als der, die Sie im
Alltag benutzen. Es gehört sowohl zur Sicherheitsphilosophie der
Kryptographie wie auch zum Prinzip der Freien Software, dass es keine
geheimnisvollen Methoden und Algorithmen gibt. Letztendlich versteht
man auch erst dann wirklich, warum GnuPG (die eigentliche Maschinerie
hinter Gpg4win) sicher ist.
Hier beginnt also sozusagen die Kür nach dem Pflichtteil:
\clearpage
%% Original page 50
\xname{gnupg-und-das-geheimnis-der-grossen-zahlen}
\chapter{GnuPG und das Geheimnis der großen Zahlen \htmlonly{\html{p}} }
\label{ch:secretGnupg}
{\Large Kryptographie für Nicht-Mathematiker}\\
Es ist schon versucht worden, den RSA Algorithmus, auf dem GnuPG
basiert\footnote{Wir verwenden hier RSA als Beispiel. RSA ist
einfacher zu verstehen als der Elgamal Algorithmus, der als
Voreinstellung von GnuPG benutzt wird.}, zu "`knacken"', also einen
privaten Schlüssel zu berechnen, wenn man lediglich den
öffentlichen Schlüssel kennt. Diese Berechnung ist aber noch nie für
Schlüssellängen (1024 Bit und mehr), die in GnuPG verwendet werden,
gelungen. Es ist zwar \textit{theoretisch} möglich, aber
\textit{praktisch} nicht durchführbar! Denn selbst bei genügend vorhandener
Zeit (viele Jahre)
und Abertausenden von vernetzten Rechnern würde niemals genügen Speicher zur
Verfügung stehen, um den letzten Schritt dieser Berechnung
durchführen zu können.
Es kann allerdings durchaus möglich sein, dass eines Tages eine geniale
Idee die Mathematik revolutioniert und eine schnelle Lösung des mathematischen
Problems, welches hinter RSA steckt, liefert. Dies wird aber wohl
kaum von heute auf morgen geschehen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
veröffentlicht von Zeit zu Zeit
Prognosen und Einschätzungen, welche Schlüssellängen noch wieviele
Jahre für absolute Geheimhaltung benutzt werden sollen. GnuPG
überschreitet mit seinen Standardeinstellungen noch weit diese
Mindestanforderungen. Wie im vorigen Kapitel schon angerissen, ist die
Mathematik der mit Abstand sicherste Teil an der ganzen praktisch
angewandten Kryptographie.
\clearpage
%% Original page 52
Im Folgenden erfahren Sie, wie diese mathematische Methode funktioniert. Nicht
in allen Einzelheiten (das würde den Rahmen dieser Anleitung bei
weitem sprengen), aber doch so, dass Sie bei etwas Mitrechnen selbst
mathematisch korrekt ver- und entschlüsseln können und dabei das
"`Geheimnis der großen Zahlen"' entdecken.
Man kann diese komplexe mathematische Methode auch als
Normalsterblicher und Nichtmathematiker verstehen. Sie müssen nur
einfache Additionen und Multiplikationen beherrschen. Wie gesagt: Hier
beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
Sache als im Pflichtprogramm. Letztendlich versteht man dann aber,
warum GnuPG sicher ist.
Eine Begriffsklärung vorneweg:
\begin{quote}
\textit{Ein \textbf{Algorithmus} ist eine mathematische Prozedur zur Veränderung oder
Transformation von Daten oder Informationen.}
\textit{\textbf{Arithmetik} ist die Methode, nach der wir Zahlen addieren und
multiplizieren.}
\end{quote}
Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
Patentgründen der Elgamal Algorithmus, beruhend auf dem schwieriger
zu erklärenden Problem des diskreten Logarithmus, als Standard in
GnuPG verwendet wird.}. RSA steht für die Nachnamen von Ron Rivest, Ami
Shamir und Ben Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
Rechnen mit Restklassen oder "`Modulo-Arithmetik"' heißt.
\clearpage
%% Original page 53
\section{Das Rechnen mit Restklassen}
Wenn man mit Restklassen rechnet, so bedeutet dies, dass man
nur mit dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird,
nennt man den "`Modul"' oder die "`Modulzahl"'. Wenn wir
beispielsweise mit dem Teiler oder der Modulzahl 5 rechnen,
sagen wir auch, "`wir rechnen modulo 5"'.
Wie das Rechnen mit Restklassen -- auch Modulo-Arithmetik oder
Kongruenzrechnung genannt -- funktioniert, kann man sich gut
klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.25\textwidth]{clock-face}
\end{center}
Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (der Teiler
ist also 12) -- eine Uhr mit einem normalen Zifferblatt, allerdings
mit einer 0 anstelle der 12. Wir können damit Modulo-Arithmetik
betreiben, indem wir einfach den gedachten Zeiger bewegen.
Um beispielsweise $3 + 2$ zu rechnen, beginnen wir bei der Ziffer 2
und drehen den Zeiger um 3 Striche weiter (oder wir starten bei der 3
und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft)
Das Ergebnis ist 5.
Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt. Um 5 mit 7 zu
multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
(also $7 * 5$) durch 12 geteilt wird.
\clearpage
%% Original page 54
Beim Rechnen mit Restklassen addieren und teilen wir Zahlen also nach
den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
immer nur den Rest nach der Teilung. Um anzuzeigen, dass wir nach den
Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
Arithmetik rechnen, schreibt man den Modul (Sie wissen schon -- den
Teiler) dazu. Man sagt dann zum Beispiel "`4 modulo 5"',
schreibt aber kurz "`$4 \bmod 5$"'.
Bei Modulo-5 zum Beispiel hat man dann eine Uhr, auf deren
Zifferblatt es nur die 0, 1, 2, 3 und 4 gibt. Also:
\[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]
Anders ausgedrückt, ist in der Modulo-5 Arithmetik das Ergebnis
aus 4 plus 3 gleich 2. Wir können also auch schreiben:
\[ 9 \bmod 5 + 7 \bmod 5 = 16 \bmod 5 = 1 \bmod 5 \]
Wir sehen auch, dass es egal ist, in welcher Reihenfolge wir
vorgehen, weil wir nämlich auch schreiben können:
\[ 9 \bmod 5 + 7 \bmod5 = 4 \bmod 5 + 2 \bmod 5 = 6 \bmod 5 =
1 \bmod 5 \]
Denn 4 ist dasselbe wie 9, und 2 dasselbe wie 7, da wir uns ja nur für
den jeweiligen Rest nach der Teilung durch 5 interessieren. Daran
wird deutlich, dass wir bei dieser Art der Arithmetik jederzeit 5 oder
ein Vielfaches von 5, wie 10, 15 und so weiter nehmen können, und das
Ergebnis stets dasselbe ist.
\clearpage
%% Original page 55
Das funktioniert auch beim Multiplizieren (Malnehmen).
Ein Beispiel:
\[ 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod 5 \]
Ebenso können wir schreiben:
\[ 9 \bmod 5 * 7 \bmod 5 = 63 \bmod 5 = 3 \bmod 5 \]
da wir einfach 60, also $5 * 12$, abziehen können.
Man könnte aber auch schreiben:
\[ 9 \bmod 5 * 7 \bmod 5 = 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod
5 \]
denn 4 entspricht 9, und 2 entspricht 7, wenn wir nur den Rest
nach Teilung durch 5 betrachten.
Widerum stellen wir fest, dass es egal ist, wenn wir das Vielfache
von 5 einfach weglassen.
