Some changes, basically by external lector, part 3
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5
6 % define packages
7 \usepackage{hyperlatex}
8 \usepackage{a4wide}
9 \usepackage{times}
10 \usepackage[latin1]{inputenc}
11 \usepackage[T1]{fontenc}
12 \usepackage{german}
13 \usepackage{graphicx}
14 \usepackage{alltt}
15 \usepackage{moreverb}
16 \usepackage{ifthen}
17 \usepackage{fancyhdr}
18 \W\usepackage{rhxpanel}
19 \W\usepackage{sequential}
20 \usepackage[table]{xcolor}
21 \usepackage{color}
22
23
24 % write any html files directly into this directory
25 % XXX: This is currently deactivated, but sooner or later
26 % we need this to not let smae filenames overwrite each other
27 % when we have more than one compendium. The Makefile.am needs
28 % to be updated for this as well - not a trivial change.
29 %\W\htmldirectory{./compendium-de-html}
30
31 % Hyperref should be among the last packages loaded
32 \usepackage{hyperref}
33
34 % page header
35 \T\fancyhead{} % clear all fields
36 \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
37     %\T\manualinprogress
38     \T\\
39     \T\itshape\nouppercase{\leftmark}}
40 \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{gpg4win-logo}}
41 \T\fancyfoot[C]{\thepage}
42 \T\pagestyle{fancy}
43
44 % define custom commands
45 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
46 \newcommand{\Menu}[1]{\textit{#1}}
47 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
48 \newcommand{\Email}{E-Mail}
49 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
50 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
51 \newcommand{\marginOpenpgp}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{openpgp-icon}}}
52 \newcommand{\marginSmime}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{smime-icon}}}
53 % Note: Do not include more than one image on a source line.
54 \newcommand{\IncludeImage}[2][]{\texorhtml{%
55 \includegraphics[#1]{#2}%
56 }{%
57 \htmlimg{#2.png}%
58 }}
59
60 % custom colors
61 \definecolor{gray}{rgb}{0.4,0.4,0.4}
62 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
63
64 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
65 \T\parindent 0cm
66 \T\parskip\medskipamount
67
68 % Get the version information from another file.
69 % That file is created by the configure script.
70 \input{version.tex}
71
72
73 % Define universal url command.
74 % Used for latex _and_ hyperlatex (redefine see below).
75 % 1. parameter = link text (optional);
76 % 2. parameter = url
77 % e.g.: \uniurl[example link]{http:\\example.com}
78 \newcommand{\uniurl}[2][]{%
79 \ifthenelse{\equal{#1}{}}
80 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
81 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
82
83
84 %%% HYPERLATEX %%%
85 \begin{ifhtml}
86     % HTML title
87     \htmltitle{Gpg4win-Kompendium}
88     % TOC link in panel
89     \htmlpanelfield{Inhalt}{hlxcontents}
90     % name of the html files
91     \htmlname{gpg4win-compendium-de}
92     % redefine bmod
93     \newcommand{\bmod}{mod}
94     % use hlx icons (default path)
95     \newcommand{\HlxIcons}{}
96
97     % Footer
98     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
99         %\manualinprogress
100     \html{br/}
101     \html{small}
102     Das Gpg4win-Kompendium ist unter der
103     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
104     \html{/small}}
105
106     % Changing the formatting of footnotes
107     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
108
109     % redefine universal url for hyperlatex (details see above)
110     \newcommand{\linktext}{0}
111     \renewcommand{\uniurl}[2][]{%
112         \renewcommand{\linktext}{1}%
113         % link text is not set
114         \begin{ifequal}{#1}{}%
115             \xlink{#2}{#2}%
116             \renewcommand{linktext}{0}%
117         \end{ifequal}
118         % link text is set
119         \begin{ifset}{linktext}%
120              \xlink{#1}{#2}%
121     \end{ifset}}
122
123     % german style
124     \htmlpanelgerman
125     \extrasgerman
126     \dategerman
127     \captionsgerman
128
129
130     % SECTIONING:
131     %
132     % on _startpage_: show short(!) toc (only part+chapter)
133     \setcounter {htmlautomenu}{1}
134     % chapters should be <H1>, Sections <H2> etc.
135     % (see hyperlatex package book.hlx)
136     \setcounter{HlxSecNumBase}{-1}
137     % show _numbers_ of parts, chapters and sections in toc
138     \setcounter {secnumdepth}{1}
139     % show parts, chapters and sections in toc (no subsections, etc.)
140     \setcounter {tocdepth}{2}
141     % show every chapter (with its sections) in _one_ html file
142     \setcounter{htmldepth}{2}
143
144     % set counters and numberstyles
145     \newcounter{part}
146     \renewcommand{\thepart}{\arabic{part}}
147     \newcounter{chapter}
148     \renewcommand{\thecapter}{\arabic{chapter}}
149     \newcounter{section}[chapter]
150     \renewcommand{\thesection}{\thechapter.\arabic{section}}
151 \end{ifhtml}
152
153
154 %%% TITLEPAGE %%%
155
156 \title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\
157 Das Gpg4win-Kompendium}
158
159 \author{ \
160     % Hyperlatex: Add links to pdf versions and Homepage
161     \htmlonly{
162         \xml{p}\small
163         \xlink{Aktuelle PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
164         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}\xml{p}
165     }
166     % Authors
167     Eine Veröffentlichung des Gpg4win-Projekts\\
168       \small Basierend auf einer Fassung von
169     \T\\
170       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
171     \T\\[-0.2cm]
172       \small Isabel Kramer und Dr. Francis Wray.
173     \\[0.2cm]
174       \small Grundlegend überarbeitet von
175     \T\\
176       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
177 }
178
179 \date{Version \compendiumVersionDE~vom \compendiumDateDE
180     %\manualinprogress
181     }
182
183
184 %%% BEGIN DOCUMENT %%%
185
186 \begin{document}
187 \maketitle
188
189 \T\section*{Impressum}
190 \W\chapter*{Impressum}
191
192 \thispagestyle{empty}
193 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
194 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
195 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
196 Eindruck eines Zusammenhanges
197 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
198 werden.}\\
199 Copyright \copyright{} 2005 g10 Code GmbH\\
200 Copyright \copyright{} 2009 Intevation GmbH
201
202 Permission is granted to copy, distribute and/or modify this document
203 under the terms of the GNU Free Documentation License, Version 1.2 or
204 any later version published by the Free Software Foundation; with no
205 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
206 copy of the license is included in the section entitled "`GNU Free
207 Documentation License"'.
208
209 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
210 oben stehenden Hinweises.]}\\
211 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
212 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
213 Documentation License, Version 1.2 oder einer späteren, von der Free
214 Software Foundation veröffentlichten Version.  Es gibt keine
215 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
216 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
217 License"' findet sich im Anhang mit dem gleichnamigen Titel.
218 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
219 http://www.gnu.org/licenses/translations.html.
220
221
222 \clearpage
223 \chapter*{Über dieses Kompendium}
224
225 Das Gpg4win-Kompendium besteht aus drei Teilen:
226
227 \begin{itemize}
228 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
229     Schnelleinstieg in Gpg4win.
230
231 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
232     Fortgeschrittene"'}:
233     Das Hintergrundwissen zu Gpg4win.
234
235 \item \textbf{Anhang}: Weiterführende technische Informationen zu
236     Gpg4win.\\
237 \end{itemize}
238
239 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
240 und knapp durch die Installation und die alltägliche Benutzung der
241 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
242 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
243 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
244 vertraut im Umgang mit Gpg4win gemacht haben.
245
246 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
247 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
248 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
249
250 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
251 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
252 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
253 erläutert.
254
255 Teil 1 und 2 können unabhängig voneinander benutzt werden. Zu Ihrem
256 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
257 angegebenen Reihenfolge lesen.\\
258
259 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
260 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
261 GpgOL.\\
262
263 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
264 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
265 geschrieben, sondern \textbf{für jedermann.}
266
267
268 \clearpage
269 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
270
271 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
272 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
273         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
274         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
275         eckige Klammern benutzt.
276
277         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
278         wenn deren Bedeutung in einem Satz betont, das
279         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
280         werden soll (z.B.: \textit{nur} OpenPGP).
281
282     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
283         die besonders wichtig und damit hervorzuheben sind.  Diese
284         Auszeichnung unterstützt den Leser bei der schnelleren
285         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
286         Passagen.
287
288     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
289         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
290         von Kommandozeilen) verwendet.
291 \end{itemize}
292
293 \clearpage
294 \tableofcontents
295
296
297 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
298 % Part I
299 \clearpage
300 \T\part{Für Einsteiger}
301 \W\part*{\textbf{I Für Einsteiger}}
302 \label{part:Einsteiger}
303 \addtocontents{toc}{\protect\vspace{0.3cm}}
304 \addtocontents{toc}{\protect\vspace{0.3cm}}
305
306
307 \chapter{Gpg4win -- Kryptografie für alle}
308
309 Was ist Gpg4win? Die deutsche Wikipedia beantwortet diese Frage so: 
310 \begin{quote}
311     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
312 mit Computer-Programmen und Handbüchern zur \Email{}- und
313 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
314 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
315 und die in Gpg4win enthaltenen Programme sind Freie
316 Software.}
317
318 \end{quote}
319
320 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
321 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
322 Gpg4win umfasst in Version 2 die folgenden Programme:
323
324 \begin{itemize}
325     \item \textbf{GnuPG}\\ GnuPG ist das Kernstück von
326         Gpg4win -- die eigentliche Verschlüsselungs-Software.
327     \item \textbf{Kleopatra}\\ Die zentrale Zertifikatsverwaltung von
328         Gpg4win, die für eine einheitliche Benutzerführung bei allen
329         kryptografischen Operationen sorgt.  \item \textbf{GNU
330         Privacy Assistent (GPA)}\\ ist ein alternatives Programm zum
331         Verwalten von Zertifikaten neben Kleopatra.
332     \item \textbf{GnuPG für Outlook (GpgOL)}\\ ist eine Erweiterung für
333        Microsoft Outlook 2003 und 2007, die verwendet wird, um
334        Nachrichten zu signieren bzw. zu verschlüsseln.
335     \item \textbf{GPG Explorer eXtension (GpgEX)}\\ ist eine
336         Erweiterung für den Windows-Explorer, mit der man Dateien über
337         das Kontextmenü signieren bzw.  verschlüsseln kann.
