Reworked and merged chapter on publishing key and keyserver.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt,twoside,openright,titlepage,dvips]{scrbook}
5 \usepackage{hyperlatex}
6 \usepackage{a4wide}
7 \usepackage{times}
8 \usepackage[latin1]{inputenc}
9 \usepackage[T1]{fontenc}
10 \usepackage{german}
11 \usepackage{graphicx}
12 \usepackage{alltt}
13 \usepackage{moreverb}
14 \usepackage{fancyhdr}
15 \W\usepackage{rhxpanel}
16 \W\usepackage{sequential}
17
18
19 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
20
21
22 % Hyperref should be among the last packages loaded
23 \usepackage{hyperref}
24
25 % Macros specific to this package
26 \input{macros.tex}
27 \newcommand{\manualversion}{\manualversionEinsteiger}
28 \newcommand{\manualdate}{\manualdateEinsteiger}
29 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
30
31 \T\fancyhead{} % clear all fields
32 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \manualversion\ \manualinprogress}
33 \T\fancyhead[RO,LE]{\thepage}
34 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
35
36
37 % Title stuff 
38 \htmltitle{Gpg4win Kompendium}
39 %\htmladdress{Gpg4win Project, \today}
40 \title{
41 \IncludeImage[width=8cm]{gpg4win-logo}
42 \\
43 Das Gpg4win Kompendium}
44
45 \author{\htmlonly{\xml{p}\small
46 \xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
47 Zu \xlink{Gpg4win für Durchblicker}{durchblicker.html}\xml{br}
48 Zu \xlink{Englische Version dieses Handbuchs}{novices.html}\xml{br}
49 Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
50 }%
51 Eine Veröffentlichung des Gpg4win Projekts\\
52   \small Basierend auf einem Original von 
53 \T\\
54   \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
55 \T\\
56   \small Dr. Francis Wray und Ute Bahn.
57 \T\\ \
58   \small Überarbeitet von
59 \T\\
60   \small Werner Koch}
61 \date{Version \manualversion\ vom \manualdate\ \manualinprogress}
62
63
64 \begin{document}
65 \thispagestyle{empty}
66 \pagestyle{fancy}
67 \T\parindent0cm
68 \T\parskip\medskipamount
69
70
71 \maketitle
72
73
74 \section*{Impressum}
75
76 \noindent
77 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
78 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
79 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
80 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
81 werden.}\\
82 Copyright \copyright{} 2005 g10 Code GmbH\\
83 Permission is granted to copy, distribute and/or modify this document
84 under the terms of the GNU Free Documentation License, Version 1.2 or
85 any later version published by the Free Software Foundation; with no
86 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
87 copy of the license is included in the section entitled "`GNU Free
88 Documentation License"'.
89
90 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
91 oben stehenden Hinweises.]}\\
92 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
93 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
94 Documentation License, Version 1.2 oder einer späteren, von der Free
95 Software Foundation veröffentlichten Version.  Es gibt keine
96 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
97 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
98 License"' findet sich im Anhang mit dem gleichnamigen Titel.
99 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
100 http://www.gnu.org/licenses/translations.html.
101
102 %%\htmlonly{Die aktuelle PDF Version dieses Dokuments finden sie unter
103 %%\xlink{\EinsteigerPDFURL}{\EinsteigerPDFURL}.}
104
105 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
106 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
107 sondern für jedermann.
108
109
110
111 \clearpage %% End of original page 4.
112
113 \tableofcontents
114
115 %%\clearpage
116 %% Orginal page  6
117 %% We don't use these foreword anymore because Mr. Müller is not
118 %% anymore minister of economic and technology.  We might want to ask
119 %% for a new foreword by the current head of that ministr
120 %%
121
122 \clearpage
123 %% Orginal page 7
124 \chapter*{Über dieses Handbuch}
125 \T\addcontentsline{toc}{chapter}{Über dieses Handbuch}
126
127
128 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
129
130 \begin{itemize}
131
132 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
133     Schnelleinstieg in Gpg4win.
134
135 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
136     Das Hintergrundwissen für Gpg4win.
137
138 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
139   Entschlüsselung so oft üben können, wie Sie wollen.
140 \end{itemize}
141
142
143 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
144 und knapp durch die Installation
145 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
146 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
147 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
148 etwa eine halbe Stunde Zeit nehmen.
149
150 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
151 liefert Hintergrundwissen, das Ihnen die
152 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
153 seltener benutzten Fähigkeiten erläutert.
154
155 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
156 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
157 der angegebenen Reihenfolge lesen.
158
159
160 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
161 Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
162 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
163 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
164 Gebrauch der Software vertraut gemacht haben.
165
166 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
167 läuft dort noch immer. "`Gpg4win für Einsteiger"' verwendet diesen
168 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
169 für den Betrieb von Adele.
170
171
172
173
174
175 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
176 % Part I
177
178 \clearpage
179 \part{Einsteiger}
180 \label{part:Einsteiger}
181 \addtocontents{toc}{\protect\vspace{0.3cm}}
182  
183 %% Orginal page 8
184 \chapter{Was ist Gpg4win?}
185 \input{was-ist-gpg4win.tex}
186
187 \clearpage
188 %% Orginal page 9
189 \chapter{Sie installieren Gpg4win}
190
191 Sollte bereits eine GnuPG basierte Anwendung, wie z.B. GnuPP, GnuPT,
192 WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
193 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
194 wie Sie Ihre vorhandenen Schlüssel übernehmen können.
195
196 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
197
198 Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs
199 und melden Sie sich als Administrator an.  Öffnen Sie
200 Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM- Icon mit
201 dem Titel "`Gpg4win"'. Wenn sich das CD-ROM-Icon geöffnet hat, klicken
202 Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
203
204 Haben Sie Gpg4win aus dem Internet heruntergeladen, so klicken Sie
205 bitte auf diese neu abgespeicherte Datei, die den Namen
206 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
207 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
208 einer vertrauenswürdigen Seite erhalten haben.
209
210 Die weitere Installation ist dann identisch:
211
212 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
213 mit \Button{Ja}.
214
215 Es begrüßt Sie dieser Screen:
216
217 \T\enlargethispage{2\baselineskip}
218 % screenshot:  Welcome Seite Installer
219 \begin{center}
220 \IncludeImage{sc-inst-welcome}
221 \end{center}
222
223 Beenden Sie alle möglicherweise auf Ihrem Rechner laufenden Programme,
224 und klicken Sie dann auf \Button{Weiter}.
225
226 \clearpage
227 %% Orginal page 10
228
229 Auf der Seite mit dem Lizenzabkommen, können Sie Informationen zu den
230 Lizenzen dieser Software lesen. 
231
232 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
233 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
234 zu lesen.  
235
236 Geben Sie allerdings diese Software weiter oder wollen Sie sie
237 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
238 machen.  
239
240 % Screenshot Lizenzseite des Installers
241 \begin{center}
242 \IncludeImage{sc-inst-license}
243 \end{center}
244
245
246 Klicken Sie auf \Button{Weiter}.
247
248
249 \clearpage
250 %% New page (not in original document)
251
252 Auf der Seite mit der Komponentenauswahl können
253 Sie entscheiden, welche Programme Sie installieren
254 möchten.
255
256 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
257 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
258 Entscheidung hilft.
259
260 Die Anzeige des benötigen Speichers auf der Festplatte
261 hilft Ihnen vielleicht ebenfalls weiter.
262
263 % sreenshot Auswahl zu installierender Komponenten
264 \begin{center}
265 \IncludeImage{sc-inst-components}
266 \end{center}
267
268 Sinnvoll ist es, mindestens GnuPG, GPA, WinPT und die Handbücher
269 zu installieren. Den Rest können Sie bei Bedarf auch später installieren.
270
271 Klicken Sie auf \Button{Weiter}.
272
273
274 \clearpage
275 %% Original page 11
276
277 In der nun folgenden Dateiauswahl können Sie einen Ordner auf Ihrem PC
278 aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
279 Normalfall den voreingestellten Ordner\\
280 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
281 übernehmen.
282
283 % screenshot: Auswahl des Installationsverzeichnis.
284 \begin{center}
285 \IncludeImage{sc-inst-directory}
286 \end{center}
287
288 Klicken Sie anschließend auf \Button{Weiter}.
289
290 \clearpage
291
292 Auf der folgenden Seite können Sie festlegen, welche Verknüpfungen
293 installiert werden.  Voreingestellt ist lediglich eine Verknüpfung mit
294 dem Startmenü.  Bitte beachten Sie, daß sie diese Verknüpfungen auch
295 jederzeit später mit den Bordmitteln von Windows verändern können.
296
297 % screenshot: Auswahl des Links
298 \begin{center}
299 \IncludeImage{sc-inst-options}
300 \end{center}
301
302 Klicken Sie anschließend auf \Button{Weiter}.
303
304 \clearpage
305 %% Original page 12
306
307 Falls Sie auf der vorhergehenden Seite eine Verknüpfung mit dem
308 Startmenü ausgewählt haben (dies ist die Voreinstellung), so wird
309 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
310 Startmenüs auswählen können.
311
312 % screenshot:  Startmenu auswählen
313 \begin{center}
314 \IncludeImage{sc-inst-startmenu}
315 \end{center}
316
317 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
318 klicken dann auf \Button{Installieren}.
319
320 \clearpage
321
322 Während der nun folgenden Installation sehen Sie einen
323 Fortschrittsbalken und Informationen, welche Datei momentan
324 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen} drücken
325 um ein Protokoll der Installation sichtbar zu machen.
326
327 % Screenshot: Ready page Installer
328 \begin{center}
329 \IncludeImage{sc-inst-ready}
330 \end{center}
331
332 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
333 \Button{Weiter}.
334
335 \clearpage
336 %% Original page 13
337
338 Die letzte Seite des Installationsvorgangs wird nun angezeigt:
339
340 % Screenshot: Finish page Installer
341 \begin{center}
342 \IncludeImage{sc-inst-finished} 
343 \end{center}
344
345 Klicken Sie auf \Button{Fertig stellen}.
346
347 \clearpage
348
349 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
350 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
351
352 % Screenshot: Finish page Installer with reboot
353 \begin{center}
354 \IncludeImage{sc-inst-finished2}
355 \end{center}
356
357 Sie können hier auswählen, ob Windows sofort neu gestartet werden
358 soll oder später manuell. 
359
360 Klicken Sie hier auch auf \Button{Fertig stellen}.
361
362
363 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
364 % Outlook ausschaltet.
365
366 \clearpage
367 %% Original page 14
368
369 \textbf{Das war's schon!}
370
371 Sie haben Gpg4win installiert und können es gleich zum ersten Mal
372 starten.
373
374 Vorher sollten Sie aber im Handbuch "`Gpg4win für Durchblicker"'
375 (PDF-Datei) die Kapitel 3 und 4 lesen. Wir erklären dort den genialen
376 Trick, mit dem Gpg4win Ihre \Email{}s sicher und bequem verschlüsselt.
377 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
378 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
379 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
380 vor sich geht.
381
382 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
383
384 Weiter geben wir Ihnen dort einige Tipps, mit denen Sie sich einen sicheren
385 und trotzdem leicht zu merkenden Passphrase ausdenken können.
386
387 \textbf{Bevor Sie weiterlesen und im Kapitel~\ref{ch:CreateKeyPair} mit
388 der Schlüsselpaarerzeugung beginnen, ist es wichtig zu verstehen, wie
389 Gpg4win funktioniert und warum die Passphrase dabei so bedeutend ist.
390 Lesen Sie dazu bitte jetzt die Kapitel~\ref{ch:FunctionOfGpg4win} und
391 \ref{ch:passphrase}.}
392
393 \textbf{Für Informationen zur automatischen Installation von Gpg4win (wie sie
394 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
395 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
396 weiter.}
397
398 \clearpage
399 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
400 \label{ch:openpgpsmime}
401
402 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
403 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
404 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
405 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
406
407 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Daten-Übertragung
408 sind 2 Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
409 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
410 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
411
412 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
413 und zwar das Public-Key-Verfahren. Was heisst das?
414
415 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
416 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
417 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
418 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
419 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
420 \textbf{"`Geheimer Schlüssel"'}).
421
422 Klingt zwar komisch wann man an echte Schlösser denkt, aber bei
423 Software löst diese Idee das Problem, dass ich meinen Schlüssel
424 für jeden Empfänger aus der Hand geben müsste.
425 Denn normalerweise muss der Schlüssel zum Verschlüsseln/Abschließen auch
426 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also muss ich Ihnen,
427 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
428 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
429 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
430 grosses Problem.
431
432 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
433 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
434 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
435 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
436 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
437 würde.
438
439 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
440 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung (vgl.
441 Kapitel~\ref{ch:CreateKeyPair}).
442
443 \textbf{Falls Sie sich fragen, wie das Public-Key-Verfahren so funktionieren kann, und
444 warum das sicher ist, lesen Sie jetzt die Kapitel~\ref{ch:themath} und
445 \ref{ch:secretGnupg}.}
446
447 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
448 Geheimnisse verstehen. Viel Spaß beim Entdecken.
449
450 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
451
452 Der wesentlichste \textbf{Unterschied zwischen OpenPGP und S/MIME} liegt
453 im Bereich der Authentifizierung.
454 Um die Authentizität des Absenders festzustellen, ist bei S/MIME
455 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
456 unzweifelhaft beglaubigt.
457 Das heisst, dass ich meinen Schlüssel von einer dazu
458 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
459 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
460 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
461 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
462 man hierarchisches Vertrauenskonzept. Zumeist ist die Kette nur 3 Elemente
463 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
464 Wurzel zertifiziert CA, CA zertifiziert Anwender.
465
466 Im Gegensatz dazu erlaubt OpenPGP neben dieser baumartigen Zertifizierung
467 zusätzlich auch eine direkte "`\textbf{peer-to-peer}"' Zertifizierung (Anwender A zertfiziert
468 Anwender B, B zertifiziert A und C usw.) und macht damit
469 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
470 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
471 also die Möglichkeit, ohne eine Zertifizierung einer höheren Stelle verschlüsselte Daten und
472 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
473 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
474
475 \textbf{Nähere Informationen zu Authentifizierungswegen wie zum Beispiel
476 Web-of-Trust finden Sie im Kapitel~\ref{ch:FunctionOfGpg4win}.}
477 %TODO#: Verweis korrekt? Nichts über web-of-trust. Verweis kam oben
478 %schon einmal.
479
480
481 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
482 ~\\
483 Zusammengefasst bedeutet das für Sie:
484 \begin{itemize}
485 \item sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
486  bieten,
487 \item aber Sie sind \textbf{nicht kompatibel} miteinander, so dass die geheime
488         Kommunikation und die Authentifizierung nicht interoperabel sind.
489 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
490 \textbf{ parallele } Nutzung beider Systeme.
491 \end{itemize}
492
493 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
494 Sorgen, in den folgenden Kapiteln wird jeder Schritt von der Installation bis
495 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
496 mit S/MIME detailliert erklärt. Außerdem weisen Sie besondere Symbole für OpenPGP und S/MIME auf
497 Erklärungen zu den verschiedenen Konzepten hin, so dass immer sofort ersichtlich ist,
498 zu welchem Konzept welche Erklärung gehört.
