Reworked some chapter in part two and added a new screenshot.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5 \usepackage{hyperlatex}
6 \usepackage{a4wide}
7 \usepackage{times}
8 \usepackage[latin1]{inputenc}
9 \usepackage[T1]{fontenc}
10 \usepackage{german}
11 \usepackage{graphicx}
12 \usepackage{alltt}
13 \usepackage{moreverb}
14 \usepackage{fancyhdr}
15 \W\usepackage{rhxpanel}
16 \W\usepackage{sequential}
17
18
19 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
20
21
22 % Hyperref should be among the last packages loaded
23 \usepackage{hyperref}
24
25 % Macros specific to this package
26 \input{macros.tex}
27 \newcommand{\manualversion}{\manualversionEinsteiger}
28 \newcommand{\manualdate}{\manualdateEinsteiger}
29 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
30
31
32 \T\fancyhead{} % clear all fields
33 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \manualversion \manualinprogress \\ 
34     \itshape\nouppercase{\leftmark}}
35 \T\fancyhead[RO,LE]{\thepage}
36 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
37
38
39 % Title stuff 
40 \htmltitle{Gpg4win Kompendium}
41 %\htmladdress{Gpg4win Project, \today}
42 \title{
43 \IncludeImage[width=8cm]{gpg4win-logo}
44 \\
45 Das Gpg4win Kompendium}
46
47 \author{\htmlonly{\xml{p}\small
48 \xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
49 Zu \xlink{Gpg4win für Durchblicker}{durchblicker.html}\xml{br}
50 Zu \xlink{Englische Version dieses Handbuchs}{novices.html}\xml{br}
51 Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
52 }%
53 Eine Veröffentlichung des Gpg4win Projekts\\
54   \small Basierend auf einem Original von 
55 \T\\
56   \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
57 \T\\
58   \small Dr. Francis Wray und Ute Bahn.
59 \T\\ \
60   \small Überarbeitet von
61 \T\\
62   \small Werner Koch}
63 \date{Version \manualversion\ vom \manualdate\ \manualinprogress}
64
65
66 \begin{document}
67 \thispagestyle{empty}
68 \pagestyle{fancy}
69 \T\parindent0cm
70 \T\parskip\medskipamount
71
72
73 \maketitle
74
75
76 \section*{Impressum}
77 \noindent
78 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
79 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
80 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
81 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
82 werden.}\\
83 Copyright \copyright{} 2005 g10 Code GmbH\\
84 Permission is granted to copy, distribute and/or modify this document
85 under the terms of the GNU Free Documentation License, Version 1.2 or
86 any later version published by the Free Software Foundation; with no
87 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
88 copy of the license is included in the section entitled "`GNU Free
89 Documentation License"'.
90
91 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
92 oben stehenden Hinweises.]}\\
93 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
94 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
95 Documentation License, Version 1.2 oder einer späteren, von der Free
96 Software Foundation veröffentlichten Version.  Es gibt keine
97 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
98 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
99 License"' findet sich im Anhang mit dem gleichnamigen Titel.
100 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
101 http://www.gnu.org/licenses/translations.html.
102
103 %%\htmlonly{Die aktuelle PDF Version dieses Dokuments finden sie unter
104 %%\xlink{\EinsteigerPDFURL}{\EinsteigerPDFURL}.}
105
106 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
107 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
108 sondern für jedermann.
109
110
111
112 \clearpage %% End of original page 4.
113
114 \tableofcontents
115
116 %%\clearpage
117 %% Orginal page  6
118 %% We don't use these foreword anymore because Mr. Müller is not
119 %% anymore minister of economic and technology.  We might want to ask
120 %% for a new foreword by the current head of that ministr
121 %%
122
123 \clearpage
124 %% Orginal page 7
125 \chapter*{Über dieses Handbuch}
126 \T\addcontentsline{toc}{chapter}{Über dieses Handbuch}
127
128
129 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
130
131 \begin{itemize}
132
133 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
134     Schnelleinstieg in Gpg4win.
135
136 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
137     Das Hintergrundwissen für Gpg4win.
138
139 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
140   Entschlüsselung so oft üben können, wie Sie wollen.
141 \end{itemize}
142
143
144 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
145 und knapp durch die Installation
146 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
147 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
148 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
149 etwa eine halbe Stunde Zeit nehmen.
150
151 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
152 liefert Hintergrundwissen, das Ihnen die
153 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
154 seltener benutzten Fähigkeiten erläutert.
155
156 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
157 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
158 der angegebenen Reihenfolge lesen.
159
160
161 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
162 Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
163 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
164 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
165 Gebrauch der Software vertraut gemacht haben.
166
167 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
168 läuft dort noch immer. "`Gpg4win für Einsteiger"' verwendet diesen
169 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
170 für den Betrieb von Adele.
171
172
173
174
175
176 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
177 % Part I
178
179 \clearpage
180 \part{Einsteiger}
181 \label{part:Einsteiger}
182 \addtocontents{toc}{\protect\vspace{0.3cm}}
183
184 %% Orginal page 8
185 \chapter{Was ist Gpg4win?}
186
187 \textbf{Das Projekt Gpg4win (GNU Privacy Guard for Windows) ist eine vom
188 Bundesamt für Sicherheit in der Informationstechnik beauftragte
189 \Email{}-Verschlüsselungssoftware. Gpg4win bezeichnet ein Gesamtpaket,
190 welches die folgenden Programme umfasst:}
191
192 \begin{description}
193     \item[GnuPG:] GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
194     \item[Kleopatra:] Die zentrale Zertifkatsverwaltung von Gpg4win.
195         Unterstützt OpenPGP und X.509\linebreak (S/MIME) und bietet
196         eine einheitliche Benutzerführung für alle
197         Krypto-Opertationen.
198     \item[GpgOL:] GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
199         Outlook 2003, die verwendet wird um Nachrichten mit OpenPGP
200         oder S/MIME zu verschlüsseln.
201     \item[GpgEX:] GPG Shell Extension (GpgEX) ist eine Erweiterung für
202         den Windows Explorer, die es ermöglicht, Dateien über das
203         Kontextmenü zu verschlüsseln.
204     \item[GPA:] Der GNU Privacy Assistent (GPA) ist ein Programm zum
205         Verwalten von Schlüsseln welches für mehrere Plattformen
206         verfügbar ist.
207     \item[Claws Mail:] Claws Mail ist ein vollständiges
208         \Email{}-Programm mit sehr guter Unterstützug für GnuPG.
209 GnuPG-Bedienung.
210 \end{description}
211
212
213 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
214 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln. GnuPG
215 kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
216 von GnuPG eingesetzte Verschlüsselungstechnologie ist sehr
217 sicher und kann nach dem heutigen
218 Stand von Forschung und Technik nicht gebrochen werden.
219
220 GnuPG ist \textbf{Freie Software}\footnote{oft ungenau auch als Open Source
221 Software bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
222 nach Belieben kommerziell oder privat zu nutzen.  Jedermann darf den
223 Quellcode, also die eigentliche Programmierung des Programms, genau
224 untersuchen und auch selbst Änderungen durchführen und diese
225 weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
226 ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
227 durchführen, da hierdurch die Sicherheit der Software beeinträchtigt
228 werden kann.}
229
230 Für eine Sicherheits-Software ist diese garantierte Transparenz des
231 Quellcodes eine unverzichtbare Grundlage. Nur so läßt sich die
232 Vertrauenswürdigkeit eines Programmes prüfen.
233
234 GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC 2440), ist
235 vollständig kompatibel zu PGP und benutzt die gleiche Infrastruktur
236 (Schlüsselserver etc.). Seit Version 2 von GnuPG wird auch der
237 kryptographische Standard \textbf{S/MIME} (CMS/RFC 3852 bzw. X.509)
238 unterstützt.
239
240 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
241 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
242 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
243 mehr dem Stand der Technik.
244
245 Weitere Informationen zu GnuPG und den Projekten der Bundesregierung
246 zum Schutz des Internets finden Sie auf der Website
247 \W\xlink{www.bsi-fuer-buerger.de}{http://www.bsi-fuer-buerger.de}
248 \T\href{http://www.bsi-fuer-buerger.de}{www.bsi-fuer-buerger.de}
249 des Bundesamtes für Sicherheit in der Informationstechnik.
250
251
252 \clearpage
253 %% Original page 6
254 \chapter{Warum überhaupt verschlüsseln?}
255 \label{ch:why}
256
257 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
258 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
259 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
260 Verschlüsselung nunmehr für jedermann frei und kostenlos
261 zugänglich\ldots
262
263 \begin{center}
264 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
265 \end{center}
266
267 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
268 um rund um den Globus miteinander zu kommunizieren und uns zu
269 informieren. Aber Rechte und Freiheiten, die in anderen
270 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
271 den neuen Technologien erst sichern. Das Internet ist so schnell und
272 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
273 noch nicht so recht nachgekommen sind.
274
275
276 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
277 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
278 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
279 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
280 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
281 Postkarte, die auch der Briefträger oder andere lesen können.
282
283
284 \clearpage
285 %% Original page 7
286
287 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
288 man selbst und niemand sonst.
289
290 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
291 \Email{} ist immer offen wie eine Postkarte, und der elektronische
292 "`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
293 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
294 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
295 zu verteilen, sondern auch, sie zu kontrollieren.
296
297 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
298 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
299 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
300 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
301 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
302 schon im großen Stil mit Ihrer und meiner \Email{}
303 geschieht\footnote{Hier sei nur an das \xlink{Echelon
304     System}{\EchelonUrl} erinnert%
305 \T; siehe \href{\EchelonUrl}{\EchelonUrl}%
306 .}.
307
308 Denn: Der Umschlag fehlt.
309
310 \begin{center}
311 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
312 \end{center}
313
314 \clearpage
315 %% Original page 8
316
317 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
318 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
319 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
320 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
321 für wichtig und schützenswert halten oder nicht.
322
323 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
324 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
325 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen -- Sie müssen ja auch
326 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
327
328 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
329 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
330 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
331 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
332 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
333 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
334 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
335 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
336 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
337 praktikable und sichere Software angesehen.
338
339 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
340 Hand.}
341
342 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
343 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
344 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
345 um Gpg4win richtig zu nutzen. In diesem Handbuch werden wir
346 Ihnen dieses Vorgehen Schritt für Schritt erläutern...
347
348
349 \clearpage
350 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
351 \label{ch:openpgpsmime}
352
353 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
354 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
355 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
356 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
357
358 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung
359 sind zwei Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
360 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
361 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
362
363 \subsubsection{Die Gemeinsamkeit: Das Public-Key-Verfahren}
364 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
365 und zwar das Public-Key-Verfahren. Was heisst das?
366
367 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
368 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
369 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
370 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
371 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
372 \textbf{"`Geheimer Schlüssel"'}).
373
374 Klingt zwar komisch, wenn man an echte Schlösser denkt, aber bei
375 Software löst diese Idee das Problem, dass ich meinen Schlüssel
376 für jeden Empfänger aus der Hand geben müsste.
377 Denn normalerweise muss ein Schlüssel zum Verschlüsseln/Abschließen auch
378 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste ich Ihnen,
379 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
380 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
381 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
382 großes Problem.
383
384 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
385 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
386 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
387 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
388 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
389 würde.
390
391 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
392 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung
393 (Näheres erfahren wir später in Kapitel~\ref{ch:CreateKeyPair}).
394
395 \textbf{Falls Sie sich jetzt fragen, wie das Public-Key-Verfahren so
396 funktionieren kann, lesen Sie einmal
397 Kapitel~\ref{ch:FunctionOfGpg4win}.}
398 \textbf{Wenn Sie sich dann noch fragen, warum das Gpg4win so sicher ist,
399 sind vermutlich die Kapitel~\ref{ch:themath} und
400 \ref{ch:secretGnupg} genau das richtige für Sie!}
401 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
402 Geheimnisse verstehen. Viel Spaß beim Entdecken.
403
404 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
405
406 \clearpage
407 \subsubsection{Der Unterschied: Die Authentifizierung}
408
409 Der wesentlichste Unterschied zwischen OpenPGP und S/MIME liegt
410 im Bereich der Authentifizierung.
411
412 Um die Authentizität des Absenders festzustellen, ist bei
413 \textbf{S/MIME}
414 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
415 unzweifelhaft beglaubigt.
416 Das heisst, dass ich meinen öffentlichen Schlüssel von einer dazu
417 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
418 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
419 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
420 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
421 man \textbf{hierarchisches Vertrauenskonzept}. Zumeist ist die Kette nur 3 Elemente
422 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
423 Wurzel zertifiziert CA, CA zertifiziert Anwender.
424
425 Im Gegensatz dazu erlaubt \textbf{OpenPGP} neben dieser baumartigen Zertifizierung
426 zusätzlich auch eine direkte "`peer-to-peer"' Zertifizierung (Anwender A zertfiziert
427 Anwender B, B zertifiziert A und C usw.) und macht damit
428 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
429 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
430 also die Möglichkeit, \textit{ohne} die Zertifizierung von einer höheren Stelle verschlüsselte Daten und
431 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
432 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
433
434 \textbf{Nähere Informationen zu Authentifizierungswegen, wie zum Beispiel
435 dem Web-of-Trust oder den Zertifizierunsstellen, erhalten Sie später in Kapitel~\ref{ch:trust}.}
436
437 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
438
439 \clearpage
440 \subsubsection{Fassen wir kurz zusammen...}
441
442 Was bedeutet das für Sie?
443 \begin{itemize}
444 \item Sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
445     bieten.