338     \item \textbf{Claws Mail}\\ ist ein vollständiges
339         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
340 \end{itemize}
341
342 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
343 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
344 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
345 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
346 sicher und kann nach dem heutigen Stand von Forschung und Technik
347 nicht gebrochen werden.
348
349 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
350 Software (OSS) bezeichnet.}. Das bedeutet, dass jedermann das Recht
351 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
352 kann und darf den Quellcode der Programme untersuchen und -- sofern er
353 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
354 diese weitergeben.
355
356 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
357 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
358 lässt sich die Vertrauenswürdigkeit der Programmierung und des
359 Programmes wirklich prüfen.
360
361 GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC
362 2440), ist vollständig kompatibel zu PGP und benutzt auch die gleiche
363 Infrastruktur (Zertifikatsserver etc.) wie dieser. Seit Version 2 von
364 GnuPG wird auch der kryptografische Standard \textbf{S/MIME} (IETF
365 RFC 3851, ITU-T X.509 und ISIS-MTT/Common PKI) unterstützt.
366
367 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
368 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
369 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
370 mehr dem Stand der Technik.
371
372 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
373 Wirtschaft und Technologie im Rahmen der Aktion "`Sicherheit im
374 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
375 Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt.
376
377 Weitere Informationen zu GnuPG und weiteren Projekten der
378 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
379 \uniurl[www.bsi.de]{http://www.bsi.de} und
380 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
381 Bundesamtes für Sicherheit in der Informationstechnik.
382
383
384 \clearpage
385 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
386 \label{ch:why}
387
388 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
389 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
390 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
391 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
392 jedermann frei und kostenlos zugänglich.
393
394 \begin{center}
395 \htmlattributes*{img}{width=300}
396 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
397 \end{center}
398
399 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
400 um rund um den Globus miteinander zu kommunizieren und uns zu
401 informieren. Aber Rechte und Freiheiten, die in anderen
402 Kommunikationsformen längst selbstverständlich sind, muss man sich in
403 den neuen Technologien erst sichern. Das Internet ist so schnell und
404 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
405 Rechte noch nicht so recht nachgekommen ist.
406
407 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
408 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
409 Umschlag schützt die Nachrichten vor fremden Blicken, eine
410 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
411 nicht so wichtig ist, schreibt man es auf eine ungeschützte
412 Postkarte, die auch der Briefträger oder andere lesen können.
413
414 \clearpage
415 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
416 Sie selbst und niemand sonst.
417
418 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
419 \Email{} ist immer offen wie eine Postkarte, und der elektronische
420 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
421 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
422 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
423 zu verteilen, sondern sie auch zu kontrollieren.
424
425 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
426 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
427 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
428 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
429 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
430 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
431 Wikipedia über das 
432 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
433 liefert dazu interessantes Hintergrundwissen.
434
435 Denn: der Umschlag fehlt.
436
437 \begin{center}
438 \htmlattributes*{img}{width=300}
439 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
440 \end{center}
441
442 \clearpage
443 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
444 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
445 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
446 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
447 für wichtig und schützenswert halten oder nicht.
448
449 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
450 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
451 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
452 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
453 ist Ihr gutes Recht.
454
455 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
456 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
457 bekannten Mittel zu knacken. In vielen Ländern waren starke
458 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
459 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
460 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
461 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
462 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
463 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
464 in aller Welt als eine praktikable und sichere Software angesehen.
465
466 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
467 Hand.}
468
469 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
470 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
471 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
472 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
473 dieses Vorgehen Schritt für Schritt erläutern.
474
475
476 \clearpage
477 \chapter{So funktioniert Gpg4win}
478 \label{ch:FunctionOfGpg4win}
479 Das Besondere an Gpg4win und der zugrundeliegenden "`Public-Key"'-Methode
480 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
481 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
482
483 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
484 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
485 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
486 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
487 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
488 Vertrauen in die Sicherheit von Gpg4win gewinnen.
489
490 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
491 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
492 "`Public-Key"' Kryptografie lüften und entdecken, warum mit Gpg4win
493 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
494 knacken sind.
495
496 \clearpage
497 \subsubsection{Der Herr der Schlüsselringe}
498 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
499 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
500 nur einmal gibt und den man ganz sicher aufbewahrt.
501
502 \begin{center}
503 \htmlattributes*{img}{width=300}
504 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
505 \end{center}
506
507 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
508 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
509 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
510 man den Schlüssel mindestens genauso gut absichern, wie das zu
511 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
512 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
513 werden.
514
515 \clearpage
516 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
517 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
518 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
519 dazu auch sehr fehleranfällig.
520
521 \begin{center}
522 \htmlattributes*{img}{width=300}
523 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
524 \end{center}
525
526 Das Grundproblem bei der "`gewöhnlichen"' geheimen
527 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
528 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
529 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
530 Grund nennt man solche Verschlüsselungssysteme auch "`symmetrische
531 Verschlüsselung"'.
532
533 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
534 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
535 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
536 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
537 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
538 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
539 abgefangen werden darf.
540
541
542 \clearpage
543 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
544 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
545 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
546 von einem "`Public-Key"'-Verschlüsselungssystem.
547
548 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
549 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
550 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
551 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
552 Zertifikat)~-- und den darf sowieso jeder kennen.
553
554 Mit Gpg4win benutzen Sie also ein Schlüsselpaar -- einen geheimen und
555 einen zweiten öffentlichen Schlüssel.  Beide Schlüsselteile sind durch
556 eine komplexe mathematische Formel untrennbar miteinander verbunden.
557 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
558 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
559 das Verfahren zu knacken. 
560
561 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
562
563 % Note: The texts on the signs are empty in the current revision.
564 % However, I used the original images and wiped out the texts ``Open
565 % Source"' and ``gratis"' - need to replace with something better.
566 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
567 \begin{center}
568 \htmlattributes*{img}{width=300}
569 \IncludeImage[width=0.5\textwidth]{verleihnix}
570 \end{center}
571
572
573 \clearpage
574 Das Prinzip der Public-Key-Verschlüsselung ist recht einfach:
575
576 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
577 key'' oder ,,private key'') muss geheim gehalten werden.
578
579 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
580 öffentlich wie möglich gemacht werden.
581
582 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
583
584 \bigskip
585
586 \begin{quote}
587     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
588 \end{quote}
589
590 \begin{center}
591 \htmlattributes*{img}{width=300}
592 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
593 \end{center}
594
595 \begin{quote}
596     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
597 \end{quote}
598
599
600 \clearpage
601 \subsubsection{Der öffentliche Brieftresor}
602
603 In einem kleinen Gedankenspiel wird die Methode des
604 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
605 Verschlüsselung ("`Geheimschlüssel-Methode"' oder engl.
606 "`Non-Public-Key"'-Methode) deutlicher ...
607
608 \bigskip
609
610 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
611
612 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
613 auf, über den Sie geheime Nachrichten übermitteln wollen.
614
615 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
616 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
617 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
618 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
619 Tresor.
620
621 \begin{center}
622 \htmlattributes*{img}{width=300}
623 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
624 \end{center}
625
626 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
627 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
628 zuschließen und eine geheime Nachricht deponieren zu können.
629
630 \clearpage
631 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
632 Wege übergeben.
633
634 \bigskip
635 \bigskip
636
637 \begin{center}
638 \htmlattributes*{img}{width=300}
639 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
640 \end{center}
641
642 \clearpage
643 Erst wenn der andere den geheimen Schlüssel hat, kann er den
644 Brieftresor öffnen und die geheime Nachricht lesen.
645
646 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
647 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
648 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
649 austauschen wie die Botschaft selbst.
650
651 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
652 gleich die geheime Mitteilung übergeben ...
653
654 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
655 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
656 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
657 könnten.
658
659 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
660
661 \begin{center}
662 \htmlattributes*{img}{width=300}
663 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
664 \end{center}
665
666 \clearpage
667 \textbf{Nun zur "`Public-Key"'-Methode:}
668
669 Sie installieren wieder einen Brieftresor vor Ihrem Haus.  Aber:
670 Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem ersten Beispiel --
671 stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar --
672 ein Schlüssel, mit dem jedermann den Brieftresor zuschließen kann
673 (asymmetrisches Verschlüsselungsverfahren).
674
675 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
676
677 \begin{center}
678 \htmlattributes*{img}{width=300}
679 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
680 \end{center}
681
682 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
683 öffentlicher Schlüssel.
684
685 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
686 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
687 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
688 frei zugänglich.
689
690 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
691 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
692 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
693 nachträglich zu verändern.
694
695 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
696
697 Aufschließen kann man den Brieftresor nur mit einem einzigen
698 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
699
700 \clearpage
701 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
702 kann eine \Email{} an Sie verschlüsseln. 
703
704 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
705 einen vollkommen öffentlichen, "`ungeheimen"' Schlüssel. Nur ein
706 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
707 geheimer Schlüssel.
708
709 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
710
711 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
712 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
713 verfügbaren Schlüssel.
714
715 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
716 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
717 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
718 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
719 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
720 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
721 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
722 und die Nachricht lesen.
723
724 \begin{center}
725 \htmlattributes*{img}{width=300}
726 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
727 \end{center}
728
729 \clearpage
730 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
731 einen geheimen Schlüssel!?