499
500 \begin{center}
501 \IncludeImage{openpgp-icon}
502 \IncludeImage{smime-icon}
503 \end{center}
504
505 \clearpage
506 %% Original page 15
507 \chapter{Sie erzeugen Ihr Schlüsselpaar}
508 \label{ch:CreateKeyPair}
509
510 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
511 (Kapitel \ref{ch:themath}, Seite \pageref{ch:themath})
512 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
513 entsteht (Kapitel \ref{ch:passphrase}, Seite \pageref{ch:passphrase}),
514 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
515
516 Ein Schlüsselpaar besteht, wie wir im letzten Kapitel gelernt haben,
517 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
518 Das gilt sowohl für OpenPGP wie auch für S/MIME (X.509).
519
520 ~\\
521 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
522 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
523
524 Genau das können Sie tun - und zwar für OpenPGP:
525
526 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
527 Sie können den gesamten Ablauf der Schlüsselerzeugung,
528 Verschlüsselung und Entschlüsselung durchspielen,
529 so oft Sie wollen, bis Sie ganz sicher sind.
530
531 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
532 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
533 Problem mehr sein.
534
535 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
536
537 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
538 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
539 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
540 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
541 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
542
543
544 \clearpage
545 %% Original page 16
546 \textbf{Los geht's!}
547 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
548
549 % TODO screenshot Startmenu with Kleopatra highlighted
550 \begin{center}
551 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
552 \end{center}
553
554 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
555 Zertifikatsverwaltung:
556
557 % TODO screenshot: Kleopatra main window
558 \begin{center}
559 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
560 \end{center}
561
562 Zu Beginn ist diese Übersicht leer, da wir noch keine 
563 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
564 nachholen:
565
566 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
567 Im folgenden Dialog entscheiden Sie sich für ein Format,
568 für das anschließend ein Zertifikat erstellt werden soll.
569 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
570 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
571 Seite \pageref{ch:openpgpsmime}.
572
573 \label{chooseCertificateFormat}
574 % TODO screenshot: Kleopatra - New certificate - Choose format
575 \begin{center}
576 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
577 \end{center}
578
579 %% Original page 17
580
581 Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
582 gliedert sich an dieser Stelle in zwei Abschnitte: 
583 \textbf{OpenPGP-Schlüsselpaar erstellen}  und 
584 \textbf{X.509-Schlüsselpaar erstellen}.
585 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
586 Sie sich oben entschieden haben.
587
588
589
590
591
592 %% OpenPGP %%
593 %% Original page 18
594 \section*{OpenPGP-Schlüsselpaar erstellen}
595
596 Klicken Sie im obigen Auswahldialog auf 
597 %TODO:german
598 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
599
600 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
601
602 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
603 \Email{}-Adresse an.
604
605 % TODO screenshot: New Certificate - Personal details
606 \begin{center}
607 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
608 \end{center}
609
610
611 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
612 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
613 \Email{}-Adresse eingeben, z.B. "`Heinrich Heine"' und "`\verb-heinrichh@gpg4win.de-"'.
614
615 Optional können Sie einen Kommentar zum Schlüssel eingeben.
616 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
617 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
618 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
619 Name und die \Email{}-Adresse später öffentlich sichtbar.
620
621 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
622 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
623 über die Details informieren.
624
625 \clearpage
626 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
627 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
628 (voreingestellten) Experten-Einstellungen interessieren, können Sie
629 diese über die Option
630 % TODO:german
631 \textit{Show all details} einsehen.
632
633 % TODO screenshot: New Certificate - Review Parameters
634 \begin{center}
635 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
636 \end{center}
637
638 Sofern alles korrekt ist, klicken Sie anschließend auf 
639 %TODO:german
640 \Button{Create Key}. 
641
642
643 \clearpage
644 %% Original page 19
645 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
646
647 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
648 Passphrase einzugeben:
649
650 %TODO screenshot: New certificate - pinentry
651 \begin{center}
652 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
653 \end{center}
654
655 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
656 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
657 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
658 Sicherheit Ihrer Passphrase ernst!
659
660 Sie sollten nun eine geheime, einfach zu merkende und schwer
661 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
662
663 %TODO#: ist derzeit nich so:
664 %Falls die Passphrase nicht sicher genug sein sollte, werden Sie
665 %darauf hingewiesen.
666
667 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
668 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
669
670 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
671 Ihre Eingabe jeweils mit \Button{OK}.\\
672
673
674 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
675 % TODO screenshot: New Certificate - Create Key
676 \begin{center}
677 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
678 \end{center}
679
680 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
681 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
682 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
683 %TODO# ggf. noch mehr erläutern!
684
685 \clearpage
686 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
687 erhalten Sie folgenden Dialog:
688
689 %TODO screenshot: New certificate - key successfully created
690 \begin{center}
691 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
692 \end{center}
693
694 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
695 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
696 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
697 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
698 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
699 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
700 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
701
702 Sie brauchen sich die
703 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
704 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
705
706 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
707 drei Möglichkeiten durchführen:
708 \begin{description}
709     \item[Erstellen Sie eine Sicherungskopie Ihres
710         OpenPGP-Schlüsselpaares.]
711         %TODO#: Paar od. geheimer Schluessel? Dateiformat?
712     
713     ~\\Klicken Sie dazu auf den Button
714     %TODO:german
715     \Button{Make a Backup Of Your Certificate...}
716
717     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
718     exportiert werden soll:
719
720     % TODO screenshot: New certificate - export key
721     \begin{center}
722     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
723     \end{center}
724
725     Klicken Sie anschließend auf
726     \Button{OK}. 
727
728     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
729     abgespeichert haben, so sollten Sie
730     baldmöglichst diese Datei auf einen anderen Datenträger (USB
731     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
732     löschen. Bewahren Sie diesen Datenträger sicher auf. 
733
734     Sie können eine Sicherungskopie auch jederzeit später anlegen;
735     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
736     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} 
737
738     \item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
739     ~\\Klicken Sie auf den Button 
740     %TODO:german
741     \Button{Send Certificate By EMail}.
742
743     Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
744     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
745     selbstversändlich \textit{nicht} versendet.
746     Geben Sie eine Empfänger-\Email{}-Adresse an und
747     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
748
749     %TODO# Wird hier nur der öffentliche Schlüssel versendet?
750
751     % ggf TODO screenshot: New certificate - send openpgp key per email
752    \begin{center}
753    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
754    \end{center}
755
756
757     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
758     ~\\Klicken Sie auf 
759     %TODO:german
760     \Button{Upload Certificate To Directory Service...}
761     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
762     Verzeichnisdienst in Kleopatra konfiguriert haben.
763
764     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
765     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
766
767     %TODO#: Mehr Erläuterungen nötig?  
768
769 \end{description}
770
771 ~\\
772 Beenden Sie anschließend den Kleopatra-Assistenten mit
773 %TODO:german
774 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
775 abzuschließen.
776
777 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
778 auf Seite~\pageref{finishKeyPairGeneration}. Von da an
779 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
780
781
782
783 %% X.509 %%
784 %% Original page 21
785 \clearpage
786 \section*{X.509-Schlüsselpaar erstellen \margin{\IncludeImage[width=1.5cm]{smime-icon}} }
787
788 Klicken Sie im Zertifikatsformat-Auswahldialog von
789 Seite~\pageref{chooseCertificateFormat} auf
790 %TODO:german
791 \Button{Create a personal X.509 key pair and certification request}.
792 %TODO# ggf "vgl. Abb"
793
794
795
796 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
797 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
798 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
799
800 % TODO screenshot: New X.509 Certificate - Personal details
801 \begin{center}
802 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
803 \end{center}
804
805
806 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
807 machen Sie beliebige Angaben für Name, Organisation und
808 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
809 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
810 "`\verb-heinrichh@gpg4win.de-"'.
811
812 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
813 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
814 über die Details informieren.
815
816 \clearpage
817 Es werden nun noch einmal alle Eingaben und Einstellungen zur
818 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
819 (voreingestellten) Experten-Einstellungen interessieren, können Sie
820 diese über die Option
821 % TODO:german
822 \textit{Show all details} einsehen.
823
824 % TODO screenshot: New Certificate - Review Parameters
825 \begin{center}
826 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
827 \end{center}
828
829 Sofern alles korrekt ist, klicken Sie anschließend auf 
830 %TODO:german
831 \Button{Create Key}. 
832
833
834 \clearpage
835 %% Original page 19
836 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
837
838 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
839 Passphrase einzugeben:
840
841 %TODO screenshot: New certificate - pinentry
842 \begin{center}
843 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
844 \end{center}
845
846 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
847 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
848 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
849 Sicherheit Ihrer Passphrase ernst!
850
851 Sie sollten nun eine geheime, einfach zu merkende und schwer
852 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
853
854 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
855 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
856
857 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
858 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
859
860 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
861 Ihre Eingabe jeweils mit \Button{OK}.\\
862
863
864 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
865 % TODO screenshot: New Certificate - Create Key
866 \begin{center}
867 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
868 \end{center}
869
870 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
871 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
872 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
873 %TODO# ggf. noch mehr erläutern!
874
875 \clearpage
876 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
877 erhalten Sie folgenden Dialog:
878
879 %TODO screenshot: New certificate - key successfully created
880 \begin{center}
881 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
882 \end{center}
883
884
885 Als nächstes \textit{können} Sie einen (oder mehrere) der folgenden
886 drei Möglichkeiten durchführen:
887 \begin{description}
888     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
889     ~\\Klicken Sie dazu auf den Button 
890     %TODO:german
891     \Button{Save Request To File...}
892
893     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
894     gespeichert werden soll. Als Dateiendung wählen Sie *.p10 und
895     bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
896     auf verschiedene Weise an eine Zertifizierungsstelle geben.
897
898     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
899     ~\\Klicken Sie auf den Button 
900     %TODO:german
901     \Button{Send Certificate By EMail}.
902
903     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
904     Zertifizierungs-Anfrage im Anhang.
905     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
906     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
907     vorbereiteten Text dieser \Email{}.
908
909     % ggf TODO screenshot: New certificate - send openpgp key per email
910    \begin{center}
911    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
912    \end{center}
913     
914     %TODO#:korrekt?
915     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
916     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
917     X.509-Zertifikat.
918 \end{description}
919
920 \clearpage
921 Beenden Sie anschließend den Kleopatra-Assistenten mit 
922 %TODO:german
923 \Button{Finish}.
924
925 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
926 auf der nächsten Seite. Von nun an
927 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
928
929
930 \clearpage
931 %% Original page 23
932
933 \section*{Schlüsselpaar-Erstellung abgeschlossen}
934 \label{finishKeyPairGeneration}
935
936 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
937 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
938
939 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
940 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
941 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
942 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
943
944 %TODO screenshot: Kleopatra with new openpgp certificate
945 \begin{center}
946 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
947 \end{center}
948
949 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
950 nachlesen zu können:
951
952 %TODO screenshot: details of openpgp certificate
953 \begin{center}
954 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
955 \end{center}
956
957 Was bedeuten die einzelnen Zertifikatsdetails? 
958
959 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
960 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
961 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
962
963 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
964 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
965 %TODO# DSA erklären
966
967 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
968 Kapitel~\ref{KeyDetails}. 
969 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
970 Informationen benötigen.}
971
972
973
974 \clearpage
975 %% Original page 24
976
977 \chapter{Sie veröffentlichen Ihr Zertifikat}
978
979 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
980 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
981 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
982 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
983 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
984
985 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
986 Zertifikate von Ihren Korrespondenzpartnern haben --- je mehr, desto besser.
987
988 Denn:
989
990 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
991 das Zertifikat des anderen besitzen und benutzen. Natürlich
992 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
993 kann, wie zum Beispiel Gpg4win.}
994
995 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
996 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
997
998 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
999 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1000 benutzen.
1001
1002 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1003 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1004 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1005 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
1006 beispielsweise ...
1007
1008 \begin{itemize}
1009     \item ... direkt per \textbf{\Email{}} an bestimmte
1010     Korrespondenzpartner (vgl. Abschnitt~\ref{publishPerEmail}).
1011     \item ... auf einem \textbf{OpenPGP-Schlüsselserver};
1012     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{publishPerKeyserver}).
1013     \item ... über die eigene Homepage.
1014     \item ... persönlich, z.B. per USB-Stick.
1015 \end{itemize}
1016
1017 Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
1018 näher anschauen.
1019
1020 %% Original page 25
1021 \clearpage
1022 \section{Veröffentlichen per \Email{}}
1023 \label{publishPerEmail}
1024
1025 Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1026 Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
1027 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1028 Abschnitt.
1029
1030 ~\\
1031 Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
1032 Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
1033 Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
1034 X.509-Zertifikaten finden Sie auf
1035 Seite~\pageref{publischPerEmailx509}.}
1036 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1037
1038 \textbf{Adele}
1039 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1040 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1041 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1042 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1043 vorgestellt:
1044
1045 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1046 \begin{center}
1047 \IncludeImage{adele01}
1048 \end{center}
1049
1050 Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
1051 diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
1052 eine \Email{} an Sie und sendet sie zurück.
1053
1054 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1055 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1056 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1057
1058 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1059 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1060 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1061 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1062 Adressat wahrscheinlich ziemlich übel nehmen würde.
1063
1064 Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
1065 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1066
1067
1068 \clearpage
1069 %% Original page 26
1070
1071
1072
1073 \subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
1074
1075 Selektieren Sie in Kleopatra das zu exportierende Zertifikat
1076 (durch Klicken auf die entsprechende Zeile in der Liste der
1077 Zertifikate) und klicken Sie dann auf
1078 \Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
1079 Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
1080 speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
1081 z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1082
1083 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1084 dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
1085 -- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
1086 Schlüssel exportieren.
1087
1088
1089 %% Original page 27
1090 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
1091 Windows Explorer und wählen denselben Ordern aus, den Sie beim
1092 Exportieren angegeben haben.
1093
1094 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1095 Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
1096 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1097 und Zahlenblock:
1098
1099 % screenshot: Editor mit ascii armored key
1100 \begin{center}
1101 \IncludeImage[width=0.75\textwidth]{sc-misc-mein-key-asc}
1102 \end{center}
1103
1104
1105 \clearpage
1106 %% Original page 28
1107
1108 \subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
1109 versenden}
1110
1111 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1112 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1113 anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
1114 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1115 Schlüssel eigentlich besteht.
1116
1117 \textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
1118 Schlüssel von
1119 \begin{verbatim}
1120 -----BEGIN PGP PUBLIC KEY BLOCK-----
1121 \end{verbatim}
1122 bis
1123 \begin{verbatim}
1124 -----END PGP PUBLIC KEY BLOCK-----
1125 \end{verbatim}
1126
1127 und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
1128 Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
1129 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1130
1131 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1132 Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
1133 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
1134 Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
1135 reine Textnachrichten gesendet werden und keine HTML formatierte
1136 Nachrichten.
1137
1138 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1139 "`Copy \& Paste"'.\\
1140
1141 \textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1142 schreiben in die Betreffzeile z.B.:
1143
1144 \textit{Mein OpenPGP-Zertifikat}
1145
1146 So etwa sollte Ihre \Email{} nun aussehen:
1147
1148 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1149 \begin{center}
1150 \IncludeImage[width=0.75\textwidth]{sc-ol-send-test-key}
1151 \end{center}
1152
1153 \T\enlargethispage{2\baselineskip}
1154 Schicken Sie die \Email{} an Adele ab.
1155
1156 Nur zur Vorsicht: Natürlich
1157 sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1158 Beispieladresse als Absender haben, sondern \textit{Ihre eigene
1159   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1160 bekommen$\ldots$
1161
1162
1163 \clearpage
1164 %% Original page 29
1165 \subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
1166 versenden}
1167
1168 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1169 OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1170 versenden. Das ist oftmals das
1171 einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
1172 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1173 transparenter und leichter nachzuvollziehen ist.