Da dadurch alles einfacher wird, machen wir das, bevor wir
Zahlen addieren oder multiplizieren. Das bedeutet, dass wir uns
lediglich um die Zahlen 0, 1, 2, 3 und 4 kümmern müssen, wenn
wir mit der Modulo-5 Arithmetik rechnen. Denn wir können ja
alles, was durch 5 teilbar ist, weglassen.
Dazu noch drei Beispiele:
\[ 5 \bmod 11 * 3 \bmod 11 = 15 \bmod 11 = 4 \bmod 11 \]
\[ 2 \bmod 7 * 4 \bmod 7 = 1 \bmod 7 \]
\[ 13 \bmod 17 * 11 \bmod 17 = 7 \bmod 17 \]
Das letzte Beispiel wird klar, wenn man bedenkt, dass in normaler
Arithmetik gerechnet $ 13 * 11 = 143 $ und $ 143 = 8 * 17 + 7 $ ist.
\clearpage
%% Original page 56
\section{RSA-Algorithmus und Rechnen mit Restklassen}
Computer speichern Buchstaben als Zahlen. Alle Buchstaben und Symbole
auf der Computertastatur werden in Wirklichkeit als Zahlen
gespeichert, die zwischen 0 und 255 liegen.
Wir können also eine Nachricht auch in eine Zahlenfolge umwandeln.
Nach welcher Methode (oder Algorithmus) dies geschieht, wird im
nächsten Abschnitt beschrieben. Darin stellen wir Ihnen die Methode
vor, nach der die Verschlüsselung mit GnuPG funktioniert: den
RSA Algorithmus. Dieser Algorithmus wandelt eine Zahlenfolge (die ja
eine Nachricht darstellen kann) so in eine andere Zahlenfolge um
(Transformation), dass die Nachricht dabei verschlüsselt wird. Wenn
man dabei nach dem richtigen Verfahren vorgeht, wird die Nachricht
sicher kodiert und kann nur noch vom rechtmäßigen Empfänger dekodiert
werden. Das sind die Grundlagen des RSA Algorithmus:
Sie selbst haben bei der Installation von Gpg4win während der Eingabe
Ihrer Passphrase zwei große Primzahlen erzeugt, ohne es zu
bemerken (dieser werden mit $p$ und $q$ bezeichnet). Nur Sie --­ oder
in der Praxis Ihr Computer --­ kennen diese beiden Primzahlen, und Sie
müssen für ihre Geheimhaltung sorgen.
%% Original page 57
Es werden daraus nun drei weitere Zahlen erzeugt:
\begin{description}
\item [Die erste Zahl] ist das Ergebnis der Multiplikation der beiden
Primzahlen, also ihr Produkt. Dieses Produkt wird als Modulus und
dem Buchstaben $n$ bezeichnet. Dies ist der Modul mit dem wir
später immer rechnen werden.
\item [Die zweite Zahl] ist der sogenannte öffentliche Exponent und
eine Zahl an die bestimmte Anforderungen gestellt werden
(teilerfremd zu $(p-1)(q-1)$); sie wird mit $e$ bezeichnet. Häufig
wird hier 3, 41 oder 65537 benutzt.
\item [Die dritte Zahl] wird errechnet aus dem öffentlichem Exponent
(der zweiten Zahl) und den beiden Primzahlen. Diese Zahl ist der
geheime Exponent und wird mit $d$ bezeichnet. Die komplizierte
Formel zur Berechnung lautet:
\[ d = e^{-1} \bmod (p - 1)(q -1) \]
\end{description}
Die erste und die zweite Zahl werden veröffentlicht ­-- das ist Ihr
öffentlicher Schlüssel. Beide werden dazu benutzt, Nachrichten zu
verschlüsseln. Die dritte Zahl muss von Ihnen geheimgehalten werden
­-- es ist Ihr geheimer Schlüssel. Die beiden Primzahlen werden
danach nicht mehr benötigt.
Wenn eine verschlüsselte Nachricht empfangen wird, kann sie
entschlüsselt werden mit Hilfe der ersten ($n$) und der dritten Zahl
($d$). Nur der Empfänger kennt beide Schlüsselteile ­-- seinen
öffentlichen und seinen geheimen Schlüssel. Der Rest der Welt kennt
nur den öffentlichen Schlüssel ($n$ und $e$).
Die Trick des RSA Algorithmus liegt nun darin, dass es unmöglich ist,
aus dem öffentlichen Schlüsselteil ($n$ und $e$) den geheimen
Schlüsselteil ($d$) zu errechnen und damit die Botschaft zu
entschlüsseln -- denn: Nur wer im Besitz von $d$ ist, kann die
Botschaft entschlüsseln.
\clearpage
%% Original page 58
\section{RSA Verschlüsselung mit kleinen Zahlen}
Wir verwenden hier erst einmal kleine Zahlen, um deutlich
zu machen, wie die Methode funktioniert. In der Praxis verwendet
man jedoch viel größere Primzahlen, die aus ­zig Ziffern bestehen.
Nehmen wir die Primzahlen 7 und 11. Damit verschlüsseln wir
Zahlen ­-- oder Buchstaben, was für den Computer dasselbe ist --
nach dem RSA Algorithmus.
Und zwar erzeugen wir zunächst den öffentlichen Schlüssel
\begin{description}
\item [Die erste Zahl] ist 77, nämlich das Ergebnis der Multiplikation
der beiden Primzahlen, 7 und 11. 77 dient uns im weiteren Verlauf
als Modulus zur Ver- und Entschlüsselung.
\item [Die zweite Zahl] ist der öffentliche Exponent. Wir wählen hier 13.
\item [Die dritte Zahl] ist der geheime Schlüssel. Sie wird in einem
komplizierten Verfahren errechnet, welches wir jetzt erklären:
\end{description}
Zunächst ziehen wir von unseren Primzahlen 7 und 11 jeweils die Zahl 1
ab (also $7 - 1$ und $11 - 1$) und multiplizieren die beiden
resultierenden Zahlen miteinander. In unserem Beispiel ergibt das 60:
$( 7 - 1 ) * ( 11 - 1) = 60$. 60 ist unsere Modulzahl für die
weiterführende Berechnung des geheimen Schlüssels (sie ist aber nicht
mit dem eigentlichen Modulus 77 zu verwechseln).
Wir suchen jetzt eine Zahl, die multipliziert mit dem öffentlichen
Schlüssel die Zahl 1 ergibt, wenn man mit dem Modul 60 rechnet:
\[ 13 \bmod 60 *~?~\bmod 60 = 1 \bmod 60 \]
Die einzige Zahl, die diese Bedingung erfüllt, ist 37, denn
\[ 13 \bmod 60 * 37 \bmod 60 = 481 \bmod 60 = 1 \bmod 60 \]
37 ist die einzige Zahl, die multipliziert mit 13 die Zahl 1 ergibt,
wenn man mit dem Modul 60 rechnet.
\clearpage
%% Original page 59
\subsubsection{Wir verschlüsseln mit dem öffentlichen Schlüssel eine Nachricht}
Nun zerlegen wir die Nachricht in eine Folge von Zahlen zwischen 0 und
76, also 77 Zahlen, denn sowohl Verschlüsselung als auch
Entschlüsselung verwenden den Modul 77 (das Produkt aus den Primzahlen
7 und 11).
Jede einzelne dieser Zahlen wird nun nach der Modulo-77 Arithmetik 13
mal mit sich selbst multipliziert. Sie erinnern sich: die 13 ist ja
unser öffentlicher Schlüssel.
Nehmen wir ein Beispiel mit der Zahl 2: sie wird in die Zahl 30
umgewandelt, weil
$ 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2
= 8192 = 30 \bmod 77 $ sind.
Ein weiteres Beispiel: 75 wird in die Zahl 47 umgewandelt, denn 75
wird 13 mal mit sich selbst multipliziert und durch 77 geteilt, so
dass der Rest 47 entsteht.