732
733 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
734 allerdings ein gewaltiger:
735
736 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
737 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
738 Übergabe entfällt, sie verbietet sich sogar.
739
740 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
741 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
742 geheimes Codewort.
743
744 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
745 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
746 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
747 bringen kann.
748
749 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
750 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
751 eigenen Schlüsselbund -- letztendlich Ihrem eigenen Gedächtnis.
752
753 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
754 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
755 "`asymmetrische Verschlüsselung"'. 
756
757
758 \clearpage
759 \chapter{Die Passphrase}
760 \label{ch:passphrase}
761
762 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
763 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
764 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
765 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
766 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
767 "`ganzen"' Kryptografieverfahrens.
768
769 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
770 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
771 diese Datei auszuschließen, wird sie zweifach gesichert:
772
773 \begin{center}
774 \htmlattributes*{img}{width=300}
775 \IncludeImage[width=0.5\textwidth]{think-passphrase}
776 \end{center}
777
778 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
779 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
780 der Administrator des Computers immer auf alle Dateien zugreifen kann,
781 zum anderen der Rechner verloren oder durch Viren, Würmer oder
782 Trojaner ausspioniert werden kann.
783
784 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
785 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
786 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
787 "`im Kopf"' behalten und niemals aufschreiben müssen.
788
789 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
790 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
791 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
792 und nur sehr schwer zu erratende Passphrase ausdenken können.
793
794 \clearpage
795 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
796
797 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
798
799 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
800
801 $\qquad$\verb-nieufdahnlnr- 
802 \texttt{\scriptsize{(Ei\textbf{n}
803 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
804 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
805 Ko\textbf{r}n.)}}
806
807 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
808 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
809 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
810 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
811 kann diese Passphrase niemand.
812
813 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
814 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
815 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
816 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
817 einem für Sie wichtigen Lied.
818
819 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
820 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
821 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
822 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
823 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
824 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
825 einer deutschen Tastatur finden.
826
827 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
828 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
829 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
830
831 $\qquad$\verb-In München steht ein Hofbräuhaus.-
832
833 könnte man beispielsweise diese Passphrase machen:
834
835 $\qquad$\verb-inMinschen stet 1h0f breuhome-
836
837 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
838 sich aber doch merken können, wie z.B.:
839
840 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im-
841
842 $\qquad$\verb-Winter.-
843
844 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
845 geheimen Schlüssel.
846
847 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
848 z.B. so:
849
850 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
851
852 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
853 eine noch kürzere Passphrase verwenden, indem Sie hier und da
854 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
855 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
856 vergessen, wird dabei größer.
857
858 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
859 sichere Passphrase ist dieses hier:
860
861 $\qquad$\verb-R!Qw"s,UIb *7\$-
862
863 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
864 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
865 für die Erinnerung hat.
866
867 \clearpage
868 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
869 sie ...
870
871 \begin{itemize}
872     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
873         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
874         wäre damit bereits einer anderen, möglicherweise unsicheren
875         Software bekannt.  Falls hier ein Hacker erfolgreich
876         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
877
878     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
879         können in Minutenschnelle komplette digitale Wörterbücher über
880         ein Passwort laufen lassen -- bis eines der Wörter passt.
881
882     \item ... aus einem Geburtsdatum, einem Namen oder anderen
883         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
884         zu entschlüsseln, wird sich diese Daten beschaffen.
885
886     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
887         enden"' oder "`to be or not to be"'. Auch mit derartigen
888         gängigen Zitaten testen Passphrase-Knackprogramme eine
889         Passphrase.
890
891     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
892         besteht.  Denken Sie sich unbedingt eine längere Passphrase
893         aus.
894 \end{itemize}
895
896 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
897 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
898 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
899 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
900 nicht eines dieser Beispiele genommen haben.
901
902 \bigskip
903
904 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
905 Unvergesslich und unknackbar.
906
907 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
908 Erzeugung Ihres Schlüsselpaars benötigen.
909
910 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
911 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
912 Nachrichten schicken will, auch tatsächlich echt ist.
913
914
915 \clearpage
916 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
917 \label{ch:openpgpsmime}
918
919 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
920 wie man ihn mit den Mitteln der modernen Informationstechnologie
921 bereitstellt: ein Brieftresor, in den jedermann verschlüsselte Mails
922 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
923 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
924 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
925
926 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
927 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
928 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
929 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
930 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
931 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
932 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
933 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
934 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
935 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
936 -- die \textbf{Authentizität}.
937
938 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
939 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
940 Alltagsleben dient zu dieser "`Authentisierung"' ein Ausweis, eine
941 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
942 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
943 Institution von einer übergeordneten Behörde und letztendlich vom
944 Gesetzgeber. Anders betrachtet, handelt es sich um eine
945 Vertrauenskette, die sich von "`oben"' nach "`unten"' verzweigt: man
946 spricht von einem \textbf{"`hierarchischen Vertrauenskonzept"'}.
947
948 Dieses Konzept findet sich bei Gpg4win oder anderen
949 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
950 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
951 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
952 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
953 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
954 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
955 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
956 können Sie mit Gpg4win beide Verfahren einsetzen.
957
958
959 \clearpage
960 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
961 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
962 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
963 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
964 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
965 wiederum mit dem Zertifikat einer höher stehenden Organisation
966 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
967 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
968 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers (auch CA
969 für Certificate Authority genannt) und schließlich Ihr eigenes, das
970 Anwenderzertifikat.
971
972 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
973 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
974 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
975 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
976 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
977 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
978 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
979 dieser Schlüssel durch A beglaubigt wurde.
980
981 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
982 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
983 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
984 Zertifikat Ihres Kommunikationspartners vertrauen.
985
986 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
987 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
988 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
989 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
990 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
991 installieren und die folgenden Kapitel zu verstehen:
992
993 \begin{itemize}
994     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
995         bieten die notwendige Sicherheit.
996     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
997         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
998         geheimen Kommunikation. Man sagt somit, sie sind nicht
999         interoperabel.
1000     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1001         beider Verfahren -- Sie müssen sich aber bei jeder
1002         Verschlüsselung/Signierung für eines der beiden entscheiden.
1003 \end{itemize}
1004
1005 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1006 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1007 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1008 zusammen.
1009
1010 \begin{latexonly} %no hyperlatex
1011 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1012 Symbolen auf die beiden Alternativen hin:
1013 \begin{center}
1014 \IncludeImage[width=2.5cm]{openpgp-icon}
1015 \hspace{1cm}
1016 \IncludeImage[width=2.5cm]{smime-icon}
1017 \end{center}
1018 \end{latexonly}
1019
1020 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
1021
1022
1023 \clearpage
1024 \chapter{Installation von Gpg4win}
1025
1026 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1027 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1028 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1029 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1030 sollten Sie schon wissen, was vor sich geht.
1031
1032 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1033 Schlüsselpaar einzurichten.
1034
1035 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1036 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1037 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1038 vorhandenen Zertifikate übernehmen können.
1039
1040 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1041 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1042 Windows-Betriebssystem. 
1043
1044 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1045 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1046 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1047 Installation klicken Sie nach dem Download auf die Datei:
1048
1049 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1050
1051 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1052 klicken Sie auf das \linebreak Installations-Icon "`Gpg4win"'.
1053 Die weitere Installation ist dann identisch.
1054
1055 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1056 mit \Button{Ja}.
1057
1058 \clearpage
1059 Der Installationsassistent startet und befragt Sie zuerst nach der
1060 Sprache für den Installationsvorgang:
1061
1062 % screenshot: Installer Sprachenauswahl
1063 \begin{center}
1064 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1065 \end{center}
1066
1067 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1068
1069 Anschließend begrüßt Sie dieser Willkommensdialog:
1070
1071 % screenshot: Installer Willkommensseite
1072 \begin{center}
1073 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1074 \end{center}
1075
1076 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1077 Sie dann auf \Button{Weiter}.
1078
1079 \clearpage
1080 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1081 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1082 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1083 sofort tun -- auch ohne die Lizenz zu lesen.
1084
1085 % screenshot: Lizenzseite des Installers
1086 \begin{center}
1087 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1088 \end{center}
1089
1090 Klicken Sie auf \Button{Weiter}.
1091
1092 \clearpage
1093 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1094 entscheiden, welche Programme Sie installieren möchten.
1095
1096 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1097 Komponenten auch später installieren. 
1098
1099 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1100 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1101 Festplatten-Platzes aller ausgewählten Komponenten.
1102
1103 % screenshot: Auswahl zu installierender Komponenten
1104 \begin{center}
1105 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1106 \end{center}
1107
1108 Klicken Sie auf \Button{Weiter}.
1109
1110 \clearpage
1111 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1112 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1113
1114 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1115 in dem Sie Gpg4win installieren wollen.
1116
1117 % screenshot: Auswahl des Installationsverzeichnis.
1118 \begin{center}
1119 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1120 \end{center}
1121
1122 Klicken Sie anschließend auf \Button{Weiter}.
1123
1124 \clearpage
1125 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1126 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1127 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1128 verändern.
1129
1130 % screenshot: Auswahl der Startlinks
1131 \begin{center}
1132 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1133 \end{center}
1134
1135 Klicken Sie anschließend auf \Button{Weiter}.
1136
1137 \clearpage
1138 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1139 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1140 dieses Startmenüs festlegen oder einfach übernehmen.
1141
1142 % screenshot:  Startmenu auswählen
1143 \begin{center}
1144 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1145 \end{center}
1146
1147 Klicken Sie dann auf \Button{Installieren}.
1148
1149 \clearpage
1150 Während der nun folgenden \textbf{Installation} sehen Sie einen
1151 Fortschrittsbalken und Informationen, welche Datei momentan
1152 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1153 drücken, um ein Protokoll der Installation sichtbar zu machen.