446 \item Beide Verfahren sind \textbf{nicht kompatibel} miteinander. Sie
447     bieten zwei separate Wege bei der Authentifizierung Ihrer geheimen Kommunikation.
448     Man sagt, sie sind nicht interoperabel.
449 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
450 \textbf{ parallele } Nutzung beider Systeme.
451 \end{itemize}
452
453 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
454 Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis
455 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
456 mit S/MIME detailliert erklärt.
457
458 Die beiden nachfolgenden Symbole weisen Sie in diesem Compendium
459 auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer
460 schnell überblicken, welche Besonderheiten bei welchem Konzept zu
461 beachten sind.
462
463 \begin{center}
464 \IncludeImage[width=3cm]{openpgp-icon}
465 \hspace{1cm}
466 \IncludeImage[width=3cm]{smime-icon}
467 \end{center}
468
469
470
471 \clearpage
472 %% Orginal page 9
473 \chapter{Sie installieren Gpg4win}
474
475 Beginnen wir nun mit der Installation von Gpg4win. Beachten Sie, dass
476 Sie dafür Administrator-Rechte auf Ihrem Windows-System benötigen.
477
478 Sollte bereits eine GnuPG basierte Anwendung, wie z.B. Kleopatra, 
479 GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
480 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
481 wie Sie Ihre vorhandenen Schlüssel und Zertifikate übernehmen können.
482
483 Falls Sie Gpg4win aus dem Internet heruntergeladen haben:
484 \vspace{-0.28cm}
485 \begin{quote}
486 Klicken Sie
487 bitte auf diese neu abgespeicherte Datei, die den Namen\linebreak
488 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
489 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
490 einer vertrauenswürdigen Seite erhalten haben.
491 \end{quote}
492
493 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
494 \vspace{-0.28cm}
495 \begin{quote}
496     Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs.
497  Öffnen Sie Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM-Icon mit
498 dem Titel "`Gpg4win"'. Anschließen klicken Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
499 \end{quote}
500
501 Die weitere Installation ist dann identisch:\\
502 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
503 mit \Button{Ja}.
504
505 Es begrüßt Sie dieser Screen:
506 \enlargethispage{2\baselineskip}
507 % screenshot:  Welcome Seite Installer
508 \begin{center}
509 \IncludeImage{sc-inst-welcome}
510 \end{center}
511
512 Beenden Sie alle auf Ihrem Rechner laufenden Programme, und klicken Sie dann auf \Button{Weiter}.
513
514 \clearpage
515 %% Orginal page 10
516
517 Auf der Seite mit dem \textbf{Lizenzabkommen}, können Sie Informationen zu den
518 Lizenzen dieser Software lesen. 
519
520 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
521 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
522 zu lesen.  
523
524 Geben Sie allerdings diese Software weiter oder wollen Sie sie
525 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
526 machen.  
527
528 % Screenshot Lizenzseite des Installers
529 \begin{center}
530 \IncludeImage{sc-inst-license}
531 \end{center}
532
533
534 Klicken Sie auf \Button{Weiter}.
535
536
537 \clearpage
538 %% New page (not in original document)
539
540 Auf der Seite mit der \textbf{Komponentenauswahl} können
541 Sie entscheiden, welche Programme Sie installieren
542 möchten.
543
544 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
545 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
546 Entscheidung hilft.
547
548 Die Anzeige des benötigen Speichers auf der Festplatte
549 hilft Ihnen vielleicht ebenfalls weiter.
550
551 % sreenshot Auswahl zu installierender Komponenten
552 \begin{center}
553 \IncludeImage{sc-inst-components}
554 \end{center}
555
556 Sinnvoll ist es, mindestens GnuPG, Kleopatra und das Gpg4win-Compendium
557 zu installieren. Den Rest können Sie bei Bedarf auch später installieren.
558
559 Klicken Sie auf \Button{Weiter}.
560
561
562 \clearpage
563 %% Original page 11
564
565 In der nun folgenden \textbf{Verzeichnisauswahl} können Sie eine Ordner auf Ihrem PC
566 aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
567 Normalfall den voreingestellten Ordner\\
568 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
569 übernehmen.
570
571 % screenshot: Auswahl des Installationsverzeichnis.
572 \begin{center}
573 \IncludeImage{sc-inst-directory}
574 \end{center}
575
576 Klicken Sie anschließend auf \Button{Weiter}.
577
578 \clearpage
579
580 Auf der folgenden Seite können Sie festlegen, welche
581 \textbf{Verknüpfungen} installiert werden.  Voreingestellt ist
582 lediglich eine Verknüpfung mit dem Startmenü.  Bitte beachten Sie, daß
583 sie diese Verknüpfungen auch jederzeit später mit den Bordmitteln von
584 Windows verändern können.
585
586 % screenshot: Auswahl des Links
587 \begin{center}
588 \IncludeImage{sc-inst-options}
589 \end{center}
590
591 Klicken Sie anschließend auf \Button{Weiter}.
592
593 \clearpage
594 %% Original page 12
595
596 Falls Sie auf der vorhergehenden Seite eine \textbf{Verknüpfung mit dem
597 Startmenü} ausgewählt haben (dies ist die Voreinstellung), so wird
598 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
599 Startmenüs auswählen können.
600
601 % screenshot:  Startmenu auswählen
602 \begin{center}
603 \IncludeImage{sc-inst-startmenu}
604 \end{center}
605
606 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
607 klicken dann auf \Button{Installieren}.
608
609 \clearpage
610
611 Während der nun folgenden \textbf{Installation} sehen Sie einen
612 Fortschrittsbalken und Informationen, welche Datei momentan
613 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen} drücken
614 um ein Protokoll der Installation sichtbar zu machen.
615
616 % Screenshot: Ready page Installer
617 \begin{center}
618 \IncludeImage{sc-inst-ready}
619 \end{center}
620
621 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
622 \Button{Weiter}.
623
624 \clearpage
625 %% Original page 13
626
627 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
628
629 % Screenshot: Finish page Installer
630 \begin{center}
631 \IncludeImage{sc-inst-finished} 
632 \end{center}
633
634 Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie die
635 Option auf dieser Seite.
636
637 Klicken Sie schließlich auf \Button{Fertig stellen}.
638
639 \clearpage
640
641 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
642 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
643
644 % Screenshot: Finish page Installer with reboot
645 \begin{center}
646 \IncludeImage{sc-inst-finished2}
647 \end{center}
648
649 Sie können hier auswählen, ob Windows sofort neu gestartet werden
650 soll oder später manuell. 
651
652 Klicken Sie hier auch auf \Button{Fertig stellen}.
653
654
655 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
656 % Outlook ausschaltet.
657
658 \clearpage
659 %% Original page 14
660
661 \textbf{Das war's schon!}
662
663 Sie haben Gpg4win erfolgreich installiert und können es gleich zum ersten Mal
664 starten.
665
666 Vorher sollten Sie aber Kapitel~\ref{ch:FunctionOfGpg4win} lesen.
667 Wir erklären dort den genialen Trick, mit dem Gpg4win Ihre \Email{}s
668 sicher und bequem verschlüsselt.
669 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
670 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
671 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
672 vor sich geht.
673
674 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
675
676 Weiter geben wir Ihnen in Kapitel~\ref{ch:passphrase} einige Tipps,
677 mit denen Sie sich einen sicheren
678 und trotzdem leicht zu merkenden Passphrase ausdenken können.
679
680 Für Informationen zur \textbf{automatischen Installation} von Gpg4win (wie sie
681 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
682 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
683 weiter.
684
685
686 \clearpage
687 %% Original page 15
688 \chapter{Sie erzeugen Ihr Schlüsselpaar}
689 \label{ch:CreateKeyPair}
690
691 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
692 (Kapitel \ref{ch:themath})
693 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
694 entsteht (Kapitel \ref{ch:passphrase}),
695 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
696
697 Ein Schlüsselpaar besteht, wie wir im Kapitel~\ref{ch:openpgpsmime} gelernt haben,
698 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
699 Das gilt sowohl für OpenPGP wie auch für S/MIME (X.509).
700
701 ~\\
702 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
703 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
704
705 Genau das können Sie tun - und zwar für OpenPGP:
706
707 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
708 Sie können den gesamten Ablauf der Schlüsselerzeugung,
709 Verschlüsselung und Entschlüsselung durchspielen,
710 so oft Sie wollen, bis Sie ganz sicher sind.
711
712 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
713 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
714 Problem mehr sein.
715
716 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
717
718 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
719 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
720 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
721 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
722 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
723
724
725 \clearpage
726 %% Original page 16
727 \textbf{Los geht's!}
728 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
729
730 % TODO screenshot Startmenu with Kleopatra highlighted
731 \begin{center}
732 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
733 \end{center}
734
735 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
736 Zertifikatsverwaltung:
737
738 % TODO screenshot: Kleopatra main window
739 \begin{center}
740 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
741 \end{center}
742
743 Zu Beginn ist diese Übersicht leer, da wir noch keine 
744 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
745 nachholen:
746
747 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
748 Im folgenden Dialog entscheiden Sie sich für ein Format,
749 für das anschließend ein Zertifikat erstellt werden soll.
750 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
751 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
752 Seite \pageref{ch:openpgpsmime}.
753
754 \label{chooseCertificateFormat}
755 % TODO screenshot: Kleopatra - New certificate - Choose format
756 \begin{center}
757 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
758 \end{center}
759
760 %% Original page 17
761
762 Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
763 gliedert sich an dieser Stelle in zwei Abschnitte: 
764 \textbf{OpenPGP-Schlüsselpaar erstellen}  und 
765 \textbf{X.509-Schlüsselpaar erstellen}.
766 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
767 Sie sich oben entschieden haben.
768
769
770
771
772
773 %% OpenPGP %%
774 %% Original page 18
775 \section*{OpenPGP-Schlüsselpaar erstellen}
776
777 Klicken Sie im obigen Auswahldialog auf 
778 %TODO:german
779 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
780
781 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
782
783 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
784 \Email{}-Adresse an.
785
786 % TODO screenshot: New Certificate - Personal details
787 \begin{center}
788 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
789 \end{center}
790
791
792 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
793 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
794 \Email{}-Adresse eingeben, z.B.:\\ \verb-Heinrich Heine- und \verb-heinrichh@gpg4win.de-.
795
796 Optional können Sie einen Kommentar zum Schlüssel eingeben.
797 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
798 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
799 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
800 Name und die \Email{}-Adresse später öffentlich sichtbar.
801
802 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
803 Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
804 über die Details informieren.
805
806 \clearpage
807 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
808 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
809 (voreingestellten) Experten-Einstellungen interessieren, können Sie
810 diese über die Option
811 % TODO:german
812 \textit{Show all details} einsehen.
813
814 % TODO screenshot: New Certificate - Review Parameters
815 \begin{center}
816 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
817 \end{center}
818
819 Sofern alles korrekt ist, klicken Sie anschließend auf 
820 %TODO:german
821 \Button{Create Key}. 
822
823
824 \clearpage
825 %% Original page 19
826 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
827
828 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
829 Passphrase einzugeben:
830
831 %TODO screenshot: New certificate - pinentry
832 \begin{center}
833 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
834 \end{center}
835
836 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
837 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
838 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
839 Sicherheit Ihrer Passphrase ernst!
840
841 Sie sollten nun eine geheime, einfach zu merkende und schwer
842 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
843
844 %TODO#: ist derzeit nich so:
845 %Falls die Passphrase nicht sicher genug sein sollte, werden Sie
846 %darauf hingewiesen.
847
848 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
849 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
850
851 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
852 Ihre Eingabe jeweils mit \Button{OK}.\\
853
854
855 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
856 % TODO screenshot: New Certificate - Create Key
857 \begin{center}
858 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
859 \end{center}
860
861 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
862 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
863 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
864
865 \clearpage
866 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
867 erhalten Sie folgenden Dialog:
868
869 %TODO screenshot: New certificate - key successfully created
870 \begin{center}
871 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
872 \end{center}
873
874 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
875 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
876 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
877 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
878 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
879 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
880 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
881
882 Sie brauchen sich die
883 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
884 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
885
886 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
887 drei Möglichkeiten durchführen:
888 \begin{description}
889     \item[Erstellen Sie eine Sicherungskopie Ihres
890         OpenPGP-Schlüsselpaares.]
891         %TODO#: Paar od. geheimer Schluessel? Dateiformat?
892     
893     ~\\Klicken Sie dazu auf den Button
894     %TODO:german
895     \Button{Make a Backup Of Your Certificate...}
896
897     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
898     exportiert werden soll:
899
900     % TODO screenshot: New certificate - export key
901     \begin{center}
902     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
903     \end{center}
904
905     Klicken Sie anschließend auf
906     \Button{OK}. 
907
908     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
909     abgespeichert haben, so sollten Sie
910     baldmöglichst diese Datei auf einen anderen Datenträger (USB
911     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
912     löschen. Bewahren Sie diesen Datenträger sicher auf. 
913
914     Sie können eine Sicherungskopie auch jederzeit später anlegen;
915     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
916     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} 
917
918     \item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
919     ~\\Klicken Sie auf den Button 
920     %TODO:german
921     \Button{Send Certificate By EMail}.
922
923     Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
924     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
925     selbstversändlich \textit{nicht} versendet.
926     Geben Sie eine Empfänger-\Email{}-Adresse an und
927     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
928
929     % TODO screenshot: New certificate - send openpgp key per email
930    \begin{center}
931    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
932    \end{center}
933
934
935     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
936     ~\\Klicken Sie auf 
937     %TODO:german
938     \Button{Upload Certificate To Directory Service...}
939     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
940     Verzeichnisdienst in Kleopatra konfiguriert haben.
941
942     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
943     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
944
945     %TODO#: Mehr Erläuterungen nötig?  
