Updated nsis key word for automatic installation. Fixed path.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99 \newcommand{\Email}{E-Mail}
100 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
101 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
102 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
103 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
104 \newcommand{\IncludeImage}[2][]{
105 \begin{center}
106 \texorhtml{%
107   \includegraphics[#1]{images-compendium/#2}%
108 }{%
109   \htmlimg{../images-compendium/#2.png}%
110 }
111 \end{center}
112 }
113
114 % custom colors
115 \definecolor{gray}{rgb}{0.4,0.4,0.4}
116 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
117
118 \T\parindent 0cm
119 \T\parskip\medskipamount
120
121 % Get the version information from another file.
122 % That file is created by the configure script.
123 \input{version.tex}
124
125
126 % Define universal url command.
127 % Used for latex _and_ hyperlatex (redefine see below).
128 % 1. parameter = link text (optional);
129 % 2. parameter = url
130 % e.g.: \uniurl[example link]{http:\\example.com}
131 \newcommand{\uniurl}[2][]{%
132 \ifthenelse{\equal{#1}{}}
133 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
134 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
135
136 %%% HYPERLATEX %%%
137 \begin{ifhtml}
138     % HTML title
139     \htmltitle{Gpg4win-Kompendium}
140     % TOC link in panel
141     \htmlpanelfield{Inhalt}{hlxcontents}
142     % link to EN version    
143     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
144         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
145     % name of the html files
146     \htmlname{gpg4win-compendium}
147     % redefine bmod
148     \newcommand{\bmod}{mod}
149     % use hlx icons (default path)
150     \newcommand{\HlxIcons}{../images-hyperlatex}
151
152     % Footer
153     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
154     \html{br/}
155     \html{small}
156     Das Gpg4win-Kompendium ist unter der
157     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
158     \html{/small}}
159
160     % Changing the formatting of footnotes
161     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
162
163     % redefine universal url for hyperlatex (details see above)
164     \newcommand{\linktext}{0}
165     \renewcommand{\uniurl}[2][]{%
166         \renewcommand{\linktext}{1}%
167         % link text is not set
168         \begin{ifequal}{#1}{}%
169             \xlink{#2}{#2}%
170             \renewcommand{linktext}{0}%
171         \end{ifequal}
172         % link text is set
173         \begin{ifset}{linktext}%
174              \xlink{#1}{#2}%
175     \end{ifset}}
176
177     % german style
178     \htmlpanelgerman
179     \extrasgerman
180     \dategerman
181     \captionsgerman
182
183
184     % SECTIONING:
185     %
186     % on _startpage_: show short(!) toc (only part+chapter)
187     \setcounter {htmlautomenu}{1}
188     % chapters should be <H1>, Sections <H2> etc.
189     % (see hyperlatex package book.hlx)
190     \setcounter{HlxSecNumBase}{-1}
191     % show _numbers_ of parts, chapters and sections in toc
192     \setcounter {secnumdepth}{1}
193     % show parts, chapters and sections in toc (no subsections, etc.)
194     \setcounter {tocdepth}{2}
195     % show every chapter (with its sections) in _one_ html file
196     \setcounter{htmldepth}{2}
197
198     % set counters and numberstyles
199     \newcounter{part}
200     \renewcommand{\thepart}{\arabic{part}}
201     \newcounter{chapter}
202     \renewcommand{\thecapter}{\arabic{chapter}}
203     \newcounter{section}[chapter]
204     \renewcommand{\thesection}{\thechapter.\arabic{section}}
205 \end{ifhtml}
206
207
208 %%% TITLEPAGE %%%
209
210 \title{
211     \htmlattributes*{img}{width=300}
212     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
213     \T~\newline
214     \T\ifthenelse{\boolean{DIN-A5}}%
215     % DIN A5:
216     {\begin{latexonly}
217         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
218         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
219         \\[-0.3cm] mit GnuPG für Windows}
220      \end{latexonly}  
221     }%
222     % DIN A4:
223     {Das Gpg4win-Kompendium \\
224       \texorhtml{\Large \textmd}{\large}
225       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
226       Windows}
227     }
228 }
229 \author{
230     % Hyperlatex: Add links to pdf versions and Homepage
231     \htmlonly{
232         \xml{p}\small
233         \xlink{Aktuelle PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
234         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}\xml{p}
235     }
236     % Authors
237     \T\\[-1cm]
238       \small Basierend auf einer Fassung von
239     \T\\[-0.2cm]
240       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
241       \small Isabel Kramer und Dr. Francis Wray.
242       \texorhtml{\\[0.2cm]}{\\}
243       \small Grundlegend überarbeitet von
244     \T\\[-0.2cm]
245       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
246     \T\\[0.4cm]
247 }
248
249 \date{
250     \T\ifthenelse{\boolean{DIN-A5}}%
251     % DIN A5:
252     {\begin{latexonly}
253         \large Eine Veröffentlichung der Gpg4win-Initiative
254         \\[0.2cm]
255         Version \compendiumVersionDE~vom \compendiumDateDE 
256      \end{latexonly}
257     }%
258     % DIN A4:
259     {Eine Veröffentlichung der Gpg4win-Initiative
260       \\[0.2cm]