1154
1155 % screenshot: Ready page Installer
1156 \begin{center}
1157 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1158 \end{center}
1159
1160 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1161 \Button{Weiter}.
1162
1163 \clearpage
1164 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1165 Installationsvorgangs angezeigt:
1166
1167 % screenshot: Finish page Installer
1168 \begin{center}
1169 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1170 \end{center}
1171
1172 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1173 wichtige Informationen zu der soeben installierten Gpg4win-Version
1174 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1175 deaktivieren Sie diese Option.
1176
1177 Klicken Sie schließlich auf \Button{Fertig stellen}.
1178
1179 \clearpage
1180 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1181 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1182
1183 % screenshot: Finish page Installer with reboot
1184 \begin{center}
1185 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1186 \end{center}
1187
1188 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1189 gestartet werden soll.
1190
1191 Klicken Sie auf \Button{Fertig stellen}.
1192
1193 %TODO: NSIS-Installer anpassen, dass vor diesem
1194 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1195 %erscheint.
1196 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1197 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1198 über das Startmenü:\\
1199 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$
1200 Gpg4win README}
1201
1202 \clearpage
1203 \textbf{Das war's schon!}
1204
1205 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1206 ersten Mal starten.
1207
1208 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1209 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1210 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1211 von Gpg4win"' weiter.
1212
1213
1214 \clearpage
1215 \chapter{Erstellung eines Zertifikats}
1216 \label{ch:CreateKeyPair}
1217
1218 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1219 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1220 Schutz Ihres geheimen Schlüssels entsteht
1221 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1222 Schlüsselpaar erzeugen.
1223
1224 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1225 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1226 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1227 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1228 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1229 Schlüssel.
1230
1231 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1232 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1233 "`X.509"').
1234
1235 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1236 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1237
1238 \T\marginOpenpgp
1239 Genau das können Sie tun -- allerdings nur für OpenPGP:
1240
1241 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung entscheiden,
1242 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1243 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1244 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1245
1246 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1247 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1248 wird danach kein Problem mehr sein.
1249
1250 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1251 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP stammt und
1252 bis auf Weiteres in Betrieb ist.  Auch in diesem Kompendium können wir
1253 die Benutzung des Übungsroboters nur empfehlen. Wir bedanken uns bei
1254 den Inhabern von gnupp.de für den Betrieb von Adele.
1255
1256 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1257 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1258 machen. Doch dazu später mehr.
1259
1260 \clearpage
1261 \textbf{Los geht's!}
1262 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1263
1264 % screenshot Startmenu with Kleopatra highlighted
1265 \begin{center}
1266 \htmlattributes*{img}{width=400}
1267 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1268 \end{center}
1269
1270 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
1271 Zertifikatsverwaltung:
1272
1273 % screenshot: Kleopatra main window
1274 \begin{center}
1275 \htmlattributes*{img}{width=508}
1276 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1277 \end{center}
1278
1279 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1280 Zertifikate erstellt (oder importiert) haben. 
1281
1282 \clearpage
1283 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1284
1285 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1286 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1287 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1288 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1289 Kapitel~\ref{ch:openpgpsmime} erläutert.
1290
1291 \label{chooseCertificateFormat}
1292 % screenshot: Kleopatra - New certificate - Choose format
1293 \begin{center}
1294 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1295 \end{center}
1296
1297 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1298 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1299 zusammen.
1300
1301 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1302 haben, lesen Sie nun also bitte entweder:
1303 \begin{itemize}
1304     \item Abschnitt \ref{createKeyPairOpenpgp}:
1305         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1306         Seite) oder
1307     \item Abschnitt \ref{createKeyPairX509}:
1308         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1309         \pageref{createKeyPairX509}).
1310 \end{itemize}
1311
1312
1313
1314 \clearpage
1315 \section{OpenPGP-Zertifikat erstellen}
1316 \label{createKeyPairOpenpgp}
1317
1318 \T\marginOpenpgp
1319 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1320 OpenPGP-Schlüsselpaar erzeugen}.
1321
1322
1323 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1324 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1325 sichtbar.
1326
1327 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1328 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1329 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1330 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1331 Name und die \Email{}-Adresse später öffentlich sichtbar.
1332
1333 % screenshot: Creating OpenPGP Certificate - Personal details
1334 \begin{center}
1335 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1336 \end{center}
1337
1338 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1339 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1340 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1341 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1342
1343 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1344 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1345 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1346 informieren.
1347
1348 Klicken Sie auf \Button{Weiter}.
1349
1350 \clearpage
1351 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1352 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1353 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1354 über die Option \Menu{Alle Details} einsehen.
1355
1356 % screenshot: Creating OpenPGP Certificate - Review Parameters
1357 \begin{center}
1358 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1359 \end{center}
1360
1361 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1362 erzeugen}.
1363
1364 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1365 \textbf{Passphrase}!
1366
1367 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1368 Passphrase eingeben:
1369
1370 % screenshot: New certificate - pinentry
1371 \begin{center}
1372 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1373 \end{center}
1374
1375 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1376 jetzt eine einfach zu merkende und schwer zu knackende geheime
1377 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1378 ein!
1379
1380 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1381 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1382
1383 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1384 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1385 hingewiesen.
1386
1387 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1388 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1389
1390 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1391 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1392 \Button{OK}.
1393
1394 \clearpage
1395 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1396 % screenshot: Creating OpenPGP Certificate - Create Key
1397 \begin{center}
1398 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1399 \end{center}
1400
1401 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1402 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1403 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1404 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1405 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1406 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1407 Qualität des erzeugten Schlüsselpaars.
1408
1409 \clearpage
1410 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1411 erhalten Sie folgenden Dialog:
1412
1413 % screenshot: Creating OpenPGP certificate - key successfully created
1414 \begin{center}
1415 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1416 \end{center}
1417
1418 Im Ergebnis-Textfeld wird der 40-stellige "`Fingerabdruck"' Ihres neu
1419 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1420 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1421 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1422 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1423 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1424 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1425 und als Schlüsselkennung (oder Schlüssel-ID) bezeichnet.
1426 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1427 der Fingerabdruck einer Person.
1428
1429 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1430 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1431 sich ihn jederzeit später anzeigen lassen.
1432
1433 \clearpage
1434 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1435 folgenden drei Schaltflächen betätigen:
1436
1437 \begin{description}
1438
1439 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1440     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1441     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1442     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1443
1444     % screenshot: New OpenPGP certificate - export key
1445     \begin{center}
1446         \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1447     \end{center}
1448
1449     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1450     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1451     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1452     "`ASCII armor"') ein- bzw. ausschalten.
1453
1454     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1455
1456     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1457     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1458     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1459     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1460     belassen!  Bewahren Sie diesen Datenträger mit der
1461     Sicherheitskopie sicher auf.
1462
1463     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1464     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1465     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1466     Kapitel \ref{ch:ImExport}).
1467
1468 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1469     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1470     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1471     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1472     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1473     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1474
1475     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1476     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1477     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1478     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1479     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1480     und versenden diese Datei per \Email{} an Ihre
1481     Korrespondenzpartner. Weitere Details finden Sie im
1482     Abschnitt~\ref{sec_publishPerEmail}.
1483
1484 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1485     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1486     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1487     auf diesem Server veröffentlichen, erfahren Sie in
1488     Kapitel~\ref{ch:keyserver}.
1489
1490 \end{description}
1491
1492 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1493 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1494
1495 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1496 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1497 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1498
1499
1500 \clearpage
1501 \section{X.509-Zertifikat erstellen}
1502 \label{createKeyPairX509}
1503
1504 \T\marginSmime
1505 Klicken Sie im Zertifikatsformat-Auswahldialog von
1506 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1507 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1508 erstellen}.
1509
1510
1511 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1512 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1513 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1514 = locality) und Abteilung (OU = organizational unit) ergänzen.
1515
1516 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1517 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1518 Organisation sowie Ländercode und geben irgendeine ausgedachte
1519 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1520 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1521
1522 % screenshot: New X.509 Certificate - Personal details
1523 \begin{center}
1524 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1525 \end{center}
1526
1527 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1528 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1529 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1530 informieren.
1531
1532 Klicken Sie auf \Button{Weiter}.
1533
1534 \clearpage
1535 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1536 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1537 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1538 über die Option \Menu{Alle Details} einsehen.
1539
1540 % screenshot: New X.509 Certificate - Review Parameters
1541 \begin{center}
1542 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1543 \end{center}
1544
1545 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1546
1547 \clearpage
1548 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1549
1550 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1551 Passphrase einzugeben:
1552
1553 % screenshot: New X.509 certificate - pinentry
1554 \begin{center}
1555 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1556 \end{center}
1557
1558 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1559 jetzt eine einfach zu merkende und schwer zu knackende geheime
1560 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1561 ein!
1562
1563 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1564 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1565
1566 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1567 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1568 hingewiesen.
1569
1570 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1571 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1572
1573 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1574 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1575 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1576 Zertifikatsanfrage an die zuständige Beglaubigungsinstanz.
1577 Bestätigen Sie Ihre Eingaben jeweils mit \Button{OK}.
1578
1579 \clearpage
1580 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1581 % screenshot: New  X.509 Certificate - Create Key
1582 \begin{center}
1583 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1584 \end{center}
1585
1586 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1587 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1588 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1589 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1590 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1591 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1592 Qualität des erzeugten Schlüsselpaars.
1593
1594 \clearpage
1595 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1596 erhalten Sie folgenden Dialog:
1597
1598 % screenshot: New X.509 certificate - key successfully created
1599 \begin{center}
1600 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1601 \end{center}
1602
1603 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1604
1605 \begin{description}
1606
1607 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1608     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1609     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1610     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1611     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1612     Authority) gesendet werden. Etwas weiter unten weisen wir Sie auf
1613     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1614     die kostenlos X.509-Zertifikate ausstellt.