Wenn man eine solche Rechnung für alle Zahlen zwischen 0 und 76
durchführt und die Ergebnisse in eine Tabelle einsetzt, sieht diese so
aus:
In der linken Spalte stehen die 10er-Stellen, in der oberen Zeile die
1er-Stellen.
% FIXME: Replace the table by a LaTeX table and use realistc examples
% e.g. from the HAC.
\begin{center}
\htmlattributes*{img}{width=500}
\IncludeImage[width=0.9\textwidth]{table-1}
\end{center}
\clearpage
%% Original page 60
\subsubsection{Wir entschlüsseln eine Nachricht mit dem privaten Schlüssel}
Um das Beispiel mit der 2 von oben umzukehren, also die Nachricht zu
dekodieren, multiplizieren wir 30 (die umgewandelte 2) unter
Verwendung der Modulzahl 77 37 mal mit sich selbst. Sie erinnern
sich: 37 ist der geheime Schlüssel.
Diese wiederholte Multiplikation ergibt eine Zahl die $2 \bmod 77$
ergibt. Das andere Beispiel: die Zahl $47 \bmod 77$ wird zur Zahl $75
\bmod 77$ dekodiert.
Tabelle 2 zeigt die genaue Zuordnung der 77 Zahlen zwischen 0 und 76.
\begin{center}
\htmlattributes*{img}{width=500}
\IncludeImage[width=0.9\textwidth]{table-2}
\end{center}
%\caption{Tabelle 2: Zahlentransformation modulo77, unter Verwendung
%des geheimen Schlüssels 37}
Um eine Zahl mit Tabelle 2 zu transformieren, gehen wir nach der
gleichen Methode vor wie bei Tabelle 1. Ein Beispiel: 60 wird
transformiert in die Zahl in Zeile 60 und Spalte 0. Also wird 60 zu 25
transformiert.
Das überrascht nicht, denn wenn wir davon ausgehen, dass wir bei der
Umwandlung von 25 mit Hilfe von Tabelle 1 als Ergebnis 60 erhalten,
dann sollten wir auch bei der Transformation von 60 mit Hilfe von
Tabelle 2 zum Ergebnis 25 gelangen. Dabei haben wir den öffentlichen
Schlüssel, 13, zur Umwandlung bzw. Kodierung einer Zahl verwendet,
und den geheimen Schlüssel 37, um sie zurückzuwandeln bzw. zu
dekodieren. Sowohl für die Verschlüsselung als auch für die
Entschlüsselung haben wir uns der Modulo-77 Arithmetik bedient.
\clearpage
%% Original page 61
\subsubsection{Zusammenfassung}
Wir haben\ldots
\begin{itemize}
\item durch den Computer zwei zufällige Primzahlen erzeugen lassen;
\item daraus das Produkt und den öffentlichen und den geheimen Subkey
gebildet;
\item gezeigt, wie man mit dem öffentlichen Schlüssel Nachrichten
verschlüsselt;
\item gezeigt, wie man mit dem geheimen Schlüssel Nachrichten
entschlüsselt.
\end{itemize}
Diese beiden Primzahlen können so groß gewählt werden, dass es
unmöglich ist, sie einzig aus dem öffentlich bekannt gemachten Produkt
zu ermitteln. Das begründet die Sicherheit des RSA Algorithmus.
Wir haben gesehen, dass die Rechnerei sogar in diesem einfachen
Beispiel recht kompliziert geworden ist. In diesem Fall hat die
Person, die den Schlüssel öffentlich gemacht hat, die Zahlen 77 und 13
als öffentlichen Schlüssel bekanntgegeben. Damit kann jedermann dieser
Person mit der oben beschriebenen Methode --­ wie im Beispiel der
Tabelle 1 --­ eine verschlüsselte Zahl oder Zahlenfolge schicken. Der
rechtmäßige Empfänger der verschlüsselten Zahlenfolge kann diese dann
mit Hilfe der Zahl 77 und dem geheimen Schlüssel 37 dekodieren.
%% Original page 62
In diesem einfachen Beispiel ist die Verschlüsselung natürlich nicht
sonderlich sicher. Es ist klar, dass 77 das Produkt aus 7 und 11 ist.
Folglich kann man den Code in diesem einfachen Beispiel leicht
knacken. Der scharfsinnige Leser wird auch bemerkt haben, dass etliche
Zahlen, zum Beispiel die Zahl 11 und ihr Vielfaches (also 22, 33 etc.)
und die benachbarten Zahlen sich in sich selbst umwandeln.
\begin{center}
\htmlattributes*{img}{width=500}
\IncludeImage[width=0.9\textwidth]{table-3}
\end{center}
\clearpage
Das erscheint als ein weiterer Schwachpunkt dieser
Verschlüsselungsmethode: man könnte annehmen, dass die Sicherheit des
Algorithmus dadurch beeinträchtigt würde. Doch stellen Sie sich nun
vor, das Produkt zweier grosser Primzahlen, die auf absolut
willkürliche Art und Weise gewählt werden, ergäbe
114,381,625,757,888,867,669,235,779,976,146,612,010,\\
218,296,721,242,362,562,561,842,935,706,935,245,733,\\
897,830,597,123,563,958,705,058,989,075,147,599,290,\\
026,879,543,541
%% Original page 63
Hier ist überhaupt nicht mehr ersichtlich, welche die beiden zugrunde
liegenden Primzahlen sind. Folglich ist es sehr schwierig, aufgrund
des öffentlichen Schlüssels den geheimen Schlüssel zu ermitteln.
Selbst den schnellsten Computern der Welt würde es gewaltige Probleme
bereiten, die beiden Primzahlen zu errechnen.
Man muss die Primzahlen also nur groß genug wählen, damit ihre
Berechnung aus dem Produkt so lange dauert, dass alle bekannten
Methoden daran in der Praxis scheitern. Außerdem nimmt der Anteil der
Zahlen, die in sich selbst transformiert werden --­ wie wir sie oben
in den Tabellen 1 und 2 gefunden haben -- stetig ab, je größer die
Primzahlen werden. Von Primzahlen in der Grössenordnung, die wir in der
Praxis bei der Verschlüsselung verwenden, ist dieser Teil ist so
klein, dass der RSA Algorithmus davon in keiner Weise beeinträchtigt
wird.
Je größer die Primzahlen, desto sicherer die Verschlüsselung.
Trotzdem kann ein normaler PC ohne weiteres das Produkt aus den beiden
großem Primzahlen bilden. Kein Rechner der Welt dagegen kann aus
diesem Produkt wieder die ursprünglichen Primzahlen herausrechnen --­
jedenfalls nicht in vertretbarer Zeit.
\clearpage
%% Original page 64
\section{Die Darstellung mit verschiedenen Basiszahlen
\htmlonly{\html{br}\html{br}} }
Um zu verstehen, wie Nachrichten verschlüsselt werden, sollte man
wissen, wie ein Computer Zahlen speichert und vor allem, wie sie in
unterschiedlichen Zahlenbasen dargestellt werden können.
Dazu machen wir uns zunächst mit den Zahlenpotenzen vertraut.
Zwei hoch eins, das man als $2^1$ darstellt, ist gleich 2;
zwei hoch drei, dargestellt als $2^3$, ist $2 * 2 * 2 = 8$; zwei
hoch zehn, dargestellt als $2^{10}$, ist $2*2*2*2*2*2*2*2*2*2 = 1024$.
Jede Zahl hoch 0 ist gleich 1, zum Beispiel $2^0 = 1$ und $5^0 = 1$.