261       Version \compendiumVersionDE~vom \compendiumDateDE\\
262       \small\compendiuminprogressDE%
263     }
264 }
265
266
267 %%% BEGIN DOCUMENT %%%
268
269 \begin{document}
270 \T\pdfbookmark[0]{Titelseite}{titel}
271 % set title page
272 \texorhtml{
273     \ifthenelse{\boolean{DIN-A5}}
274     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
275     {\maketitle}
276 }
277 {\maketitle}
278
279
280 % improved handling of long (outstanding) lines
281 \T\setlength\emergencystretch{3em} \tolerance=1000
282
283
284 \T\section*{Impressum}
285 \W\chapter*{Impressum}\\
286
287 \thispagestyle{empty}
288 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
289 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
290 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
291 Eindruck eines Zusammenhanges
292 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
293 werden.}\\
294 Copyright \copyright{} 2005 g10 Code GmbH\\
295 Copyright \copyright{} 2009, 2010 Intevation GmbH
296
297 Permission is granted to copy, distribute and/or modify this document
298 under the terms of the GNU Free Documentation License, Version 1.2 or
299 any later version published by the Free Software Foundation; with no
300 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
301 copy of the license is included in the section entitled "`GNU Free
302 Documentation License"'.
303
304 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
305 oben stehenden Hinweises.]}\\
306 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
307 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
308 Documentation License, Version 1.2 oder einer späteren, von der Free
309 Software Foundation veröffentlichten Version.  Es gibt keine
310 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
311 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
312 License"' findet sich im Anhang mit dem gleichnamigen Titel.
313 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
314 http://www.gnu.org/licenses/translations.html.
315
316
317
318 \clearpage
319 \chapter*{Über dieses Kompendium}
320 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
321
322 Das Gpg4win-Kompendium besteht aus drei Teilen:
323
324 \begin{itemize}
325 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
326     Schnelleinstieg in Gpg4win.
327
328 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
329     Fortgeschrittene"'}:
330     Das Hintergrundwissen zu Gpg4win.
331
332 \item \textbf{Anhang}: Weiterführende technische Informationen zu
333     Gpg4win.\\
334 \end{itemize}
335
336 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
337 und knapp durch die Installation und die alltägliche Benutzung der
338 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
339 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
340 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
341 vertraut im Umgang mit Gpg4win gemacht haben.
342
343 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
344 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
345 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
346
347 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
348 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
349 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
350 erläutert.
351
352 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
353 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
354 angegebenen Reihenfolge lesen.\\
355
356 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
357 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
358 GpgOL.\\
359
360 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
361 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
362 geschrieben, sondern \textbf{für jedermann.}\\
363
364 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
365 verfügbar unter: \\
366 \uniurl{http://www.gpg4win.de}
367
368 \clearpage
369 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
370
371 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
372 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
373         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
374         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
375         eckige Klammern benutzt.
376
377         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
378         wenn deren Bedeutung in einem Satz betont, das
379         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
380         werden soll (z.B.: \textit{nur} OpenPGP).
381
382     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
383         die besonders wichtig und damit hervorzuheben sind.  Diese
384         Auszeichnung unterstützt den Leser bei der schnelleren
385         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
386         Passagen.
387
388     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
389         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
390         von Kommandozeilen) verwendet.
391 \end{itemize}
392
393 \cleardoublepage
394 \T\pdfbookmark[0]{\contentsname}{toc}
395 \tableofcontents
396
397 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
398 % Part I
399 \clearpage
400 \T\part{Für Einsteiger}
401 \W\part*{\textbf{I Für Einsteiger}}
402 \label{part:Einsteiger}
403 \addtocontents{toc}{\protect\vspace{0.3cm}}
404 \addtocontents{toc}{\protect\vspace{0.3cm}}
405
406
407 \chapter{Gpg4win -- Kryptografie für alle}
408 \index{Kryptografie}
409
410 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
411 \begin{quote}
412     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
413 mit Computer-Programmen und Handbüchern zur \Email{}- und
414 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
415 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
416 und die in Gpg4win enthaltenen Programme sind Freie
417 Software.}
418
419 \end{quote}
420
421 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
422 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
423 Gpg4win umfasst in Version 2 die folgenden Programme:
424
425 \begin{itemize}
426     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
427         Gpg4win -- die eigentliche Verschlüsselungs-Software.
428     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
429         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
430         Gpg4win, die für eine einheitliche Benutzerführung bei allen
431         kryptografischen Operationen sorgt.  
432     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
433         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
434         von Zertifikaten neben Kleopatra.
435     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
436         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
437         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
438         verschlüsseln.
439    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
440        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
441        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
442        über das Kontextmenü signieren bzw.  verschlüsseln kann.
443     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
444         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
445 \end{itemize}
446
447 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
448 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
449 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
450 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
451 sicher und kann nach dem heutigen Stand von Forschung und Technik
452 nicht gebrochen werden.
453
454 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
455 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
456 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
457 kann und darf den Quellcode der Programme untersuchen und -- sofern er
458 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
459 diese weitergeben.
460
461 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
462 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
463 lässt sich die Vertrauenswürdigkeit der Programmierung und des
464 Programmes wirklich prüfen.
465
466 GnuPG basiert auf dem internationalen Standard
467 \textbf{OpenPGP}\index{OpenPGP} (RFC 2440), ist vollständig kompatibel
468 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
469 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
470 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
471 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
472
473 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
474 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
475 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
476 mehr dem Stand der Technik.
477
478 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
479 Wirtschaft und Technologie \index{Bundesministerium für
480 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
481 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
482 Bundesamt für Sicherheit in der Informationstechnik (BSI)
483 \index{Bundesamt für Sicherheit in der Informationstechnik}
484 unterstützt.
485
486 Weitere Informationen zu GnuPG und weiteren Projekten der
487 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
488 \uniurl[www.bsi.de]{http://www.bsi.de} und
489 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
490 Bundesamtes für Sicherheit in der Informationstechnik.
491
492
493 \clearpage
494 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
495 \label{ch:why}
496 \index{Briefumschlag}
497
498 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
499 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
500 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
501 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
502 jedermann frei und kostenlos zugänglich.