946
947 \end{description}
948
949 ~\\
950 Beenden Sie anschließend den Kleopatra-Assistenten mit
951 %TODO:german
952 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
953 abzuschließen.
954
955 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
956 auf Seite~\pageref{finishKeyPairGeneration}. Von da an
957 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
958
959
960
961 %% X.509 %%
962 %% Original page 21
963 \clearpage
964 \section*{X.509-Schlüsselpaar erstellen \margin{\IncludeImage[width=1.5cm]{smime-icon}} }
965
966 Klicken Sie im Zertifikatsformat-Auswahldialog von
967 Seite~\pageref{chooseCertificateFormat} auf
968 %TODO:german
969 \Button{Create a personal X.509 key pair and certification request}.
970 %TODO# ggf "vgl. Abb"
971
972
973
974 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
975 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
976 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
977
978 % TODO screenshot: New X.509 Certificate - Personal details
979 \begin{center}
980 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
981 \end{center}
982
983
984 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
985 machen Sie beliebige Angaben für Name, Organisation und
986 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
987 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
988 \verb-heinrichh@gpg4win.de-.
989
990 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
991 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
992 über die Details informieren.
993
994 \clearpage
995 Es werden nun noch einmal alle Eingaben und Einstellungen zur
996 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
997 (voreingestellten) Experten-Einstellungen interessieren, können Sie
998 diese über die Option
999 % TODO:german
1000 \textit{Show all details} einsehen.
1001
1002 % TODO screenshot: New Certificate - Review Parameters
1003 \begin{center}
1004 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1005 \end{center}
1006
1007 Sofern alles korrekt ist, klicken Sie anschließend auf 
1008 %TODO:german
1009 \Button{Create Key}. 
1010
1011
1012 \clearpage
1013 %% Original page 19
1014 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
1015
1016 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
1017 Passphrase einzugeben:
1018
1019 %TODO screenshot: New certificate - pinentry
1020 \begin{center}
1021 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1022 \end{center}
1023
1024 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
1025 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
1026 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1027 Sicherheit Ihrer Passphrase ernst!
1028
1029 Sie sollten nun eine geheime, einfach zu merkende und schwer
1030 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1031
1032 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
1033 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
1034
1035 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1036 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1037
1038 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
1039 Ihre Eingabe jeweils mit \Button{OK}.\\
1040
1041
1042 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
1043 % TODO screenshot: New Certificate - Create Key
1044 \begin{center}
1045 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
1046 \end{center}
1047
1048 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1049 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1050 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1051
1052 \clearpage
1053 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1054 erhalten Sie folgenden Dialog:
1055
1056 %TODO screenshot: New certificate - key successfully created
1057 \begin{center}
1058 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1059 \end{center}
1060
1061
1062 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
1063 drei Möglichkeiten durchführen:
1064 \begin{description}
1065     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
1066     ~\\Klicken Sie dazu auf den Button 
1067     %TODO:german
1068     \Button{Save Request To File...}
1069
1070     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
1071     gespeichert werden soll. Als Dateiendung wählen Sie
1072     \textit{*.p10} und
1073     bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
1074     auf verschiedene Weise an eine Zertifizierungsstelle geben.
1075
1076     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
1077     ~\\Klicken Sie auf den Button 
1078     %TODO:german
1079     \Button{Send Certificate By EMail}.
1080
1081     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
1082     Zertifizierungs-Anfrage im Anhang.
1083     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
1084     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
1085     vorbereiteten Text dieser \Email{}.
1086
1087     % ggf TODO screenshot: New certificate - send openpgp key per email
1088    \begin{center}
1089    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
1090    \end{center}
1091
1092     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
1093     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
1094     X.509-Zertifikat.
1095 \end{description}
1096
1097 \clearpage
1098 Beenden Sie anschließend den Kleopatra-Assistenten mit 
1099 %TODO:german
1100 \Button{Finish}.
1101
1102 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
1103 auf der nächsten Seite. Von nun an
1104 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1105
1106
1107 \clearpage
1108 %% Original page 23
1109
1110 \section*{Schlüsselpaar-Erstellung abgeschlossen}
1111 \label{finishKeyPairGeneration}
1112
1113 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
1114 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
1115
1116 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
1117 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
1118 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
1119 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
1120
1121 %TODO screenshot: Kleopatra with new openpgp certificate
1122 \begin{center}
1123 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1124 \end{center}
1125
1126 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1127 nachlesen zu können:
1128
1129 %TODO screenshot: details of openpgp certificate
1130 \begin{center}
1131 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1132 \end{center}
1133
1134 Was bedeuten die einzelnen Zertifikatsdetails? 
1135
1136 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
1137 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
1138 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
1139
1140 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
1141 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
1142 %TODO# DSA erklären
1143
1144 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
1145 Kapitel~\ref{KeyDetails}. 
1146 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1147 Informationen benötigen.}
1148
1149
1150
1151 \clearpage
1152 %% Original page 24
1153
1154 \chapter{Sie veröffentlichen Ihr Zertifikat}
1155 \label{ch:publishCertificate}
1156
1157 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1158 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
1159 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
1160 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
1161 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
1162
1163 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
1164 Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
1165
1166 Denn:
1167
1168 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
1169 das Zertifikat des anderen besitzen und benutzen. Natürlich
1170 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
1171 kann, wie zum Beispiel Gpg4win.}
1172
1173 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1174 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
1175
1176 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
1177 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1178 benutzen.
1179
1180 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1181 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1182 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1183 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
1184 beispielsweise ...
1185
1186 \begin{itemize}
1187     \item ... direkt per \textbf{\Email{}} an bestimmte
1188     Korrespondenzpartner (vgl. Abschnitt~\ref{publishPerEmail}).
1189     \item ... auf einem \textbf{OpenPGP-Schlüsselserver};
1190     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{publishPerKeyserver}).
1191     \item ... über die eigene Homepage.
1192     \item ... persönlich, z.B. per USB-Stick.
1193 \end{itemize}
1194
1195 Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
1196 näher anschauen.
1197
1198 %% Original page 25
1199 \clearpage
1200 \section{Veröffentlichen per \Email{}}
1201 \label{publishPerEmail}
1202
1203 Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1204 Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
1205 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1206 Abschnitt.
1207
1208 ~\\
1209 Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
1210 Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
1211 Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
1212 X.509-Zertifikaten finden Sie auf
1213 Seite~\pageref{publischPerEmailx509}.}
1214 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1215
1216 \textbf{Adele}
1217 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1218 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1219 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1220 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1221 vorgestellt:
1222
1223 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1224 \begin{center}
1225 \IncludeImage{adele01}
1226 \end{center}
1227
1228 Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
1229 diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
1230 eine \Email{} an Sie und sendet sie zurück.
1231
1232 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1233 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1234 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1235
1236 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1237 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1238 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1239 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1240 Adressat wahrscheinlich ziemlich übel nehmen würde.
1241
1242 Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
1243 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1244
1245
1246 \clearpage
1247 %% Original page 26
1248
1249
1250
1251 \subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
1252
1253 Selektieren Sie in Kleopatra das zu exportierende Zertifikat
1254 (durch Klicken auf die entsprechende Zeile in der Liste der
1255 Zertifikate) und klicken Sie dann auf
1256 \Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
1257 Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
1258 speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
1259 z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1260
1261 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1262 dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
1263 -- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
1264 Schlüssel exportieren.
1265
1266
1267 %% Original page 27
1268 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
1269 Windows Explorer und wählen denselben Ordern aus, den Sie beim
1270 Exportieren angegeben haben.
1271
1272 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1273 Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
1274 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1275 und Zahlenblock:
1276
1277 % screenshot: Editor mit ascii armored key
1278 \begin{center}
1279 \IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
1280 \end{center}
1281
1282
1283 \clearpage
1284 %% Original page 28
1285
1286 \subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
1287 versenden}
1288
1289 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1290 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1291 anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
1292 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1293 Schlüssel eigentlich besteht.
1294
1295 \textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
1296 Schlüssel von
1297
1298 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1299 bis\\
1300 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1301
1302 und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
1303 Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
1304 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1305
1306 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1307 Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
1308 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
1309 Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
1310 reine Textnachrichten gesendet werden und keine HTML formatierte
1311 Nachrichten.
1312
1313 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1314 "`Copy \& Paste"'.
1315
1316 \textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1317 schreiben in die Betreffzeile z.B.: \textit{Mein OpenPGP-Zertifikat}.
1318
1319 So etwa sollte Ihre \Email{} nun aussehen:
1320
1321 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1322 \begin{center}
1323 \IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1324 \end{center}
1325
1326 \T\enlargethispage{2\baselineskip}
1327 Schicken Sie die \Email{} an Adele ab.
1328
1329 Nur zur Vorsicht: Natürlich
1330 sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1331 Beispieladresse als Absender haben, sondern \textit{Ihre eigene
1332   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1333 bekommen$\ldots$
1334
1335
1336 \clearpage
1337 %% Original page 29
1338 \subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
1339 versenden}
1340
1341 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1342 OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1343 versenden. Das ist oftmals das
1344 einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
1345 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1346 transparenter und leichter nachzuvollziehen ist.
1347
1348 Schreiben wir Adele nun noch einmal eine neue Mail mit der
1349 Zertifikatsdatei im Anhang:
1350
1351 Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1352 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1353 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster). 
1354 Ergänzen Sie den Empfänger
1355 (\verb-adele@gnupp.de-) und einen Betreff, z.B.
1356 \textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
1357
1358 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1359 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1360 als zu diesem Übungszweck programmiert worden.
1361
1362 Ihre fertige \Email{} sollte dann etwa so aussehen:
1363
1364 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1365 \begin{center}
1366 \IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1367 \end{center}
1368
1369 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1370
1371 \clearpage
1372 \subsubsection{Fassen wir kurz zusammen...}
1373
1374 Sie haben Ihr OpenPGP-Zertifikat in
1375 Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
1376 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1377 komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
1378 wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
1379
1380 Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
1381 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1382 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1383 Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
1384 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1385 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1386 (z.B. Kleopatra) importieren kann.
1387 %TODO: ggf Verweis auf Zertifikats-Import
1388
1389 ~\\Nachdem \label{publischPerEmailx509}
1390 Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
1391 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1392 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1393 Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1394 Kapitel~\ref{ch:openpgpsmime}).
1395
1396 Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
1397 Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1398 \textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
1399
1400 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1401 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1402 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1403 aussuchen oder Sie schreiben testweise an sich selber.
1404
1405 Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
1406 die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
1407 Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
1408 eine Datei abspeichern wollen. Ersteres empfiehlt sich immer dann,
1409 wenn Sie nicht genau wissen, ob Ihr Korrespondenzpartner Ihr
1410 Wurzelzertifikat schon besitzt. Klicken Sie dazu in Kleopatra alle Kettenelemente mit
1411 gedrückter Shift-Taste an und exportieren Sie diese markierten
1412 Elemente nach oben beschriebener Regel.
1413
1414
1415 \clearpage
1416 %% Original page 30
1417 \section{Veröffentlichen per Schlüsselserver}
1418 \label{publishPerKeyserver}
1419
1420 \textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
1421 Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
1422 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1423
1424 Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
1425 internationalen Schlüsselserver bietet sich eigentlich
1426 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1427 \Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
1428 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1429 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1430 Korrespondenzpartner.
1431
1432
1433 \textsc{Vorsicht: Die Veröffentlichung Ihrer \Email{}-Adresse
1434 auf einem Keyserver birgt leider das Risiko, dass Ihnen
1435 auch ungebetene Personen \Email{}s schreiben können und die
1436 SPAM-Menge für Ihre \Email{}-Adresse dadurch zunehmen kann.
1437 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1438 Falls Sie keinen wirksamen Spamfilter benutzen,
1439 sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1440 Keyserver absehen.}
1441
1442 ~\\
1443 \textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
1444 Menü auf
1445 %TODO:german
1446 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
1447
1448 Sofern Sie noch keinen Schlüsselserver
1449 definiert haben, bekommen Sie eine Warnmeldung:
1450
1451 % screenshot: GPA export key to keyserver
1452 \begin{center}
1453 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1454 \end{center}
1455
1456 Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
1457 \texttt{keys.gnupg.net} bereits voreingestellt.
1458 Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
1459 diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
1460 verbundenen Keyserver weitergereicht.
1461 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
1462 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1463
1464 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1465 Übungsschlüssel bitte nicht ab.  Er ist wertlos und kann nicht
1466 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1467 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1468 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1469
1470 \clearpage
1471 \subsubsection{Fassen wir kurz zusammen...}
1472 Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
1473 Schlüsselserver im Internet veröffentlichen.
1474
1475 \textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
1476   Schlüsselservern suchen und importieren, beschreiben wir im
1477   Kapitel~\ref{ch:keyserver}.
1478   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1479   Funktion benötigen.}
1480
1481
1482
1483 \clearpage
1484 %% Original page 31
1485 \chapter{Sie entschlüsseln eine \Email{}}
1486 \label{ch:decrypt}
1487
1488 Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
1489 und wollen diese nun entschlüsseln? 
1490 Alles was Sie dazu brauchen ist Gpg4win, Ihr Schlüsselpaar und
1491 natürlich ganz wichtig: Ihre Passphrase.
1492
1493 In diesem Kapitel erklären wir Ihnen Schritt für Schritt, wie Sie Ihre
1494 \Email{}s in Microsoft Outlook mit Gpg4win entschlüsseln.