1174
1175 Schreiben wir Adele nun noch einmal eine neue Mail mit der
1176 Zertifikatsdatei im Anhang:
1177
1178 Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1179 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1180 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster). 
1181 Ergänzen Sie den Empfänger
1182 (\verb-adele@gnupp.de-) und einen Betreff, z.B.
1183 \textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
1184
1185 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1186 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1187 als zu diesem Übungszweck programmiert worden.
1188
1189 Ihre fertige \Email{} sollte dann etwa so aussehen:
1190
1191 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1192 \begin{center}
1193 \IncludeImage[width=0.9\textwidth]{sc-ol-send-test-key}
1194 \end{center}
1195
1196 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1197
1198 \clearpage
1199 \subsubsection{Fassen wir kurz zusammen...}
1200
1201 Sie haben Ihr OpenPGP-Zertifikat in
1202 Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
1203 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1204 komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
1205 wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
1206
1207 Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
1208 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1209 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1210 Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
1211 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1212 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1213 (z.B. Kleopatra) importieren kann.
1214 %TODO: ggf Verweis auf Zertifikats-Import
1215
1216 ~\\\label{publischPerEmailx509}
1217 Nachdem Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
1218 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1219 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1220 Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1221 Kapitel~\ref{ch:openpgpsmime}).
1222
1223 Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
1224 Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1225 \textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
1226
1227 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1228 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1229 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1230 aussuchen oder Sie schreiben testweise an sich selber.
1231
1232 Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
1233 die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
1234 Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
1235 eine Datei abspeichern wollen. Ersteres empfiehlt sich immer dann,
1236 wenn Sie nicht genau wissen, ob Ihr Korrespondenzpartner Ihr
1237 Wurzelzertifikat schon besitzt.
1238
1239
1240 \clearpage
1241 %% Original page 30
1242 \section{Veröffentlichen per Schlüsselserver}
1243 \label{publishPerKeyserver}
1244
1245 \textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
1246 Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
1247 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1248
1249 Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
1250 internationalen Schlüsselserver bietet sich eigentlich
1251 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1252 \Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
1253 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1254 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1255 Korrespondenzpartner.
1256
1257
1258 \textsc{Vorsicht: Die Veröffentlichung Ihrer \Email{}-Adresse
1259 auf einem Keyserver birgt leider das Risiko, dass Ihnen
1260 auch ungebetene Personen \Email{}s schreiben können und die
1261 SPAM-Menge für Ihre \Email{}-Adresse dadurch zunehmen kann.
1262 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1263 Falls Sie keinen wirksamen Spamfilter benutzen,
1264 sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1265 Keyserver absehen.}
1266
1267 ~\\
1268 \textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
1269 Menü auf
1270 %TODO:german
1271 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
1272
1273 Sofern Sie noch keinen Schlüsselserver
1274 definiert haben, bekommen Sie eine Warnmeldung:
1275
1276 % screenshot: GPA export key to keyserver
1277 \begin{center}
1278 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1279 \end{center}
1280
1281 Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
1282 \texttt{keys.gnupg.net} bereits voreingestellt.
1283 Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
1284 diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
1285 verbundenen Keyserver weitergereicht.
1286 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
1287 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1288
1289 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1290 Übungsschlüssel bitte nicht ab.  Er ist wertlos und kann nicht
1291 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1292 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1293 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1294
1295 \clearpage
1296 \subsubsection{Fassen wir kurz zusammen$\ldots$}
1297 Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
1298 Schlüsselserver im Internet veröffentlichen.
1299
1300 \textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
1301   Schlüsselservern suchen und finden, beschreiben wir im
1302   Kapitel~\ref{ch:keyserver}.
1303   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1304   Funktion benötigen.}
1305
1306
1307
1308 \clearpage
1309 %% Original page 31
1310 \chapter{Sie entschlüsseln eine \Email{}}
1311
1312 Adele erhält nun Ihren öffentlichen Schlüssel, verschüsselt damit eine
1313 \Email{} und sendet sie an Sie zurück.  Nach kurzer Zeit erhalten Sie
1314 Adeles Antwort.
1315
1316 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1317
1318 % cartoon: Adele typing and sending a mail
1319 \begin{center}
1320 \IncludeImage{adele02}
1321 \end{center}
1322
1323
1324 \clearpage
1325 %% Orginal page 32
1326 So sieht sie aus:
1327
1328 \begin{verbatim}
1329 From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1330 Subject: Re: mein öffentlicher Schlüssel
1331 To: heinrichh@duesseldorf.de
1332 Date: Thu, 12 Jan 2006 09:17:28 +0100
1333
1334 -----BEGIN PGP MESSAGE-----
1335 Version: GnuPG v1.4.1 (GNU/Linux)
1336
1337 hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1338 QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1339 NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1340 ....
1341 ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1342 A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1343 bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1344 =VCHb
1345 -----END PGP MESSAGE-----
1346 \end{verbatim}
1347
1348 (Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1349 stark gekürzt.)
1350
1351 \clearpage
1352 %% Original page 33
1353
1354 \textbf{Diese \Email{} werden Sie nun mit dem Programm WinPT entschlüsseln.}
1355
1356 WinPT ist ein sogenanntes "`Frontend"' für GnuPG. Es dient zur
1357 eigentlichen Ver- und Entschlüsselung der \Email{}s und zur Erzeugung
1358 und Überprüfung von digitalen Unterschriften. Und zwar ­-- und das ist
1359 einer seiner Vorteile ­-- mit jedem beliebigen Mailprogramm.
1360
1361 Für die meisten Mailprogramme --­ z.B. MS Outlook für Windows, gibt es
1362 außerdem spezielle PlugIns, mit denen die Ver- und Entschlüsselung
1363 direkt im jeweiligen Mailprogramm erledigt werden kann.
1364
1365 \textbf{Hinweise zu diesen Lösungen finden Sie im
1366   Kapitel~\ref{ch:plugins}. Sie können dieses Kapitel jetzt lesen oder später, wenn
1367   Sie diese Funktion benötigen. }
1368
1369 WinPT hat dagegen den Vorteil, dass es nicht mit einem bestimmten,
1370 sondern mit jedem Mailprogramm funktioniert. Es erledigt nämlich
1371 die Ver- und Entschlüsselung einfach im Speicher des Rechners. Das
1372 bedeutet, dass man den Text, der ver- oder entschlüsselt werden soll,
1373 zunächst in die Zwischenablage des Rechners zu kopieren ist.
1374
1375 Markieren Sie also den gesamten Text aus Adeles \Email{} und kopieren Sie ihn
1376 mit dem entsprechenden Menübefehl oder Tastaturkürzel (Strg+C).
1377
1378 Damit haben Sie den Schlüssel in den Speicher Ihres Rechners ­-- bei
1379 Windows Zwischenablage oder Clipboard genannt ­-- kopiert.
1380
1381
1382 \clearpage
1383 %% Original page 34
1384 Starten Sie nun WinPT aus dem Windows-Startmenü:
1385
1386 % screenshot: startmenu Auswahl winpt
1387 \begin{center}
1388 \IncludeImage[width=0.7\textwidth]{sc-winpt-startmenu}
1389 \end{center}
1390
1391 Während WinPT startet, erscheint kurz ein Hinweis darauf, dass das
1392 Programm die bereits vorhandenen Schlüssel einlädt.
1393
1394 Nachdem das Programm gestartet wurde, sehen Sie unten rechts in der
1395 Windows-Taskleiste das Schlüsselsymbol von WinPT:
1396
1397 % screenshot: taskbar rechts mit WinPT icon
1398 \begin{center}
1399 \IncludeImage{sc-winpt-trayicon}
1400 \end{center}
1401
1402
1403 \clearpage
1404 %% Original page 35
1405 Klicken Sie mit der rechten Maustaste auf dieses Icon.  Daraufhin
1406 öffnet sich das WinPT-Menü. Hier klicken Sie auf
1407 \Menu{Zwischenablage$\rightarrow$Entschlüsseln/Überprüfen}.
1408
1409 Es erscheint dieser Dialog: Geben Sie nun Ihre geheime Passphrase
1410 ein. Adeles \Email{} wird nun entschlüsselt.
1411
1412 % screenshot: WinPT decryption dialog
1413 \begin{center}
1414 \IncludeImage[width=0.7\textwidth]{sc-winpt-clip-decrypt}
1415 \end{center}
1416
1417 Kurz darauf erscheint ein kurzer Hinweis, dass die Entschlüsselung
1418 beendet ist.
1419
1420 \clearpage
1421 %% Original page 36
1422
1423 Der entschlüsselte Text befindet sich jetzt, genau wie beim Verschlüsseln,
1424 wieder in der Zwischenablage von Windows. Kopieren Sie
1425 ihn mit Einfügen (Strg+V) in den Texteditor oder auch in Ihr
1426 Mailprogramm.
1427
1428 Die entschlüsselte Antwort von Adele sieht so aus\footnote{Abhängig
1429   von der Softwareversion von Adele kann dies auch etwas
1430   unterschiedlich aussehen}:
1431
1432 \begin{verbatim}
1433 Hallo Heinrich Heine,
1434
1435 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1436
1437 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1438 57251332CD8687F6 und der Bezeichnung
1439 `Heinrich Heine <heinrichh@duesseldorf.de>'
1440 wurde von mir empfangen.
1441
1442 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1443 dem freundlichen E-Mail-Roboter.
1444
1445 Viele Grüße,
1446 adele@gnupp.de
1447 \end{verbatim}
1448
1449 Der Textblock, der darauf folgt, ist der öffentliche Schlüssel von
1450 Adele.
1451
1452 Wir werden anschließend diesen öffentlichen Schlüssel importieren und
1453 an Ihrem Schlüsselbund befestigen. So können Sie ihn jederzeit zum
1454 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1455 oder dessen signierte Mails überprüfen.
1456
1457 \textbf{Fassen wir kurz zusammen:}
1458
1459 \begin{enumerate}
1460 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1461   Schlüssel entschlüsselt.
1462
1463 \item Der Korrespondenzpartner hat seinen eigenen öffentlichen
1464   Schlüssel beigelegt, damit Sie ihm verschlüsselt antworten können.
1465 \end{enumerate}
1466
1467
1468 \clearpage
1469 %% Original page 37
1470 \chapter{Sie befestigen einen Schlüssel am Schlüsselbund}
1471 \label{ch:keyring}
1472
1473 Ihr Korrespondenzpartner muss nicht etwa jedes Mal seinen Schlüssel
1474 mitschicken, wenn er Ihnen signiert schreibt. Sie bewahren seinen
1475 öffentlichen Schlüssel einfach an Ihrem GnuPG-"`Schlüsselbund"' auf.
1476
1477 \textbf{1. Möglichkeit:}
1478
1479 Um einen öffentlichen Schlüssel zu importieren (an Ihrem Schlüsselbund
1480 zu befestigen), speichern Sie ihn am einfachsten als Textblock ab, so
1481 wie Sie es vorhin schon bei Ihrem eigenen Schlüssel getan haben.
1482
1483
1484 Also:
1485
1486
1487 markieren Sie den öffentlichen
1488 Schlüssel, den Sie von Ihrem
1489 Korrespondenzpartner erhalten
1490 haben, von
1491
1492 \begin{verbatim}
1493 -----BEGIN PGP PUBLIC KEY BLOCK-----
1494 \end{verbatim}
1495 bis
1496 \begin{verbatim}
1497 -----END PGP PUBLIC KEY BLOCK-----
1498 \end{verbatim}
1499
1500 und setzen ihn mit Copy \& Paste in einen Texteditor ein. Speichern
1501 Sie den Schlüssel unter einem Namen in einem Ordner, den Sie leicht
1502 wiederfinden, z.B. als \Filename{adeles-key.asc} im Ordner
1503 \Filename{Eigene Dateien}.
1504
1505
1506
1507 \clearpage
1508 %% Original page 38
1509 \textbf{2. Möglichkeit:}
1510
1511 Der Schlüssel liegt der \Email{} als Dateianhang bei. Welches
1512 Mailprogramm Sie auch immer benutzen, Sie können stets Dateianhänge
1513 ("`Attachments"') auf Ihrer Festplatte abspeichern. Tun Sie das jetzt
1514 (am besten wieder in einem Ordner, den Sie leicht wiederfinden, z.B.
1515 \Filename{Eigene~Dateien}).
1516
1517 Ob Sie nun den Schlüssel als Text oder als \Email{}-Anhang abgespeichert
1518 haben, ist egal: in beiden Fällen importieren Sie diesen
1519 abgespeicherten Schlüssel in den GnuPG-"`Schlüsselbund"'.
1520
1521 % screenshot:  Startmenu, Auswahl GPA
1522
1523 Und zwar so:
1524
1525 Starten Sie den GNU Privacy Assistant (GPA) im Windows-Menü, falls Sie ihn
1526 in der letzten Übung ausgeschaltet haben.
1527
1528
1529 \clearpage
1530 %% Original page 39
1531 Wenn der GNU Privacy Assistant läuft, klicken Sie auf die Schaltfläche
1532 Import, suchen die eben abgespeicherte Schlüsseldatei und laden sie. Der
1533 importierte Schlüssel wird nun im GNU Privacy Assistant angezeigt:
1534
1535 % screenshot GPA Schlüsselverwaltung mit zwei Schlüsseln
1536 \begin{center}
1537 \IncludeImage[width=0.9\textwidth]{sc-gpa-two-keys}
1538 \end{center}
1539
1540 Damit haben Sie einen fremden öffentlichen Schlüssel ­-- in diesem
1541 Beispiel den von Adele ­-- importiert und an Ihrem Schlüsselbund
1542 befestigt. Sie können diesen Schlüssel jederzeit benutzen, um
1543 verschlüsselte Nachrichten an den Besitzer dieses Schlüssels zu
1544 senden und Signaturen zu prüfen.
1545
1546 \textbf{Bevor wir weitermachen, eine wichtige Frage:}\\
1547 Woher wissen Sie eigentlich, dass der fremde öffentliche Schlüssel
1548 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem Namen
1549 versenden -- die Absenderangabe besagt eigentlich gar nichts.
1550
1551 Wie können Sie also sichergehen, dass ein Schlüssel auch wirklich
1552 seinem Absender gehört?
1553
1554
1555 \textbf{Die Kernfrage der Schlüsselprüfung besprechen wir im
1556 Kapitel~\ref{ch:trust}. Lesen Sie jetzt bitte dort weiter, bevor
1557 Sie danach an dieser Stelle fortfahren.}
1558
1559 \clearpage
1560 %% Original page 40
1561 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie man sich von der
1562 Echtheit eines Schlüssels überzeugt und ihn dann mit seinem eigenen
1563 geheimen Schlüssel signiert.
1564
1565 In Kapitel~\ref{ch:sign} besprechen wir,
1566 wie man nicht nur einen Schlüssel, sondern auch eine komplette
1567 \Email{}-Nachricht signieren kann. Das bedeutet, dass man die \Email{} mit
1568 einer Art elektronischem Siegel versieht.
1569
1570 Der Text ist dann zwar noch für jeden lesbar, aber der Empfänger kann
1571 feststellen, ob die \Email{} unterwegs manipuliert oder verändert wurde
1572 und das die \Email{} wirklich von Ihnen stammt.