1615
1616 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1617     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1618     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1619     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1620     den vorbereiteten Text dieser \Email{}.
1621
1622     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1623     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1624     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1625     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1626     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1627     Authority, CA).
1628
1629     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1630     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1631     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1632     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1633
1634 \end{description}
1635
1636 Beenden Sie anschließend den Kleopatra-Assistenten mit
1637 \Button{Fertigstellen}.
1638
1639
1640 \clearpage
1641 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1642
1643 \T\marginSmime
1644 CAcert ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1645 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1646 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1647 für ihre Zertifikate erheben.
1648
1649 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1650 müssen Sie sich zunächst bei
1651 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1652
1653 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1654 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1655 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1656 sichere Pass\-phrase für Ihr Zertifikat fest.
1657
1658 Ihr Client-Zertifikat wird nun erstellt.
1659
1660 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1661 neu erstellten X.509-Zertifikat und dem dazugehörigen
1662 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1663
1664 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1665 Browser. Bei Firefox können Sie danach z.B. über
1666 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1667 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1668 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1669
1670 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1671 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1672 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1673 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1674 Internetseiten von CAcert.
1675
1676 Speichern Sie abschließend eine Sicherungskopie Ihres
1677 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1678 erhält automatisch die Endung \Filename{.p12}.
1679
1680 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1681 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1682 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1683 gelangt.
1684
1685 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1686 erfahren Sie in Kapitel \ref{ch:ImExport}.
1687
1688 ~\\
1689 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1690 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1691 wieder identisch.
1692
1693
1694 \clearpage
1695 \section{Zertifikatserstellung abgeschlossen}
1696 \label{sec_finishKeyPairGeneration}
1697
1698 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1699 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1700 einzigartigen elektronischen Schlüssel.}
1701
1702 Im weiteren Verlauf des Kompendiums wird nur noch ein
1703 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1704 auch entsprechend für ein X509-Zertifikat.
1705
1706 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1707
1708 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1709 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1710 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1711
1712 % screenshot: Kleopatra with new openpgp certificate
1713 \begin{center}
1714 \htmlattributes*{img}{width=508}
1715 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1716 \end{center}
1717
1718 \clearpage
1719 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1720 sehen zu können:
1721
1722 % screenshot: details of openpgp certificate
1723 \begin{center}
1724 \htmlattributes*{img}{width=508}
1725 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1726 \end{center}
1727
1728 Was bedeuten die einzelnen Zertifikatsdetails?
1729
1730 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1731 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1732 Sie auf \Button{Ablaufdatum ändern}.
1733
1734 \textbf{Weitere Details zum Zertifikat finden Sie im
1735 Kapitel~\ref{ch:CertificateDetails}.}
1736
1737
1738 \clearpage
1739 \chapter{Verbreitung des öffentlichen Zertifikats}
1740 \label{ch:publishCertificate}
1741
1742 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1743 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1744 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1745 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1746 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1747 Geheimhaltung bereits erledigt.
1748
1749 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1750 können und sollen öffentliche Zertifikate von Ihren
1751 Korrespondenzpartnern haben -- je mehr, desto besser.
1752
1753 Denn:
1754
1755 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1756 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1757 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1758 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1759 der Zertifikatsverwaltung Kleopatra.}
1760
1761 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1762 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1763 benutzen.
1764
1765 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1766 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1767 benutzen.
1768
1769 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1770 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1771 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1772 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1773 beispielsweise ...
1774
1775 \begin{itemize}
1776     \item ... direkt per \textbf{\Email{}} an bestimmte
1777     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1778     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1779         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1780     \item ... über die eigene Homepage.
1781     \item ... persönlich, z.B. per USB-Stick.
1782 \end{itemize}
1783
1784 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1785 Seiten näher anschauen.
1786
1787 \clearpage
1788 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1789 \label{sec_publishPerEmail}
1790
1791 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1792 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1793 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1794 erfahren Sie in diesem Abschnitt.\\ 
1795
1796 \T\marginOpenpgp
1797 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1798 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1799 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1800 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1801 Seite~\pageref{publishPerEmailx509}.
1802
1803 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1804 zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen
1805 und netten jungen Dame lieber korrespondiert als mit einem Stück
1806 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1807 Adele so vorstellen:
1808
1809 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1810 \begin{center}
1811 \IncludeImage[width=0.5\textwidth]{adele01}
1812 \end{center}
1813
1814 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1815 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1816 eine verschlüsselte \Email{} an Sie zurück.
1817
1818 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1819 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1820 legt Adele ihr eigenes öffentliches Zertifikat bei.
1821
1822 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1823 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1824 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1825 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1826 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1827
1828 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1829 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1830 den nächsten Seiten.
1831
1832
1833 \clearpage
1834 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1835
1836 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1837 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1838 Zertifikate) und klicken Sie dann auf
1839 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1840 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1841 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1842 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1843 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1844 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1845 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1846
1847 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1848 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1849 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1850 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1851
1852 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1853 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1854 Exportieren angegeben haben.
1855
1856 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1857 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1858 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1859 ziemlich wirrer Text- und Zahlenblock:
1860
1861 % screenshot: Editor mit ascii armored key
1862 \begin{center}
1863 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1864 \end{center}
1865
1866 \clearpage
1867 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1868 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1869 versenden kann oder nicht.
1870
1871 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1872 \Email{}-Text versenden}
1873
1874 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1875 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1876 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1877 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1878 Zertifikat eigentlich besteht.
1879
1880 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1881 Zertifikat von
1882
1883 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1884 bis\\
1885 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1886
1887 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1888 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1889 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1890 kopiert.
1891
1892 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1893 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1894 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1895 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1896 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1897
1898 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1899 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1900 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1901 \ref{appendix:gpgol}).
1902
1903 \textbf{Adressieren} Sie nun diese \Email{} an
1904 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1905 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1906
1907 \clearpage
1908 So etwa sollte Ihre \Email{} nun aussehen:
1909
1910 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1911 \begin{center}
1912 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1913 \end{center}
1914
1915 Schicken Sie die \Email{} an Adele ab.
1916
1917 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1918 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1919 Sie nie Antwort von Adele bekommen ...
1920
1921 \clearpage
1922 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1923 versenden}
1924
1925 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1926 öffentliches OpenPGP-Zertifikat auch direkt als
1927 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1928 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1929 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1930 leichter nachzuvollziehen ist.
1931
1932 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1933 der Zertifikatsdatei im Anhang:
1934
1935 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1936 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1937 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1938 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1939 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
1940 Dateianhang}.
1941
1942 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
1943 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
1944 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
1945
1946 Ihre fertige \Email{} sollte dann etwa so aussehen:
1947
1948 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1949 \begin{center}
1950 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1951 \end{center}
1952
1953 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1954
1955 \clearpage
1956 \subsubsection{Kurz zusammengefasst}
1957
1958 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
1959 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
1960 direkt in eine \Email{} kopiert und einmal die komplette Datei als
1961 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
1962 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
1963
1964 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
1965 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
1966 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
1967 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
1968 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
1969 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
1970
1971 \clearpage
1972 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
1973 \label{sec_publishPerKeyserver}
1974
1975 \T\marginOpenpgp
1976 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
1977 einen OpenPGP-Zertifikats\-server verbreiten.}
1978
1979 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
1980 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
1981 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
1982 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
1983 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1984 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
1985 Korrespondenzpartner.
1986
1987 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
1988 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
1989 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
1990 Spam-Schutz.
1991
1992 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
1993 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
1994 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
1995
1996 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
1997 eine Warnmeldung:
1998
1999 % screenshot: Kleopatra keyserver export warning
2000 \begin{center}
2001 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2002 \end{center}
2003
2004 Es ist der öffentliche OpenPGP-Zertifikatsserver\linebreak
2005 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2006 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2007 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2008 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2009 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2010 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2011 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2012
2013 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2014 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2015 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2016 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2017 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2018 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2019
2020 \clearpage
2021 \subsubsection{Kurz zusammengefasst}
2022 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2023 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2024
2025 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2026 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2027 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2028 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2029
2030
2031 \clearpage
2032 \section{Veröffentlichen von X.509-Zertifikaten}
2033 \label{publishPerEmailx509}
2034
2035 \T\marginSmime
2036 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2037 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2038 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2039 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2040 Zertifikatsverwaltung importiert werden.
2041
2042 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2043 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2044 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2045 oder testweise an sich selbst schreiben.
2046
2047 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2048 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2049 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2050 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2051
2052 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2053 vollständige öffentliche Zertifikatskette markieren und in einer Datei
2054 abspeichern -- in der Regel also Wurzelzertifikat, CA-Zertifikat und
2055 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2056
2057 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2058 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2059 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2060 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2061 Zertifikate gemeinsam in eine Datei.
2062
2063 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2064 muss er diesem das Vertrauen aussprechen bzw. durch einen
2065 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2066 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2067 der selben  "`Wurzel"' gehören), dann besteht diese
2068 Vertrauensstellung bereits.
2069
2070
2071 \clearpage
2072 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2073 \label{ch:decrypt}
2074 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2075 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2076
2077 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2078 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2079 GpgOL entschlüsseln.
2080
2081 \T\marginOpenpgp
2082 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2083 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2084 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2085 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2086 \pageref{encrypt-smime}.
2087
2088 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2089 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2090 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2091 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2092
2093 % cartoon: Adele typing and sending a mail
2094 \begin{center}
2095 \IncludeImage[width=0.5\textwidth]{adele02}
2096 \end{center}
2097
2098 \clearpage
2099 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2100
2101 Für die meisten \Email{}-Programme gibt es spezielle
2102 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2103 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2104 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2105 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2106 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2107 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2108 lesen oder später, wenn Sie diese Funktion benötigen.
2109
2110 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2111 Adele.