Verallgemeinert bedeutet dies, dass eine potenzierte Zahl so oft mit
sich selbst multipliziert wird, wie es die Hochzahl (Potenz) angibt.
Das Konzept einer Zahlenbasis veranschaulicht zum Beispiel ein
Kilometerzähler im Auto: das rechte Rad zählt nach jedem
Kilometer eine Stelle weiter und zwar nach der vertrauten Abfolge
der Zahlen
0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 0, 1, 2, ...
und so weiter. Jedesmal, wenn das rechte Rad wieder 0 erreicht, zählt
das Rad links davon eine Stelle hoch. Und jedesmal, wenn dieses zweite
Rad die 0 erreicht, erhöht das Rad links davon um eins \ldots und so
weiter.
%% Original page 65
\begin{center}
\htmlattributes*{img}{width=300}
\IncludeImage[width=0.4\textwidth]{mileage-indicator}
\end{center}
Das rechte Rad zählt die einzelnen Kilometer. Wenn es eine 8
angezeigt, dann sind dies 8 Kilometer. Das Rad links davon zeigt
jeweils die vollen zehn Kilometer an: eine 5 bedeutet 50 Kilometer.
Dann folgen die Hunderter: steht dort 7, dann bedeutet dies 700
Kilometer.
Nach dem gleichen Prinzip stellen wir ja auch unsere normale Zahlen
mit den Ziffern 0 bis 9 dar.
"`578"', zum Beispiel, bedeutet $5 * 100 + 7 * 10 + 8$, und dies
entspricht 578.
Hier haben wir die "`5"' stellvertretend für fünfhundert, "`7"' für
siebzig und "`8"' für acht. In diesem Fall ist die Basis 10, eine für
uns vertraute Basis.
Also steht die rechte Ziffer für die Einer der betreffenden Zahl (d.h.
sie wird mit 1 multipliziert), die Ziffer links davon steht für die
Zehner (d.h. wird mit 10 multipliziert), die nächste Ziffer wiederum
für die Hunderter (d.h. sie wird mit 100 multipliziert) und so weiter.
Da wir Zahlen normalerweise zur Basis 10 darstellen, machen wir uns
nicht die Mühe, die Basis extra anzugeben. Formal würde man dies bei
der Zahl 55 mit der Schreibweise $55_{10}$ anzeigen, wobei die
tiefgestellte Zahl die Basis anzeigt.
Wenn wir nicht zur Basis 10 darstellen, so müssen wir dies mit Hilfe
einer solchen tiefgestellten Basiszahl anzeigen.
%% Original page 66
Angenommen, die Anzeige des Kilometerzählers hätte statt der Ziffern 0
bis 9 nur noch 0 bis 7. Das rechte Rädchen würde nach jedem Kilometer
um eine Ziffer höher zählen, wobei die Zahlenfolge so aussehen würde:
\[ 0, 1, 2, 3, 4, 5, 6, 7, 0, 1, 2, und so weiter. \]
Unser Tacho zur Basis 8 stellt zum Beispiel folgende Zahl dar:
\[ 356 \]
Die 6 auf dem rechten Rädchen zählt einzelne Kilometer, also 6
Kilometer.\\
Die 5 auf dem Rädchen daneben für $5 * 8$, also 40 Kilometer.\\
Die 3 links steht für je 64 Kilometer pro Umdrehung, also hier
$3 * 8 * 8$ Kilometer.
So rechnet man also mit Zahlen zur Basis 8. Ein Beispiel: 728 bedeutet
$7 * 8 + 2$, und das ist gleich "`58"'. Bei dieser Art der Darstellung
steht die "`2"' aus der 72 für 2, aber die "`7"' steht für $7 * 8$.
Größere Zahlen werden schrittweise genauso aufgebaut, so dass
$453_8$ eigentlich $4 * 64 + 5 * 8 + 3$ bedeutet, was 299 ergibt.
Bei $453_8$ steht die "`3"' für 3, die "`5"' für $5 * 8$ und die "`4"'
für $4 * 64$, wobei sich die "`64"' wiederum aus $8 * 8$ herleitet.
Im angeführten Beispiel werden die Ziffern, von rechts nach links
gehend, mit aufsteigenden Potenzen von 8 multipliziert. Die rechte
Ziffer wird mit 8 hoch 0 (das ist 1) multipliziert, die links daneben
mit 8 hoch 1 (das ist 8), die nächste links davon mit
8 hoch 2 (das ist 64) und so weiter.\\
Wenn man Zahlen zur Basis 10 darstellt, gibt es keine höhere Ziffer
als 9 (also 10 minus 1). Wir verfügen also über keine Ziffer, die 10
oder eine größere Zahl darstellt. Um 10 darzustellen, brauchen wir
zwei Ziffern, mit denen wir dann die "`10"' schreiben können.\\
Wir haben also nur die Ziffern 0 bis 9.
So ähnlich ist es, wenn wir mit
der Basiszahl 8 rechnen: dann haben wir nur die Ziffern 0 bis 7.
Wollen wir zu dieser Basis eine höhere Zahl als sieben darstellen,
müssen wir wieder zwei Ziffern verwenden. Zum Beispiel "`9"' schreibt
man als $11_8$, "`73"' schreibt man als $111_8$.
\clearpage
%% Original page 67
Computer speichern Zahlen als eine Folge von Nullen und Einsen.
Man nennt dies Binärsystem oder Rechnen mit der Basiszahl 2,
weil wir nur die Ziffern 0 und 1 verwenden. Stellen Sie sich vor,
wir würden die Kilometer mit einem Tachometer zählen, auf
dessen Rädchen sich nur zwei Ziffern befinden: 0 und 1.
Die Zahl $10101_2$ zum Beispiel bedeutet im Binärsystem
\[ 1 * 16 + 0 * 8 + 1 * 4 + 0 * 2 + 1 = 21 \].
In der Computerei verwendet man auch Gruppen von acht Binärziffern,
das wohlbekannte Byte. Ein Byte kann Werte zwischen 0 - dargestellt
als Byte $00000000_2$ -- und 255 -- dargestellt als Byte
$11111111_2$ -- annehmen. Ein Byte stellt also Zahlen zur Basis 256
dar.
Zwei weitere Beispiele:
\[ 10101010_2 = 170 \] und
\[ 00000101_2 = 5 \].
Da der Computer die Buchstaben, Ziffern und Satzzeichen als Bytes
speichert, schauen wir uns an, welche Rolle dabei die Darstellung zur
Basis 256 spielt.
\clearpage
%% Original page 68
Nehmen wir die Silbe "`un"'. Das "`u"' wird im Computer als 117
gespeichert und das "`n"' als 110.
Diese Zahlenwerte sind für alle Computer standardisiert und werden
ASCII-Code genannt. Um alle Zahlen und Symbole darstellen zu können,
benötigen wir auf dem Computer die 256 Zahlen von 0 bis 255.
Wir können also die Silbe "`un"' durch die Zahl $117 * 256 + 110$
darstellen.\\
Entsprechend würde man die Buchstabenfolge "`und"' mit der Zahl $117 *
65536 + 110 * 256 + 100$ darstellen, denn das "`d"' wird
durch 100 repräsentiert.\\
Wir haben hier also Zahlen und Symbole, die auf der Computertastatur
als normale Zahlen zur Basis 10 stehen, intern durch Zahlen zur Basis
256 repräsentiert.
Entsprechend können wir aus jeder Nachricht eine große Zahl machen.
Aus einer langen Nachricht wird also eine gewaltig große Zahl. Und
diese sehr große Zahl wollen wir nun nach dem RSA Algorithmus
verschlüsseln.