1573
1574 Die Überprüfung einer solchen Signatur ist sehr einfach. Sie müssen
1575 dazu natürlich den öffentlichen Schlüssel des Absenders bereits an
1576 Ihrem Gpg4win-"`Schlüsselbund"' befestigt haben, wie in
1577 Kapitel~\ref{ch:keyring} besprochen.
1578
1579 % cartoon:  Müller mit Schlüssel
1580 \begin{center}
1581 \IncludeImage[width=0.4\textwidth]{man-with-signed-key}
1582 \end{center}
1583
1584
1585 \clearpage
1586 %% Original page 41
1587 Wenn Sie eine signierte \Email{} erhalten, sehen Sie, dass der Text am
1588 Anfang und Ende von einer Signatur eingerahmt ist.  Sie beginnt mit
1589
1590 \begin{verbatim}
1591 -----BEGIN PGP SIGNED MESSAGE-----
1592 Hash: SHA1
1593 \end{verbatim} 
1594
1595 und endet unter der \Email{}-Nachricht mit
1596
1597 \begin{verbatim}
1598 -----BEGIN PGP SIGNATURE-----
1599 Version: GnuPG v1.4.2 (MingW32)
1600
1601 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
1602 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
1603 =O6lY
1604 -----END PGP SIGNATURE-----
1605 \end{verbatim}
1606
1607 Markieren Sie den gesamten Text von \textsl{BEGIN PGP SIGNED MESSAGE}
1608 bis \textsl{END PGP SIGNATURE} und kopieren Sie ihn mit Strg+C in die
1609 Zwischenablage.
1610
1611 Nun fahren Sie genauso fort wie bei der Entschlüsselung einer \Email{},
1612 wie wir es in Kapitel 7 dieses Handbuchs besprochen haben:
1613
1614 Sie öffnen WinPT aus der Windows-Taskleiste und wählen \newline
1615 \Menu{Zwischenablage$\rightarrow$ Entschlüsseln/Überprüfen}.
1616
1617 Sie sollte daraufhin folgendes Fenster sehen:
1618
1619 % screenshot: WinPT good signature.
1620 \begin{center}
1621 \IncludeImage[width=0.7\textwidth]{sc-winpt-good-sig}
1622 \end{center}
1623
1624 Falls Sie dort aber in der Statusspalte \emph{Die Signatur ist nicht
1625   gültig!}  erhalten, wurde die Nachricht bei der Übertragung
1626 verändert.  Aufgrund der technischen Gegebenheiten im Internet ist es
1627 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
1628 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
1629 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
1630
1631
1632 \textbf{Wie Sie in einem solchen Fall vorgehen sollten,
1633 erfahren Sie im Kapitel~\ref{ch:sign}, "`\Email{}s signieren"'.
1634 Lesen Sie jetzt bitte dort weiter, bevor Sie danach an
1635 dieser Stelle fortfahren.}
1636
1637 \clearpage
1638 %% Original page 42
1639 \chapter{Sie verschlüsseln eine \Email{}}
1640
1641 Jetzt wird es nochmal spannend:
1642
1643 Sie verschlüsseln eine \Email{} und senden sie an Adele. Wenn Sie einen
1644 ebenso geduldigen menschlichen Korrespondenzpartner haben, dann senden
1645 Sie Ihre \Email{} eben an diesen.
1646
1647 Starten Sie nun Ihr \Email{}programm. Schreiben Sie eine Nachricht ­--
1648 es ist egal, was: Adele kann nicht wirklich lesen$\ldots$
1649
1650 Nun markieren Sie den gesamten Text und kopieren Sie ihn mit dem
1651 entsprechenden Menübefehl oder Tastaturkürzel (Strg+C).  Damit haben
1652 Sie den Text in den Speicher Ihres Rechners ­-- bei Windows
1653 Zwischenablage oder Clipboard genannt ­-- kopiert.
1654
1655 % screenshot: composer mit mail an Adele, body markiert
1656 \begin{center}
1657 \IncludeImage[width=0.9\textwidth]{sc-ol-send-enc-msg1}
1658 \end{center}
1659
1660 Sie öffnen nun WinPT aus der Windows-Taskleiste und wählen
1661 \Menu{Zwischenablage$\rightarrow$Verschlüsseln}.
1662
1663
1664 \clearpage
1665 %% Original page 45
1666 Daraufhin öffnet sich ein Fenster mit den Schlüsseln, die Sie an Ihrem
1667 Schlüsselbund haben. In unserem Beispiel sind das Adeles Schlüssel,
1668 den sie Ihnen vorhin geschickt hat, und Ihr eigener Schlüssel, den Sie
1669 in Kapitel 2 erzeugt haben.
1670
1671 % screenshot: Winpt encryption key selection
1672 \begin{center}
1673 \IncludeImage[width=0.7\textwidth]{sc-winpt-sel-enc-key}
1674 \end{center}
1675
1676 Klicken Sie auf Adeles Schlüssel, denn damit muss die Nachricht ja
1677 verschlüsselt werden.
1678
1679 Sie erinnern sich an den Grundsatz:
1680
1681 \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
1682   müssen Sie dessen öffentlichen Schlüssel haben und zum Verschlüsseln
1683   benutzen.}
1684
1685
1686 Nachdem Sie auf \Button{OK} geklickt haben, wird Ihre Nachricht
1687 verschlüsselt. Nach kurzer Zeit erscheint eine Meldung die dies
1688 bestätigt.
1689
1690
1691 \clearpage
1692 %% Original page 46
1693 Die verschlüsselte Nachricht befindet sich noch in der Zwischenablage
1694 (Clipboard) und kann nun mühelos in das \Email{}-Fenster hineinkopiert
1695 werden.  Löschen Sie den unverschlüsselten Text oder kopieren die den
1696 Inhalt der Zwischenablage einfach darüber.
1697
1698 So ähnlich sollte das Ergebnis aussehen:
1699
1700 % screenshot: composer Windows mit enrcypted text 
1701 \begin{center}
1702 \IncludeImage[width=0.9\textwidth]{sc-ol-send-enc-msg2}
1703 \end{center}
1704
1705 Senden Sie nun Ihre \Email{} wieder an Adele.  Nur zur Vorsicht:
1706 natürlich sollten Ihre \Email{}s \textbf{nicht} \verb-heinrichh@gpg4win.de- als
1707 Absender haben, sondern Ihre eigene \Email{}-Adresse.  Denn sonst werden
1708 Sie nie Antwort von Adele bekommen$\ldots$
1709
1710 \textbf{Herzlichen Glückwunsch!  Sie haben Ihre erste \Email{}
1711 verschlüsselt!}
1712
1713 \clearpage
1714 %% Original page 47
1715 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren}
1716
1717 Eine Einstellung müssen Sie noch vornehmen, damit Sie Ihre \Email{}s
1718 verschlüsselt aufbewahren können.  Natürlich können Sie einfach eine
1719 Klartextversion Ihrer Texte aufbewahren, aber das wäre eigentlich
1720 nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
1721 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
1722 Also sollte immer eine verschlüsselte Kopie der \Email{} aufbewahrt
1723 werden.
1724
1725 Sie ahnen das Problem: zum Entschlüsseln der archivierten \Email{}s
1726 braucht man den geheimen Schlüssel des Empfängers ­-- und den haben
1727 Sie nicht und werden Sie nie haben$\ldots$
1728
1729 Also was tun?
1730
1731 Ganz einfach: Sie verschlüsseln zusätzlich auch an sich selbst.
1732
1733 Die Nachricht wird für den eigentlichen Empfänger (z.B. Adele), als
1734 auch mit Ihren eigenen öffenlichen Schlüssel verschlüsselt.  So können
1735 Sie den Text auch später noch einfach mit Ihrem eigenen
1736 Geheimschlüssel wieder lesbar machen.
1737
1738 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen ­-- Sie
1739 können ja auch mehrere haben --­ müssen Sie dem Programm dies
1740 mitteilen.
1741
1742 \clearpage
1743 %% Original page 48
1744 Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie WinPT und
1745 dort das Menü \Menu{Einstellungen $\rightarrow$ GPG}.
1746
1747 % screenshot: Winpt configuration dialog
1748 \begin{center}
1749 \IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
1750 \end{center}
1751
1752 In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
1753 "`Encrypt to this key"' Ihren Schlüssel ein bzw. die
1754 dazugehörige \Email{}-Adresse.
1755
1756 Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
1757 die GnuPG direkt unterstützen.
1758
1759
1760 \clearpage
1761 %% Original page 49
1762 \textbf{Fassen wir kurz zusammen:}
1763
1764 \begin{enumerate}
1765 \item Sie haben mit dem öffentlichen Schlüssel Ihres Partners eine
1766   \Email{} verschlüsselt und ihm damit geantwortet.
1767 \item Sie haben WinPT mitgeteilt, dass Archivkopien Ihrer \Email{}s auch
1768   zusätzlich mit Ihrem eigenen Schlüssel verschlüsselt werden sollen.
1769 \end{enumerate}
1770
1771 \textbf{Das war's! Willkommen in der Welt der freien und sicheren
1772 \Email{}-Verschlüsselung!}
1773
1774 \textbf{\OtherBook{} Lesen Sie nun die Kapitel 10 bis 12 im Handbuch "`\xlink{Gpg4win
1775 für Durchblicker}{durchblicker.html}"'.  Sie erfahren dort unter anderem, wie man \Email{}s
1776 signiert und einen bereits vorhandenen Geheimschlüssel in GnuPG
1777 importiert und verwendet.}
1778
1779 \textbf{\OtherBook{} Ab Kapitel 13 des Handbuchs "`\xlink{Gpg4win für
1780 Durchblicker}{durchblicker.html}"' 
1781 können Sie weiterhin in zwei spannenden Kapiteln lesen, auf welchen
1782 Verfahren die Sicherheit von GnuPG beruht.}
1783
1784 Und Sie können lesen, wie die geheimnisvolle Mathematik hinter GnuPG
1785 im Detail funktioniert.
1786
1787 Genau wie das Kryptographiesystem Gpg4win wurden diese Texte nicht nur
1788 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
1789 sondern
1790
1791 \textbf{für jedermann.}
1792
1793
1794
1795
1796
1797
1798
1799 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
1800 % Part II
1801
1802 % page break in toc
1803 \addtocontents{toc}{\protect\newpage}
1804
1805 \clearpage
1806 \part{Fortgeschrittene}
1807 \label{part:Fortgeschrittene}
1808 \addtocontents{toc}{\protect\vspace{0.3cm}}
1809
1810 \clearpage
1811 %% Original page 6
1812 \chapter{Warum überhaupt  verschlüsseln?}
1813
1814 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
1815 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
1816 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
1817 Verschlüsselung nunmehr für jedermann frei und kostenlos
1818 zugänglich\ldots
1819
1820 \begin{center}
1821 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
1822 \end{center}
1823
1824 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
1825 um rund um den Globus miteinander zu kommunizieren und uns zu
1826 informieren. Aber Rechte und Freiheiten, die in anderen
1827 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
1828 den neuen Technologien erst sichern. Das Internet ist so schnell und
1829 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
1830 noch nicht so recht nachgekommen sind.
1831
1832
1833 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
1834 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
1835 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
1836 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
1837 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
1838 Postkarte, die auch der Briefträger oder andere lesen können.
1839
1840
1841 \clearpage
1842 %% Original page 7
1843
1844 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
1845 man selbst und niemand sonst.
1846
1847 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
1848 \Email{} ist immer offen wie eine Postkarte, und der elektronische
1849 "`Briefträger"' --- und andere --- können sie immer lesen. Die Sache
1850 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
1851 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
1852 zu verteilen, sondern auch, sie zu kontrollieren.
1853
1854 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
1855 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
1856 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
1857 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
1858 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
1859 schon im großen Stil mit Ihrer und meiner \Email{}
1860 geschieht.\footnote{Hier sei nur an das \xlink{Echelon
1861     System}{\EchelonUrl} erinnert%
1862 \T; siehe \href{\EchelonUrl}{\EchelonUrl}%
1863 .}.
1864
1865 Denn: der Umschlag fehlt.
1866
1867 \begin{center}
1868 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
1869 \end{center}
1870
1871 \clearpage
1872 %% Original page 8
1873
1874 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
1875 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
1876 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
1877 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
1878 für wichtig und schützenswert halten oder nicht.
1879
1880 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
1881 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
1882 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen --- Sie müssen ja auch
1883 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
1884
1885 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
1886 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
1887 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
1888 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
1889 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
1890 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
1891 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
1892 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
1893 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
1894 praktikable und sichere Software angesehen.
1895
1896 Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer Hand,
1897 denn Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
1898 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
1899 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
1900 und die wir im Folgenden besprechen:
1901
1902
1903 \clearpage
1904 %% Original page 9
1905 \chapter{Wie funktioniert Gpg4win?}
1906 \label{ch:FunctionOfGpg4win}
1907
1908 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
1909 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
1910 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
1911
1912 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
1913 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
1914 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
1915 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
1916 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
1917
1918 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
1919 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
1920 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
1921 knacken ist.
1922
1923
1924 \clearpage
1925 %% Original page 10
1926 \textbf{Der Herr der Schlüsselringe}
1927
1928 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
1929 ein --- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
1930 nur einmal gibt und den man ganz sicher aufbewahrt.
1931
1932 \begin{center}
1933 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
1934 \end{center}
1935
1936 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
1937 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
1938 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
1939 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
1940 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
1941
1942
1943 \clearpage
1944 %% Original page 11
1945
1946 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
1947 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
1948 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
1949 dazu auch sehr fehleranfällig.
1950
1951 \begin{center}
1952 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
1953 \end{center}
1954
1955 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
1956 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
1957 und dass sowohl der Absender als auch der Empfänger diesen geheimen
1958 Schlüssel kennen.
1959
1960 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
1961 solchen System ein Geheimnis --­ eine verschlüsselte Nachricht ---
1962 mitteilen kann, muss man schon vorher ein anderes Geheimnis --­ den
1963 Schlüssel ­-- mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
1964 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
1965 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
1966 Dritten abgefangen werden darf.
1967
1968
1969
1970 \clearpage
1971 %% Original page 12
1972
1973 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel --- mit einem
1974 weiteren Schlüssel ("`key"'), der vollkommen frei und öffentlich
1975 ("`public"') zugänglich ist.
1976
1977 Man spricht daher auch von
1978 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
1979
1980 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
1981 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
1982 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
1983 Weitergegeben wird nur der öffentliche Schlüssel ­-- und den kennt
1984 sowieso jeder.
1985
1986 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
1987 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
1988 eine komplexe mathematische Formel untrennbar miteinander verbunden.
1989 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
1990 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
1991 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir, wie das
1992 funktioniert.
1993
1994 % Note: The texts on the signs are empty in the current revision.
1995 % However, I used the original images and wiped out the texts ``Open
1996 % Source"' and ``gratis"' - need to replace with something better.
1997 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
1998 \begin{center}
1999 \IncludeImage[width=0.4\textwidth]{verleihnix}
2000 \end{center}
2001
2002
2003 \clearpage
2004 %% Original page 13
2005 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
2006
2007 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2008 (secret oder private key), muss geheim gehalten werden.
2009
2010 Der \textbf{öffentliche Schlüssel} (public key) soll so
2011 öffentlich wie möglich gemacht werden.