1495
1496 ~\\
1497 Wir üben jetzt diesen Vorgang einmal mit Adele und Ihrem
1498 OpenPGP-Zertifikat!\\
1499 \textit{Achtung: Die folgenden Übungen gelten nur für OpenPGP!
1500 Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
1501 Ende dieses Kapitels.} %TODO:Seitenzahl
1502 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
1503
1504
1505 Im Abschnitt~\ref{publishPerEmail} haben Sie Adele Ihr
1506 OpenPGP-Zertifikat geschickt.
1507 Mit Hilfe dieses Zertifikats verschüsselt Adele nun eine
1508 \Email{} und sendet sie an Sie zurück. Nach kurzer Zeit sollen Sie
1509 Adeles Antwort erhalten.
1510
1511
1512 % cartoon: Adele typing and sending a mail
1513 \begin{center}
1514 \IncludeImage{adele02}
1515 \end{center}
1516
1517
1518 \clearpage
1519 %% Orginal page 32
1520 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
1521
1522 Für die meisten Mailprogramme gibt es spezielle Erweiterungen
1523 (sogenannte Plugins), mit denen die Ver- und Entschlüsselung direkt im
1524 jeweiligen Mailprogramm erledigt werden kann. --
1525 \textbf{GpgOL} ist ein solches Plugin für MS Outlook, dass wir in
1526 diesem Abschnitt nutzen wollen, um die \Email{} von Adele zu
1527 entschlüsseln.
1528
1529 Hinweise zu weiteren Software-Lösungen finden Sie im Kapitel~\ref{ch:plugins}.
1530 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1531
1532 ~\\
1533 Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
1534
1535 Kleopatra verwaltet alle Ihre eigenen Zertifikate und die Ihrer
1536 Korrespondenzpartner. Somit eignet sich Kleopatra gut zur Überprüfung
1537 der \Email{}. Kleopatra erkennt eine verschlüsselte \Email{} von
1538 Adele. Diese \Email{} hat Adele mit \textit{Ihrem} OpenPGP-Zertifikat verschlüsselt. 
1539
1540 Um die
1541 Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (zum
1542 Schlüsselpaar gehörigen) Passphrase. Geben Sie diese in den
1543 aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
1544 einen Statusdialog. Mit \Button{Details einblenden} können Sie sich
1545 weitere Informationen der \Email{}-Überprüfung anzeigen lassen:
1546
1547 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1548 \begin{center}
1549 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1550 \end{center}
1551
1552 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
1553 entschlüsselte \Email{} zu lesen.
1554
1555 Möchten Sie den Prüfdialog nach dem Lesen der Mail noch einmal manuell aufrufen,
1556 so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
1557 Enschlüsseln/Prüfen}.
1558
1559 Doch nun wollen wir das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
1560
1561
1562
1563 %So sollte Adeles Antwort-\Email{} etwa aussehen:
1564 %
1565 %\begin{verbatim}
1566 %From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1567 %Subject: Re: Mein OpenPGP-Zertifikat
1568 %To: heinrichh@gpg4win.de
1569 %Date: Thu, 08 Jul 2008 09:17:28 +0100
1570 %
1571 %-----BEGIN PGP MESSAGE-----
1572 %Version: GnuPG v1.4.1 (GNU/Linux)
1573 %
1574 %hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1575 %QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1576 %NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1577 %
1578 %...
1579 %
1580 %ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1581 %A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1582 %bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1583 %=VCHb
1584 %-----END PGP MESSAGE-----
1585 %\end{verbatim}
1586
1587 %\textit{(Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1588 %stark gekürzt.)}
1589
1590
1591 %\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
1592
1593
1594
1595
1596 \clearpage
1597 %% Original page 36
1598 \subsubsection{Die entschlüsselte Nachricht}
1599
1600 Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
1601   von der Softwareversion von Adele kann dies auch etwas
1602   unterschiedlich aussehen.}:
1603 %TODO: lieber ein OL-Screenshot der mail.
1604
1605 \begin{verbatim}
1606 Hallo Heinrich Heine,
1607
1608 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1609
1610 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1611 57251332CD8687F6 und der Bezeichnung
1612 `Heinrich Heine <heinrichh@duesseldorf.de>'
1613 wurde von mir empfangen.
1614
1615 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1616 dem freundlichen E-Mail-Roboter.
1617
1618 Viele Grüße,
1619 adele@gnupp.de
1620 \end{verbatim}
1621
1622 Der Textblock, der darauf folgt, ist das Zertifikat von Adele.
1623
1624 Wir werden im nächsten Kapitel dieses Zertifikat importieren und
1625 an Ihrem Schlüsselbund befestigen. Importierte Zertifikate können
1626 Sie jederzeit zum
1627 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1628 oder dessen signierte Mails überprüfen.
1629
1630 \clearpage
1631 \subsubsection{Fassen wir kurz zusammen...}
1632
1633 \begin{enumerate}
1634 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1635   Schlüssel entschlüsselt.
1636
1637 \item Der Korrespondenzpartner hat sein eigenes Zertifikat
1638     beigelegt, damit Sie ihm verschlüsselt antworten können.
1639 \end{enumerate}
1640
1641 ~\\Nachdem \label{publischPerEmailx509}
1642 Sie gelernt haben, wie Sie \Email{}s mit Ihrem OpenPGP-Zertifikat
1643 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1644 entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte 
1645 \textbf{S/MIME}-\Email{}s entschlüsseln.
1646
1647 Die Antwort lautet auch hier: Genauso wie bei OpenPGP!
1648 Der Unterschied zu OpenPGP ist lediglich, dass S/MIME \textit{nicht}
1649 von Adele unterstützt wird und somit die obige Übung nur für OpenPGP
1650 gilt.
1651
1652 Zum entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie
1653 die Nachricht in Outlook und geben im aufgehenden Dialog Ihre Passphrase ein. 
1654 Sie bekommen einen ähnlichen
1655 Statusdialog wie bei OpgenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
1656 entschlüsselte S/MIME-\Email{}.
1657
1658
1659
1660
1661 \clearpage
1662 %% Original page 37
1663 \chapter{Sie importieren ein Zertifikat}
1664 \label{ch:keyring}
1665
1666 Ihr Korrespondenzpartner muss nicht jedes Mal sein Zertifikat 
1667 mitschicken, wenn er Ihnen signiert schreibt.
1668 Sie bewahren seinen öffentlichen Schlüssel einfach an 
1669 Ihrem GnuPG-"`Schlüsselbund"' (oder besser: "`Zertifikatsbund"') auf.
1670
1671
1672 \subsubsection{Zertifikat abspeichern}
1673
1674 Bevor Sie ein Zertifikat in Kleopatra importieren,
1675 müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
1676 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
1677 \Email{} bekommen haben, gehen Sie wie folgt vor:
1678
1679 \begin{itemize}
1680     \item Liegt das Zertifikat einer \Email{} als \textbf{Dateianhang} bei, speichern
1681 Sie es (wie Sie es in Ihrem Mailprogramm gewohnt sind)
1682 auf einem Ort Ihrer Festplatte ab.
1683
1684
1685 \item Sollte das Zertifikat als \textbf{Textblock} innerhalb Ihrer \Email{}
1686 übermittelt worden sein, so müssen Sie zunächst das vollständige
1687 Zertifikat markieren: 
1688
1689 Bei OpenPGP-Zertifikaten markieren Sie den Bereich von
1690
1691 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1692 bis\\
1693 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1694
1695 so wie Sie es im Abschnitt~\ref{publishPerEmail} schon getan haben.
1696
1697 Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
1698 Texteditor ein und speichern Sie das Zertifikat ab. Als Dateiendung
1699 sollten Sie für OpenPGP-Zertifikate \textit{*.asc} und für X.509-Zertifikate 
1700 z.B. \textit{*.pem} wählen.
1701
1702 \end{itemize}
1703
1704 %% Original page 38/39
1705 \clearpage
1706 \subsubsection{Zertifikat in Kleopatra importieren}
1707
1708 Ob Sie nun das Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
1709 haben, ist egal: In beiden Fällen importieren Sie dieses
1710 abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung
1711 \textbf{Kleopatra}.
1712
1713
1714 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
1715
1716 Klicken Sie im Menü auf
1717 \Menu{Datei$\rightarrow$Zertifikat importieren...},
1718 suchen das eben abgespeicherte Zertifikat aus und laden es.
1719 Sie erhalten einen Infodialog mit dem Ergebnis des Importvorgangs:
1720
1721 %TODO screenshot: Kleopatra - certificate import dialog
1722 \begin{center}
1723 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-certificate_de}
1724 \end{center}
1725
1726 %TODO#: Anmerkungen zu Insgesamt bearbeitet, Importiert, Unverändert, ...
1727
1728 Das erfolgreich importierte Zertifikat wird nun in Kleopatra angezeigt
1729 -- und zwar unter einem separatem Reiter "`Importierte
1730 Zertifikate von \textit{<Pfad-zur-Zertifikatsdatei>}"':
1731
1732 %TODO screenshot Kleopatra with new certificate
1733 \begin{center}
1734 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1735 \end{center}
1736
1737 Schließen Sie diesen Reiter mit dem rot-weißen Schließen-Button am
1738 Rechten Fensterrand.
1739
1740 Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
1741 das von Ihnen importierte Zertifikat sehen.
1742
1743 Damit haben Sie ein fremdes Zertifikat­-- in diesem Beispiel das
1744 OpenPGP-Zertifikat von Adele -- importiert und an Ihrem Schlüsselbund
1745 befestigt. Sie können dieses Zertifikat jederzeit benutzen, um
1746 verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
1747 senden und Signaturen zu prüfen.
1748
1749 \clearpage
1750 \subsubsection{Bevor wir weitermachen, eine wichtige
1751 Frage:}
1752 Woher wissen Sie eigentlich, dass das fremde
1753 OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
1754 unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
1755 gar nichts.
1756
1757 Wie können Sie also sichergehen, dass ein Zertifikat auch wirklich
1758 seinem Absender gehört?
1759
1760 \textbf{Die Kernfrage der Zertifikatsprüfung erläutern wir im
1761 Kapitel~\ref{ch:trust}. Lesen Sie bitte jetzt dort weiter, bevor
1762 Sie danach an dieser Stelle fortfahren.}
1763
1764
1765
1766 \clearpage
1767 %% Original page 42
1768 \chapter{Sie verschlüsseln eine \Email{}}
1769 \label{ch:encrypt}
1770
1771 Jetzt wird es noch einmal spannend: Wir versenden eine verschlüsselte \Email{}!
1772
1773 Sie brauchen dazu Outlook, Kleopatra und natürlich ein Zertifikat
1774 Ihres Korrespondenzpartners.
1775
1776 ~\\
1777 Erstellen Sie zunächst in Outlook eine neue \Email und adressieren Sie diese an Ihren
1778 Korrespondenzpartner.
1779
1780 %% Original page 45
1781
1782
1783 \textit{Hinweis nur für OpenPGP:}\\Sie können zum Üben dieses Vorgangs
1784 mit OpenPGP wieder Adele nutzen. S/MIME wird von Adele nicht
1785 unterstützt! \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1786 Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
1787 \verb-adele@gnupp.de-. Der Inhalt der Nachricht ist egal -- Adele kann
1788 nicht wirklich lesen...
1789
1790 \clearpage
1791 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
1792 \label{encryptProtocol}
1793 Bestimmen Sie nun das Protokoll -- PGP/MIME oder S/MIME --
1794 mit der Sie Ihre Nachricht verschlüsseln wollen. Die hängt davon ab,
1795 in welchem Format das Zertifikat Ihres Korrespondenzpartners bei Ihnen
1796 vorliegt.
1797 Klicken Sie dazu im Menü \Menu{Extras$\rightarrow$GnuPG Protokoll} des geöffneten
1798 Outlook-Nachrichtenfensters auf:
1799 \textit{PGP/MIME}, \textit{S/MIME} oder \textit{automatisch}.
1800
1801 Sofern Sie diese Auswahl auf der Voreinstellung \textit{automatisch} lassen, haben Sie
1802 später im Verschlüsselungsprozess noch die Möglichkeit zwischen PGP/MIME und S/MIME zu wählen.
1803
1804 Haben Sie ein bevorzugtes GnuPG-Protokoll? Dann können Sie unter den
1805 den GpgOL-Optionen
1806 (\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}) 
1807 PGP/MIME oder S/MIME als Voreinstellung definieren.
1808
1809 ~\\
1810 \textbf{Wichtiger Hinweis nur für S/MIME:}\\
1811 Nach der Installation von Gpg4win ist die
1812 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1813 S/MIME-Funktionalität in GpgOl deaktiviert. Wenn Sie S/MIME nutzen
1814 möchten, sollten Sie zuvor unter
1815 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
1816 \textit{S/MIME Unterstützung einschalten} aktivieren:
1817
1818 % TODO screenshot: OL composer with Adele's address and body text
1819 \begin{center}
1820 \IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
1821 \end{center}
1822
1823
1824 \clearpage
1825 \subsubsection{Verschlüsselung aktivieren}
1826 Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht auch wirklich
1827 verschlüsselt versenden wollen:
1828 Wählen Sie \Menu{Extras$\rightarrow$Nachricht mit GnuPG verschlüsseln}.
1829 Die Schaltfläche mit dem Schloss-Icon in der
1830 Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
1831 Schaltfläche klicken).
1832
1833 Ihre Outlook-Nachrichtenfenster sollte nun etwas so aussehen
1834 (exemplarisch wurde hier OpenPGP als Verschlüsselungstechnik gewählt):
1835
1836 % TODO screenshot: OL composer with Adele's address and body text
1837 \begin{center}
1838 \IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
1839 \end{center}
1840 Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
1841 erneuter Klick auf die o.g. Schaltfläche.