Wir dürfen allerdings dabei die Zahl, zu der die Nachricht
verschlüsselt wird, nicht größer werden lassen als das Produkt der
Primzahlen (Modulus). Ansonsten bekommen wir Probleme, wie wir gleich
noch sehen werden.
\clearpage
%% Original page 69
Da die folgende Prozedur mehrere Schritte umfaßt, fassen wir
sie zunächst zusammen und verfolgen dann die Einzelschritte:
\begin{enumerate}
\item Die Nachricht \emph{aba, cad, ada} wandeln wir -- wie gesehen -- in
Zahlen um.
\item Diese Darstellung zur Basis 4 wandeln wir in eine Darstellung
zur Basis 10 um, damit wir zur Verschlüsselung die Tabelle 1
benutzen können, in denen die Zahlen ja auch auf 10er-Basis
dargestellt werden. Dabei entsteht eine kodierte Nachricht zur
Basis 10.
\item Um die Kodierung im Vergleich zum "`Klartext"' zu erkennen,
rechnen wir die zur Basis 10 kodierte Nachricht auf die Basis 4
zurück und wandeln sie dann wieder in eine Buchstabensequenz.
\item So entsteht aus der Nachricht \emph{aba, cad, ada} die verschlüsselte
Nachricht \emph{dbb, ddd, dac}.
\end{enumerate}
\clearpage
%% Original page 70
Und nun ausführlich:
\begin{enumerate}
\item Die Nachricht \emph{aba, cad, ada} wandeln wir -- wie gesehen --
in Zahlen um.
Angenommen, wir beschränken uns bei den Nachrichten auf die 4
Buchstaben a, b, c und d. In diesem -- wirklich sehr einfachen --
Beispiel können wir die vier Buchstaben durch die Zahlenwerte 0, 1, 2
und 3 darstellen, und haben dann
\[ a = 0, b = 1, c = 2 ~\mbox{und}~ d = 3 \].
Wir wollen nun die Nachricht "`abacadaca"' verschlüsseln. Wir kodieren
diese Nachricht mit Hilfe der Primzahlen 7 und 11, mit dem
öffentlichen Schlüssel 77 und 13 und dem dazugehörenden geheimen
Schlüssel 37. Dieses Beispiel kennen wir bereits aus dem früheren
Kapitel: wir haben damit die Tabellen 1 und 2 konstruiert.
\item Diese Darstellung zur Basis 4 wandeln wir in eine Darstellung zur
Basis 10 um, damit wir zur Verschlüsselung die Tabelle 1 benutzen
können, in denen die Zahlen ja auch auf 10er-Basis dargestellt
werden.
Weil wir vier Buchstaben für die Nachricht verwenden, rechnen wir zur
Basis 4. Für die Rechnung modulo 77 müssen wir die Nachricht in Stücke
von je drei Zeichen Länge zerlegen, weil die größte dreiziffrige Zahl
zur Basis 4 die $333_4$ ist. Zur Basis 10
hat diese Zahl den Wert 63.
Würden wir stattdessen die Nachricht in vier Zeichen lange Stücke
zerlegen, würde die Zahl zu Basis 4 den Wert 76 übersteigen und es
würden unerwünschte Doppeldeutigkeiten entstehen.\\
Folglich würde die Nachricht in dreiziffrigen Stücken nun
\[ aba, cad, aca \]
ergeben. Geben wir den Zeichen nun ihre Zahlenwerte und vergessen
dabei nicht, dass die Stücke dreiziffrige Zahlen zur Basis 4
darstellen.
%% Original page 71
Da wir die Buchstaben durch die Zahlen a = 0, b = 1, c = 2, d
= 3 darstellen, wird die Nachricht zu:
\[ 010_4, 203_4, 020_4 \]
Zur Basis 10 wird diese Nachricht durch die Zahlenfolge 4, 35,
8 dargestellt. Warum? Nehmen wir zum Beispiel das mittlere
Stück $203_4$:
\T\begin{eqnarray*}
3 * 4^0, & ~\mbox{also}~ 3 * 1, & ~\mbox{also}~ 3 \\
0 * 4^1, & ~\mbox{also}~ 0 * 4, & ~\mbox{also}~ 0 \\
2 * 4^2, & ~\mbox{also}~ 2 * 16, & ~\mbox{also}~ 32
\T\end{eqnarray*}
% The next clearpage is just to over come a problem with the PDF
% file. Without it the footer logo is not correctly rendered, instead
% a tiny image of the next graphic is shown. The clearpage somehow
% solves it.
\clearpage
\item Jetzt können wir zur Verschlüsselung die Tabelle 1 benutzen, die ja
zur Basis 10 berechnet wurde. Diese Tabelle benutzen wir, weil wir mit
dem schon bekannten Schlüsselpaar arbeiten wollen. Dabei entsteht eine
kodierte Nachricht zur Basis 10.
Zum Verschlüsseln der Nachricht nehmen wir jetzt Tabelle 1 zur Hilfe.
Die Nachricht wird nun zu der Zahlenfolge 53, 63, 50 (zur Basis 10).
\begin{center}
\htmlattributes*{img}{width=500}
\IncludeImage[width=0.9\textwidth]{table-1}
\end{center}
%% Original page 72
\item Wiederum zur Basis 4 konvertiert, entsteht die verschlüsselte
Nachricht.
Wird sie nun wieder zur Basis 4 konvertiert, ergibt die Nachricht nun
$311_4, 333_4, 302_4$. Konvertiert man diese zu einer
Buchstabensequenz, erhält man dbb, ddd, dac, was sich nun erheblich
von der ursprünglichen Nachricht unterscheidet.
Man kehrt nun also den Prozeß um und transformiert die Zahlenfolge 53,
63, 50 mit Tabelle 2 und erhält die Sequenz 4, 35, 8. Und das
entspricht, als Zahlenfolge genau der ursprünglichen Nachricht.
Anhand der Tabellen 1 und 2 können wir ebensogut Nachrichten unter
Verwendung des geheimen Schlüssels (d.h. erst Tabelle 2 benutzen)
verschlüsseln, dann mit dem öffentlichen Schlüssel (d.h. Tabelle 1 als
zweites benutzen) dekodieren und damit unsere ursprüngliche Zahl
wieder herstellen. Das bedeutet, dass der Inhaber des geheimen
Schlüssels damit Nachrichten unter Verwendung des RSA Algorithmus
verschlüsseln kann. Damit ist bewiesen, dass sie eindeutig nur von
ihm stammen können.
\end{enumerate}
\clearpage
%% Original page 73
\subsubsection{Fazit:}
Wie Sie gesehen haben, ist die ganze Angelegenheit zwar im Detail
kompliziert, im Prinzip aber durchaus nachvollziehbar. Sie sollen
schließlich nicht einer Methode einfach nur vertrauen, sondern ­--
zumindest ansatzweise ­-- ihre Funktionsweise durchschauen. Sehr viele
tiefergehende Details sind leicht in anderen Büchern (z.B.: R.~Wobst,
"`Abenteuer Kryptologie"') oder im Internet zu finden.
\vfill
\textbf{Immerhin wissen Sie nun:} Wenn jemand sich an Ihren verschlüsselten
\Email{}s zu schaffen macht, ist er durchaus so lange damit beschäftigt,
dass er dann keine Lust mehr haben dürfte diese auch noch zu lesen\ldots
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Appendix
% page break in toc
\addtocontents{toc}{\protect\newpage}
\xname{anhang}
\appendix
\T\part{Anhang}
\W\part*{\textbf{III Anhang}}
\addtocontents{toc}{\protect\vspace{0.3cm}}
\xname{hinweise-zum-outlook-plugin-gpgol}
\T\chapter{Hinweise zum Outlook Plugin \emph{GpgOL}}
\W\chapter*{A Hinweise zum Outlook Plugin \emph{GpgOL}}
GpgOL ist ein Plugin für Microsoft Outlook, es integriert dort die
Bedienung von GnuPG. Wir geben hier einige Hinweise zur Benutzung.