2012
2013 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2014
2015 \bigskip
2016
2017 der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten
2018
2019 \begin{center}
2020 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
2021 \end{center}
2022
2023 der öffentliche Schlüsselteil \textbf{verschlüsselt}.
2024
2025
2026 \clearpage
2027 %% Original page 14
2028
2029 \textbf{Der öffentliche Safe}
2030
2031 In einem kleinen Gedankenspiel
2032 wird die Methode des Public-Key Verschlüsselungssystems
2033 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher:
2034
2035 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
2036
2037 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
2038 auf, über den Sie geheime Nachrichten übermitteln wollen.
2039
2040 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
2041 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2042 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2043 Nachrichten zunächst einmal gut gesichert.
2044
2045 \begin{center}
2046 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
2047 \end{center}
2048
2049 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2050 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
2051 und eine Geheimnachricht deponieren zu können.
2052
2053
2054 \clearpage
2055 %% Original page 15
2056 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2057 Wege übergeben.
2058
2059 \begin{center}
2060 \IncludeImage[width=0.9\textwidth]{secret-key-exchange}
2061 \end{center}
2062
2063 \clearpage
2064 %% Original page 16
2065 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
2066 öffnen und die geheime Nachricht lesen.
2067
2068 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
2069 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
2070 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
2071 die Botschaft selbst.
2072
2073 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2074 gleich die geheime Mitteilung übergeben\ldots
2075
2076
2077 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} weltweit müssten alle
2078 \Email{}teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2079 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2080 könnten.
2081
2082 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
2083
2084 \begin{center}
2085 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
2086 \end{center}
2087
2088 \clearpage
2089 %% Original page 17
2090 \textbf{Jetzt die Public-Key Methode:}
2091
2092 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
2093 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2094 --- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2095 --- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2096
2097 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick.
2098
2099 \begin{center}
2100 \IncludeImage[width=0.9\textwidth]{pk-safe-open}
2101 \end{center}
2102
2103 Dieser Schlüssel gehört Ihnen, und --- Sie ahnen es: es ist Ihr
2104 öffentlicher Schlüssel.
2105
2106 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2107 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2108 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2109 frei zugänglich.
2110
2111 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2112 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2113 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2114 Botschaft nachträglich zu verändern.
2115
2116 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2117
2118 Aufschließen kann man den Briefkasten nur mit einem einzigen
2119 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2120
2121 \clearpage
2122 %% Original page 18
2123
2124 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} jedermann
2125 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2126 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2127 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2128 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2129
2130 Spielen wir das Gedankenspiel noch einmal anders herum:
2131
2132 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2133 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2134 verfügbaren Schlüssel.
2135
2136 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2137 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2138 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2139 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2140 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2141 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2142 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2143 und die Nachricht lesen.
2144
2145 \begin{center}
2146 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2147 \end{center}
2148
2149
2150 \clearpage
2151 %% Original page 19 
2152 \textbf{Was ist nun eigentlich gewonnen:} es gibt immer noch einen
2153 geheimen Schlüssel!?
2154
2155 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2156 allerdings ein gewaltiger:
2157
2158 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2159 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2160 Übergabe entfällt, sie verbietet sich sogar.
2161
2162 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2163 ausgetauscht werden --- weder eine geheime Vereinbarung noch ein
2164 geheimes Codewort.
2165
2166 Das ist ­-- im wahrsten Sinne des Wortes --- der Knackpunkt: alle
2167 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2168 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2169 bringen kann.
2170
2171 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2172 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2173 Schlüsselbund.
2174
2175
2176 \clearpage
2177 %% Original page 20
2178 \chapter{Die Passphrase}
2179 \label{ch:passphrase}
2180
2181 Wie Sie oben gesehen haben, ist der private Schlüssel eine der
2182 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2183 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2184 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2185 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2186
2187 Es ist deswegen eminent wichtig, diesen private Schlüssel sicher
2188 abzuspeichern. Dies geschieht auf zweierlei Weise:
2189
2190 \begin{center}
2191 \IncludeImage[width=0.4\textwidth]{think-passphrase}
2192 \end{center}
2193
2194 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2195 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2196 weder zum schreiben noch zum lesen.  Es ist deswegen unbedingt zu
2197 vermeiden, den Schlüssel in einem öffentlichen Ordner
2198 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2199 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2200 ("`Homedir"') von GnuPG
2201 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2202 befinden; für einen Benutzer mit
2203 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2204 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2205 sein.  Der geheime Schlüssel befindet sich dort in eine Datei mit dem
2206 Namen \verb=secring.gpg=.
2207
2208 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2209 der Administrator des Rechners immer auf alle Dateien zugreifen ---
2210 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2211 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2212 Trojanersoftware) kompromittiert werden. 
2213
2214 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2215 Passphrase.
2216
2217 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2218 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2219 haben und niemals aufschreiben müssen.
2220
2221 Trotzdem darf er nicht erraten werden können. Das klingt vielleicht
2222 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2223 mit deren Hilfe man sich einen völlig individuellen, leicht zu
2224 merkenden und nur sehr schwer zu erratende Passphrase ausdenken
2225 kann.
2226
2227
2228 \clearpage
2229 %% Original page 21
2230 Eine gute Passphrase kann so entstehen:
2231
2232 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: Ein blindes Huhn
2233 findet auch einmal ein Korn
2234
2235 Aus diesem Satz nehmen Sie zum Beispiel jeden dritten Buchstaben:
2236
2237 \verb-nieuf dahn lnr-
2238
2239 %%% FIXME: Das ist eine schlechte Memotechnik --- Neu schreiben.
2240
2241 Diesen Buchstabensalat kann man sich zunächst nicht unbedingt gut
2242 merken, aber man kann ihn eigentlich nie vergessen, solange man den
2243 ursprünglichen Satz im Kopf hat. Im Laufe der Zeit und je öfter man
2244 ihn benutzt, prägt sich so eine Passphrase ins Gedächtnis. Erraten
2245 kann ihn niemand.
2246
2247
2248 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2249 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2250 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2251 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2252 Sie wichtigen Liedes.
2253
2254
2255 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2256 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2257 "`ß"', "`\$"' usw.
2258
2259 Aber Vorsicht --- falls Sie Ihren geheimen Schlüssel im Ausland an
2260 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2261 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2262 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2263 Tastatur finden.
2264
2265
2266 %% Original page  22
2267 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2268 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2269 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz
2270
2271 In München steht ein Hofbräuhaus
2272
2273 könnten man beispielsweise diese Passphrase machen:
2274
2275 \verb-inMinschen stet 1h0f breuhome-
2276
2277 denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
2278 sich aber doch merken können, wie z.B.:
2279
2280 Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.
2281
2282 Eine Passphrase in dieser Länge ist ein sicherer Schutz für den
2283 geheimen Schlüssel.
2284
2285
2286 Es darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
2287 z.B. so:
2288
2289 Es blAut nEBen TaschengeLd auch im WiNter.
2290
2291 Kürzer, aber nicht mehr so leicht merken. Wenn Sie eine noch kürzere
2292 Passphrase verwenden, indem Sie hier und da Sonderzeichen benutzen,
2293 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
2294 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
2295 noch größer.
2296
2297 Ein extremes Beispiel für einen möglichst kurzen, aber dennoch sehr
2298 sichere Passphrase ist dieses hier:
2299
2300 \verb-R!Qw"s,UIb *7\$-
2301
2302 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
2303 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
2304 für die Erinnerung hat.
2305
2306 %% Original page 23
2307 Eine schlechte Passphrase
2308 ist blitzschnell geknackt,
2309 wenn er:
2310
2311 \begin{itemize}
2312 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
2313   \Email{}-Account oder Ihr Handy
2314
2315 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
2316   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
2317
2318 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
2319   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
2320   diese Daten herankommen.
2321
2322 \item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
2323   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
2324   Cracker routinemäßig und blitzschnell eine Passphrase.
2325
2326 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
2327   Denken Sie sich eine längere Passphrase aus.
2328
2329 \end{itemize}
2330
2331 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie auf gar
2332 keinen Fall eines der oben angeführten Beispiele.  Denn es liegt auf
2333 der Hand, dass jemand, der sich ernsthaft darum bemüht, Ihre
2334 Passphrase herauszubekommen, zuerst ausprobieren würde, ob Sie
2335 nicht eines dieser Beispiele genommen haben, falls er auch diese
2336 Informationen gelesen hat.
2337
2338 Seien Sie kreativ. Denken Sie sich jetzt eine Passphrase aus.
2339 Unvergesslich und unknackbar.
2340
2341 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre 
2342 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
2343
2344
2345
2346
2347 \clearpage
2348 %% Original page 24
2349 \chapter{Schlüssel im Detail}
2350 \label{KeyDetails}
2351 Der Schlüssel, den Sie erzeugt
2352 haben, besitzt einige
2353 Kennzeichen:
2354 \begin{itemize}
2355 \item die Benutzerkennung
2356 \item die Schlüsselkennung
2357 \item das Verfallsdatum
2358 \item das Benutzervertrauen
2359 \item das Schlüsselvertrauen
2360 \end{itemize}
2361
2362 \textbf{Die Benutzerkennung} besteht aus dem Namen und der
2363 \Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
2364 haben, also z.B. \newline
2365 \verb=-Heinrich Heine <heinrichh@gpg4win.de>=.
2366
2367 \textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
2368 Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
2369 auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
2370 liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
2371
2372 \textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
2373 gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
2374 "`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
2375 Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
2376 Beispiel, um sie an externe Mitarbeiter auszugeben.
2377
2378 \textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
2379 Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
2380 korrekt zu signieren.  Es kann über die Schaltfläche "`Ändern"'
2381 editiert werden.
2382
2383 \textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
2384 das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
2385 eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
2386 volles "`Schlüsselvertrauen"'.
2387
2388 Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
2389 unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
2390 erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
2391 und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
2392
2393
2394 \clearpage
2395 %% Original page 25
2396 \chapter{Die OpenPGP-Schlüsselserver}
2397 \label{ch:keyserver}
2398
2399 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
2400 OpenPGP-Zertifikats haben wir Ihnen bereits im
2401 Abschnitt~\ref{publishPerKeyserver} einführend erläutert. Dieses
2402 Kapitel beschäftigt sich mit den Details von Schlüsselservern.
2403
2404 %% Original page 26
2405
2406 Schlüsselserver können von allen Programmen benutzt werden, die den
2407 OpenPGP-Standard unterstützen.
2408
2409 In Kleopatra ist ein Keyserver bereits voreingestellt:
2410 \texttt{hkp://keys.gnupg.net}.
2411 Ein Mausklick unter
2412 %TODO:german
2413 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
2414 genügt, und Ihr Schlüssel ist unterwegs rund um die Welt.
2415 Es genügt, den Schlüssel an irgendeinen der verfügbaren
2416 Keyserver zu senden, denn fast alle synchronsieren sich weltweit
2417 miteinander.
2418 Es kann ein, zwei Tage dauern, bis Ihr Zertifikat wirklich überall
2419 verfügbar ist, aber dann haben Sie einen globales Zertifikat!
2420
2421 \begin{center}
2422 \IncludeImage[width=0.3\textwidth]{keyserver-world}
2423 \end{center}
2424
2425 Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
2426 über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
2427 nicht.  Dieses verteilte Netz von Keyservern sorgt für eine bessere
2428 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
2429 Schlüssel löschen um so die Kommunikation unmöglich zu machen
2430 ("`Denial of Service"'-Angriff).
2431
2432 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
2433 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
2434 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
2435 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
2436
2437 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
2438 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
2439 umgehen können.
2440
2441
2442 \clearpage
2443 \subsubsection{Adressen einiger Schlüsselserver}
2444
2445 Hier eine Auswahl von gut funktionierenden Schlüsselservern:
2446 \begin{itemize}
2447 \item hkp://blackhole.pca.dfn.de
2448 \item hkp://pks.gpg.cz
2449 \item hkp://pgp.cns.ualberta.ca
2450 \item hkp://minsky.surfnet.nl
2451 \item hkp://keyserver.ubuntu.com
2452 \item hkp://keyserver.pramberger.at
2453 \item http://gpg-keyserver.de
2454 \item http://keyserver.pramberger.at
2455 \end{itemize}   
2456 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
2457 besten die Keyserver, deren URL mit \verb-http://- beginnen.
2458
2459 Die Keyserver unter den Adressen
2460 \begin{itemize}
2461 \item hkp://keys.gnupg.net
2462 \item hkp://subkeys.pgp.net
2463 \end{itemize}
2464 sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
2465 dann zufällig ein konkreter Server ausgewählt.
2466
2467 \textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
2468 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
2469 werden.
2470
2471
2472
2473 \clearpage
2474 \subsubsection{Zertifikate auf Schlüsselservern suchen}
2475 %% Original page 27
2476
2477 Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen,
2478 können Sie auch nach Zertifikaten suchen.
2479
2480 Klicken Sie dazu in Kleopatra auf 
2481 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
2482 erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
2483 Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
2484 können:
2485
2486 %screenshot: Kleopatra certification search dialog
2487 \begin{center}
2488 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
2489 \end{center}
2490
2491 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
2492 auf den Button \Button{Details}.
2493
2494 \subsubsection{Zertifikate vom Schlüsselservern importieren}
2495 %% Original page 28
2496 Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
2497 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
2498 Zertifikat aus der Liste der Suchergebnisse und
2499 klicken Sie auf \Button{Importieren}!
2500
2501 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
2502 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
2503 \Button{OK}. 
2504
2505 War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
2506 der Kleopatra-Zertifikatsverwaltung.
2507
2508 %Im "`Schnelleinstieg"', Kapitel 7 ("`Sie entschlüsseln eine \Email{}"')
2509 %und 8 ("`Sie befestigen einen Schlüssel am Schlüsselbund"')
2510 %zeigen wir Ihnen, wie man
2511 %diesen Schlüssel importiert, d.h. am eigenen Gpg4win Schlüsselbund
2512 %befestigt, und damit eine \Email{} an den Besitzer verschlüsselt.
2513
2514
2515
2516 \clearpage
2517 %% Original page 30
2518 \chapter{PlugIns für \Email{}-Programme}
2519 \label{ch:plugins}
2520
2521 Im "`Einsteiger-Handbuch"' haben wir im Kapitel 7 ("`Sie entschlüsseln
2522 eine \Email{}"') erwähnt, dass es PlugIns für bestimmte \Email{}-Programme
2523 gibt, die die Ver- und Entschlüsselung erleichtern. Die im
2524 Schnelleinstieg vorgestellte Methode mit dem Frontend WinPT
2525 funktioniert einfach und schnell, und zwar mit jedem beliebigen
2526 \Email{}- und Text-Programm. Trotzdem ist für viele \Email{}-Anwender ein
2527 spezieller Programmzusatz in ihrem Lieblings-\Email{}er ein Vorteil.
2528
2529 Plugins für GnuPG gibt es im Moment für folgende Windows-Mailprogramme:
2530
2531 \begin{description}
2532 \item[Thunderbird] mit Plugin \textbf{Enigmail},
2533 \item[Outlook 2003] mit Plugin \textbf{GPGol}, welches in Gpg4win
2534   enthalten ist.  Läuft nur unter Windows; Outlook sollte nur dann
2535   verwendet werden wenn andere organisatorische Vorgaben es
2536   bedingen.