503
504 \htmlattributes*{img}{width=300}
505 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
506
507 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
508 um rund um den Globus miteinander zu kommunizieren und uns zu
509 informieren. Aber Rechte und Freiheiten, die in anderen
510 Kommunikationsformen längst selbstverständlich sind, muss man sich in
511 den neuen Technologien erst sichern. Das Internet ist so schnell und
512 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
513 Rechte noch nicht so recht nachgekommen ist.
514
515 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
516 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
517 Umschlag schützt die Nachrichten vor fremden Blicken, eine
518 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
519 nicht so wichtig ist, schreibt man es auf eine ungeschützte
520 Postkarte, die auch der Briefträger oder andere lesen können.
521
522 \clearpage
523 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
524 Sie selbst und niemand sonst.
525
526 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
527 \Email{} ist immer offen wie eine Postkarte, und der elektronische
528 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
529 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
530 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
531 zu verteilen, sondern sie auch zu kontrollieren.
532
533 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
534 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
535 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
536 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
537 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
538 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
539 Wikipedia über das 
540 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
541 \index{Echelon-System}
542 liefert dazu interessantes Hintergrundwissen.
543
544 Denn: der Umschlag fehlt.
545
546 \htmlattributes*{img}{width=300}
547 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
548
549 \clearpage
550 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
551 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
552 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
553 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
554 für wichtig und schützenswert halten oder nicht.
555
556 Das ist der Kern des Rechts auf Brief-, Post- und
557 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
558 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
559 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
560 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
561 ist Ihr gutes Recht.
562
563 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
564 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
565 bekannten Mittel zu knacken. In vielen Ländern waren starke
566 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
567 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
568 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
569 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
570 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
571 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
572 in aller Welt als eine praktikable und sichere Software angesehen.
573
574 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
575 Hand.}
576
577 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
578 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
579 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
580 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
581 dieses Vorgehen Schritt für Schritt erläutern.
582
583
584 \clearpage
585 \chapter{So funktioniert Gpg4win}
586 \label{ch:FunctionOfGpg4win}
587 Das Besondere an Gpg4win und der zugrundeliegenden
588 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
589 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
590 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
591
592 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
593 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
594 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
595 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
596 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
597 Vertrauen in die Sicherheit von Gpg4win gewinnen.
598
599 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
600 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
601 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
602 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
603 knacken sind.
604
605 \clearpage
606 \subsubsection{Der Herr der Schlüsselringe}
607 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
608 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
609 nur einmal gibt und den man ganz sicher aufbewahrt.
610
611 \htmlattributes*{img}{width=300}
612 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
613
614 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
615 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
616 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
617 man den Schlüssel mindestens genauso gut absichern, wie das zu
618 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
619 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
620 werden.
621
622 \clearpage
623 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
624 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
625 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
626 dazu auch sehr fehleranfällig.
627
628 \htmlattributes*{img}{width=300}
629 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
630
631 Das Grundproblem bei der "`gewöhnlichen"' geheimen
632 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
633 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
634 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
635 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
636 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
637
638 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
639 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
640 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
641 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
642 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
643 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
644 abgefangen werden darf.
645
646
647 \clearpage
648 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
649 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
650 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
651 von einem "`Public-Key"'-Verschlüsselungssystem.
652
653 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
654 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
655 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
656 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
657 Zertifikat)~-- und den darf sowieso jeder kennen.
658
659 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
660 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
661 Schlüsselteile sind durch eine komplexe mathematische Formel
662 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
663 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
664 anderen zu berechnen und damit das Verfahren zu knacken. 
665
666 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
667
668 \htmlattributes*{img}{width=300}
669 \IncludeImage[width=0.5\textwidth]{verleihnix}
670
671
672 \clearpage
673 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
674 ist recht einfach:
675
676 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
677 key'' oder ,,private key'') muss geheim gehalten werden.
678
679 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
680 öffentlich wie möglich gemacht werden.
681
682 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
683
684 \bigskip
685
686 \begin{quote}
687     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
688 \end{quote}
689
690 \htmlattributes*{img}{width=300}
691 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
692
693 \begin{quote}
694     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
695 \end{quote}
696
697
698 \clearpage
699 \subsubsection{Der öffentliche Brieftresor}
700 \index{Brieftresor}
701
702 In einem kleinen Gedankenspiel wird die Methode des
703 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
704 Verschlüsselung\index{Symmetrische Verschlüsselung}
705 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
706 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
707
708 \bigskip
709
710 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
711
712 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
713 auf, über den Sie geheime Nachrichten übermitteln wollen.
714
715 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
716 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
717 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
718 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
719 Tresor.
720
721 \htmlattributes*{img}{width=300}
722 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
723
724 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
725 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
726 zuschließen und eine geheime Nachricht deponieren zu können.
727
728 \clearpage
729 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
730 Wege übergeben.
731
732 \bigskip
733 \bigskip
734
735 \htmlattributes*{img}{width=300}
736 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
737
738 \clearpage
739 Erst wenn der andere den geheimen Schlüssel hat, kann er den
740 Brieftresor öffnen und die geheime Nachricht lesen.
741
742 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
743 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
744 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
745 austauschen wie die Botschaft selbst.
746
747 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
748 gleich die geheime Mitteilung übergeben ...
749
750 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
751 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
752 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
753 könnten.
754
755 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
756
757 \htmlattributes*{img}{width=300}
758 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
759
760 \clearpage
761 \textbf{Nun zur "`Public-Key"'-Methode:}
762
763 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
764 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
765 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
766 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
767 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
768 \index{Asymmetrische Verschlüsselung}
769
770 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
771
772 \htmlattributes*{img}{width=300}
773 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
774
775 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
776 öffentlicher Schlüssel.
777
778 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
779 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
780 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
781 frei zugänglich.
782
783 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
784 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
785 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
786 nachträglich zu verändern.
787
788 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
789
790 Aufschließen kann man den Brieftresor nur mit einem einzigen
791 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
792
793 \clearpage
794 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
795 kann eine \Email{} an Sie verschlüsseln. 