Aufgrund technischer Schwierigkeiten der Integration von OpenPGP in
Outlook ist dieses Plugin nicht so komfortabel zu bedienen wie die
OpenPGP Unterstützung in anderen \Email{}-Programmen. GpgOL funktioniert
in der aktuellen Version nur mit Outlook 2003 SP2 und gibt einen
Warnhinweis aus, falls eine ältere Outlook Version benutzt wird.
Bitte beachten Sie die beiden folgenden Einschränkungen:
%TODO#: Einschränkungen noch aktuell? FIXME wichtig?
\begin{itemize}
\item Als Texteditor darf nicht das Programm Word eingestellt sein.
% FIXME: Wir müssen erklären wie man Word als Standard Editor in
% Outlook ausschaltet.
\item Sogenanntes Inline-PGP oder traditionelles PGP wird voll
unterstützt. Es können jedoch keine PGP/MIME \Email{}s erstellt werden.
Die Entschlüsselung und Signaturprüfung einfacher (nicht verschachtelter)
PGP/MIME \Email{}s stellt hingegen kein Problem dar.
\end{itemize}
\clearpage
\T\section{Installation}
\W\section*{A.1 Installation}
\label{sec_gpgolInstallation}
Die Installation wird durch den Gpg4win Installer vorgenommen. Beim nächsten
Start von Outlook findet sich im Menü
\Menu{Extras$\rightarrow$Optionen} eine Karteikarte \Menu{GpgOL}:
% TODO screenshot: GpgOL options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
\end{center}
Die Karteikarte GpgOL unterteilt sich in drei Kästen:
\begin{enumerate}
\item \textbf{Allgemein:}
Nach der Installation von Gpg4win ist die
\T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
S/MIME-Funktionalität in GpgOL deaktiviert.
\textbf{Wichtig:} Wenn Sie S/MIME nutzen
möchten, müssen Sie zuvor die Option
\textit{S/MIME Unterstützung einschalten} aktivieren.
\item \textbf{Senden von Nachrichten:}
Die beiden ersten Optionen in diesem Kasten steuern, ob per
Voreinstellung neue Nachrichten verschlüsselt und/oder signiert
werden sollen. Sie können dies aber immer noch bei der
Erstellung einer Nachricht individuell verändern.
Die beiden letzten Optionen definieren, ob PGP/MIME
\textit{oder} S/MIME per Voreinstellung verwendet werden soll.
Auch hier können Sie diese Entscheidung immer noch vor dem
Senden jeder Nachricht manuell verändern.
\item \textbf{Lesen von Nachrichten:}
\textit{Auch im Vorschaufenster entschlüsseln}
%TODO#: Folgende Einschränkung noch gültig?
%Die Option "`Im Vorschaufenster entschlüsseln"' kann nur sinnvoll auf
%schnellen Rechnern eingesetzt werden und funktioniert z.Z. nur
%eingeschränkt.
Die Option \textit{HTML Darstellung anzeigen wenn möglich}
kann benutzt werden, um die HTML Version einer Nachricht
anzuzeigen. Im Normalfall oder falls keine HTML Version vorhanden
ist, wird die Text Version dargestellt.
\textit{Verschlüsselte Nachricht als Anlage anzeigen}
%TODO#?
\end{enumerate}
Alle Optionen sind nach einer Neuinstallation bereits sinnvoll vorbelegt.
%TODO#: noch relevant?
\label{OLandWord}
Um aber verschlüsselte Nachrichten versenden zu können, sollten Sie
sicherstellen, daß Sie \textbf{nicht Microsoft Word} zum Verfassen der
Nachrichten benutzen.
Desweiteren ist dringend anzuraten auf HTML Nachrichten zu verzichten.
Bitte kontrollieren Sie dies im Menüpunkt
\Menu{Extras$\rightarrow$Optionen} auf der Karteikarte
\Menu{E-Mail-Format}. Das Nachrichtenformat sollte auf
\textbf{"`Nur-Text"'} eingestellt sein (siehe rot markierter Bereich):
% screenshot: Outlook E-Mail-Format options
\begin{center}
\IncludeImage[width=0.45\textwidth]{sc-gpgol-options-textformat_de}
\end{center}
\clearpage
\T\section{Häufig gestellte Fragen}
\W\section*{A.2 Häufig gestellte Fragen}
\begin{description}
\item[Wo finde ich die Icons zum Signieren/Verschlüsseln in der Symbolleiste?]
Wenn bereits\linebreak viele Icons in der Symbolleiste des Nachrichtenfensters
vorhanden sind, so zeigt Outlook die Signieren/Verschlüsseln-Icons nicht
unbedingt direkt an. Sie können diese aber anzeigen lassen,
indem Sie in der Symbolleiste auf das kleine Icon mit dem Pfeil nach
unten klicken (\textit{Optionen für Symbolleiste}): Sie erhalten
eine Übersicht aller nicht angezeigten Icons. Ein Klick auf eines dieser Icons
verschiebt es in den sichtbaren Teil der Symbolleiste.
%TODO#: Gibt es das Icon noch?
%Dasselbe gilt für das Icon zum Aufruf der Schlüsselverwaltung.
Achten Sie auch darauf, daß Sie nicht Microsoft Word zum Verfassen
von Nachrichten benuzten (vgl. Seite~\pageref{OLandWord}).
%TODO#: Noch aktuell?
%\item[Was bedeuten die Buchstaben im Übersichtsdialog?]
%
% Bei der Entschlüsselung oder Signaturprüfung von Nachrichten mit
% Anhängen zeigt GpgOL eine Liste mit den einzelnen Bestandteilen
% und deren Dateinamen dar. Vor dem Dateinamen steht eine "`E"' falls
% es sich um einen verschlüsselten Anhang handelt oder eine "`S"'
% für einen signierten Anhang.
\item[Wo finde ich Informationen zur aktuellen Version von GpgOL?]
Öffnen Sie in die GpgOL-Optionen
(\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}).
Rechts unten sehen Sie die aktuelle installierte GpgOL-Version.
Klicken Sie auf das g10Code-Logo links unten, um auf die
Website\linebreak
\uniurl{http://www.g10code.com/p-gpgol.html} zu gelangen. Dort erhalten
Sie alle aktuellen Informationen zu GpgOL.
%TODO#: Noch aktuell?
%\item[Warum kann eine Verschlüsselung nicht abgebrochen werden?]
%
% Wenn Sie auf Senden ge\-klickt haben, beginnt GpgOL mit der
% Verschlüsselung. Outlook hat jedoch seit langem einen Fehler, der
% verhindert, dass diese Operation abgebrochen werden kann. Als
% Gegenmaßnahme können Sie Outlook so konfigurieren, dass erstellte
% Nachrichten nicht sofort versendet werden -- das gibt Ihnen die
% Möglichkeit die Nachricht noch nachträglich zu löschen. Aus
% Sicherheitsgründen versucht GpgOL den Inhalt der Nachricht zu
% löschen wenn die Verschlüsselung abgebrochen wurde. Dies ist
% aber nicht immer erfolgreich.
%TODO#: Noch aktuell?
%\item[Warum erscheint der Bestätigungsdialog beim Zugriff auf
% bestimmte \Email{}s?]