2112
2113 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2114 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2115 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2116 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2117 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2118 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2119 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2120 oder entschlüsseln.
2121
2122 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2123 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2124 verschlüsselt.
2125
2126 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2127 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2128 Passphrase ein.
2129
2130 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2131 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2132
2133 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2134 aufrufen, indem Sie im Menü der geöffneten \Email{}
2135 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2136
2137 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2138
2139 \clearpage
2140 \subsubsection{Die entschlüsselte Nachricht}
2141
2142 Die entschlüsselte Antwort von Adele sieht in etwa so
2143 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2144 etwas unterschiedlich aussehen.}:
2145
2146 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2147 %TODO: Schlüssel -> Zertifikat
2148
2149 \begin{verbatim}
2150 Hallo Heinrich Heine,
2151
2152 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2153
2154 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2155 FE7EEC85C93D94BA und der Bezeichnung
2156 `Heinrich Heine <heinrich@gpg4win.de>'
2157 wurde von mir empfangen.
2158
2159 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2160 dem freundlichen E-Mail-Roboter.
2161
2162 Viele Grüße,
2163 adele@gnupp.de
2164 \end{verbatim}
2165
2166 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2167 Adele.
2168
2169 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2170 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2171 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2172 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2173 \Email{}s verwenden.
2174
2175 \clearpage
2176 \subsubsection{Kurz zusammengefasst}
2177
2178 \begin{enumerate}
2179     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2180         Schlüssel entschlüsselt.
2181     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2182         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2183         können.
2184 \end{enumerate}
2185
2186
2187 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2188 \label{encrypt-smime}
2189
2190 \T\marginSmime
2191 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2192 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2193
2194 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2195
2196 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2197 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2198 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2199 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2200
2201 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2202 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2203 unterstützt nur OpenPGP.
2204
2205 \clearpage
2206 \chapter{Öffentliches Zertifikat importieren}
2207 \label{ch:importCertificate}
2208
2209 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2210 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2211 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2212 auf -- z.B. Kleopatra.
2213
2214 \subsubsection{Öffentliches Zertifikat abspeichern}
2215
2216 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2217 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2218 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2219 \Email{} bekommen haben, gehen Sie wie folgt vor:
2220
2221 \begin{itemize}
2222
2223 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2224     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2225     Ihrem \Email{}-Programm gewohnt sind.
2226
2227 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2228     innerhalb der \Email{} übermittelt, dann müssen Sie das
2229     vollständige Zertifikat markieren:
2230
2231     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2232     von
2233
2234     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2235     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2236
2237     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2238     getan haben.
2239
2240     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2241     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2242     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2243     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2244     \Filename{.pem} oder \Filename{.der} wählen.
2245
2246 \end{itemize}
2247
2248 \clearpage
2249 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2250
2251 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2252 Textblock abgespeichert haben -- in beiden Fällen importieren
2253 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2254
2255 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2256
2257 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2258 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2259 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2260 dem Ergebnis des Importvorgangs:
2261
2262 % screenshot: Kleopatra - certificate import dialog
2263 \begin{center}
2264 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2265 \end{center}
2266
2267 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2268 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2269 \Menu{Importierte Zertifikate} von
2270 \Menu{<Pfad-zur-Zertifikatsdatei>}"':
2271
2272 % screenshot Kleopatra with new certificate
2273 \begin{center}
2274 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2275 \end{center}
2276
2277 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2278 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2279 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2280 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2281
2282 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2283 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2284
2285 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2286 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2287 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2288 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2289 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2290
2291 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2292 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2293 über weltweit erreichbare Zertifikatsserver suchen und importieren
2294 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2295 nachlesen.\\
2296
2297 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2298 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2299 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2300 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2301
2302 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2303 wirklich seinem Absender gehört?
2304
2305 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2306 Kapitel~\ref{ch:trust} erläutert.}
2307
2308 \clearpage
2309 \chapter{Die Zertifikatsprüfung}
2310 \label{ch:trust}
2311
2312 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2313 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2314 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2315 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2316 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2317 Absenderangabe auf einem Briefumschlag.
2318
2319 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2320 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2321 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2322 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2323 Identität des Absenders.
2324
2325 \clearpage
2326 \subsubsection{Der Fingerabdruck}
2327 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2328 die Sache mit der Identität schnell geregelt: Sie prüfen den
2329 Fingerabdruck des anderen Zertifikats.
2330
2331 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2332 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2333 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2334 "`Fingerabdruck"'.
2335
2336 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2337 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2338 dessen 40-stelligen Fingerabdruck:
2339
2340 % screenshot: GPA key listing with fingerprint
2341 \begin{center}
2342 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2343 \end{center}
2344
2345 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2346 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2347
2348 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2349 seinen Besitzer eindeutig.
2350
2351 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2352 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2353 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2354 Sie eindeutig das richtige Zertifikat.
2355
2356 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2357 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2358 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2359 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2360 garantiert authentische Visitenkarte haben, so können Sie sich den
2361 Anruf ersparen.
2362
2363
2364 \clearpage
2365 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2366
2367 \T\marginOpenpgp
2368 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2369 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2370 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2371 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2372 vorbehalten.
2373
2374
2375 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2376 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2377 autentisch -- halten:
2378 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2379 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2380
2381 ~\\
2382 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2383 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2384 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2385 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2386
2387 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2388 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2389
2390 % screenshot: Kleopatra certify certificate 1
2391 \begin{center}
2392 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2393 \end{center}
2394
2395 \clearpage
2396 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2397 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2398
2399 % screenshot: Kleopatra certify certificate 2
2400 \begin{center}
2401 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2402 \end{center}
2403
2404 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2405 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2406 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2407 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2408 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2409 Verfügung zu stellen.
2410
2411 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2412
2413 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2414 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2415 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2416 abgeschlossen.
2417
2418 \clearpage
2419 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2420
2421 % screenshot: Kleopatra certify certificate 3
2422 \begin{center}
2423 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2424 \end{center}
2425
2426 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2427 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2428 Wählen Sie den Reiter \linebreak \Menu{Benutzer-Kennungen und
2429 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2430 Beglaubigungen ein}.
2431
2432 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2433 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2434 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2435
2436 \clearpage
2437 \subsubsection{Das Netz des Vertrauens}
2438
2439 \T\marginOpenpgp
2440 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2441 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2442 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2443 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2444 direkt auf Echtheit (Autentizität) zu prüfen.
2445
2446 \begin{center}
2447 \htmlattributes*{img}{width=300}
2448 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2449 \end{center}
2450
2451 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2452 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2453 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2454 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2455 Ihnen und niemandem sonst gehört.
2456
2457 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2458 Beglaubigungs-Infra\-struktur.
2459
2460 Eine einzige Möglichkeit ist denkbar, mit der man diese
2461 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2462 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2463 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2464 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2465 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2466 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2467 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2468
2469 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2470 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2471 nicht die Lösung sein ...
2472
2473
2474 \clearpage
2475 \subsubsection{Beglaubigungsinstanzen}
2476
2477 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2478 vertrauen können. Sie prüfen ja auch nicht persönlich den
2479 Personalausweis eines Unbekannten durch einen Anruf beim
2480 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2481 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2482 beglaubigt hat.
2483
2484 \T\marginOpenpgp
2485 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2486 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2487 lange einen solchen Dienst kostenlos an, ebenso wie viele
2488 Universitäten.
2489
2490 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2491 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2492 man sich darauf verlassen können.
2493  
2494 \T\marginSmime
2495 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2496 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2497 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2498 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2499 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2500 Benutzerzertifikate zu beglaubigen (vgl.
2501 Kapitel~\ref{ch:openpgpsmime}).
2502
2503 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2504 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2505 berechtigte Institution geben, die die Befugnis dazu wiederum von
2506 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2507 Beglaubigung nichts anderes als eine Signatur eines Zertifikates durch
2508 den Beglaubigenden.
2509
2510 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2511 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2512 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2513 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2514 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2515 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2516 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem strengen
2517 Signaturgesetz der Bundesrepublik Deutschland zu entsprechen.
2518
2519 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2520 sich z.B. bei folgenden Webadressen über dieses und viele andere
2521 IT-Sicherheits-Themen informieren:
2522 \begin{itemize}
2523     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2524     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2525     \item \uniurl[www.gpg4win.de]{http://www.bsi.de}
2526 \end{itemize}
2527
2528 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
2529 der Beglaubigungsinfrastrukturen bietet das 
2530 \uniurl[Original GnuPG Handbuch]{http://www.gnupg.org/gph/de/manual},
2531 das Sie ebenfalls im Internet finden%
2532 \T\linebreak(\uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}).
2533
2534 \clearpage
2535 \chapter{\Email{}s verschlüsseln}
2536 \label{ch:encrypt}
2537
2538 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2539 \Email{}.
2540
2541 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2542 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2543 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2544
2545
2546 \textbf{Hinweis für OpenPGP:}
2547
2548 \T\marginOpenpgp
2549 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2550 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2551 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2552 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2553 nicht wirklich lesen.
2554
2555
2556 \textbf{Hinweis für S/MIME:}
2557
2558 \T\marginSmime
2559 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2560 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2561 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2562 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2563 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2564 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2565
2566 % screenshot: GpgOL options
2567 \begin{center}
2568 \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2569 \end{center}
2570
2571
2572
2573 \clearpage
2574 \subsubsection{Nachricht verschlüsselt versenden}
2575
2576 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2577 Sie diese an Ihren Korrespondenzpartner.
2578
2579 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2580 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2581 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2582 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2583 auch direkt auf das Schloss klicken.
2584
2585 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2586
2587 % screenshot: OL composer with Adele's address and body text
2588 \begin{center}
2589 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2590 \end{center}
2591
2592 Klicken Sie nun auf \Button{Senden}.
2593
2594 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2595 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2596 Ihres Korrespondenzpartners vorliegt.