796
797 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
798 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
799 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
800 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
801
802 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
803
804 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
805 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
806 verfügbaren Schlüssel.
807
808 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
809 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
810 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
811 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
812 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
813 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
814 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
815 und die Nachricht lesen.
816
817 \T\enlargethispage{2\baselineskip}
818
819 \htmlattributes*{img}{width=300}
820 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
821
822 \clearpage
823 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
824 einen geheimen Schlüssel!?
825
826 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
827 allerdings ein gewaltiger:
828
829 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
830 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
831 Übergabe entfällt, sie verbietet sich sogar.
832
833 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
834 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
835 geheimes Codewort.
836
837 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
838 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
839 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
840 bringen kann.
841
842 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
843 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
844 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
845 eigenen Gedächtnis.
846
847 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
848 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
849 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
850
851
852 \clearpage
853 \chapter{Die Passphrase}
854 \label{ch:passphrase}
855 \index{Passphrase}
856
857 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
858 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
859 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
860 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
861 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
862 "`ganzen"' Kryptografieverfahrens.
863
864 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
865 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
866 diese Datei auszuschließen, wird sie zweifach gesichert:
867
868 \htmlattributes*{img}{width=300}
869 \IncludeImage[width=0.5\textwidth]{think-passphrase}
870
871 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
872 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
873 der Administrator des Computers immer auf alle Dateien zugreifen kann,
874 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
875 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
876
877 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
878 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
879 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
880 "`im Kopf"' behalten und niemals aufschreiben müssen.
881
882 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
883 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
884 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
885 und nur sehr schwer zu erratende Passphrase ausdenken können.
886
887 \clearpage
888 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
889
890 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
891
892 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
893
894 $\qquad$\verb-nieufdahnlnr- 
895 \texttt{\scriptsize{(Ei\textbf{n}
896 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
897 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
898 Ko\textbf{r}n.)}}
899
900 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
901 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
902 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
903 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
904 kann diese Passphrase niemand.
905
906 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
907 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
908 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
909 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
910 einem für Sie wichtigen Lied.
911
912 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
913 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
914 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
915 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
916 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
917 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
918 einer deutschen Tastatur finden.
919
920 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
921 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
922 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
923
924 $\qquad$\verb-In München steht ein Hofbräuhaus.-
925
926 könnte man beispielsweise diese Passphrase machen:
927
928 $\qquad$\verb-inMinschen stet 1h0f breuhome-
929
930 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
931 sich aber doch merken können, wie z.B.:
932
933 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
934
935 $\qquad$\verb-Taschengeld, auch im Winter.-
936
937 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
938 geheimen Schlüssel.
939
940 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
941 z.B. so:
942
943 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
944
945 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
946 eine noch kürzere Passphrase verwenden, indem Sie hier und da
947 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
948 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
949 vergessen, wird dabei größer.
950
951 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
952 sichere Passphrase ist dieses hier:
953
954 $\qquad$\verb-R!Qw"s,UIb *7\$-
955
956 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
957 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
958 für die Erinnerung hat.
959
960 \clearpage
961 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
962 sie ...
963
964 \begin{itemize}
965     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
966         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
967         wäre damit bereits einer anderen, möglicherweise unsicheren
968         Software bekannt.  Falls hier ein Hacker erfolgreich
969         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
970
971     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
972         können in Minutenschnelle komplette digitale Wörterbücher über
973         ein Passwort laufen lassen -- bis eines der Wörter passt.
974
975     \item ... aus einem Geburtsdatum, einem Namen oder anderen
976         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
977         zu entschlüsseln, wird sich diese Daten beschaffen.
978
979     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
980         enden"' oder "`to be or not to be"'. Auch mit derartigen
981         gängigen Zitaten testen Passphrase-Knackprogramme eine
982         Passphrase.
983
984     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
985         besteht.  Denken Sie sich unbedingt eine längere Passphrase
986         aus.
987 \end{itemize}
988
989 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
990 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
991 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
992 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
993 nicht eines dieser Beispiele genommen haben.
994
995 \bigskip
996
997 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
998 Unvergesslich und unknackbar.
999
1000 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1001 Erzeugung Ihres Schlüsselpaars benötigen.
1002
1003 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1004 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1005 Nachrichten schicken will, auch tatsächlich echt ist.
1006
1007
1008 \clearpage
1009 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1010 \label{ch:openpgpsmime}
1011 \index{OpenPGP} \index{S/MIME}
1012
1013 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1014 wie man ihn mit den Mitteln der modernen Informationstechnologie
1015 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1016 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1017 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1018 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1019
1020 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1021 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1022 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1023 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1024 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1025 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1026 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1027 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1028 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1029 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1030 -- die \textbf{Authentizität}. \index{Authentizität}
1031
1032 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1033 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1034 Alltagsleben dient zu dieser
1035 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1036 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1037 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1038 Institution von einer übergeordneten Behörde und letztendlich vom
1039 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1040 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1041 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1042 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1043
1044 Dieses Konzept findet sich bei Gpg4win oder anderen
1045 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1046 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1047 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1048 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1049 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1050 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1051 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1052 können Sie mit Gpg4win beide Verfahren einsetzen.
1053
1054
1055 \clearpage
1056 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1057 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1058 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1059 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1060 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1061 wiederum mit dem Zertifikat einer höher stehenden Organisation
1062 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1063 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1064 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1065 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1066 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1067 das Anwenderzertifikat.
1068
1069 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1070 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1071 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1072 \index{Web of Trust}
1073 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1074 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1075 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1076 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1077 dieser Schlüssel durch A beglaubigt wurde.
1078
1079 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1080 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1081 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1082 Zertifikat Ihres Kommunikationspartners vertrauen.
1083
1084 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1085 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1086 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1087 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1088 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1089 installieren und die folgenden Kapitel zu verstehen:
1090
1091 \begin{itemize}
1092     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1093         bieten die notwendige Sicherheit.