2537 \item[Claws Mail], welches in Gpg4win enthalten.  Hier sind im
2538   Konfigurationsmenü die Plugins für "`PGP/Mime"' und "`PGP inline"'
2539   zu laden, bei einer Installation über Gpg4win ist das bereits
2540   geschehen.
2541 %\item[PostMe] nur Windows.
2542 %% FIXME Postme und mail: Prüfen ob noch verfügbar
2543 %\item[Eudora] Das Plugin wird in Gpg4win enthalten sein, falls
2544 %  einige rechtliche Fragen zufriedenstellend geklärt werden.
2545 \end{description}
2546
2547 Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
2548 anderen Unix Varianten laufen, über komfortablen und integrierten
2549 GnuPG Support.
2550
2551 Da sämtliche Komponenten des Gpg4win Pakets als Freie Software
2552 entstehen, ist die Entwicklung stark im Fluss.
2553
2554 Aktuelle Informationen über die Komponenten finden Sie unter www.gpg4win.de.
2555
2556 Informationen zu den Themen IT-Sicherheit, Gpg4win, GnuPG und anderer Software finden
2557 Sie auf der Website www.bsi-fuer-buerger.de und www.bsi.de des Bundesamtes für
2558 Sicherheit in der Informationstechnik.
2559
2560 \clearpage
2561 %% Original page 31
2562 \chapter{Die Schlüsselprüfung}
2563 \label{ch:trust}
2564
2565 Woher wissen Sie eigentlich, dass der fremde öffentliche Schlüssel
2566 wirklich vom Absender stammt? Und umgekehrt --- warum sollte Ihr
2567 Korrespondenzpartner glauben, dass der öffentliche Schlüssel, den Sie
2568 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
2569 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
2570
2571 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2572 erhält, Ihre sämtliche Guthaben auf ein Nummernkonto auf den Bahamas
2573 zu überweisen, wird sie sich hoffentlich weigern --- \Email{}-Adresse
2574 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2575 Identität des Absenders.
2576
2577 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2578 die Sache mit der Identität schnell geregelt: Sie prüfen den
2579 Fingerabdruck des anderen Schlüssels.
2580
2581 Jeder öffentliche Schlüssel trägt eine einmalige Kennzeichnung, die
2582 ihn zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
2583 einen Menschen.  Deshalb bezeichnet man diese Kennzeichnung eben als
2584 "`Fingerprint"'.
2585
2586 \clearpage
2587
2588 Wenn Sie einen Schlüssel im GNU Privacy Assistant anklicken, sehen Sie
2589 im unteren Teil des Fensters u.a. den Fingerprint:
2590
2591 % screenshot:  GPA key listing with fingerprint
2592 \begin{center}
2593 \IncludeImage[width=0.9\textwidth]{sc-gpa-two-keys}
2594 \end{center}
2595
2596 Der Fingerprint von Adeles Schlüssel ist also:
2597 \begin{verbatim}
2598 DD87 8C06 E8C2 BEDD D4A4  40D3 E573 3469 92AB 3FF7
2599 \end{verbatim}
2600
2601
2602
2603 \clearpage
2604 %% Original page 32
2605
2606 Wie gesagt --- der Fingerprint identifiziert den Schlüssel und seinen
2607 Besitzer eindeutig.
2608
2609 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
2610 von ihm den Fingerprint seines Schlüssels vorlesen.  Wenn die Angaben
2611 mit dem Ihnen vorliegenden Schlüssel übereinstimmen, haben Sie
2612 eindeutig den richtigen Schlüssel.
2613
2614 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2615 Schlüssels treffen oder auf jedem anderen Wege mit ihm kommunizieren,
2616 solange Sie ganz sicher sind, dass Schlüssel und Eigentümer zusammen
2617 gehören.  Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
2618 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
2619 den Anruf ersparen.
2620
2621 %%% FIXME Muss neu geschrieben werden von HIER...
2622
2623 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2624 öffentlichen Schlüssel überzeugt haben, sollten Sie ihn signieren.
2625 Damit teilen Sie anderen Gpg4win-Benutzern mit, dass Sie diesen Schlüssel
2626 für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
2627 diesen Schlüssel und erhöhen das allgemeine Vertrauen in seine
2628 Echtheit.
2629
2630 Klicken Sie dazu den betreffenden Schlüssel an und wählen Sie dann
2631 "`Signieren"' aus der GPA-Menüleiste. Klicken Sie im nun folgenden
2632 Hinweis nur dann auf \Button{Ja}, wenn Sie hundertprozentig sicher sind, den
2633 richtigen Schlüssel zu signieren.
2634
2635 %% Original page 33
2636
2637 Geben Sie nun Ihre Passphrase ein und klicken Sie auf \Button{OK}.
2638 Damit haben Sie mit Ihrem geheimen Schlüssel die Echtheit des
2639 Schlüssels bestätigt.
2640
2641 Da --- wie Sie wissen --- geheimer und öffentlicher Schlüssel
2642 untrennbar zusammengehören, kann jedermann mit Hilfe Ihres
2643 öffentlichen Schlüssels überprüfen, dass diese Signatur von Ihnen
2644 stammt und dass der Schlüssel nicht verändert wurde, also authentisch
2645 ist.  Damit ist für einen Dritten --- wenn auch indirekt --- ein
2646 gewisses Vertrauen in die Echtheit und Gültigkeit des signierten
2647 Schlüssels gegeben.
2648
2649 \clearpage
2650 %% Original page 34
2651
2652 \textbf{Das Netz des Vertrauens}
2653
2654 So entsteht --- auch über den Kreis von
2655 Gpg4win-Benutzern Ihrer täglichen Korrespondenz hinaus --- ein "`Netz
2656 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
2657 angewiesen sind, einen Schlüssel direkt zu prüfen.
2658
2659 \begin{center}
2660 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
2661 \end{center}
2662
2663 Natürlich steigt das Vertrauen in die Gültigkeit eines Schlüssels,
2664 wenn mehrere Leute ihn signieren. Ihr eigener öffentlicher Schlüssel
2665 wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
2666 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieser
2667 öffentliche Schlüssel wirklich Ihnen und niemandem sonst gehört.
2668
2669 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2670 Beglaubigungs-Infra\-struktur.
2671
2672 Eine einzige Möglichkeit ist denkbar, mit dem man diese
2673 Schlüsselprüfung aushebeln kann: jemand schiebt Ihnen einen falschen
2674 öffentlichen Schlüssel unter. Also einen Schlüssel, der vorgibt, von X
2675 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
2676 solcher gefälschter Schlüssel signiert wird, hat das "`Netz des
2677 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
2678 vergewissern, ob ein öffentlicher Schlüssel, wirklich zu der Person
2679 gehört, der er zu gehören vorgibt.
2680
2681 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
2682 Schlüssel ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
2683 nicht die Lösung sein\ldots
2684
2685
2686 \clearpage
2687 %% Original page 35
2688 \textbf{Zertifizierungsinstanzen}
2689
2690 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2691 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
2692 Personalausweis eines Unbekannten durch einen Anruf beim
2693 Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende
2694 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
2695
2696 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
2697 Verschlüsselung. In Deutschland bietet unter anderem z.B. die
2698 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
2699 wie viele Universitäten.
2700
2701 Wenn man also einen öffentlichen Schlüssel erhält, dem eine
2702 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
2703 sich darauf verlassen.
2704
2705 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2706 anderen Verschlüsselungssystemen vorgesehen, allerdings sind sie
2707 hierarchisch strukturiert: es gibt eine "`Oberste
2708 Beglaubigungsinstanz"', die "`Unterinstanzen"' mit dem Recht zur
2709 Beglaubigung besitzt.
2710
2711 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
2712 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2713 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
2714 übergeordneten Stelle erhalten hat.
2715
2716
2717 %% Original page 36
2718
2719 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
2720 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
2721 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
2722 beruhende "`Web of Trust"' der GnuPG- und PGP-Modelle. Der Kern der
2723 Beglaubigung selbst ist allerdings völlig identisch: wenn man in
2724 Gpg4win zusätzlich eine hierarchische Zertifizierungsstruktur einbauen
2725 würde, dann würde auch Gpg4win dem strengen Signaturgesetz der
2726 Bundesrepublik entsprechen.
2727
2728 Wenn Sie sich weiter für dieses Thema interessieren (das zum Zeitpunkt
2729 der Arbeit an dieser Gpg4win-Ausgabe gerade in Bewegung ist), dann
2730 können Sie sich an der Quelle informieren: die Website "`\xlink{Sicherheit im
2731 Internet}{http://www.sicherheit-im-internet.de}"' des Bundesministeriums für Wirtschaft und Technologie
2732 \T(\href{http://www.sicherheit-im-internet.de}{www.sicherheit-im-internet.de})
2733 hält Sie über dieses und viele andere
2734 Themen aktuell auf dem Laufenden.
2735
2736 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
2737 der Beglaubigungsinfrastrukturen bietet das 
2738 \xlink{Original GnuPG Handbuch}{http://www.gnupg.org/gph/de/manual},
2739 das Sie ebenfalls im Internet finden
2740 \T(\href{http://www.gnupg.org/gph/de/manual}{www.gnupg.org/gph/de/manual})%
2741 .
2742
2743 %%% .. bis hier FIXME
2744
2745 \clearpage
2746 %% Original page 37
2747 \chapter{\Email{}s signieren}
2748 \label{ch:sign}
2749
2750 Ganz am Anfang dieses Handbuchs haben wir die \Email{}-Kommunikation mit
2751 dem Versenden einer Postkarte verglichen. Erst die Verschlüsselung
2752 macht daraus einen Brief mit verschlossenem Umschlag, den nicht mehr
2753 jedermann lesen kann.
2754
2755 Gpg4win bietet zusätzlich zur kompletten Verschlüsselung einer \Email{}
2756 noch eine weitere Möglichkeit:
2757 \begin{itemize}
2758 \item man kann seine \Email{} signieren, mit anderen Worten die \Email{}
2759   mit einer elektronischen Unterschrift versehen. Der Text ist dann zwar noch
2760   für jeden lesbar, aber der Empfänger kann sicher sein, dass die
2761   \Email{} unterwegs nicht manipuliert oder verändert wurde.
2762 \end{itemize}
2763
2764 Außerdem garantiert die Signatur dem Empfänger, dass die Nachricht
2765 auch tatsächlich vom Absender stammt. Und: wenn man mit jemandem
2766 korrespondiert, dessen öffentlichen Schlüssel man ­-- aus welchem
2767 Grund auch immer --- nicht hat, kann man so die Nachricht wenigstens
2768 mit dem eigenen privaten Schlüssel "`versiegeln"'.
2769
2770 Verwechseln Sie diese elektronische Signatur nicht mit den
2771 \Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
2772 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
2773
2774 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
2775 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
2776 Manipulationen und bestätigt den Absender.
2777
2778 Übrigens ist diese elektronische Unterschrift auch nicht mit der
2779 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
2780 Signaturgesetz vom 22.\,Mai 2001 in Kraft getreten ist. Für die
2781 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
2782 genau denselben Zweck.
2783
2784
2785 \clearpage
2786 %% Original page 38
2787 \section{Signieren mit dem Geheimschlüssel}
2788
2789 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2790 Verschlüsselung: Wie im "`Einsteiger-Handbuch"' im Kapitel 9, "`Sie
2791 verschlüsseln eine \Email{}"', besprochen, schreiben Sie Ihre Nachricht
2792 und kopieren sie mit dem Menübefehl "`Kopieren"' oder mit dem
2793 Tastaturkürzel Strg+C in die Zwischenablage (Clipboard) Ihres
2794 Rechners.
2795
2796 Sie können nun entscheiden ob Sie eine völlig unverschlüsselte, eine
2797 signierte oder eine komplett verschlüsselte Mail versenden wollen ­--
2798 je nachdem, wie wichtig und schutzbedürftig der Inhalt ist.
2799
2800 Dann öffnen Sie WinPT mit der rechten Maustaste aus der Windows-Taskbar
2801 und wählen im erscheinenden WinPT Menü
2802 \Menu{Zwischenablage$\rightarrow$Signieren} aus.  Anders als beim
2803 Verschlüsseln öffnet sich daraufhin ein Fenster mit Ihrem eigenen
2804 Schlüssel. Denn:
2805
2806 \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2807
2808 Logisch, denn nur Ihr eigener Schlüssel bestätigt Ihre Identität. Der
2809 Korrespondenzpartner kann nun mit Ihrem öffentlichen Schlüssel, den er
2810 bereits hat oder sich besorgen kann, Ihre Identität überprüfen.  Denn
2811 nur Ihr Geheimschlüssel passt ja zu Ihrem öffentlichen Schlüssel.
2812
2813 Klicken Sie also auf Ihren eigenen Schlüssel und bestätigen Sie mit
2814 \Button{OK}. Im folgenden Fenster geben Sie Ihre geheime
2815 Passphrase ein und bestätigen Sie wieder mit \Button{OK}. Ein
2816 kurzer Hinweis erscheint sobald der Text signiert ist. Jetzt müssen
2817 Sie Ihren signierten Text nur noch in Ihr \Email{}- oder Textprogramm
2818 einfügen (Im WindowsMenü "`Einfügen"' oder einfach Strg+V).
2819
2820 % screenshot: WinPT signing - enter passphrase
2821 \begin{center}
2822 \IncludeImage{sc-winpt-sign-passwd}
2823 \end{center}
2824
2825 \clearpage
2826 %% Original page 39
2827 Ihre Nachricht ist nun am Anfang und Ende von einer Signatur
2828 eingerahmt:
2829
2830 \begin{verbatim}
2831 -----BEGIN PGP SIGNED MESSAGE-----
2832 Hash: SHA1
2833
2834 Werte Adele,
2835
2836 Wenn ich in deine Augen seh,
2837 So schwindet all mein Leid und Weh;
2838 Doch wenn ich küsse deinen Mund,
2839 So werd ich ganz und gar gesund.
2840
2841     Harry
2842 -----BEGIN PGP SIGNATURE-----
2843 Version: GnuPG v1.4.3-cvs (MingW32)
2844
2845 iD8DBQFD36LVVyUTMs2Gh/YRAn2sAJ4wH2h8g+rFyxXQSsuYzZWzYMKTdgCeK0sK
2846 CEL3//4INzHUNA/eqR3XMi0=
2847 =tiQ5
2848 -----END PGP SIGNATURE-----
2849 \end{verbatim}
2850
2851 Wenn Frau Adele diese \Email{}
2852 erhält, kann sie sicher sein,
2853 \begin{enumerate}
2854 \item dass die Nachricht von Herrn Heine stammt
2855 \item dass sie nicht verändert wurde
2856 \end{enumerate}
2857
2858 Hätte zum Beispiel jemand das "`gesund"' in dem obigen Beispiel zu
2859 "`krank"' verändert, wäre die Signatur "`gebrochen"', dass heißt, die
2860 \Email{} wäre mit dem Vermerk "`Bad signature"' oder "`Überprüfung
2861 fehlgeschlagen"' beim Empfänger versehen, sobald die Signatur
2862 überprüft wird.
2863
2864 \clearpage
2865 %% Original page 40
2866 \section{Andere Gründe für eine gebrochene Signatur}
2867
2868 Es gibt aber noch zwei weitere Gründe, die zu einem Bruch der Signatur
2869 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2870 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2871 muss aber nicht zwangsläufig bedeuten, dass Ihre \Email{} manipuliert
2872 wurde.
2873
2874 \begin{enumerate}
2875 \item aufgrund der technischen Gegebenheiten ist es nicht
2876   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2877   über das Internet verändert wurde.