%
% Ist \linebreak{} GpgOL nicht als vertrauenswürdiges Plugin
% installiert worden, nimmt Outlook an, das Plugin versucht
% unberechtigt auf interne Informationen zuzugreifen. GpgOL versucht
% derartige Zugriffe zu vermeiden, in einige Fällen sind sie aber
% notwendig um verschlüsselte oder signierte \Email{}s anzeigen zu
% können.
%
% GpgOL ist noch in Entwicklung. Einer der offenen Punkte ist
% die Registrierung als vertrauenswürdiges Plugin. Zukünftige
% Versionen sollten die Unanehmlichkeit der expliziten Bestätigung
% lösen.
\end{description}
\clearpage
\xname{gnupg-mit-anderen-email-programme-nutzen}
\chapter{GnuPG mit anderen \Email{}-Programme nutzen}
\label{ch:plugins}
Das Gpg4win Kompendium geht vor allem auf das \Email{}-Programm
Outlook ein. GnuPG ist jedoch mit allen anderen E-Mail Proragmmen
auch verwendbar. Unterschiede gibt es im Komfort: je besser GnuPG
für ein \Email{}-Programm integriert ist, desto einfache die Verwendung.
Die primitivste Methode, also wenn ein \Email{}-Programm überhaupt nichts
über GnuPG weiss, ist die Verschlüsselung via Zwischenablage mit Hilfe von
Kleopatra. Dies funktioniert nur für OpenPGP, für S/MIME und kompliziertere
PGP/MIME \Email{}s werden Sie über eine Zwischenspeicherung als Datei
gehen müssen. Beide Methoden werden im ersten Teil dieses Kompendiums beschrieben.
Ein Integration für GnuPG wird derzeit für folgende Windows-Mailprogramme angeboten:
\begin{description}
\item[Thunderbird] mit Plugin \textbf{Enigmail}\footnote{http://www.thunderbird-mail.de/wiki/Enigmail\_OpenPGP}.
\item[Outlook ab Version 2003] mit Plugin \textbf{GpgOL}. Dies ist in Gpg4win
fest integriert.
\item[Claws Mail]: Dieses \Email{}-Programm wird komplett mit Gpg4win
mitgeliefert und kann optional mitinstalliert werden.
Diese Installation über Gpg4win konfiguriert bereits Plugins für
die Verwendung von PGP/MIME und S/MIME. Diese Plugins verwenden
jedoch nicht Kleopatra und bieten daher nicht denselben Komfort
wie es derzeit das Outlook Plugin bietet.
\item[Kontact]: Die komfortabelste und erprobteste Integration von
GnuPG bietet dieses \Email{}-Programm. Es ist für jedes
System auf dem die KDE-Umgebung\footnote{http://www.kde.de} installiert ist verfügbar,
also für nahezu jedes GNU/Linux System.
Eine Windows-Version von Kontact steht derzeit bereits als erste Test-Version
zur Verfügung.
\end{description}
Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
anderen Unix Varianten laufen, über eine komfortable und integrierte
GnuPG-Unterstützung. Hervorzuheben ist hier das Programm ,,Kontact'' der
KDE-Umgebung. Dort wird eine umfangreiche und sehr komfortable Integration
angeboten.
\clearpage
\xname{automatische-installation-von-gpg4win}
\T\chapter{Automatische Installation von Gpg4win}
\W\chapter*{B Automatische Installation von Gpg4win}
\label{ch:auto}
In diesem Kapitel wird die automatisierte Installation (ohne
Benutzerdialoge) erläutert.
In einigen Fällen, wie zum Beispiel für Software-Verteilungssysteme, ist
es hilfreich, wenn die Installation von Gpg4win ohne die Interaktion
über Dialoge funktioniert. Um aber trotzdem vorab alle
Installationseinstellungen bestimmen zu können, unterstützt der Gpg4win
Installer eine Option für den Standard-Installationspfad auf der
Kommandozeile als auch eine Steuerungsdatei.
Der Standard-Installationspfad kann mit der Option \verb-/D=<PFAD>- angegeben
werden, welche als letzte Option auf der Kommandozeile erscheinen muß.
Der Installerdateiname (hier: \verb-gpg4win.exe-) kann je nach Version variieren.
Die Groß-/Kleinschreibung bei der Eingabe der Optionsschalter in der
Kommandozeile ist hierbei wichtig. Eventuell sind noch vorher
entsprechende Schreib-/Leserechte zu setzen.
Ein Beispiel:
\begin{verbatim}
> gpg4win.exe /D=D:\Programme\Gpg4win
\end{verbatim}
Mit der Option \verb-/S- läuft die Installation "`still"' (also
automatischen ohne grafische Oberfläche) ab. Ohne Angabe von weiteren
Parametern, werden alle Voreinstellungen des Installers übernommen.
Der Gpg4win-Installer unterstützt auch eine sogenannte Steurungsdatei.
Mit der Option \verb-/C=INIFILE- kann eine Steuerungsdatei (Name endet
üblicherweise auf \textit{.ini}) angegeben werden.
Ein weiteres Beispiel:
\begin{verbatim}
> gpg4win.exe /S /C=C:\TEMP\gpg4win.ini
\end{verbatim}
Diese .ini Datei sollte genau einen Abschnitt \verb-[gpg4win]- enthalten.
Dort können diverse Einstellungen vorgenommen werden, darunter
absolute Pfade für die zu installierenden Konfigurationsdateien.
Relative Pfade, also abhänig vom aktuellem
Arbeitsverzeichnis, dürfen hier nicht angegeben werden. Absolute Pfade
enthalten den vollständigen Pfad inkusive der Partitionsangabe.
In der Regel sind die Einstellungen dann anzugeben falls nicht
die Voreinstellung verwendet werden soll.
Ausnahmen davon sind im Beispiel auf der nächsten Seite dokumentiert.
\clearpage
Hier ist ein Beispiel für eine Steuerungsdatei, die
zugleich alle erlaubten Schlüsselworte zeigt:
%TODO#: Installer Einstellungen anpassen! Kleopatra hinzu, winpt raus etc.
\begin{verbatim}
[gpg4win]
; Installer Einstellungen. Weg- oder leerlassen für Voreinstellung
inst_gnupg2 = true
inst_gpgol = true
inst_gpgex = true
inst_gpa = true
inst_winpt = true
inst_gpgee = true
inst_claws_mail = false
inst_man_novice_de = true
inst_man_novice_en = true
inst_man_advanced_de = true
inst_man_advanced_en = true
; Die Stellen, an denen Verknüpfungen erzeugt werden sollen.
inst_start_menu = true
inst_desktop = false
inst_quick_launch_bar = false
; Im Gegensatz zu den anderen Optionen überschreibt diese Option
; die Einstellung des Benutzers im Installer.
inst_start_menu_folder = GnuPG for Windows
; Standard-Konfigurationsdateien.
gpg.conf = D:\config\gpg-site.conf
gpg-agent.conf = D:\config\gpg-agent-site.conf
trustlist.txt = D:\config\trustlist-site.txt
dirmngr.conf = D:\config\dirmngr-site.conf
dirmngr_ldapserver.conf = D:\config\dirmngr_ldapserver-site.conf
scdaemon.conf = D:\config\scdaemon-site.txt
gpa.conf = D:\config\gpa-site.conf
\end{verbatim}
Ein entsprechender Aufruf zur automatischen Installation mit einer
Steuerungsdatei \verb-gpg4win.ini- und einem Installationspfad
\verb-D:\Programme\Gpg4win- könnte also wie folgt aussehen:
\begin{verbatim}
> gpg4win.exe /S /C=C:\TEMP\gpg4win.ini /D=D:\Programme\Gpg4win
\end{verbatim}
\clearpage
\xname{umstieg-von-anderen-gnupg-programmen}
\T\chapter{Umstieg von anderen GnuPG Programmen}
\W\chapter*{C Umstieg von anderen GnuPG Programmen}
\label{ch:migration}
Wir werden hier erläutern, wie Sie von anderen GnuPG basierten
Programmen auf Gpg4win umsteigen können. Das Installationsprogramm
erkennt einige dieser Programme und warnt Sie in diesem Fall.