1094     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1095         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1096         geheimen Kommunikation. Man sagt somit, sie sind nicht
1097         interoperabel.
1098     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1099         beider Verfahren -- Sie müssen sich aber bei jeder
1100         Verschlüsselung/Signierung für eines der beiden entscheiden.
1101 \end{itemize}
1102
1103 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1104 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1105 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1106 zusammen.
1107
1108 \begin{latexonly} %no hyperlatex
1109 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1110 Symbolen auf die beiden Alternativen hin:
1111
1112 \begin{center}
1113 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1114 \hspace{1cm}
1115 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1116 \end{center}
1117 \end{latexonly}
1118
1119
1120 \clearpage
1121 \chapter{Installation von Gpg4win}
1122 \index{Installation}
1123
1124 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1125 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1126 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1127 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1128 sollten Sie schon wissen, was vor sich geht.
1129
1130 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1131 Schlüsselpaar einzurichten.
1132
1133 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1134 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1135 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1136 vorhandenen Zertifikate übernehmen können.
1137
1138 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1139 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1140 Windows-Betriebssystem. 
1141
1142 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1143 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1144 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1145 Installation klicken Sie nach dem Download auf die Datei:
1146
1147 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1148
1149 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1150 klicken Sie auf das Installations-Icon "`Gpg4win"'.
1151 Die weitere Installation ist dann identisch.
1152
1153 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1154 mit \Button{Ja}.
1155
1156 \clearpage
1157 Der Installationsassistent startet und befragt Sie zuerst nach der
1158 Sprache für den Installationsvorgang:
1159
1160 % screenshot: Installer Sprachenauswahl
1161 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1162
1163 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1164
1165 Anschließend begrüßt Sie dieser Willkommensdialog:
1166
1167 % screenshot: Installer Willkommensseite
1168 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1169
1170 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1171 Sie dann auf \Button{Weiter}.
1172
1173 \clearpage
1174 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1175 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1176 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1177 sofort tun -- auch ohne die Lizenz zu lesen.
1178
1179 % screenshot: Lizenzseite des Installers
1180 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1181
1182 Klicken Sie auf \Button{Weiter}.
1183
1184 \clearpage
1185 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1186 entscheiden, welche Programme Sie installieren möchten.
1187
1188 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1189 Komponenten auch später installieren. 
1190
1191 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1192 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1193 Festplatten-Platzes aller ausgewählten Komponenten.
1194
1195 % screenshot: Auswahl zu installierender Komponenten
1196 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1197
1198 Klicken Sie auf \Button{Weiter}.
1199
1200 \clearpage
1201 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1202 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1203
1204 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1205 in dem Sie Gpg4win installieren wollen.
1206
1207 % screenshot: Auswahl des Installationsverzeichnis.
1208 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1209
1210 Klicken Sie anschließend auf \Button{Weiter}.
1211
1212 \clearpage
1213 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1214 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1215 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1216 verändern.
1217
1218 % screenshot: Auswahl der Startlinks
1219 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1220
1221 Klicken Sie anschließend auf \Button{Weiter}.
1222
1223 \clearpage
1224 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1225 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1226 dieses Startmenüs festlegen oder einfach übernehmen.
1227
1228 % screenshot:  Startmenu auswählen
1229 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1230
1231 Klicken Sie dann auf \Button{Installieren}.
1232
1233 \clearpage
1234 Während der nun folgenden \textbf{Installation} sehen Sie einen
1235 Fortschrittsbalken und Informationen, welche Datei momentan
1236 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1237 drücken, um ein Protokoll der Installation sichtbar zu machen.
1238
1239 % screenshot: Ready page Installer
1240 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1241
1242 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1243 \Button{Weiter}.
1244
1245 \clearpage
1246 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1247 Installationsvorgangs angezeigt:
1248
1249 % screenshot: Finish page Installer
1250 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1251
1252 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1253 wichtige Informationen zu der soeben installierten Gpg4win-Version
1254 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1255 deaktivieren Sie diese Option.
1256
1257 Klicken Sie schließlich auf \Button{Fertig stellen}.
1258
1259 \clearpage
1260 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1261 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1262
1263 % screenshot: Finish page Installer with reboot
1264 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1265
1266 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1267 gestartet werden soll.
1268
1269 Klicken Sie auf \Button{Fertig stellen}.
1270
1271 %TODO: NSIS-Installer anpassen, dass vor diesem
1272 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1273 %erscheint.
1274 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1275 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1276 über das Startmenü:\\
1277 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$Gpg4win README}
1278
1279 \clearpage
1280 \textbf{Das war's schon!}
1281
1282 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1283 ersten Mal starten.
1284
1285 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1286 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1287 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1288 von Gpg4win"' weiter.
1289
1290
1291 \clearpage
1292 \chapter{Erstellung eines Zertifikats}
1293 \label{ch:CreateKeyPair}
1294 \index{Zertifikat!erstellen}
1295 \index{Schlüssel!erzeugen}
1296
1297 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1298 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1299 Schutz Ihres geheimen Schlüssels entsteht
1300 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1301 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1302
1303 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1304 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1305 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1306 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1307 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1308 Schlüssel.
1309
1310 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1311 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1312 "`X.509"'\index{X.509}).
1313
1314 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1315 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1316
1317 \T\marginOpenpgp
1318 Genau das können Sie tun -- allerdings nur für OpenPGP:
1319
1320 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1321 \index{Beglaubigung} entscheiden,
1322 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1323 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1324 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1325
1326 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1327 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1328 wird danach kein Problem mehr sein.
1329
1330 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1331 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP\index{GnuPP}
1332 stammt und bis auf Weiteres in Betrieb ist.  Auch in diesem Kompendium
1333 können wir die Benutzung des Übungsroboters nur empfehlen. Wir
1334 bedanken uns bei den Inhabern von gnupp.de für den Betrieb von Adele.