2878 \item das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2879   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2880   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2881   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2882   "`HTML-Mails"' und "`Word Wrap"'.
2883
2884   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2885   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2886   niemand sie willentlich verändert hat.  Bei Outlook Express
2887   beispielsweise muss diese Option unter "`Extras / Optionen / Senden /
2888   NurText-Einstellungen / Textkodierung mit Keine"' aktiviert sein,
2889   wie es auch standardmäßig voreingestellt ist.
2890 \end{enumerate}
2891    
2892 Häufig ist sind falsche Einstellungen am \Email{}-Programm der Grund für
2893 eine gebrochene Signatur.  In beiden Fällen sollte man die \Email{}
2894 erneut anfordern.
2895
2896
2897 \clearpage
2898 %% Original page 41
2899 \section{Dateien signieren}
2900
2901 Nicht nur \Email{}s, auch Dateien --­ z.B. ein PDF-Dokument --- kann
2902 man signieren, bevor man sie per \Email{} verschickt oder per Diskette
2903 weitergibt. Auch dabei kommt es nicht vorrangig auf die Geheimhaltung,
2904 sondern auf die Unverändertheit der Datei an.  
2905
2906 Diese Funktion können Sie bequem mit GPGee aus dem Kontextmenü des
2907 Explorers ausführen.  Dazu öffnen Sie dessen Menü mit der rechten
2908 Maustaste:
2909
2910 % screenshot GPGee contextmenu
2911 \begin{center}
2912 \IncludeImage{sc-gpgee-ctxmenu}
2913 \end{center}
2914
2915 Dort wählen Sie \Menu{signieren} aus, woraufhin das folgende Fenster
2916 erscheint:
2917
2918 \begin{center}
2919 \IncludeImage{sc-gpgee-signmenu}
2920 \end{center}
2921
2922 Sie sehen in der Mitte eine Möglichkeit den Signaturschlüssel
2923 auszuwählen --- nutzen Sie dies, falls Sie mit einem anderen als
2924 Ihrem Standardschlüssel signieren möchten.
2925
2926 Die drei Rahmen im unter Teil steuern die Signatur/Verschlüsselungs-Funktion;
2927 die Vorgaben sind in
2928 den meisten Fällen richtig.  Die linke untere Box, steuert die
2929 Verschlüsselung.  Da Sie lediglich signieren möchten ist hier
2930 "`Keine"' ausgewählt.
2931
2932 In der mittleren Box können Sie die Art der Signatur wählen. Sie
2933 verwenden hier am besten eine "`abgetrennte"' Signatur; dies bedeutet,
2934 dass die zu signierende Datei unverändert bleibt und eine zweite Datei
2935 mit der eigentlichen Signatur erzeugt wird.  Um die Signatur später zu
2936 überprüfen sind dann beide Dateien notwendig.
2937
2938 In der rechten Box finden Sie noch weitere Optionen.  "`Textausgabe"'
2939 ist dort vorgegeben.  Dies erzeugt eine abgetrennte Signaturdatei mit
2940 einem Dateinamen der auf "`.asc"' endet und die direkt mit jedem
2941 Texteditor lesbar ist --- sie würden dort den Buchstaben- und
2942 Ziffernsalat sehen, den Sie bereits kennen.  Wenn diese Option nicht
2943 ausgewählt ist, so wird eine Datei mit der Endung "`.sig"' erzeugt,
2944 die dann nicht direkt lesbar ist (binäre Datei).  Was Sie hier
2945 benutzen ist eigentlich gleichgültig; Gpg4win kommt mit beiden Arten
2946 klar.
2947
2948 Zum Überprüfen der Unverändertheit und der Authentizität
2949 müssen die Original- und die signierte Datei im selben
2950 Verzeichnis liegen.  Man öffnet die signierte Datei --- also die mit der
2951 Endung "`.sig"' oder "`.asc"' --- wieder aus dem Kontextmenü des Explorers
2952 mit \Menu{GPGee$\rightarrow$Überprüfen/Entschlüsseln }.
2953
2954 Daraufhin erhalten Sie eine Ausgabe, ob die Signatur gültig ist ---
2955 also die Datei nicht verändert wurde.  Selbst wenn nur ein Zeichen
2956 hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
2957 ungültig angezeigt.
2958
2959 \clearpage
2960 %% Original page 42
2961 \section{Verschlüsseln und signieren}
2962
2963 Normalerweise verschlüsselt man eine Nachricht mit dem öffentlichen
2964 Schlüssel des Korrespondenzpartners, der ihn mit seinem privaten
2965 Schlüssel entschlüsselt.
2966
2967 Die umgekehrte Möglichkeit ­-- man würde mit dem privaten Schlüssel
2968 verschlüsseln ---, ist technisch nicht möglich und macht keinen Sinn,
2969 weil alle Welt den dazugehörigen öffentlichen Schlüssel kennt und die
2970 Nachricht damit entschlüsseln könnte.
2971
2972 Es gibt aber ein anderes Verfahren um mit Ihrem geheimen Schlüssel
2973 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2974 beschrieben haben.  Solch eine digitale Signatur bestätigt eindeutig
2975 die Urheberschaft --­ denn wenn jemand Ihren öffentlichen Schlüssel
2976 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2977 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2978 kodiert worden sein.  Und zu dem dürfen ja nur Sie selbst Zugang
2979 haben.
2980
2981 Wenn man ganz sicher gehen will, kann man beide Möglichkeiten
2982 kombinieren, also die \Email{} verschlüsseln und signieren:
2983
2984 \begin{enumerate}
2985 \item Man signiert die Botschaft mit seinem eigenen geheimen
2986   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2987 \item dann verschlüsselt man den Text mit dem öffentlichen Schlüssel
2988   des Korrespondenzpartners.
2989 \end{enumerate}
2990
2991 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2992
2993 \begin{enumerate}
2994 \item einen Innenumschlag der mit einem Siegel verschlossen ist (die
2995   Signatur mit dem eigenen privaten Schlüssel) und
2996 \item einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2997   öffentlichen Schlüssel des Korrespondenzpartners).
2998 \end{enumerate}
2999
3000 Der Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
3001 geheimen Schlüssel.  Hiermit ist die Geheimhaltung gewährleistet, denn
3002 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
3003 Hülle öffnet er mit Ihrem öffentlichen Schlüssel und hat den Beweis
3004 Ihrer Urheberschaft, denn wenn Ihr öffentlicher Schlüssel passt, kann
3005 er nur mit Ihrem Geheimschlüssel kodiert worden sein.
3006
3007 Sehr trickreich und ­-- wenn man ein wenig darüber nachdenkt --­ auch
3008 ganz einfach.
3009
3010 \clearpage
3011 %% Original page 43
3012
3013 \chapter{Dateianhänge verschlüsseln}
3014
3015 Was tun, wenn Sie zusammen mit Ihrer \Email{} eine Datei versenden und
3016 diese ebenfalls verschlüsseln wollen? Die Verschlüsselung, wie wir sie
3017 in Kapitel 9 von "`Gpg4win für Einsteiger"' erklärt haben, erfasst nur
3018 den Text der \Email{}, nicht aber eine gleichzeitig versandte,
3019 angehängte Datei. 
3020
3021 Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
3022 dann in verschlüsseltem Zustand an die \Email{} an.
3023
3024 Und zwar so:
3025
3026 Klicken Sie die Datei mit der rechten Maustaste an und wählen Sie aus
3027 dem Menü \linebreak \Menu{GPGee$\rightarrow$Verschlüsseln (PK)}.  Sie
3028 sehen daraufhin das Fenster welches Sie schon im Kapitel "`Dateien
3029 signieren"' kennengelernt haben.
3030
3031 Hier ist nun in der unteren linken Box "`Public-Key"' markiert.  Sie
3032 müssen jetzt im oberen Fenster auswählen, an welche Empfänger sie
3033 verschlüsseln wollen,  kreuzen Sie einfach die entsprechenden Schlüsseln an.
3034
3035 Möchten Sie diese Datei (und damit auch den Dateianhang) auch noch
3036 signieren, so können Sie dies in der mittleren unteren Box auswählen
3037 ("`Angehängt"').
3038
3039 Die Datei wird verschlüsselt und mit der Endung \verb-.gpg- im
3040 gleichen Ordner abgelegt wie die Originaldatei. Nun kann die
3041 verschlüsselte Datei wie jede andere als Attachment an eine \Email{}
3042 angehängt werden.
3043
3044 Viele Mailprogramme unterstützten das PGP/MIME Format, welches
3045 automatisch die Mail samt Anhängen verschlüsselt --- in diesem Fall
3046 sollte das hier beschrieben Verfahren nicht angewandt werden.  Einige
3047 anderer Mailprogramme verfügen über eine Option die das oben
3048 beschrieben Verfahren automatisch durchführen.
3049
3050
3051 \clearpage
3052 \chapter{Dateien: Verschlüsselung und Signaturen}
3053
3054 Dieser Abschnitt ist noch nicht ausformuliert.
3055 Er wird die Anwendung von GpgEX beschreiben.
3056
3057
3058 \clearpage
3059 %% Original page 45
3060 \chapter{Im- und Export eines geheimen Schlüssels}
3061 \label{ch:ImExport}
3062
3063 Im "`Schnellstart"'-Handbuch haben wir in den Kapiteln 5, 6 und 8 den
3064 Im- und Export eines öffentlichen Schlüssels besprochen. Wir haben
3065 Ihren eigenen öffentlichen Schlüssel exportiert, um ihn zu
3066 veröffentlichen, und wir haben den öffentlichen Schlüssel Ihres
3067 Korrespondenzpartners importiert und "`am Schlüsselbund"' befestigt.
3068
3069 Dabei ging es stets um den öffentlichen Schlüssel. Es gibt aber auch
3070 hin und wieder die Notwendigkeit, einen geheimen Schlüssel zu im- oder
3071 exportieren. Wenn Sie zum Beispiel einen bereits vorhandenen
3072 PGP-Schlüssel mit Gpg4win weiterbenutzen wollen, müssen Sie ihn
3073 importieren.  Oder wenn Sie Gpg4win von einem anderen Rechner aus
3074 benutzen wollen, muss ebenfalls zunächst der gesamte Schlüssel dorthin
3075 transferiert werden --­ der öffentliche und der private Schlüssel.
3076
3077 %\clearpage
3078 %% Original page 46
3079
3080 Wir gehen im folgenden von der zur Zeit aktuellen PGP-Version 7 aus, in allen
3081 anderen ist der Vorgang ähnlich.
3082
3083 Zunächst speichern Sie beiden PGP-Schlüsselteile ab. Dazu müssen Sie
3084 in "`PGPkeys"' Ihren Schlüssel anklicken und "`Keys / Export"'
3085 anwählen. Auf dem Dateiauswahldialog "`Export Key to File"' sehen Sie
3086 unten links eine Checkbox "`Include Private Keys"', den Sie anklicken
3087 und mit einem Häkchen versehen müssen. PGP speichert beide
3088 Schlüsselteile in eine Datei ab, die Sie entsprechend benennen, zum
3089 Beispiel \Filename{geheimer-key.asc}.  
3090
3091 Öffnen Sie nun GPA oder WinPT und importieren sie einfach diese Datei.
3092 Es werden dann sowohl der geheime als auch der öffentliche Schlüssel
3093 importiert; sie sind dann sofort sichtbar. \textbf{Löschen Sie danach
3094   unbedingt die Datei \Filename{geheimer-key.asc} wieder und entfernen
3095   Sie diesen auch aus dem "`Papierkorb"'.}  Damit haben Sie einen
3096 PGP-Schlüssel erfolgreich in Gpg4win importiert und können ihn dort
3097 genau wie einen normalen GnuPG-Schlüssel benutzen.
3098
3099 Es kann in einigen Fällen vorkommen, dass Sie einen importierten
3100 Schlüssel nicht direkt benutzen können.  Dies äußert sich darin, dass
3101 Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
3102 wird.  Das kommt daher, dass einige Versionen von PGP intern den
3103 IDEA Algorithmus verwenden.  Dieser kann von GnuPG aus rechtlichen
3104 Gründen nicht unterstützt werden.  Um das Problem zu beheben,
3105 ändern Sie in PGP einfach die Passphrase und
3106 exportieren/importieren Sie den Schlüssel erneut.  Sollte dies auch
3107 nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3108 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
3109 --- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
3110 \textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
3111   eine echte Passphrase zu setzen.}
3112
3113 \clearpage
3114 %% Original page 47
3115 \section{Export eines GnuPG-Schlüssels}
3116
3117 Immer wenn Sie einen GnuPG-Schlüssel auf einen anderen Rechner
3118 transferieren oder auf einer anderen Festplattenpartition bzw. einer
3119 Sicherungsdiskette speichern wollen, müssen Sie mit WinPT oder GPA ein Backup erstellen.
3120 Dies entspricht dem Backup, welches Sie bei der Schlüsselerzeugung
3121 auch schon durchgeführt haben.  Da Ihr Schlüssel inzwischen weitere
3122 Schlüsselunterschriften haben kann, sollte Sie es erneut durchführen.
3123
3124 Klicken Sie in der GPA-Schlüsselverwaltung den Schlüssel an, den Sie sichern
3125 wollen und wählen
3126 Sie dann den Menüpunkt \Menu{Schlüssel$\rightarrow$Sicherheitskopie anlegen}.
3127
3128 % screenshot: GPA, Backup erzeugen
3129 \begin{center}
3130 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup}
3131 \end{center}
3132
3133 Bestätigen Sie den Dateinamen oder wählen Sie einen anderen und GPA
3134 wird eine Sicherheitskopie bestehend aus dem geheimen und öffentlichen
3135 Schlüssel anlegen. Danach werden Sie noch daran erinnert, dass Sie
3136 diese Datei sehr sorgfältig zu handhaben ist:
3137
3138 % screenshot: GPA, Backup Hinweis
3139 \begin{center}
3140 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup-warn}
3141 \end{center}
3142
3143
3144 Beim Import, also zum Beispiel auf einem anderen Rechner, importieren
3145 Sie einfach diese Sicherheitskopie in WinPT oder GPA.
3146 Gpg4win wird dann sowohl den
3147 geheimen als auch den öffentlichen Schlüssel aus dieser Datei
3148 importieren.
3149
3150 Damit haben Sie erfolgreich einen GnuPG-Schlüssel exportiert und
3151 wieder importiert.
3152
3153 \clearpage
3154 \chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
3155
3156 Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
3157 in denen viele Anwender auf einem System arbeiten,
3158 ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
3159 für Gpg4win einzurichten.
3160
3161 Einige typische systemweite Einrichtungen sind:
3162
3163 \begin{itemize}
3164 \item Vertrauenswürdige Wurzel-Zertifikate
3165
3166         Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3167         Wurzelzertifikate suchen und installieren sowie Vertrauenswürdigkeit
3168         prüfen und setzen muss, ist eine systemweite Vorbelegung der
3169         wichtigsten Wurzel-Zertifikate sinnvoll.
3170
3171         Dafür sind folgende Schritte durchzuführen:
3172         \begin{enumerate}
3173         \item Die Wurzel-Zertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
3174                 beschrieben.
3175         \item Die vertrauenswürdigen Wurzeln definieren wie unter Abschnitt \ref{systemtrustedrootcerts}
3176                 beschrieben.