1842
1843 Klicken Sie nun auf \Button{Senden}.
1844
1845 \clearpage
1846 \subsubsection{Zertifikatsauswahl}
1847 Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das Zertifikat des
1848 Empfängers angeben. Kleopatra wählt -- abhängig von der
1849 Empfänger-\Email{}-Adresse -- in der Regel das passende Zertifikat
1850 automatisch aus.
1851
1852 % TODO screenshot: kleopatra encryption dialog - certificate selection
1853 % (with Adele + my own certificate)
1854 \begin{center}
1855 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
1856 \end{center}
1857
1858 Im Normalfall können Sie dieses vorausgewähte Zertifikat mit
1859 \Button{Weiter} bestätigen.
1860
1861 \clearpage
1862 Sollte es jedoch nicht das richtige Zertifikat sein -- z.B. weil zu der \Email{}-Adresse 
1863 mehrere Zertifikate existieren oder Sie bewusst ein anderes Zertifikat
1864 auswählen wollen -- klicken Sie
1865 auf den \Button{...}-Button neben der Drop-Down-Liste.
1866
1867 Sie bekommen einen Kleopatra-Dialog mit einer Auflistung aller Zertifikate des
1868 gewählten Zertifikatstyps, die in Ihrer Zertifikatsverwaltung
1869 existieren (also von Ihnen bis dahin importiert wurden).
1870 Exemplarisch sehen Sie hier eine Auswahl von verfügbaren
1871 OpenPGP-Zertifikaten:
1872
1873 % TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
1874 \begin{center}
1875 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
1876 \end{center}
1877
1878 Wählen Sie das korrekte Zertifikat Ihres Korrespondenzpartners aus, denn damit muss Ihre Nachricht ja
1879 verschlüsselt werden.
1880
1881 Sie erinnern sich an den Grundsatz:
1882 \begin{quote}
1883     \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
1884   müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.}
1885 \end{quote}
1886
1887 Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun verschlüsselt.
1888
1889 \clearpage
1890 \subsubsection{Verschlüsselung abschließen}
1891 Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
1892 Sie eine Meldung, die Ihnen dies bestätigt:
1893
1894 % TODO screenshot: kleopatra encryption successfully
1895 \begin{center}
1896 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
1897 \end{center}
1898
1899 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
1900 verschlüsselt!}
1901
1902
1903
1904
1905 %% Original page 37 & 40
1906 \chapter{Sie signieren eine \Email{}}
1907 \label{ch:sign}
1908
1909 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
1910 Echtheit eines OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
1911 geheimen OpenPGP-Schlüssel signieren können.
1912
1913 In diesem Kapitel wollen wir uns damit beschäftigen,
1914 wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
1915 \textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
1916 einer elektronischen Unterschrift (eine Art elektronisches Siegel) versehen.
1917
1918 Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
1919 feststellen, ob die \Email{} unterwegs manipuliert oder verändert
1920 wurde.
1921
1922 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
1923 tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
1924 korrespondieren, dessen Zertifikat Sie nicht haben~(aus welchem
1925 Grund auch immer), können Sie so die Nachricht wenigstens
1926 mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
1927
1928 \textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht mit den
1929 \Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
1930 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
1931 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
1932 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
1933 Manipulationen und bestätigt den Absender.
1934
1935 Übrigens ist die elektronische Unterschrift auch nicht mit der
1936 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
1937 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
1938 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
1939 genau denselben Zweck.
1940
1941 % cartoon:  Müller mit Schlüssel
1942 \begin{center}
1943 \IncludeImage[width=0.4\textwidth]{man-with-signed-key}
1944 \end{center}
1945
1946
1947
1948 \clearpage
1949 %% Original page 38
1950 \section{Signieren}
1951
1952 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
1953 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
1954 \Email{} verfasst haben, gehen wir -- analog zur Verschlüsselung --
1955 folgende Schritte durch:
1956
1957 \begin{itemize}
1958     \item Protokoll bestimmen -- PGP/MIME oder S/MIME
1959     \item Signierung aktivieren
1960     \item Zertifikatsauswahl
1961     \item Signierung abschließen
1962 \end{itemize}
1963
1964 Auf den nächsten Seiten beschreiben wir diese Schritte im Detail.
1965
1966 \clearpage
1967 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
1968 Genauso wie beim Verschlüsseln von \Email{}s müssen Sie vorher das
1969 Protokoll bestimmen, nach welchem Verfahren signiert bzw.
1970 verschlüsselt werden soll.
1971
1972 Nutzen Sie dazu das Menü
1973 \Menu{Extras$\rightarrow$GnuPG Protokoll} im
1974 Outlook-Nachrichtenfenster und wählen Sie \textit{PGP/MIME},
1975 \textit{S/MIME} oder \textit{automatisch}. -- Die Erklärungen und
1976 Hinweise vom Verschlüsseln (siehe Seite~\pageref{encryptProtocol}) gelten auch
1977 für das Signieren.
1978
1979
1980 \subsubsection{Signierung aktivieren}
1981 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass 
1982 Ihre Nachricht signiert versendet werden soll:
1983
1984 Dazu aktivieren Sie den Menüeintrag \Menu{Extras$\rightarrow$Nachricht
1985 mit GnuPG signieren}. Die Schaltfläche mit dem unterschreibenden Stift
1986 wird aktiviert.
1987
1988 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen (als
1989 Protokoll wurde hier exemplarisch OpenPGP gewählt):
1990 % TODO screenshot: OL composer with Adele's address and body text
1991 \begin{center}
1992 \IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
1993 \end{center}
1994
1995 Wie beim Verschlüsseln können Sie natürlich auch die Signieroption
1996 jederzeit mit einem erneuten Klick auf die Schlatfläche wieder deaktivieren.
1997
1998 Klicken Sie nun auf \Button{Senden}.
1999
2000 \clearpage
2001 \subsubsection{Zertifikatsauswahl}
2002 Daraufhin öffnet Kleopatra ein Fenster, in dem -- anders als beim
2003 Verschlüsseln -- Ihre \textit{eigenen} Zertifikate angezeigt werden.
2004
2005
2006 % TODO screenshot: kleopatra sign dialog - certificate selection
2007 \begin{center}
2008 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
2009 \end{center}
2010
2011 Denn:
2012 \begin{quote}
2013     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2014 \end{quote}
2015 Logisch, denn nur Ihr eigener geheimer Schlüssel bestätigt Ihre
2016 Identität. Der Korrespondenzpartner kann dann mit Ihrem Zertifikat, das
2017 er bereits hat oder sich besorgen kann, Ihre Identität überprüfen.
2018 Denn nur Ihr geheimer Schlüssel passt zu Ihrem Zertifikat.
2019
2020
2021 Im Normalfall können Sie im obigen Dialog Ihr vorausgewähtes Zertifikat mit
2022 \Button{Weiter} bestätigen. Beim ersten Durchlauf des Signierprozesses müssen
2023 Sie jedoch zunächst Kleopatra Ihr bevorzugtes Zertifikat für OpenPGP
2024 bzw. S/MIME mitteilen.
2025
2026 Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges
2027 Zertifikat angezeigt sein -- z.B. weil Sie mehrere Zertifikate
2028 besitzen -- klicken Sie auf \Button{Signaturzertifikate ändern ...}.
2029
2030
2031 \clearpage
2032 Sie bekommen einen Auswahl-Dialog mit einer Auflistung aller Ihrer
2033 eigenen Zertifikate, die in Ihrer Zertifikatsverwaltung existieren.
2034 Nachfolgend der Dialog, gefüllt mit Beispielzertifikaten für OpenPGP
2035 und S/MIME:
2036 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2037 \begin{center}
2038 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
2039 \end{center}
2040
2041 Wählen Sie Ihr korrektes Zertifikat aus, mit dem Sie Ihre Nachricht
2042 signieren wollen.
2043
2044 Klicken Sie anschließend auf \Button{OK}. Ihr ausgewähltes Zertifikat
2045 wird in den letzten "`\Email{} signieren"'-Dialog übernommen.
2046
2047 Bestätigen Sie Ihr Zertifikat mit \Button{Weiter}.
2048
2049
2050 \clearpage
2051 \subsubsection{Signierung abschließen}
2052 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2053 aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
2054
2055 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2056 \begin{center}
2057 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2058 \end{center}
2059
2060 Dies ist notwendig, weil Sie mit Ihrem eignen geheimen Schlüssel
2061 signieren. Bestätigen Sie Ihre Eingabe mit \Button{OK}.
2062
2063 Ihre Nachricht wird nun signiert und versandt.
2064 Nach erfolgreicher Signierung Ihrer Nachricht, erhalten
2065 Sie folgenden Dialog:
2066
2067 % TODO screenshot: kleopatra sign successful
2068 \begin{center}
2069 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
2070 \end{center}
2071
2072 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2073 signiert!}
2074
2075
2076 \clearpage
2077 \subsubsection{Fassen wir kurz zusammen...}
2078 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2079 \textbf{signieren}.
2080
2081 Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine
2082 \Email{} mit dem Zertifikat Ihres Korrespondenzpartners
2083 \textbf{verschlüsseln}.
2084
2085 Damit beherschen Sie nun die beiden wichtigsten Techniken für einen
2086 sicheren \Email{}-Versand.
2087
2088 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2089 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden wollen
2090 -- je nachdem, wie wichtig und schutzbedürftig der
2091 Inhalt Ihrer \Email{} ist:
2092
2093 \begin{itemize}
2094     \item unverschlüsselt
2095     \item verschlüsselt
2096     \item signiert
2097     \item signiert und verschlüsselt \textit{(Mehr dazu im
2098         Abschnitt~\ref{encsig}, S.~\pageref{encsig})}
2099 \end{itemize}
2100
2101 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2102 S/MIME realisieren.
2103
2104
2105
2106 \clearpage
2107 \section{Signatur mit GpgOL überprüfen}
2108 %% Original page 41
2109 Angenommen Sie erhalten eine signierte \Email{} Ihres
2110 Korrespondenzpartners.
2111
2112 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2113 Alles was Sie dazu brauchen, ist das OpenPGP- oder X.509-Zertifikat
2114 Ihres Korrespondenzpartners.
2115 Dessen Zertifikat sollten Sie vor der Überprüfung bereits
2116 in Ihre Kleopatra Zertifikatsverwaltung importiert haben
2117 (vgl. Kapitel~\ref{ch:keyring}).
2118
2119 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu überprüfen,
2120 gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
2121 (vgl. Kapitel~\ref{ch:decrypt}):
2122
2123 Starten Sie Outlook und öffnen Sie die signierte \Email{}.
2124
2125 GpgOL überprüft nun automatisch die Signatur und meldet das Ergebnis
2126 in einem Statusdialog:
2127
2128 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
2129 \begin{center}
2130 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
2131 \end{center}
2132
2133 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2134 signierte \Email{} zu lesen.
2135
2136 Möchten Sie die Überprüfung noch einmal manuell aufrufen,
2137 so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2138 Enschlüsseln/Prüfen}.
2139
2140 Sollte die Signaturprüfung fehlt schlagen,
2141 % TODO: ggf. Screenshot mit neg. Meldung.
2142 wurde die Nachricht bei der Übertragung verändert.
2143 Aufgrund der technischen Gegebenheiten im Internet ist es
2144 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2145 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2146 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
2147
2148 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten,
2149 erfahren Sie im Abschnitt~\ref{brokenSignature}.
2150
2151
2152 \clearpage
2153 \subsubsection{Übrigens...}
2154 Wenn Sie kein Gpg4win installiert haben und eine signierte
2155 \Email{} öffnen, lässt sich die Signatur natürlich nicht überprüfen.
2156 Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
2157 ist die Signatur.
2158
2159 Exemplarisch für OpenPGP zeigen wir Ihnen, wie dann so eine
2160 OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussieht:
2161
2162 Die \Email{} beginnt mit:
2163 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2164
2165 \begin{verbatim}
2166 -----BEGIN PGP SIGNED MESSAGE-----
2167 Hash: SHA1
2168 \end{verbatim} 
2169
2170 und endet unter der \Email{}-Nachricht mit:
2171
2172 \begin{verbatim}
2173 -----BEGIN PGP SIGNATURE-----
2174 Version: GnuPG v1.4.2 (MingW32)
2175
2176 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
2177 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
2178 =O6lY
2179 -----END PGP SIGNATURE-----
2180 \end{verbatim}
2181
2182 \textit{Dies ist ein Beispiel -- Abwandlungen sind natürlich möglich.}
2183
2184
2185 \clearpage
2186 %% Original page 40
2187 \section{Gründe für eine gebrochene Signatur}
2188 \label{brokenSignature}
2189
2190
2191 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur
2192 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2193 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2194 dass Ihre \Email{} manipuliert sein könnte; d.h. jemand hat vielleicht
2195 den Inhalt oder den Betreff der \Email{} verändert.
2196
2197 Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, 
2198 dass Ihre \Email{} manipuliert wurde:
2199
2200 \begin{enumerate}
2201 \item Aufgrund der technischen Gegebenheiten ist es nicht
2202   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2203   über das Internet verändert wurde.
2204 \item Das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2205   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2206   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2207   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2208   "`HTML-Mails"' und "`Word Wrap"'.
2209
2210   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2211   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2212   niemand sie willentlich verändert hat.  Bei Outlook 2003
2213   beispielsweise muss diese Option unter
2214   \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das Nachrichtenformat
2215   auf \textit{Nur Text} eingestellt sein.