1335
1336 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1337 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1338 machen. Doch dazu später mehr.
1339
1340 \clearpage
1341 \textbf{Los geht's!}
1342 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1343
1344 % screenshot Startmenu with Kleopatra highlighted
1345 \htmlattributes*{img}{width=400}
1346 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1347
1348 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra} --
1349 die Zertifikatsverwaltung:
1350 \index{Zertifikatsverwaltung}
1351
1352 % screenshot: Kleopatra main window
1353 \htmlattributes*{img}{width=508}
1354 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1355
1356 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1357 Zertifikate erstellt (oder importiert) haben. 
1358
1359 \clearpage
1360 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1361
1362 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1363 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1364 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1365 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1366 Kapitel~\ref{ch:openpgpsmime} erläutert.
1367
1368 \label{chooseCertificateFormat}
1369 % screenshot: Kleopatra - New certificate - Choose format
1370 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1371
1372 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1373 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1374 zusammen.
1375
1376 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1377 haben, lesen Sie nun also bitte entweder:
1378 \begin{itemize}
1379     \item Abschnitt \ref{createKeyPairOpenpgp}:
1380         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1381         Seite) oder
1382     \item Abschnitt \ref{createKeyPairX509}:
1383         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1384         \pageref{createKeyPairX509}).
1385 \end{itemize}
1386
1387
1388
1389 \clearpage
1390 \section{OpenPGP-Zertifikat erstellen}
1391 \label{createKeyPairOpenpgp}
1392 \index{OpenPGP!Zertifikat erstellen}
1393
1394 \T\marginOpenpgp
1395 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1396 OpenPGP-Schlüsselpaar erzeugen}.
1397
1398
1399 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1400 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1401 sichtbar.
1402
1403 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1404 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1405 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1406 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1407 Name und die \Email{}-Adresse später öffentlich sichtbar.
1408
1409 % screenshot: Creating OpenPGP Certificate - Personal details
1410 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1411
1412 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1413 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1414 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1415 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1416
1417 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1418 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1419 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1420 informieren.
1421
1422 Klicken Sie auf \Button{Weiter}.
1423
1424 \clearpage
1425 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1426 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1427 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1428 über die Option \Menu{Alle Details} einsehen.
1429
1430 % screenshot: Creating OpenPGP Certificate - Review Parameters
1431 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1432
1433 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1434 erzeugen}.
1435
1436 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1437 \textbf{Passphrase}!
1438
1439 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1440 Passphrase eingeben:
1441
1442 % screenshot: New certificate - pinentry
1443 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1444
1445 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1446 jetzt eine einfach zu merkende und schwer zu knackende geheime
1447 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1448 ein!
1449
1450 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1451 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1452
1453 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1454 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1455 hingewiesen.
1456
1457 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1458 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1459
1460 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1461 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1462 \Button{OK}.
1463
1464 \clearpage
1465 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1466 % screenshot: Creating OpenPGP Certificate - Create Key
1467 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1468
1469 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1470 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1471 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1472 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1473 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1474 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1475 Qualität des erzeugten Schlüsselpaars.
1476
1477 \clearpage
1478 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1479 erhalten Sie folgenden Dialog:
1480
1481 % screenshot: Creating OpenPGP certificate - key successfully created
1482 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1483
1484 Im Ergebnis-Textfeld wird der 40-stellige
1485 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1486 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1487 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1488 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1489 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1490 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1491 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1492 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1493 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1494 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1495 der Fingerabdruck einer Person.
1496
1497 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1498 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1499 sich ihn jederzeit später anzeigen lassen.
1500
1501 \clearpage
1502 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1503 folgenden drei Schaltflächen betätigen:
1504
1505 \begin{description}
1506
1507 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1508     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1509     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1510     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1511
1512     % screenshot: New OpenPGP certificate - export key
1513     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1514
1515     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1516     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1517     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1518     "`ASCII armor"') ein- bzw. ausschalten.
1519
1520     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1521
1522     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1523     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1524     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1525     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1526     belassen!  Bewahren Sie diesen Datenträger mit der
1527     Sicherheitskopie sicher auf.
1528
1529     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1530     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1531     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1532     Kapitel \ref{ch:ImExport}).
1533
1534 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1535     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1536     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1537     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1538     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1539     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1540
1541     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1542     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1543     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1544     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1545     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1546     und versenden diese Datei per \Email{} an Ihre
1547     Korrespondenzpartner. Weitere Details finden Sie im
1548     Abschnitt~\ref{sec_publishPerEmail}.
1549
1550 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1551     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1552     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1553     auf diesem Server veröffentlichen, erfahren Sie in
1554     Kapitel~\ref{ch:keyserver}.
1555
1556 \end{description}
1557
1558 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1559 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1560
1561 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1562 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1563 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1564
1565
1566 \clearpage
1567 \section{X.509-Zertifikat erstellen}
1568 \label{createKeyPairX509}
1569 \index{X.509!Zertifikat erstellen}
1570
1571 \T\marginSmime
1572 Klicken Sie im Zertifikatsformat-Auswahldialog von
1573 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1574 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1575 erstellen}.
1576
1577
1578 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1579 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1580 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1581 = locality) und Abteilung (OU = organizational unit) ergänzen.
1582
1583 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1584 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1585 Organisation sowie Ländercode und geben irgendeine ausgedachte
1586 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1587 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1588
1589 % screenshot: New X.509 Certificate - Personal details
1590 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1591
1592 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1593 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1594 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1595 informieren.
1596
1597 Klicken Sie auf \Button{Weiter}.
1598
1599 \clearpage
1600 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1601 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1602 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1603 über die Option \Menu{Alle Details} einsehen.