3177         \end{enumerate}
3178
3179 \item Direkt verfügbare CA-Zertifkate
3180
3181         Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
3182         (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
3183         eine systemweite Vorbelegung der wichtigesten CA-Zertifkate sinnvoll.
3184
3185         Folgen Sie dazu der Beschreibung unter Abschnitt \ref{extracertsdirmngr}
3186
3187 \item Proxy für Verzeichnisdienst-Suche
3188
3189         Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
3190         Systeme nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.
3191
3192         Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
3193         LDAP-Abfragen, so führen Sie folgende Schritte durch:
3194
3195         \begin{enumerate}
3196         \item Stellen Sie Verzeichnisdienst-Suchen auf Ihren Proxy wie unter Abschnitt \ref{ldapservers} ein.
3197         \item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
3198                 wie beispielsweise \verb@http-proxy http://proxy.mydomain.example:8080@ (ggf. analog
3199                 für LDAP) als Administrator in die Datei\newline
3200                 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3201                 eintragen.
3202         \end{enumerate}
3203 \end{itemize}
3204
3205 \clearpage
3206 \chapter{Bekannte Probleme und was man tun kann}
3207
3208 \section{GpgOL Menüs und Dialog nicht mehr in Outlook zu finden}
3209
3210 Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
3211 die Menüs und Dialog die von GpgOL zu Outlook hinzugefügt
3212 werden nicht mehr zu finden sind.
3213
3214 Das ist dann der Fall wenn ein technisches Problem auftrat
3215 und Outlook aus diesem Grund das GpgOL Element deaktiviert.
3216
3217 Reaktivieren Sie GpgOL über das Menü
3218 ,,Hilfe-> Info-> Deaktivierte Elemente''.
3219
3220 \section{Systemdienst ,,DirMngr'' läuft nicht}
3221
3222 ,,DirMngr'' ist ein über Gpg4win installierter Dienst der
3223 die Zugriffe auf Verzeichnisdienste
3224 (z.B. LDAP) verwaltet. Eine der häufigsten Aufgaben ist das Laden
3225 von Sperrlisten für S/MIME Zertifikate.
3226
3227 Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
3228 Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3229 ,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
3230 ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
3231 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3232 werden da möglicherweise ein kompromittiertes Zertifkat genutzt wird.
3233
3234 Abhilfe: Neustart des ,,DirMngr'' durch den Systemadministrator.
3235 Dies erfolgt über Systemsteuerung -> Verwaltung -> Dienste:
3236 In der Liste finden Sie ,,DirMngr'' -
3237 über das Kontextmenü kann der Dienst neu gestartet werden.
3238
3239 \clearpage
3240 \chapter{Wo finde ich die Dateien und Einstellungen von Gpg4win?}
3241
3242 \section{Persönliche Einstellungen der Anwender}
3243
3244 Die persönlichen Einstellungen für jeden Anwender befinden sich
3245 im Verzeichnis \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
3246 Verzeichnis \newline
3247 \Filename{C:\back{}Dokumente und Einstellungen\back{}name\back{}Anwendungsdaten\back{}gnupg}.
3248
3249 Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt.
3250 Im Explorer müssen Sie über das Menü ,,Extras-> Ordneroptionen''
3251 dann im Reiter ,,Ansicht'' für ,,Versteckte Dateien und Ordner''
3252 auf ,,Alle Dateien und Ordner anzeigen'' umstellen.
3253
3254 In diesem Ordner befinden sich sämtliche persönlichen GnuPG Daten,
3255 also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und
3256 Programmkonfigurationen.
3257 \\
3258
3259 \section{Zwischengespeicherte Sperrlisten}
3260
3261 Der systemweite Dienst ,,DirMngr'' prüft unter anderem ob
3262 ein Zertifkate gesperrt und daher nicht verwendet werden darf.
3263 Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate
3264 (,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
3265 zwischengespeichert.
3266
3267 Abgelegt werden diese Sperrlisten unter\newline
3268 \Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\newline
3269 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3270
3271 Hierbei handelt es sich um einen sogenannten ,,geschützten'' Bereich
3272 und kann daher nur mit dem Explorer eingesehen werden, wenn für die
3273 Ansicht eingestellt ist, dass auch geschützte Dateien angezeigt werden sollen.
3274
3275 In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
3276
3277 \section{Vertrauenswürdige Wurzeln von DirMngr \label{trustedrootcertsdirmngr}}
3278
3279 Für eine vollständige Prüfung von Zertifkats-Gültigkeiten
3280 muss auch den Wurzel-Zertifkaten vertraut werden, in deren
3281 Zertifizierungskette die Sperrlisten unterschrieben wurden.
3282
3283 Die Liste der Wurzel-Zertifkate denen DirMngr bei den
3284 Prüfungen vertrauen soll liegt unter\newline
3285 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3286
3287 Für systemweite Vorgaben sollten hier die Wurzel-Zertifkate abgelegt werden
3288 denen alle Anwender vertrauen können.
3289
3290 \section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
3291
3292 Um wie oeben beschrieben die Zertifizierungskette zu
3293 prüfen sind auch die Zertifkate der Zertifizierungsstellen
3294 (Certificate Authorities, CAs) zu prüfen.
3295
3296 Für eine direkte Verfügbarkeit können sie in diesem Verzeichnis abgelegt
3297 werden:\newline
3298 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3299
3300 Zertifkate die nicht hier oder bei den Anwendern vorliegen müssen
3301 entweder automatisch von LDAP-Servern geladen werden oder, falls so nicht
3302 verfügbar, per Hand importiert werden.
3303
3304 Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
3305 wichtigsten CA-Zertifkate abzulegen.
3306
3307 \section{Konfiguration zur Verwendung externer LDAP Verrzeichnisdienste \label{ldapservers}}
3308
3309 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende Zertifkate
3310 oder Sperrlisten auf externen Verzeichnisdiensten gesucht werden.
3311
3312 Der Systemdienst ,,DirMngr'' verwendet dafür die Liste der Dienste die
3313 in der Datei\newline
3314 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}ldapservers.conf}\newline
3315 angegeben sind.
3316
3317 Sind im internen Netz die Zugänge zu externen LDAP-Servern gesperrt, so
3318 kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung
3319 konfigurieren, wie folgende Zeile im Beispiel illustriert:
3320
3321 \verb#proxy.mydomain.example:389:::O=myorg,C=de#
3322
3323 Die genaue Syntax für die Einträge lautet übrigens:
3324
3325 \verb#HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN#
3326
3327 \section{Systemweite vertrauenswürdige Wurzel-Zertifikate \label{systemtrustedrootcerts}}
3328
3329 Die systemweit als vertrauenswürdig vorbelegten Zertifkate werden
3330 in der Datei\newline
3331 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}gnupg\back{}trustlist.txt}\newline
3332 definiert.
3333
3334 \clearpage
3335 \chapter{Fehler in den Gpg4win Programmen aufspüren}
3336
3337 Es kann vorkommen, dass eines der Gpg4win Programme
3338 nicht wie erwartet zu funktionieren scheint.
3339
3340 Nicht selten ist dabei eine Besonderheit der
3341 Arbeitsumgebung, so dass die Software-Entwickler
3342 das beobachtete Problem gar nicht selbst nachvollziehen können.
3343
3344 Um die Software-Entwickler bei der Problemsuche zu
3345 unterstützen oder auch um mal selbst in die technischen
3346 Detail-Abläufe reinzuschnuppern bieten die Gpg4win Programme
3347 Unterstützung an.
3348
3349 In der Regel muss diese Unterstützun aber erst einmal
3350 eingeschaltet werden. Eine der wichtigesten Hilfsmittel sind
3351 Logbücher. Dort werden detaillierte Informationen zu den
3352 technischen Vorgängen vermerkt. Ein Software-Entwickler kann
3353 ein Problem und die mögliche Lösung oft leicht ablesen,
3354 auch wenn es auf den ersten Blick sehr unverständlich
3355 und viel zu umfangreich wirken mag.
3356
3357 Wenn Sie einen Fehler-Bericht an die Software-Entwickler
3358 senden wollen, so finden Sie auf dieser Web-Seite einige Hinweise:
3359
3360 http://www.gpg4win.de/reporting-bugs-de.html
3361
3362 Als dort erwähnte ,,Debug-Informationen''
3363 sind Logbücher besonders wertvoll
3364 und sollten mitgeschickt werden.
3365
3366 Im folgenden werden verschieden Möglichkeiten beschrieben
3367 wie Programm-Ablauf-Informationen (darum handelt es sich
3368 letztlich bei den Logbüchern) eingeschaltet werden können.
3369
3370 \section{Logbuch von Kleopatra einschalten}
3371
3372 Das Logbuch von Kleopatra besteht aus vielen Dateien,
3373 daher ist der erste Schritt ein Verzeichnis für
3374 das Logbuch zu erstellen. Denkbar ist z.B.
3375 \Filename{C:\back{}TEMP\back{}kleologdir}.
3376
3377 Bitte beachten Sie hierbei, dass es hier um Einstellungen
3378 des Anwenders, nicht des Systemadministrators geht.
3379 Die Einstellungen müssen also für jeden Anwender der ein
3380 Logbuch erstellen möchte separat vorgenommen werden und dabei
3381 insbesondere aufgepasst werden, dass unterschiedliche \Filename{kleologdir}
3382 Verzeichnisse verwendet werden.
3383
3384 Der Pfad zu diesem Verzeichnis muss nun in der Umgebungsvariable
3385 ,,KLEOPATRA\_LOGDIR'' vermerkt werden:
3386
3387 Öffnen Sie dazu die Systemsteuerung, wählen dort ,,System'', dann
3388 den Reiter ,,Erweitert'' und schließlich den Knopf \Button{Umgebungsvariablen}.
3389
3390 Fügen Sie dort nun folgende neue Benutzervariable ein:
3391
3392 Name: KLEOPATRA\_LOGDIR
3393
3394 Wert: \Filename{C:\back{}TEMP\back{}kleologdir}
3395
3396 Beachten Sie, dass das angegebene Verzeichnis existieren muss. Sie können es
3397 auch nachträglich erstellen.
3398
3399 Um die Log-Funktion wirksam werden zu lassen, muss Kleopatra beendet
3400 und neu gestartet werden. Spätestens jetzt muss das Log-Verzeichnis erstellt worden
3401 sein.
3402
3403 Während Kleopatra nun verwendet wird, zeichnet es viele Daten in die
3404 Datei \Filename{kleo-log} (Haupt-Logbuch) sowie möglicherweise viele Dateien
3405 \Filename{pipe-input-ZEITSTEMPEL-ZUFALLSZEICHEN}.
3406
3407 Möglicherweise reichen diese Informationen einem Software-Entwickler nicht
3408 um den Fehler zu erkennen, er wird Sie dann bitten die Umgebungsvariable
3409 ,,KLEOPATRA\_LOGOPTIONS'' auf den Wert ,,all'' zu setzen wie Sie schon
3410 die andere Variable oben gesetzt haben.
3411
3412 Möglicherweise werden die Logbuch-Dateien sehr schnell sehr groß.
3413 Sie sollten diese Logbuch-Aufzeichnung nur einschalten und dann
3414 ein bestimmtes Fehlverhalten durchspielen. Anschliessend schalten
3415 Sie die Aufzeichnung wieder aus indem Sie die Umgebungsvariable
3416 löschen oder den Namen leicht variieren (für späteres leichtes
3417 reaktivieren). Vergessen Sie nicht, die Logbücher zu löschen falls
3418 sie umfangreich geworden sind oder es sehr viele Dateien sind. Am besten immer
3419 bevor Sie eine neue Aufzeichnung machen.
3420
3421 \section{Logbuch von GpgOL einschalten}
3422
3423 Für das Einschalten des Logbuches von GpgOL müssen Sie ihrem normalen
3424 Benutzerkonto (also nicht als Administrator) den Registrierungs-Editor
3425 starten. Das kann man z.B. machen in dem man
3426 in einer Eingabeaufforderung das Kommando \verb:regedit: ausführt.
3427
3428 Wählen Sie nun das GpgOL Verzeichnis
3429 (\verb:HKEY_CURRENT_USER\Software\GNU\GpgOL:)
3430 im auf der linken Seite dargestellten
3431 Verzeichnisbaum. Existiert dieser Registry-Pfad noch nicht, so
3432 legen Sie ihn zunächst an.
3433
3434 Auf der rechten Seite wählen Sie nun über die rechte Maustaste den
3435 Menüeintrag ,,Neu/Zeichenfolge''.
3436 Bennennen Sie den neuen Eintrag ,,enableDebug'' und setzte Sie dessen Wert
3437 auf ,,1''.
3438
3439 Man erhält umso mehr interne Programmablaufinformationen
3440 je größere man den Wert von ,,enableDebug'' wählt.
3441 Es ist empfehlenswert
3442 mit ,,1'' zu beginnen und nur höhere Werte einzusetzen, falls
3443 es eine tiefere Programmablaufanalyse erfordern sollte.
3444
3445 Erstellen Sie nun eine weitere Zeichnfolge mit dem Namen ,,logFile''
3446 und als Wert ein Dateiname in die das Logbuch geschrieben werden soll,
3447 beispielsweise
3448 \Filename{C:\back{}TEMP\back{}gpgollog.txt}.
3449 Evtl. existierte dieser Eintrag schon ohne Angabe eines Dateinamens,
3450 in diesem Fall reicht ein Doppel-Click auf den Eintrag um den Wert
3451 dann zu ändern.
3452
3453 Bedenken Sie, dass diese Datei ggf. im weiteren Verlauf sehr
3454 umfangreich werden kann. Stelle Sie ,,enableDebug'' auf ,,0'' wenn
3455 Sie kein Logbuch mehr benötigen.
3456
3457 \section{Logbuch von DirMngr einschalten}
3458
3459 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher
3460 ist das Einschalten des Logbuches nur mit Administator-Rechten
3461 möglich.
3462
3463 Um das Logbuch einzuschalten, tragen Sie folgende zwei Zeilen in
3464 die Datei\newline
3465 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3466 ein:
3467
3468 \begin{verbatim}
3469 debug-all
3470 log-file C:\TEMP\dirmngr.log
3471 \end{verbatim}
3472
3473 Starten Sie dann den Dienst neu, so dass er die geänderte Konfiguration
3474 einliesst.
3475
3476 \section{Logbuch von GPG für S/MIME, GPG Agent oder Smartcard Daemon einschalten}
3477
3478 Für die Programme GPG für S/MIME (Kommandozeilen-Name GpgSM), GPG Agent (gpg-agent) und
3479 Smarcard Daemon (scdaemon) können Anwender persönliche Konfigurationen vornehmen.
3480 Dazu gehört auch das Einstellen einer Protokolldatei für den Programmablauf.
3481
3482 Eingeschaltet wird das jeweilige Logbuch in dem über das Kleopatra Menü
3483 ,,Einstellungen/GnuPG Backend einrichten...'' zum jeweiligen Programm
3484 die beiden Einstellungen ,,Schreibe im Servermodus Logs in DATEI'' z.B. auf
3485 ,,\Filename{C:\back{}TEMP\back{}gpgsm.log}'' und ,,Die Debugstufe auf NAME setzten''
3486 auf ,,guru'' setzen. Letzteres ist die höchtste Stufe und erzeugt entsprechend große
3487 Dateien. Daher sollten Sie die Logbücher wieder ausschalten wenn Sie nicht mehr benötigt werden
3488 (Debugstufe ,,none'').