2597
2598 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2599 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2600 Nachricht verschlüsselt und versendet.
2601
2602 In den GpgOL-Optionen können Sie auch PGP/MIME oder S/MIME für alle
2603 signierten und verschlüsselten Nachrichten als Voreinstellung
2604 definieren: \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}.
2605
2606
2607 \clearpage
2608 \subsubsection{Zertifikatsauswahl}
2609 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2610 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2611 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2612 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2613 selbstständig auswählen können.
2614
2615 % screenshot: kleopatra encryption dialog - certificate selection
2616 \begin{center}
2617     \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2618 \end{center}
2619
2620 Sollte Kleopatra das öffentliche Zertifikat Ihres
2621 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2622 in Ihre Zertifikatsverwaltung importiert (vgl.
2623 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2624 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2625 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2626 Kapitel~\ref{sec_allow-mark-trusted}).
2627
2628
2629 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2630 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2631 verschlüsselt werden.
2632
2633 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2634 \begin{quote}
2635   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2636   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2637 \end{quote}
2638
2639
2640 \clearpage
2641 \subsubsection{Verschlüsselung abschließen}
2642 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2643 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2644
2645 % screenshot: kleopatra encryption successfully
2646 \begin{center}
2647 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2648 \end{center}
2649
2650 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2651 verschlüsselt!}
2652
2653
2654 \chapter{\Email{}s signieren}
2655 \label{ch:sign}
2656 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2657 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2658 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2659
2660 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2661 Zertifikat, sondern auch eine komplette \linebreak \textbf{\Email{}
2662 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2663 elektronischen Signatur versehen -- einer Art elektronischem Siegel.
2664
2665 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2666 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2667 oder verändert wurde.
2668
2669 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2670 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2671 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2672 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2673 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2674
2675 Sie haben sicher bemerkt, dass diese elektronische Signatur nicht mit
2676 der \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2677 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite nennt.
2678 Während diese \Email{}-Signaturen einfach nur als eine Art
2679 Visitenkarte fungieren, schützt die elektronische Signatur Ihre
2680 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2681
2682 Übrigens ist die elektronische Signatur auch nicht mit der
2683 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
2684 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die private
2685 oder berufliche \Email{}-Kommunikation erfüllt sie allerdings genau
2686 denselben Zweck.
2687
2688 % cartoon:  Müller mit Schlüssel
2689 \begin{center}
2690 \htmlattributes*{img}{width=300}
2691 \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2692 \end{center}
2693
2694 \clearpage
2695 \section{Signieren mit GpgOL}
2696
2697 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2698 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2699 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2700 folgende Schritte durch:
2701
2702 \begin{itemize}
2703     \item Nachricht signiert versenden
2704     \item Zertifikatsauswahl
2705     \item Signierung abschließen
2706 \end{itemize}
2707
2708 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2709
2710 %\clearpage
2711 \subsubsection{Nachricht signiert versenden}
2712
2713 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2714 Sie diese an Ihren Korrespondenzpartner.
2715
2716 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2717 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2718 Schaltfläche mit dem signierenden Stift oder alternativ den
2719 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2720
2721 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2722
2723 % screenshot: OL composer with Adele's address and body text
2724 \begin{center}
2725 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2726 \end{center}
2727
2728 Klicken Sie nun auf \Button{Senden}.
2729
2730 \clearpage
2731 \subsubsection{Zertifikatsauswahl}
2732
2733 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2734 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2735 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2736
2737 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2738 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2739 Signieren nach dem gewünschten Protokollverfahren:
2740
2741 % screenshot: kleopatra format choice dialog
2742 \begin{center}
2743 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2744 \end{center}
2745
2746 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2747 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2748 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2749 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2750 Schlüssel vorliegt:
2751
2752 % screenshot: kleopatra format choice dialog
2753 \begin{center}
2754 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2755 \end{center}
2756
2757 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2758
2759
2760 \clearpage
2761 \subsubsection{Signierung abschließen}
2762 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2763 aufgefordert, im folgenden Fenster Ihre geheime Passphrase einzugeben:
2764
2765 % screenshot: kleopatra sign dialog 2 - choose certificate
2766 \begin{center}
2767 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2768 \end{center}
2769
2770 Dies ist notwendig, denn Sie wissen:
2771 \begin{quote}
2772     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2773 \end{quote}
2774 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2775 Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das
2776 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2777 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2778
2779 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2780 Nachricht wird nun signiert und versendet.
2781
2782 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2783 Ergebnisdialog:
2784
2785 % screenshot: kleopatra sign successful
2786 \begin{center}
2787 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2788 \end{center}
2789
2790 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2791 signiert!}
2792
2793
2794 \clearpage
2795 \subsubsection{Kurz zusammengefasst}
2796 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2797 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2798
2799 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2800 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2801
2802 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2803 sicheren \Email{}-Versand: verschlüsseln und signieren.
2804
2805 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2806 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2807 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2808 \Email{} ist:
2809
2810 \begin{itemize}
2811     \item unverschlüsselt
2812     \item verschlüsselt
2813     \item signiert
2814     \item signiert und verschlüsselt (mehr dazu im
2815         Abschnitt~\ref{sec_encsig})
2816 \end{itemize}
2817
2818 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2819 S/MIME realisieren.
2820
2821 \clearpage
2822 \section{Signatur mit GpgOL prüfen}
2823 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2824 Korrespondenzpartners.
2825
2826 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2827 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2828 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2829 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2830 Zertifikatsverwaltung importiert haben (vgl.
2831 Kapitel~\ref{ch:importCertificate}).
2832
2833 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2834 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2835 Kapitel~\ref{ch:decrypt}):
2836
2837 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2838
2839 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2840 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2841
2842 % screenshot: Kleopatra - successfully verify dialog
2843 \begin{center}
2844 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2845 \end{center}
2846
2847 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2848 signierte \Email{} zu lesen.
2849
2850 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2851 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2852 Entschlüsseln/Prüfen}.
2853
2854 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2855 % TODO: ggf. Screenshot mit neg. Meldung.
2856 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2857 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2858 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2859 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2860 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2861
2862 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2863 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2864
2865 \clearpage
2866 \section{Gründe für eine gebrochene Signatur}
2867 \label{sec_brokenSignature}
2868
2869 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2870 können:
2871
2872 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2873 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2874 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2875 Inhalt oder den Betreff der \Email{} verändert.
2876
2877 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2878 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2879 auszuschließen, dass die \Email{} durch eine fehlerhafte
2880 Übertragung verändert wurde.
2881
2882 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2883 Sie immer die \Email{} erneut beim Absender an!\\
2884
2885 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2886 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2887 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2888 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2889 die Formatierungsinformationen verloren gehen, was zum Bruch der
2890 Signatur führen kann.
2891
2892 Bei Outlook 2003 und 2007 können Sie unter
2893 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2894 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2895
2896
2897 \clearpage
2898 \section{Verschlüsseln und Signieren}
2899 \label{sec_encsig}
2900
2901 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2902 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2903 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2904
2905 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2906 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2907 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2908 könnte.
2909
2910 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2911 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2912 erzeugen: die Signatur.
2913
2914 Solch eine elektronische Signatur bestätigt eindeutig die
2915 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2916 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2917 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2918 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2919
2920 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2921 verschlüsseln und signieren:
2922
2923 \begin{enumerate}
2924     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2925         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2926     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2927         öffentlichen Zertifikat des Korrespondenzpartners.
2928 \end{enumerate}
2929
2930 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2931
2932 \begin{enumerate}
2933     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2934         geheimen Schlüssel.
2935     \item Einen soliden äußeren Umschlag: die
2936         Verschlüsselung mit dem öffentlichen Zertifikat des
2937         Korrespondenzpartners.
2938 \end{enumerate}
2939
2940 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2941 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2942 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2943 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2944 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
2945 das Siegel (die elektronische Signatur) nur mit Ihrem geheimen
2946 Schlüssel kodiert worden sein.
2947
2948 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2949 ganz einfach.
2950
2951
2952 \clearpage
2953 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2954 \label{ch:archive}
2955
2956 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
2957 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
2958
2959 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
2960 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
2961 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
2962 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
2963 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
2964 aufbewahren!
2965
2966 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
2967 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
2968 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
2969
2970 Also was tun?
2971
2972 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2973 selbst!}
2974
2975 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2976 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
2977 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
2978 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
2979 lesbar machen.
2980
2981 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
2982 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
2983 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
2984 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
2985 entscheiden, an welches Zertifikat verschlüsselt werden soll.
2986
2987 \clearpage
2988 \subsubsection{Kurz zusammengefasst}
2989
2990 \begin{enumerate}
2991     \item Sie haben mit dem öffentlichen Zertifikat Ihres
2992         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
2993         damit geantwortet.
2994     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
2995         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
2996         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
2997 \end{enumerate}
2998
2999
3000 \vspace{1cm}
3001 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3002 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3003
3004 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
3005
3006 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3007 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3008 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3009 dass Sie viele spannende Dinge darin entdecken werden!
3010
3011
3012 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3013 % Part II
3014
3015 % page break in toc
3016 \addtocontents{toc}{\protect\newpage}
3017
3018 \clearpage
3019 \T\part{Für Fortgeschrittene}
3020 \W\part*{\textbf{II Für Fortgeschrittene}}
3021 \label{part:Fortgeschrittene}
3022 \addtocontents{toc}{\protect\vspace{0.3cm}}
3023
3024
3025 \clearpage
3026 \chapter{Zertifikat im Detail}
3027 \label{ch:CertificateDetails}
3028
3029 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3030 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3031 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3032 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3033 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3034 X.509-Zertifikaten. Es geht hierbei um:
3035
3036 \begin{itemize}
3037 \item die Benutzerkennung
3038 \item den Fingerabdruck
3039 \item die Schlüssel-ID
3040 \item die Gültigkeit
3041 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3042 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3043 \end{itemize}
3044
3045 \begin{description}
3046
3047 \item[Die Benutzerkennung] besteht aus dem Namen und der
3048     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3049     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3050     <heinrich@gpg4win.de>}
3051
3052     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3053     Menüpunkt \Menu{Zertifikate$\rightarrow$\linebreak
3054     Benutzerkennung hinzufügen...} Ihr Zertifikat um weitere
3055     Benutzerkennungen erweitern.  Das ist dann sinnvoll, wenn Sie
3056     z.B.  für eine weitere \Email{}-Adresse dasselbe Zertifikat nutzen
3057     möchten.