1604
1605 % screenshot: New X.509 Certificate - Review Parameters
1606 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1607
1608 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1609
1610 \clearpage
1611 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1612
1613 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1614 Passphrase einzugeben:
1615
1616 % screenshot: New X.509 certificate - pinentry
1617 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1618
1619 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1620 jetzt eine einfach zu merkende und schwer zu knackende geheime
1621 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1622 ein!
1623
1624 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1625 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1626
1627 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1628 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1629 hingewiesen.
1630
1631 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1632 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1633
1634 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1635 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1636 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1637 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1638 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1639 \Button{OK}.
1640
1641 \clearpage
1642 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1643 % screenshot: New  X.509 Certificate - Create Key
1644 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1645
1646 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1647 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1648 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1649 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1650 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1651 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1652 Qualität des erzeugten Schlüsselpaars.
1653
1654 \clearpage
1655 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1656 erhalten Sie folgenden Dialog:
1657
1658 % screenshot: New X.509 certificate - key successfully created
1659 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1660
1661 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1662
1663 \begin{description}
1664
1665 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1666     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1667     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1668     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1669     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1670     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1671     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1672     die kostenlos X.509-Zertifikate ausstellt.
1673
1674 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1675     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1676     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1677     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1678     den vorbereiteten Text dieser \Email{}.
1679
1680     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1681     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1682     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1683     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1684     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1685     Authority, CA).
1686
1687     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1688     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1689     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1690     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1691
1692 \end{description}
1693
1694 Beenden Sie anschließend den Kleopatra-Assistenten mit
1695 \Button{Fertigstellen}.
1696
1697
1698 \clearpage
1699 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1700
1701 \T\marginSmime
1702 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1703 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1704 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1705 für ihre Zertifikate erheben.
1706
1707 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1708 müssen Sie sich zunächst bei
1709 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1710
1711 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1712 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1713 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1714 sichere Pass\-phrase für Ihr Zertifikat fest.
1715
1716 Ihr Client-Zertifikat wird nun erstellt.
1717
1718 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1719 neu erstellten X.509-Zertifikat und dem dazugehörigen
1720 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1721
1722 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1723 Browser. Bei Firefox können Sie danach z.B. über
1724 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1725 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1726 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1727
1728 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1729 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1730 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1731 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1732 Internetseiten von CAcert.
1733
1734 Speichern Sie abschließend eine Sicherungskopie Ihres
1735 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1736 erhält automatisch die Endung \Filename{.p12}.
1737
1738 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1739 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1740 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1741 gelangt.
1742
1743 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1744 erfahren Sie in Kapitel \ref{ch:ImExport}.
1745
1746 ~\\
1747 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1748 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1749 wieder identisch.
1750
1751
1752 \clearpage
1753 \section{Zertifikatserstellung abgeschlossen}
1754 \label{sec_finishKeyPairGeneration}
1755
1756 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1757 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1758 einzigartigen elektronischen Schlüssel.}
1759
1760 Im weiteren Verlauf des Kompendiums wird nur noch ein
1761 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1762 auch entsprechend für ein X509-Zertifikat.
1763
1764 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1765
1766 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1767 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1768 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1769
1770 % screenshot: Kleopatra with new openpgp certificate
1771 \htmlattributes*{img}{width=508}
1772 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1773
1774 \clearpage
1775 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1776 sehen zu können:
1777
1778 % screenshot: details of openpgp certificate
1779 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1780
1781 Was bedeuten die einzelnen Zertifikatsdetails?
1782
1783 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1784 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1785 Sie auf \Button{Ablaufdatum ändern}.
1786
1787 \textbf{Weitere Details zum Zertifikat finden Sie im
1788 Kapitel~\ref{ch:CertificateDetails}.}
1789
1790
1791 \clearpage
1792 \chapter{Verbreitung des öffentlichen Zertifikats}
1793 \label{ch:publishCertificate}
1794 \index{Zertifikat!verbreiten}
1795
1796 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1797 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1798 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1799 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1800 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1801 Geheimhaltung bereits erledigt.
1802
1803 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1804 können und sollen öffentliche Zertifikate von Ihren
1805 Korrespondenzpartnern haben -- je mehr, desto besser.
1806
1807 Denn:
1808
1809 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1810 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1811 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1812 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1813 der Zertifikatsverwaltung Kleopatra.}
1814
1815 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1816 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1817 benutzen.
1818
1819 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1820 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1821 benutzen.
1822
1823 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1824 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1825 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1826 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1827 beispielsweise ...
1828
1829 \begin{itemize}
1830     \item ... direkt per \textbf{\Email{}} an bestimmte
1831     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1832     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1833         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1834     \item ... über die eigene Homepage.
1835     \item ... persönlich, z.B. per USB-Stick.
1836 \end{itemize}
1837
1838 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1839 Seiten näher anschauen.
1840
1841 \clearpage
1842 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1843 \label{sec_publishPerEmail}
1844
1845 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1846 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1847 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1848 erfahren Sie in diesem Abschnitt.\\ 
1849
1850 \T\marginOpenpgp
1851 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1852 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1853 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1854 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1855 Seite~\pageref{publishPerEmailx509}.
1856
1857 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1858 zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen
1859 und netten jungen Dame lieber korrespondiert als mit einem Stück
1860 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1861 Adele so vorstellen:
1862
1863 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1864 \IncludeImage[width=0.5\textwidth]{adele01}
1865
1866 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1867 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1868 eine verschlüsselte \Email{} an Sie zurück.
1869
1870 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1871 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1872 legt Adele ihr eigenes öffentliches Zertifikat bei.
1873
1874 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1875 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1876 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1877 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1878 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1879
1880 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1881 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1882 den nächsten Seiten.