2216 \end{enumerate}
2217
2218 Häufig sind falsche Einstellungen am \Email{}-Programm der Grund für
2219 eine gebrochene Signatur. 
2220
2221 \textbf{In jedem Fall sollten Sie die \Email{} erneut beim Absender anfordern!}
2222
2223
2224
2225 \clearpage
2226 %% Original page 42
2227 \section{Verschlüsseln und signieren}
2228 \label{encsig}
2229
2230 Normalerweise verschlüsseln Sie eine Nachricht mit dem Zertifikat 
2231 Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
2232 \Email{} entschlüsselt.
2233
2234 Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
2235 verschlüsseln --, ist technisch nicht möglich und macht keinen Sinn,
2236 weil alle Welt das dazugehörigen (öffentliche) Zertifikat kennt und die
2237 Nachricht damit entschlüsseln könnte.
2238
2239 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2240 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2241 beschrieben haben. Solch eine digitale Signatur bestätigt eindeutig
2242 die Urheberschaft -- denn wenn jemand Ihr Zertifikat
2243 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2244 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2245 kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
2246 haben.
2247
2248 Wenn Sie ganz sicher gehen wollen, können Sie beide Möglichkeiten
2249 kombinieren, also die \Email{} verschlüsseln und signieren:
2250
2251 \begin{enumerate}
2252     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
2253   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2254 \item Dann \textbf{verschlüsseln} Sie den Text mit dem Zertifikat
2255   des Korrespondenzpartners.
2256 \end{enumerate}
2257
2258 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2259
2260 \begin{enumerate}
2261 \item Einen Innenumschlag, der mit einem Siegel verschlossen ist (die
2262   Signatur mit Ihrem eigenen geheimen Schlüssel).
2263 \item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2264   Zertifikat des Korrespondenzpartners).
2265 \end{enumerate}
2266
2267 Ihr Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
2268 geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
2269 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
2270 Hülle öffnet er mit Ihrem Zertifikat und hat den Beweis Ihrer
2271 Urheberschaft, denn wenn Ihr Zertifikat passt, kann er nur mit Ihrem
2272 Geheimschlüssel kodiert worden sein.
2273
2274 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2275 ganz einfach.
2276
2277
2278
2279 \clearpage
2280 %% Original page 47
2281 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren}
2282
2283 Eine Einstellung müssen Sie nun noch vornehmen: Es geht um Ihre
2284 \Email{}s, die Sie verschlüsselt versendetet haben.
2285
2286 Wie können Sie diese wichtigen Nachrichten sicher archivieren?
2287 Natürlich können Sie einfach eine Klartextversion Ihrer Texte aufbewahren,
2288 aber das wäre eigentlich nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
2289 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
2290 Sie sollten also stets Ihre verschlüsselt gesendeten \Email{}s auch
2291 \textit{verschlüsselt} aufbewahren!
2292
2293 Sie ahnen das Problem: zum Entschlüsseln Ihrer archivierten
2294 (versendeten) \Email{}s braucht Sie aber den geheimen Schlüssel des
2295 Empfängers -- und den haben Sie nicht und werden Sie nie haben$\ldots$
2296
2297 Also was tun?
2298
2299 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2300 selbst!}
2301
2302 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2303 (z.B. Adele) verschlüsselt und ein weiteres Mal auch für Sie, mit
2304 Hilfe Ihres eigenen Zertifikats. So können Sie die \Email{} auch später noch einfach
2305 mit Ihrem eigenen geheimen Schlüssel wieder lesbar machen.
2306
2307 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen (Sie
2308 können ja auch mehrere haben) müssen Sie dem Programm dies
2309 mitteilen. 
2310
2311 Wie? -- Das erfahren Sie auf der nächsten Seite.
2312
2313 \clearpage
2314 %% Original page 48
2315 %TODO#: Encrypt to this key - Wo in den Einstellungen?
2316 Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie Kleopatra und
2317 dort das Menü \Menu{TODO}.
2318
2319 % screenshot: Winpt configuration dialog
2320 %\begin{center}
2321 %\IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
2322 %\end{center}
2323
2324 %In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
2325 %"`Encrypt to this key"' Ihren Schlüssel ein bzw. die
2326 %dazugehörige \Email{}-Adresse.
2327
2328 Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
2329 die GnuPG direkt unterstützen.
2330
2331
2332 \clearpage
2333 %% Original page 49
2334 \subsubsection{Fassen wir kurz zusammen...}
2335
2336 \begin{enumerate}
2337 \item Sie haben mit dem Zertifikat Ihres Korrespondenzpartners eine
2338   \Email{} verschlüsselt und ihm damit geantwortet.
2339 \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten \Email{}s auch
2340   zusätzlich mit Ihrem eigenen Zertifikat, so dass die Nachrichten für
2341   Sie lesbar bleiben.
2342 \end{enumerate}
2343
2344 \vspace{2cm}
2345 \textbf{Das war's! Zum Ende dieses ersten Teils des Compendiums werden
2346 Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win besitzen.}
2347
2348 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
2349
2350 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
2351 funktioniert, empfehlen wir Ihnen sich nun mit dem zweiten,
2352 fortgeschrittenen Teil von Gpg4win zu beschäftigten. Wir versprechen
2353 Ihnen, Sie werden viele spannende Dinge darin entdecken!
2354
2355 Genau wie das Kryptographiesystem Gpg4win wurden dieses Compendium nicht nur
2356 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
2357 sondern \textbf{für jedermann.}
2358
2359
2360
2361
2362
2363
2364
2365 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2366 % Part II
2367
2368 % page break in toc
2369 \addtocontents{toc}{\protect\newpage}
2370
2371 \clearpage
2372 \part{Fortgeschrittene}
2373 \label{part:Fortgeschrittene}
2374 \addtocontents{toc}{\protect\vspace{0.3cm}}
2375
2376
2377 \clearpage
2378 %% Original page 9
2379 \chapter{Wie funktioniert Gpg4win?}
2380 \label{ch:FunctionOfGpg4win}
2381
2382 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
2383 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
2384 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
2385
2386 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
2387 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
2388 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
2389 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
2390 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
2391
2392 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
2393 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
2394 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
2395 knacken ist.
2396
2397
2398 \clearpage
2399 %% Original page 10
2400 \subsubsection{Der Herr der Schlüsselringe}
2401
2402 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
2403 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
2404 nur einmal gibt und den man ganz sicher aufbewahrt.
2405
2406 \begin{center}
2407 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
2408 \end{center}
2409
2410 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
2411 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
2412 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
2413 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
2414 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
2415
2416
2417 \clearpage
2418 %% Original page 11
2419
2420 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
2421 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
2422 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
2423 dazu auch sehr fehleranfällig.
2424
2425 \begin{center}
2426 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
2427 \end{center}
2428
2429 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
2430 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
2431 und dass sowohl der Absender als auch der Empfänger diesen geheimen
2432 Schlüssel kennen.
2433
2434 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
2435 solchen System ein Geheimnis (eine verschlüsselte Nachricht)
2436 mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
2437 Schlüssel) mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
2438 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
2439 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
2440 Dritten abgefangen werden darf.
2441
2442
2443
2444 \clearpage
2445 %% Original page 12
2446
2447 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel -- mit einem
2448 weiteren Schlüssel ("`key"'), der vollkommen frei und öffentlich
2449 ("`public"') zugänglich ist.
2450
2451 Man spricht daher auch von
2452 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
2453
2454 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
2455 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
2456 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
2457 Weitergegeben wird nur der öffentliche Schlüssel (das Zertifikat)­-- und den kennt
2458 sowieso jeder.
2459
2460 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
2461 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
2462 eine komplexe mathematische Formel untrennbar miteinander verbunden.
2463 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
2464 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
2465 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir, wie das
2466 funktioniert.
2467
2468 % Note: The texts on the signs are empty in the current revision.
2469 % However, I used the original images and wiped out the texts ``Open
2470 % Source"' and ``gratis"' - need to replace with something better.
2471 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
2472 \begin{center}
2473 \IncludeImage[width=0.4\textwidth]{verleihnix}
2474 \end{center}
2475
2476
2477 \clearpage
2478 %% Original page 13
2479 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
2480
2481 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2482 (secret oder private key), muss geheim gehalten werden.
2483
2484 Der \textbf{öffentliche Schlüssel}, auch \textbf{Zertifikat} genannt
2485 (public key), soll so
2486 öffentlich wie möglich gemacht werden.
2487
2488 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2489
2490 \bigskip
2491
2492 \begin{quote}
2493     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
2494 \end{quote}
2495
2496 \begin{center}
2497 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
2498 \end{center}
2499
2500 \begin{quote}
2501     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
2502 \end{quote}
2503
2504
2505 \clearpage
2506 %% Original page 14
2507
2508 \subsubsection{Der öffentliche Safe}
2509
2510 In einem kleinen Gedankenspiel
2511 wird die Methode des Public-Key Verschlüsselungssystems
2512 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher...
2513
2514 \bigskip
2515
2516 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
2517
2518 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
2519 auf, über den Sie geheime Nachrichten übermitteln wollen.
2520
2521 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
2522 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2523 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2524 Nachrichten zunächst einmal gut gesichert.
2525
2526 \begin{center}
2527 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
2528 \end{center}
2529
2530 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2531 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
2532 und eine Geheimnachricht deponieren zu können.
2533
2534
2535 \clearpage
2536 %% Original page 15
2537 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2538 Wege übergeben.
2539
2540 \bigskip
2541 \bigskip
2542
2543 \begin{center}
2544 \IncludeImage[width=0.7\textwidth]{secret-key-exchange}
2545 \end{center}
2546
2547 \clearpage
2548 %% Original page 16
2549 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
2550 öffnen und die geheime Nachricht lesen.
2551
2552 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
2553 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
2554 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
2555 die Botschaft selbst.
2556
2557 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2558 gleich die geheime Mitteilung übergeben\ldots
2559
2560
2561 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
2562 \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2563 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2564 könnten.
2565
2566 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
2567
2568 \begin{center}
2569 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
2570 \end{center}
2571
2572 \clearpage
2573 %% Original page 17
2574 \textbf{Jetzt die Public-Key Methode:}
2575
2576 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
2577 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2578 -- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2579 -- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2580
2581 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
2582
2583 \begin{center}
2584 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
2585 \end{center}
2586
2587 Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: es ist Ihr
2588 öffentlicher Schlüssel.
2589
2590 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2591 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2592 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2593 frei zugänglich.
2594
2595 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2596 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2597 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2598 Botschaft nachträglich zu verändern.
2599
2600 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2601
2602 Aufschließen kann man den Briefkasten nur mit einem einzigen
2603 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2604
2605 \clearpage
2606 %% Original page 18
2607
2608 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
2609 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2610 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2611 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2612 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2613
2614 Spielen wir das Gedankenspiel noch einmal anders herum:
2615
2616 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2617 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2618 verfügbaren Schlüssel.
2619
2620 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2621 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2622 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2623 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2624 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2625 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2626 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2627 und die Nachricht lesen.
2628
2629 \begin{center}
2630 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2631 \end{center}
2632
2633
2634 \clearpage
2635 %% Original page 19 
2636 \textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
2637 geheimen Schlüssel!?
2638
2639 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2640 allerdings ein gewaltiger:
2641
2642 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2643 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2644 Übergabe entfällt, sie verbietet sich sogar.
2645
2646 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2647 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
2648 geheimes Codewort.
2649
2650 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: alle
2651 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2652 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2653 bringen kann.
2654
2655 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2656 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2657 Schlüsselbund.
2658
2659
2660 \clearpage
2661 %% Original page 20
2662 \chapter{Die Passphrase}
2663 \label{ch:passphrase}
2664
2665 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
2666 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2667 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2668 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2669 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2670
2671 Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
2672 abzuspeichern. Dies geschieht auf zweierlei Weise:
2673
2674 \begin{center}
2675 \IncludeImage[width=0.3\textwidth]{think-passphrase}
2676 \end{center}
2677
2678 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2679 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2680 weder zum schreiben noch zum lesen.  Es ist deswegen unbedingt zu
2681 vermeiden, den Schlüssel in einem öffentlichen Ordner
2682 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2683 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2684 ("`Homedir"') von GnuPG
2685 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2686 befinden; für einen Benutzer mit
2687 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2688 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2689 sein.  Der geheime Schlüssel befindet sich dort in eine Datei mit dem
2690 Namen \verb=secring.gpg=.
2691
2692 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2693 der Administrator des Rechners immer auf alle Dateien zugreifen --
2694 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2695 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2696 Trojanersoftware) kompromittiert werden. 
2697
2698 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2699 Passphrase.
2700
2701 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2702 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2703 haben und niemals aufschreiben müssen.
2704
2705 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
2706 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2707 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
2708 merkende und nur sehr schwer zu erratende Passphrase ausdenken
2709 können.
2710
2711
2712 \clearpage
2713 %% Original page 21
2714 Eine \textbf{gute Passphrase} kann so entstehen:
2715
2716 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
2717
2718 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
2719
2720 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
2721
2722 $\qquad$\verb-nieufdahnlnr- 
2723 \texttt{\scriptsize{(Ei\textbf{n}
2724 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
2725 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
2726 Ko\textbf{r}n.)}}
2727
2728
2729 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
2730 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
2731 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
2732 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächnis. Erraten
2733 kann diese Passphrase niemand.
2734
2735
2736 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2737 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2738 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2739 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2740 Sie wichtigen Liedes.
2741
2742
2743 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2744 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2745 "`ß"', "`\$"' usw.
2746
2747 Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
2748 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2749 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2750 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2751 Tastatur finden.