Generell ist es ratsam, eine vorhandene Installation eines anderen
GnuPG basierten Programms zu entfernen bevor Gpg4win installiert wird.
Es ist hier wichtig, die vorhandenen Schlüssel vorher zu sichern.
Der einzige sinnvolle Weg dies zu tun, ist unter Verwendung der im
alten System vorhandenen Möglichkeiten. Suchen Sie nach einem
Menüpunkt um die eigenen privaten (geheimen) Schlüssel zu sichern als
auch nach einem Menüpunkt um alle vorhandenen öffentlichen Schlüssel
und Zertifikate zu sichern. Sichern Sie diese dann in eine oder
mehrere Dateien.
Sobald Sie Gpg4win installiert haben, prüfen Sie, ob Ihre
alten Schlüssel bereits vorhanden sind. Sie können dies mit Kleopatra
oder GPA machen. Sind die Schlüssel schon vorhanden, so entsprach das
alte System bereits den neuen Konventionen zum Speicherort für die
Schlüssel und Sie müssen nichts weiter unternehmen.
Wenn die alten Schlüssel nicht erscheinen, so importieren Sie diese
einfach aus den erstellten Sicherungsdateien. Lesen Sie hierzu das
Kapitel~\ref{ch:ImExport}.
Falls das alte System GPA verwendet, so können Sie die dort
vorhandene Backupmöglichkeit benutzen. Diese sollte sehr ähnlich zu
der Funktion in der GPA Version aus Gpg4win sein.
Falls Sie keinen anderen Weg finden, Ihre alten Schlüssel
wiederzufinden, so suchen Sie bitte mit den Bordmitteln von Windows
nach Dateien mit den Namen \Filename{secring.gpg} und
\Filename{pubring.gpg} und importieren diese beiden Dateien mittels
Kleopatra\footnote{Dies ist nicht der offizielle Weg, funktioniert aber
noch mit allen aktuellen GnuPG Versionen.}.
\clearpage
\xname{history}
\T\chapter{History}
\W\chapter*{D History}
\begin{itemize}
\item "`GnuPP für Einsteiger"', 1. Auflage März 2002 und\\
"`GnuPP für Durchblicker"', Auflage März 2002,\\
Autoren: Manfred J. Heinze, TextLab text+media\\
Beratung: Lutz Zolondz, G-N-U GmbH\\
Illustrationen: Karl Bihlmeier, Bihlmeier \& Kramer GbR\\
Layout: Isabel Kramer, Bihlmeier \& Kramer GbR\\
Fachtext: Dr. Francis Wray, e-mediate Ltd.\\
Redaktion: Ute Bahn, TextLab text+media\\
Herausgegeben vom Bundesministerium für Wirtschaft und
Technologie (BMWi).\\
Verfügbar unter
\uniurl{http://www.gnupp.de/pdf/einsteiger.pdf}
und\\
\uniurl{http://www.gnupp.de/pdf/durchblicker.pdf}.
% Der Abschnitt "`History"' ist im Originaldokument nicht vorhanden
% und wurde von Werner Koch beigefügt.
\item Revidierte nicht-veröffentlichte Version von TextLab text+media.
\item "`Gpg4win für Einsteiger"' und "`Gpg4win für Durchblicker"', Dezember 2005\\
Autoren: Werner Koch, g10 Code GmbH\\
Herausgegeben durch das Gpg4win Projekt.
\item Aufgrund einer Erlaubniss des BMWi vom 14. November 2007 wurde
die Invariant Section "`Impressum"' entfernt und an die aktuelle
Version angepasst.
\end{itemize}
\clearpage
\xname{deinstallation-von-gpg4win}
\T\chapter{Deinstallation von Gpg4win}
\W\chapter*{E Deinstallation von Gpg4win}
% TODO: Wenn die Kapitel zu S/MIME fertig sind, sollten Verweise zum Sichern
% von Zertifikaten und Schlüssel eingefügt werden
Soll Gpg4win von Ihrem System entfernt, also deinstalliert werden,
dann sollten Sie zunächst alle nicht notwendigen
Anwendungen beenden und alle Schlüssel und Zertifikate sichern.
Falls Sie auf Ihrem Rechner mit eingeschränkten Rechten arbeiten
sollten, ist es für die Deinstallation außerdem notwendig mit
\textbf{Administratorenrechten} angemeldet zu sein.
Wurde die Installation bereits über Ihr Benutzerkonto
durchgeführt, so verfügt es über Administratorenrechte.
Es gibt zwei Möglichkeiten die Deinstallation auszuführen:
\begin{itemize}
\item Einmal mit den Bordmitteln von Microsoft Windows:
Öffnen Sie
\Menu{Start$\rightarrow$Einstellungen$\rightarrow$Systemsteuerung$\rightarrow$Software}
und wählen Sie dann \textit{GnuPG for Windows} aus.
Mit dem Knopf \Button{Entfernen} deinstallieren Sie \textit{GnuPG for
Windows} bzw. \textit{Gpg4win} von Ihrem System.
\item Die zweite Möglichkeit zur Deinstallation von Gpg4win bietet
Ihnen die ausführbare Datei \texttt{gpg4win-uninstall.exe}.
Sie wird mit Gpg4win mitgeliefert und
liegt im Installationsverzeichnis (in der Regel
\Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG$\backslash$}).
Falls Sie bei der Installation einen anderen als den voreingestellten Pfad
gewählt hatten, werden Sie das Deinstallationsprogramm an entsprechender
Stelle finden.
\end{itemize}
In beiden Fällen werden alle allgemeinen Systemdaten von Gpg4win aus dem
Installationsverzeichnis sowie die Verknüpfungen im Startmenü, Desktop
und Schnellstartleiste entfernt.
\textit{Nicht} gelöscht werden die benutzerspezifischen und
systemweiten Anwendungsverzeichnisse mit den Konfigurationseinstellungen:
\begin{itemize}
\item Benutzerspezifische Anwendungsdaten
(\Filename{\%APPDATA\%\back{}gnupg})\\
entspricht in der Regel dem Verzeichnis: \newline
\Filename{C:\back{}Dokumente und Einstellungen\back{}\textit{<name>}\back{}Anwendungsdaten\back{}gnupg\back{}}
\item systemweite Anwendungsdaten
(\Filename{\%COMMON\_APPDATA\%\back{}GNU})\\
entspricht in der Regel dem Verzeichnis: \Filename{C:\back{}Dokumente und Einstellungen\back{}All
Users\back{}Anwendungsdaten\back{}GNU\back{}}
\end{itemize}
Es kommt vor, dass nach der Deinstallation noch einige Systemdaten
die zwischenzeitlich von Gpg4win erstellt wurden, zurückbleiben.
Falls Sie sich sicher sind, dass diese Daten nicht gesichert
werden sollen, können Sie das Installationsverzeichnis,
also zum Beispiel
\Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG},\linebreak
über den Dateimanager vollständig löschen.
\clearpage
\input{fdl-book.tex}
\end{document}

File Metadata

Mime Type
text/x-diff
Expires
Thu, Dec 4, 2:17 PM (1 d, 10 h)
Storage Engine
local-disk
Storage Format
Raw Data
Storage Handle
ca/8d/96c71f9e4481d78b7dad678862f4

Event Timeline