3058
3059     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3060     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3061
3062 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3063     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3064     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3065     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3066     oder auf einem X.509-Zertifikats\-server liegen.  Was
3067     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3068
3069 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3070     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3071     Zweck wie dieser. Die wesentlich geringere Länge macht die
3072     Schlüsselkennung einfacher handhabbar, 
3073     %TODO: prüfen
3074     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3075     Zertifikate mit derselben Kennung).
3076
3077 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3078     Gültigkeit und ggf. ihr Verfallsdatum. 
3079     
3080     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3081     "`Unbegrenzt"' gesetzt.  Sie können dies mit Kleopatra ändern,
3082     indem Sie auf die Schaltfläche "`Ablaufdatum ändern"' in den
3083     Zertifikatsdetails klicken -- oder das Menü
3084     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3085     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3086     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3087     auszugeben.
3088
3089     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3090     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3091     festgelegt und kann nicht vom Nutzer geändert werden.
3092
3093 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3094     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3095     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3096     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3097     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3098     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3099     Menü \Menu{Zertifikate$\rightarrow$Vertrauensstatus ändern}
3100     einstellen.
3101
3102     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3103     Für X.509-Zerti\-fikate gibt es diese Methode der
3104     Vertrauensstellung nicht.
3105
3106 \item[Die Beglaubigungen] \T\marginOpenpgp
3107     Ihres OpenPGP-Zertifikats beinhalten die
3108     Benutzerkennungen derjenigen \linebreak Zertifikatsinhaber, die
3109     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3110     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3111     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3112     Nutzern erhalten.
3113
3114     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3115     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3116     nicht.
3117
3118 \end{description}
3119
3120 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3121 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3122 neue Zertifikate erhalten oder ändern wollen.
3123
3124 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3125 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3126 \ref{ch:trust} gelesen.
3127
3128
3129 \clearpage
3130 \chapter{Die Zertifikatsserver}
3131 \label{ch:keyserver}
3132
3133 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3134 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3135 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3136 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3137 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3138
3139 Zertifikatsserver können von allen Programmen benutzt werden, die die
3140 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3141 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3142
3143 \begin{description}
3144
3145 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp 
3146     (im Englischen auch "`key server"' genannt) sind dezentral
3147     organisiert und synchronisieren sich weltweit miteinander.
3148     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3149     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3150     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3151     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3152     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3153     machen ("`Denial of Service"'-Angriff).
3154
3155     \begin{center}
3156     \htmlattributes*{img}{width=300}
3157     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3158     \end{center}
3159
3160 \item[X.509-Zertifikatsserver] \T\marginSmime
3161     werden in der Regel von den Beglaubigungsinstanzen (CAs) über LDAP
3162     bereitgestellt und manchmal auch als Verzeichnisdienste für
3163     X.509-Zertifikate bezeichnet.
3164
3165 \end{description}
3166
3167
3168 \clearpage
3169 \section{Zertifikatsserver einrichten}
3170 \label{configureCertificateServer}
3171
3172 Öffnen Sie den Konfigurationsdialog von Kleopatra:
3173 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}
3174
3175 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3176 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3177 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3178
3179 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3180 OpenPGP-Zertifikatsserver mit der Serveradresse
3181 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3182 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3183 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3184 nächsten Seite.
3185
3186 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3187 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3188 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3189 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3190 Server-Port.
3191
3192 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3193 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3194 tragen Ihre gewünschten Angaben ein.
3195
3196 Der folgende Screenshot zeigt einen konfigurierten
3197 OpenPGP-Zertifikatsserver:
3198
3199 % screenshot: Kleopatra OpenPGP certificate server config dialog
3200 \begin{center}
3201 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3202 \end{center}
3203
3204 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3205 Zertifikatsserver ist nun erfolgreich eingerichtet.
3206
3207 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3208 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3209 starten (Anleitung siehe
3210 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3211
3212 \textbf{Proxy-Einstellung:} Falls Sie einen Proxy in Ihrem Netzwerk
3213 nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
3214 "`Servername"' um den Parameter \Filename{http-proxy=<proxydomain>}
3215 ergänzen. Der vollständige Servername könnte also z.B. lauten:\\
3216 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ Kontrollieren und ggf.
3217 korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in
3218 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3219
3220 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3221 finden Sie im Abschnitt~\ref{x509CertificateServers}.
3222
3223 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3224
3225 \T\marginOpenpgp
3226 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3227 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3228
3229 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3230 \begin{itemize}
3231 \item hkp://blackhole.pca.dfn.de
3232 \item hkp://pks.gpg.cz
3233 \item hkp://pgp.cns.ualberta.ca
3234 \item hkp://minsky.surfnet.nl
3235 \item hkp://keyserver.ubuntu.com
3236 \item hkp://keyserver.pramberger.at
3237 \item http://keyserver.pramberger.at
3238 \item http://gpg-keyserver.de
3239 \end{itemize}
3240
3241 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3242 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3243 beginnen.
3244
3245 Die Zertifikatsserver unter den Adressen
3246 \begin{itemize}
3247     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3248         siehe Bildschirmfoto auf vorheriger Seite)
3249 \item hkp://subkeys.pgp.net
3250 \end{itemize}
3251 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3252 dann zufällig ein konkreter Server ausgewählt.
3253
3254 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3255 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3256 synchronisiert (Stand: August 2009).
3257
3258 \clearpage
3259 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3260 \label{searchAndImportCertificateFromServer}
3261 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3262 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3263 importieren.
3264
3265 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3266 auf Server suchen...}.
3267
3268 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3269 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3270 seine \Email{}-Adresse seines Zertifikats eingeben können.
3271
3272 % screenshot: Kleopatra certification search dialog
3273 \begin{center}
3274 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3275 \end{center}
3276
3277 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3278 auf die Schaltfläche \Button{Details...}.
3279
3280 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3281 Zertifikatssammlung einfügen möchten, selektieren Sie das
3282 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3283 \linebreak \Button{Importieren}.
3284
3285 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3286 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3287
3288 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3289 in der Zertifikatsverwaltung von Kleopatra.
3290
3291 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3292
3293 \T\marginOpenpgp
3294 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3295 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3296 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3297 unterwegs rund um die Welt.
3298
3299 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3300 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3301 nach Server exportieren...}.
3302
3303 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3304 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3305 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3306 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3307 ein "`globales"' Zertifikat.
3308
3309 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3310 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3311 Kleopatra den bereits voreingestellten Server
3312 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3313
3314
3315
3316 \clearpage
3317 \chapter{Dateianhänge verschlüsseln}
3318
3319 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3320 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3321 verschlüsselt werden.
3322
3323 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3324 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3325 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3326
3327 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3328 Anhängen automatisch.}
3329
3330 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3331 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3332 unverschlüsselt mitgesendet.
3333
3334 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3335 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3336 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3337 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3338 beschrieben ist.
3339
3340
3341 \clearpage
3342 \chapter{Dateien signieren und verschlüsseln}
3343 \label{ch:EncFiles}
3344
3345 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3346 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3347
3348 \begin{itemize}
3349   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3350       Zertifikats, um sicherzugehen, dass die Datei unverändert
3351       bleibt.
3352
3353   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3354       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3355       geheim zu halten.
3356 \end{itemize}
3357
3358 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3359 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3360 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3361 genau funktioniert.
3362
3363 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3364 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3365 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3366 gesondert darum zu kümmern.
3367
3368 \clearpage
3369 \section{Dateien signieren und prüfen}
3370 \label{sec_signFile}
3371
3372 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3373 Geheimhaltung, sondern auf die Unverändertheit (Integrität) der Datei
3374 an.
3375
3376 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3377 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3378 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3379 Kontextmenü:
3380
3381 % screenshot GpgEX contextmenu sign/encrypt
3382 \begin{center}
3383 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3384 \end{center}
3385
3386 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3387
3388 \clearpage
3389 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
3390
3391 % screenshot sign file, step 1
3392 \begin{center}
3393 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
3394 \end{center}
3395
3396 Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII armor)}
3397 aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
3398 \Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
3399 Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
3400 dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
3401 kennen.
3402
3403 Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
3404 einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
3405 Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
3406 angesehen werden.
3407
3408
3409 Klicken Sie anschließend auf \Button{Weiter}.
3410
3411 \clearpage
3412 Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
3413 Ihr geheimes (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
3414 Datei signieren möchten.
3415
3416 % screenshot sign file, step 2: choose sign certificates
3417 \begin{center}
3418 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
3419 \end{center}
3420
3421 Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
3422
3423 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
3424
3425 \clearpage
3426 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3427
3428 % screenshot sign file, step 3: finish
3429 \begin{center}
3430 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
3431 \end{center}
3432
3433 Sie haben damit Ihre Datei erfolgreich signiert.
3434
3435 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
3436 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
3437 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
3438 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
3439 notwendig.
3440
3441 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3442 wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
3443 OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
3444 Ergebnis möglich:
3445
3446 \begin{description}
3447     \item[OpenPGP:]~\\
3448     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
3449     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3450     ~ \small (bei Ausgabe als Text/ASCII-armor)
3451     \normalsize
3452
3453     \item[S/MIME:]~\\
3454     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
3455     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3456   &n