2752
2753
2754 %% Original page  22
2755 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2756 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2757 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
2758
2759 $\qquad$\verb-In München steht ein Hofbräuhaus.-
2760
2761 könnten man beispielsweise diese Passphrase machen:
2762
2763 $\qquad$\verb-inMinschen stet 1h0f breuhome-
2764
2765 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
2766 sich aber doch merken können, wie z.B.:
2767
2768 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.-
2769
2770 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
2771 geheimen Schlüssel.
2772
2773 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
2774 z.B. so:
2775
2776 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
2777
2778 Das ist nun kürzer, aber nicht mehr so leicht zu merken. 
2779 Wenn Sie eine noch kürzere Passphrase verwenden, 
2780 indem Sie hier und da Sonderzeichen benutzen,
2781 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
2782 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
2783 noch größer.
2784
2785 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
2786 sichere Passphrase ist dieses hier:
2787
2788 $\qquad$\verb-R!Qw"s,UIb *7\$-
2789
2790 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
2791 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
2792 für die Erinnerung hat.
2793
2794 \clearpage
2795 %% Original page 23
2796 Eine \textbf{schlechte Passphrase} ist blitzschnell geknackt, wenn sie:
2797
2798 \begin{itemize}
2799 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
2800   \Email{}-Account oder Ihr Handy
2801
2802 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
2803   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
2804
2805 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
2806   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
2807   diese Daten herankommen.
2808
2809 \item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
2810   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
2811   Cracker routinemäßig und blitzschnell eine Passphrase.
2812
2813 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
2814   Denken Sie sich eine längere Passphrase aus.
2815
2816 \end{itemize}
2817
2818 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
2819 \textit{auf gar keinen Fall} eines der oben angeführten Beispiele.  Denn es liegt auf
2820 der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
2821 Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
2822 nicht eines dieser Beispiele genommen haben -- sofern er auch diese
2823 Informationen gelesen hat.
2824
2825 \bigskip
2826
2827 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
2828 Unvergesslich und unknackbar.
2829
2830 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
2831 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
2832
2833
2834
2835
2836 \clearpage
2837 %% Original page 24
2838 \chapter{Schlüssel im Detail}
2839 \label{KeyDetails}
2840 Der Schlüssel, den Sie erzeugt
2841 haben, besitzt einige
2842 Kennzeichen:
2843 \begin{itemize}
2844 \item die Benutzerkennung
2845 \item die Schlüsselkennung
2846 \item das Verfallsdatum
2847 \item das Benutzervertrauen
2848 \item das Schlüsselvertrauen
2849 \end{itemize}
2850
2851 \textbf{Die Benutzerkennung} besteht aus dem Namen und der
2852 \Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
2853 haben, also z.B. \newline
2854 \verb=-Heinrich Heine <heinrichh@gpg4win.de>=.
2855
2856 \textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
2857 Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
2858 auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
2859 liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
2860
2861 \textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
2862 gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
2863 "`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
2864 Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
2865 Beispiel, um sie an externe Mitarbeiter auszugeben.
2866
2867 \textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
2868 Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
2869 korrekt zu signieren.  Es kann über die Schaltfläche "`Ändern"'
2870 editiert werden.
2871
2872 \textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
2873 das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
2874 eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
2875 volles "`Schlüsselvertrauen"'.
2876
2877 Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
2878 unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
2879 erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
2880 und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
2881
2882
2883 \clearpage
2884 %% Original page 25
2885 \chapter{Die OpenPGP-Schlüsselserver}
2886 \label{ch:keyserver}
2887
2888 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
2889 OpenPGP-Zertifikats haben wir Ihnen bereits im
2890 Abschnitt~\ref{publishPerKeyserver} einführend erläutert. Dieses
2891 Kapitel beschäftigt sich mit den Details von Schlüsselservern.
2892 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2893
2894 %% Original page 26
2895
2896 Schlüsselserver können von allen Programmen benutzt werden, die den
2897 OpenPGP-Standard unterstützen.
2898
2899 In Kleopatra ist ein Keyserver bereits voreingestellt:
2900 \texttt{hkp://keys.gnupg.net}.
2901 Ein Mausklick unter
2902 %TODO:german
2903 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
2904 genügt, und Ihr öffentlicher Schlüssel ist unterwegs rund um die Welt.
2905 Es genügt, den Schlüssel an irgendeinen der verfügbaren
2906 Keyserver zu senden, denn fast alle synchronsieren sich weltweit
2907 miteinander.
2908 Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
2909 verfügbar ist, aber dann haben Sie einen globales Zertifikat!
2910
2911 \begin{center}
2912 \IncludeImage[width=0.3\textwidth]{keyserver-world}
2913 \end{center}
2914
2915 Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
2916 über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
2917 nicht.  Dieses verteilte Netz von Keyservern sorgt für eine bessere
2918 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
2919 Schlüssel löschen um so die Kommunikation unmöglich zu machen
2920 ("`Denial of Service"'-Angriff).
2921
2922 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
2923 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
2924 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
2925 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
2926
2927 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
2928 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
2929 umgehen können.
2930
2931
2932 \clearpage
2933 \subsubsection{Adressen einiger Schlüsselserver}
2934
2935 Hier eine Auswahl von gut funktionierenden Schlüsselservern:
2936 \begin{itemize}
2937 \item hkp://blackhole.pca.dfn.de
2938 \item hkp://pks.gpg.cz
2939 \item hkp://pgp.cns.ualberta.ca
2940 \item hkp://minsky.surfnet.nl
2941 \item hkp://keyserver.ubuntu.com
2942 \item hkp://keyserver.pramberger.at
2943 \item http://gpg-keyserver.de
2944 \item http://keyserver.pramberger.at
2945 \end{itemize}   
2946 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
2947 besten die Keyserver, deren URL mit \verb-http://- beginnen.
2948
2949 Die Keyserver unter den Adressen
2950 \begin{itemize}
2951 \item hkp://keys.gnupg.net
2952 \item hkp://subkeys.pgp.net
2953 \end{itemize}
2954 sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
2955 dann zufällig ein konkreter Server ausgewählt.
2956
2957 \textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
2958 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
2959 werden.
2960
2961
2962
2963 \clearpage
2964 \subsubsection{Zertifikate auf Schlüsselservern suchen}
2965 %% Original page 27
2966
2967 Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen,
2968 können Sie auch nach Zertifikaten suchen.
2969
2970 Klicken Sie dazu in Kleopatra auf 
2971 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
2972 erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
2973 Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
2974 können:
2975
2976 %screenshot: Kleopatra certification search dialog
2977 \begin{center}
2978 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
2979 \end{center}
2980
2981 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
2982 auf den Button \Button{Details}.
2983
2984 \subsubsection{Zertifikate vom Schlüsselservern importieren}
2985 %% Original page 28
2986 Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
2987 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
2988 Zertifikat aus der Liste der Suchergebnisse und
2989 klicken Sie auf \Button{Importieren}!
2990
2991 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
2992 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
2993 \Button{OK}. 
2994
2995 War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
2996 der Kleopatra-Zertifikatsverwaltung.
2997
2998
2999
3000 \clearpage
3001 %% Original page 30
3002 \chapter{Plugins für \Email{}-Programme}
3003 \label{ch:plugins}
3004
3005 Im Kapitel~\ref{ch:decrypt} haben wir erwähnt, dass es Plugins für bestimmte
3006 \Email{}-Programme gibt, die die Ver- und Entschlüsselung erleichtern.
3007 Es ist ein großer Vorteil, wenn Sie die ganze
3008 GnuPG-\Email{}-Verschlüsselungstechnik in Ihrem
3009 bevorzugten \Email{}-Programm nutzen können.
3010
3011 Plugins für GnuPG gibt es im Moment für folgende Windows-Mailprogramme:
3012
3013 \begin{description}
3014 \item[Thunderbird] mit Plugin \textbf{Enigmail},
3015 \item[Outlook 2003] mit Plugin \textbf{GpgOL}, welches in Gpg4win
3016   enthalten ist. Läuft nur unter Windows. Outlook sollte nur dann
3017   verwendet werden wenn andere organisatorische Vorgaben es
3018   bedingen.
3019 \item[Claws Mail] ist ebenfalls in Gpg4win enthalten.  Hier sind im
3020   Konfigurationsmenü die Plugins für "`PGP/Mime"' und "`PGP inline"'
3021   zu laden, bei einer Installation über Gpg4win ist das bereits
3022   geschehen.
3023 %\item[PostMe] nur Windows.
3024 %% FIXME Postme und mail: Prüfen ob noch verfügbar
3025 %\item[Eudora] Das Plugin wird in Gpg4win enthalten sein, falls
3026 %  einige rechtliche Fragen zufriedenstellend geklärt werden.
3027 \end{description}
3028
3029 Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
3030 anderen Unix Varianten laufen, über eine komfortable und integrierte
3031 GnuPG-Unterstützung.
3032
3033 Da sämtliche Komponenten des Gpg4win-Pakets als Freie Software
3034 entstehen, ist die Entwicklung stark im Fluss.
3035
3036 Aktuelle Informationen über die Komponenten finden Sie unter
3037 \W\xlink{www.gpg4win.de}{http://www.gpg4win.de}
3038 \T\href{http://www.gpg4win.de}{www.gpg4win.de}
3039 .
3040
3041 Informationen zu den Themen IT-Sicherheit, Gpg4win, GnuPG und anderer Software finden
3042 Sie auf der Website
3043 \W\xlink{www.bsi-fuer-buerger.de}{http://www.bsi-fuer-buerger.de}
3044 \T\href{http://www.bsi-fuer-buerger.de}{www.bsi-fuer-buerger.de}
3045 und
3046 \W\xlink{www.bsi.de}{http://www.bsi.de}
3047 \T\href{http://www.bsi.de}{www.bsi.de}
3048 des Bundesamtes für Sicherheit in der Informationstechnik.
3049
3050
3051
3052 \clearpage
3053 %% Original page 31
3054 \chapter{Die Zertifikatsprüfung}
3055 \label{ch:trust}
3056
3057 Woher wissen Sie eigentlich, dass das fremde Zertifikat
3058 wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
3059 Korrespondenzpartner glauben, dass das Zertifikat, das Sie
3060 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
3061 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
3062
3063 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
3064 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
3065 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
3066 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
3067 Identität des Absenders.
3068
3069 \clearpage
3070 \subsubsection{Der Fingerabdruck}
3071 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
3072 die Sache mit der Identität schnell geregelt: Sie prüfen den
3073 Fingerabdruck des anderen Zertifikats.
3074
3075 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
3076 es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
3077 eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
3078 "`Fingerprint"'.
3079
3080 Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
3081 lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
3082 dessen 40-stelligen Fingerabdruck:
3083
3084 %TODO: mit Adeles Zertifikat
3085 % screenshot:  GPA key listing with fingerprint
3086 \begin{center}
3087 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
3088 \end{center}
3089
3090 Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:\\
3091 %TODO
3092 \verb+DD87 8C06 E8C2 BEDD D4A4 40D3 E573 3469 92AB 3FF7+
3093
3094
3095
3096 %% Original page 32
3097 ~\\
3098 Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
3099 Besitzer eindeutig.
3100
3101 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
3102 von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben
3103 mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
3104 eindeutig das richtige Zertifikat.
3105
3106 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
3107 Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
3108 solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
3109 gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
3110 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
3111 den Anruf ersparen.
3112
3113
3114 \clearpage
3115 \subsubsection{OpenPGP-Zertifikat signieren}
3116
3117 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
3118 Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
3119 dieses Zertifikat zu signieren.
3120
3121
3122 \textit{Beachten Sie: \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3123 Signieren von Zertifikaten ist nur mit OpenPGP
3124 möglich. X.509 bietet dieses Verfahren nicht!}
3125
3126 Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen
3127 (Gpg4win-)Benutzern mit, dass Sie dieses
3128 Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
3129 dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
3130 Echtheit.
3131
3132 \textbf{Wie funktioniert das Signieren nun genau?}\\
3133 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
3134 halten und signieren möchten. Wählen Sie anschließend im Menü:
3135 %TODO:german
3136 \Menu{Zertifikate$\rightarrow$Certify
3137 Certificate...}
3138
3139 Im nachfolgenden Dialog wählen Sie nun noch einmal das zu signierende
3140 OpenPGP-Zertifikat aus:
3141
3142 % TODO screenshot: Kleopatra certify certificate 1
3143 \begin{center}
3144 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
3145 \end{center}
3146 Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
3147
3148 \clearpage
3149 Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
3150 (im letzten Schritt ausgewählte) Zertifikat signieren wollen:
3151 % TODO screenshot: Kleopatra certify certificate 2
3152 \begin{center}
3153 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
3154 \end{center}
3155
3156 %TODO:german
3157 Entscheiden Sie hier, ob die Signierung nur für Sie lokal 
3158 \Button{Certify only for myself} oder für alle sichtbar
3159 \Button{Certify for everyone to see} werden soll. Bei
3160 letzterer Variante haben Sie die Option, das signierte Zertifikat
3161 anschließend auf einen Keyserver hochzuladen.
3162
3163 Bestätigen Sie Ihre Auswahl mit \Button{Certify}.
3164
3165 %TODO#:Passphrase eingeben!
3166
3167 %\clearpage
3168 Bei erfolgreicher Signierung erhalten Sie folgendes Fenster:
3169 % TODO screenshot: Kleopatra certify certificate 3
3170 \begin{center}
3171 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
3172 \end{center}
3173
3174
3175 %TODO#: Wie kann man Signierung überprüfen? -> Zertifikatsdetails...
3176
3177 \clearpage
3178 %% Original page 33/34
3179
3180 \subsubsection{Das Netz des Vertrauens}
3181
3182 So entsteht -- auch über den Kreis von
3183 Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
3184 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
3185 angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
3186 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3187
3188 \begin{center}
3189 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
3190 \end{center}
3191
3192 Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats,
3193 wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat
3194 wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
3195 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
3196 Zertifikat wirklich Ihnen und niemandem sonst gehört.
3197
3198 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
3199 Beglaubigungs-Infra\-struktur.
3200
3201 Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung 
3202 aushebeln kann: Jemand schiebt Ihnen einen falsches
3203 Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
3204 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
3205 solches gefälschtes Zertifikat signiert wird, hat das "`Netz des
3206 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
3207 vergewissern, ob ein Zertifikat, wirklich zu der Person
3208 gehört, der er zu gehören vorgibt.
3209
3210 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
3211 Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
3212 nicht die Lösung sein\ldots
3213
3214
3215 \clearpage
3216 %% Original page 35
3217 \subsubsection{Zertifizierungsinstanzen}
3218
3219 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
3220 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
3221 Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
3222 sondern vertrauen darauf, dass die ausstellende
3223 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
3224
3225 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
3226 Verschlüsselung für OpenPGP. In Deutschland bietet unter anderem z.B. die
3227 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
3228 wie viele Universitäten.
3229 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3230
3231 Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
3232 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
3233 sich darauf verlassen.
3234
3235 ~\\
3236 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
3237 anderen Verschlüsselungssystemen -- wie z.B. S/MIME  --
3238 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
3239 vorgesehen.
3240 Allerdings sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
3241 Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' besitzt mit dem Recht
3242 diese Unterinstanzen zu beglaubigen (vgl. Abschnitt~\ref{ch:openpgpsmime}).
3243
3244 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
3245 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
3246 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
3247 übergeordneten Stelle erhalten hat.
3248
3249
3250 %% Original page 36
3251
3252 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
3253 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
3254 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
3255 beruhende "`Web of Trust"' der GnuPG- und PGP-Modelle. Der Kern der
3256 Beglaubigung selbst ist allerdings völlig identisch: Gpg4win
3257 unterstützt neben dem "`Web of Trust"' (OpenPGP) zusätzlich auch 
3258 eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach
3259 entspricht Gpg4win dem strengen Signaturgesetz der
3260 Bundesrepublik Deutschland.
3261
3262 Wenn Sie sich weiter für dieses Thema interessieren, dann
3263 können Sie sich an der Quelle informieren: die Website 
3264 "`\xlink{Sicherheit im Internet}{http://www.sicherheit-im-internet.de}"' 
3265 des Bundesministeriums für Wirtschaft und Technologie
3266 \T\linebreak(\href{http://www.sicherheit-im-internet.de}{www.sicherheit-im-internet.de})
3267 hält Sie über dieses und viele andere
3268 Themen aktuell auf dem Laufenden.
3269
3270 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
3271 der Beglaubigungsinfrastrukturen bietet das 
3272 \xlink{Original GnuPG Handbuch}{http://www.gnupg.org/gph/de/manual},
3273 das Sie ebenfalls im Internet finden\linebreak
3274 \T(\href{http://www.gnupg.org/gph/de/manual}{www.gnupg.org/gph/de/manual}).
3275
3276
3277
3278 \clearpage
3279 %% Original page 43
3280
3281 \chapter{Dateianhänge verschlüsseln}
3282
3283 Was tun, wenn Sie zusammen mit Ihrer \Email{} eine Datei versenden und
3284 diese ebenfalls verschlüsseln wollen? Die Verschlüsselung, wie wir sie
3285 in Kapitel~\ref{ch:encrypt} erklärt haben, erfasst nur
3286 den Text einer \Email{}, nicht aber eine gleichzeitig versandte,
3287 angehängte Datei. 
3288
3289 Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
3290 dann in verschlüsseltem Zustand an die \Email{} an.
3291
3292 Und zwar so:
3293
3294 Klicken Sie die Datei mit der rechten Maustaste an und wählen Sie aus
3295 dem Menü \linebreak \Menu{GPGee$\rightarrow$Verschlüsseln (PK)}.  Sie
3296 sehen daraufhin das Fenster welches Sie schon im Kapitel "`Dateien
3297 signieren"' kennengelernt haben.
3298
3299 Hier ist nun in der unteren linken Box "`Public-Key"' markiert.  Sie
3300 müssen jetzt im oberen Fenster auswählen, an welche Empfänger sie
3301 verschlüsseln wollen,  kreuzen Sie einfach die entsprechenden Schlüsseln an.
3302
3303 Möchten Sie diese Datei (und damit auch den Dateianhang) auch noch
3304 signieren, so können Sie dies in der mittleren unteren Box auswählen
3305 ("`Angehängt"').
3306
3307 Die Datei wird verschlüsselt und mit der Endung \verb-.gpg- im
3308 gleichen Ordner abgelegt wie die Originaldatei. Nun kann die
3309 verschlüsselte Datei wie jede andere als Attachment an eine \Email{}
3310 angehängt werden.
3311
3312 Viele Mailprogramme unterstützten das PGP/MIME Format, welches
3313 automatisch die Mail samt Anhängen verschlüsselt -- in diesem Fall
3314 sollte das hier beschrieben Verfahren nicht angewandt werden.  Einige
3315 anderer Mailprogramme verfügen über eine Option die das oben
3316 beschrieben Verfahren automatisch durchführen.
3317
3318
3319 \clearpage
3320 \chapter{Dateien signieren und verschlüsseln}
3321
3322 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3323 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche: 
3324
3325 \begin{itemize}
3326     \item Sie \textbf{signieren} eine Datei mit Ihrem Zertifikat, um sicherzugehen, dass die
3327       Datei unverändert bei Ihrem Empfänger ankommt.
3328
3329   \item Sie \textbf{verschlüsseln} eine Datei mit dem Zertifikat des Empfängers, um
3330         die Datei vor unbefugten Personen geheim zu halten.
3331 \end{itemize}
3332
3333
3334
3335 Mit der Anwendung \textbf{GpgEx} können Sie Dateien ganz einfach aus
3336 Ihrem Windows Explorer heraus signieren oder verschlüsseln -- egal ob
3337 OpenPGP oder S/MIME.
3338 Dieses Kapitel erläutert Ihnen, wie das genau funktioniert.
3339
3340 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B. GpgOL
3341 automatisch die Signierung bzw. Verschlüsselung der Datei zusammen mit
3342 Ihrer \Email{}.
3343
3344
3345 \clearpage
3346 %% Original page 41
3347 \section{Dateien signieren und überprüfen}
3348 \label{signFile}
3349
3350 Beim Signieren einer Datei kommt es nicht vorrangig auf die
3351 Geheimhaltung, sondern auf die Unverändertheit der Datei an.
3352
3353 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem Kontextmenü des
3354 Windows Explorers ausführen. Selektieren Sie eine Datei und öffnen Sie 
3355 mit der rechten Maustaste das Kontextmenü:
3356
3357 % TODO screenshot GpgEX contextmenu sign/encrypt
3358 \begin{center}
3359 \IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3360 \end{center}
3361
3362 Dort wählen Sie \Menu{Verschlüsseln und Signieren} aus.
3363
3364 \clearpage
3365 Es erscheint folgendes Fenster:
3366
3367 %TODO screenshot GpgEX sign file, step 1
3368 \begin{center}
3369 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile1_de}
3370 \end{center}
3371
3372 Selektieren Sie die Option \Menu{Nur unterschreiben}.
3373
3374 Der darunter liegende Rahmen \Menu{Verschlüsselungseinstellungen}
3375 wird dadurch ausgegraut, da sie ja lediglich signieren möchten.
3376
3377 Im letzten Abschnitt \Menu{Signatur-Zertifikate} wählen Sie -- sofern nicht
3378 schon vorausgewählt -- Ihr (OpenPGP oder S/MIME) Standardzertifikat aus, mit dem Sie die
3379 Datei signieren möchten.
3380
3381 Klicken Sie nun auf \Button{Weiter}.
3382
3383 \clearpage
3384 Wählen Sie hier noch einmal die Datei aus, die Sie signieren möchten.
3385
3386 %TODO screenshot GpgEX sign/encrypt file, step 2: choose object
3387 \begin{center}
3388 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
3389 \end{center}
3390
3391 Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
3392
3393 Sie müssen nun Ihre Passphrase in das aufkommende Pinentry-Fenster
3394 eingeben.
3395
3396 \clearpage
3397 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3398
3399 %TODO screenshot GpgEX sign file, step 3: finish
3400 \begin{center}
3401 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile3_de}
3402 \end{center}
3403
3404 Sie haben damit Ihre Datei erfolgreich signiert.
3405
3406 Abhängig davon, ob Sie OpenPGP oder S/MIME zum Signieren genutzt
3407 haben, erhalten Sie als Ergebnis eine Datei mit der Endung
3408 \textit{*.sig} (bei OpenPGP) oder \textit{*.p7s} (bei S/MIME).
3409
3410 Beim Signieren einer Datei wird stets eine "`abgetrennte"' Signatur
3411 verwendet. Dies bedeutet, dass Ihre zu signierende Datei unverändert bleibt 
3412 und eine zweite Datei mit der eigentlichen Signatur erzeugt wird.
3413 Um die Signatur später zu überprüfen, sind beide Dateien notwendig.
3414
3415 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3416 wenn Sie Ihre ausgewählte Datei (hier \texttt{<dateiname>.txt}) mit OpenPGP
3417 bzw. S/MIME signieren:
3418
3419 \begin{description}
3420     \item[OpenPGP:]~\\
3421         \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}
3422     \item[S/MIME:]~\\
3423         \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}
3424 \end{description}
3425
3426
3427 \clearpage
3428 \subsubsection{Signatur überprüfen}
3429 Wir wollen nun überprüfen, ob die eben signierte Datei korrekt ist.
3430
3431
3432 Zum Überprüfen der Unverändertheit und der Authentizität
3433 müssen die Signatur-Datei und die unterschriebene Datei (Originaldatei) im selben
3434 Verzeichnis liegen. Selektieren Sie die Signatur-Datei -- also die mit der
3435 Endung \textit{*.sig} oder \textit{*.p7s} -- und wählen Sie aus dem Kontextmenü des Explorers
3436 den Eintrag  \Menu{Entschlüsseln und Verifizieren}:
3437
3438 % TODO screenshot GpgEX contextmenu verifiy/decrypt
3439 \begin{center}
3440 \IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3441 \end{center}
3442
3443 \clearpage
3444 Daraufhin erhalten Sie folgendes Fenster:
3445 % TODO screenshot kleopatra verify file, step 1
3446 \begin{center}
3447 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile1_de}
3448 \end{center}
3449 Kleopatra listet unter \textit{Eingabe-Datei} den vollständigen 
3450 Pfad zur ausgewählten Signatur-Datei auf.
3451
3452 Die Option \Menu{Eingabe-Datei ist eine angehängte Unterschrift} ist
3453 aktiviert, da wir ja unsere Originaldatei
3454 (hier: \textit{unterschriebene Daten}) mit der Eingabe-Datei signiert haben.
3455 Kleopatra findet automatisch die zugehörige unterschriebene
3456 Originaldatei.
3457
3458 Automatisch ist auch der \textit{Ausgabe-Ordner} auf den gleichen
3459 Pfad ausgewählt, wo auch die beiden oberen Dateien liegen.
3460
3461 Bestätigen Sie die gegebenen Operationen mit
3462 \Button{Entschlüsseln/überprüfen}.
3463
3464 \clearpage
3465 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3466 Fenster:
3467
3468 % TODO screenshot kleopatra verify file, step 2
3469 \begin{center}
3470 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile2_de}
3471 \end{center}
3472
3473 Das Ergebnis zeigt, dass die Signatur gültig ist --
3474 also die Datei nicht verändert wurde.  Selbst wenn nur ein Zeichen
3475 hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
3476 ungültig angezeigt.
3477
3478
3479 \clearpage
3480 \section{Dateien verschlüsseln und entschlüsseln}
3481
3482 Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern auch
3483 verschlüsseln. Das wollen wir im folgenden Abschnitt mit GpgEX und
3484 Kleopatra einmal durchspielen.
3485
3486 Selektieren Sie eine Datei und öffenen Sie mit der rechten Maustaste
3487 das Kontextmenü:
3488
3489 % TODO screenshot GpgEX contextmenu sign/encrypt
3490 \begin{center}
3491 \IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3492 \end{center}
3493
3494 Wählen Sie hier \Menu{Verschlüsseln und Signieren} aus.
3495
3496 \clearpage
3497 Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
3498 Abschnitt~\ref{signFile}) schon kennen:
3499 % TODO screenshot kleopatra encrypt file, step 1
3500 \begin{center}
3501 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile1_de}
3502 \end{center}
3503
3504 Entscheiden Sie sich im oberen Feld für die Option \Menu{Nur
3505 Verschlüsseln}.
3506
3507 Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
3508 umstellen:
3509 \begin{description}
3510     \item[Ausgabe als Text (ASCII-Mantel):] Bei Aktivierung dieser
3511         Option erhalten Sie die verschlüsselte Datei mit der
3512         Dateiendung \textit{*.asc} (OpenPGP) bzw. \textit{*.pem} (S/MIME). 
3513         Diese Dateitypen sind mit jedem Texteditor lesbar -- Sie würden dort
3514         den Buchstaben- und Ziffernsalat sehen, den Sie schon kennen.
3515
3516         Ist diese Op