1883
1884
1885 \clearpage
1886 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1887 \index{Zertifikat!exportieren}
1888
1889 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1890 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1891 Zertifikate) und klicken Sie dann auf
1892 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1893 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1894 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1895 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1896 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1897 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1898 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1899
1900 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1901 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1902 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1903 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1904
1905 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1906 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1907 Exportieren angegeben haben.
1908
1909 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1910 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1911 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1912 ziemlich wirrer Text- und Zahlenblock:
1913 \T\enlargethispage{\baselineskip}
1914
1915 % screenshot: Editor mit ascii armored key
1916 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1917
1918 \clearpage
1919 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1920 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1921 versenden kann oder nicht.
1922
1923 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1924 \Email{}-Text versenden}
1925
1926 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1927 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1928 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1929 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1930 Zertifikat eigentlich besteht.
1931
1932 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1933 Zertifikat von
1934
1935 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1936 bis\\
1937 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1938
1939 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1940 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1941 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1942 kopiert.
1943
1944 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1945 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1946 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1947 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1948 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1949
1950 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1951 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1952 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1953 \ref{appendix:gpgol}).
1954
1955 \textbf{Adressieren} Sie nun diese \Email{} an
1956 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1957 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1958
1959 \clearpage
1960 So etwa sollte Ihre \Email{} nun aussehen:
1961
1962 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1963 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1964
1965 Schicken Sie die \Email{} an Adele ab.
1966
1967 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1968 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1969 Sie nie Antwort von Adele bekommen ...
1970
1971 \clearpage
1972 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1973 versenden}
1974
1975 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1976 öffentliches OpenPGP-Zertifikat auch direkt als
1977 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1978 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1979 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1980 leichter nachzuvollziehen ist.
1981
1982 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1983 der Zertifikatsdatei im Anhang:
1984
1985 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1986 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1987 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1988 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1989 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
1990 Dateianhang}.
1991
1992 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
1993 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
1994 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
1995
1996 Ihre fertige \Email{} sollte dann etwa so aussehen:
1997 \T\enlargethispage{2\baselineskip}
1998
1999 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
2000 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
2001
2002 Senden Sie nun die \Email{} mit Anhang an Adele ab.
2003
2004 \clearpage
2005 \subsubsection{Kurz zusammengefasst}
2006
2007 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
2008 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
2009 direkt in eine \Email{} kopiert und einmal die komplette Datei als
2010 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
2011 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
2012
2013 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
2014 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
2015 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
2016 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
2017 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
2018 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
2019
2020 \clearpage
2021 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
2022 \label{sec_publishPerKeyserver}
2023
2024 \T\marginOpenpgp
2025 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
2026 einen OpenPGP-Zertifikats\-server verbreiten.}
2027
2028 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
2029 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
2030 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
2031 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
2032 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
2033 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
2034 Korrespondenzpartner.
2035
2036 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
2037 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
2038 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
2039 Spam-Schutz.
2040
2041 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
2042 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
2043 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
2044
2045 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
2046 eine Warnmeldung:
2047
2048 % screenshot: Kleopatra keyserver export warning
2049 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2050
2051 Es ist der öffentliche OpenPGP-Zertifikatsserver
2052 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2053 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2054 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2055 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2056 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2057 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2058 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2059
2060 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2061 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2062 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2063 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2064 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2065 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2066
2067 \clearpage
2068 \subsubsection{Kurz zusammengefasst}
2069 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2070 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2071
2072 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2073 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2074 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2075 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2076
2077
2078 \clearpage
2079 \section{Veröffentlichen von X.509-Zertifikaten}
2080 \label{publishPerEmailx509}
2081
2082 \T\marginSmime
2083 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2084 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2085 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2086 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2087 Zertifikatsverwaltung importiert werden.
2088
2089 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2090 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2091 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2092 oder testweise an sich selbst schreiben.
2093
2094 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2095 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2096 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2097 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2098
2099 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2100 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2101 markieren und in einer Datei
2102 abspeichern -- in der Regel also Wurzelzertifikat,
2103 CA-Zertifikat\index{CA-Zertifikat} und
2104 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2105
2106 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2107 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2108 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2109 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2110 Zertifikate gemeinsam in eine Datei.
2111
2112 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2113 muss er diesem das Vertrauen aussprechen bzw. durch einen
2114 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2115 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2116 der selben  "`Wurzel"' gehören), dann besteht diese
2117 Vertrauensstellung bereits.
2118
2119
2120 \clearpage
2121 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2122 \label{ch:decrypt}
2123 \index{E-Mail!entschlüsseln}
2124
2125 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2126 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2127
2128 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2129 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2130 GpgOL entschlüsseln. \index{Outlook}
2131
2132 \T\marginOpenpgp
2133 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2134 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2135 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2136 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2137 \pageref{encrypt-smime}.
2138
2139 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2140 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2141 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2142 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2143
2144 \T\enlargethispage{\baselineskip}
2145
2146 % cartoon: Adele typing and sending a mail
2147 \IncludeImage[width=0.5\textwidth]{adele02}
2148
2149 \clearpage
2150 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2151
2152 Für die meisten \Email{}-Programme gibt es spezielle
2153 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2154 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2155 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2156 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2157 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2158 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2159 lesen oder später, wenn Sie diese Funktion benötigen.
2160
2161 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2162 Adele.
2163
2164 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2165 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2166 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2167 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2168 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2169 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2170 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2171 oder entschlüsseln.
2172
2173 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2174 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2175 verschlüsselt.
2176
2177 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2178 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2179 Passphrase ein.
2180
2181 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2182 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2183
2184 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2185 aufrufen, indem Sie im Menü der geöffneten \Email{}
2186 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2187
2188 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2189
2190 \clearpage
2191 \subsubsection{Die entschlüsselte Nachricht}
2192
2193 Die entschlüsselte Antwort von Adele sieht in etwa so
2194 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2195 etwas unterschiedlich aussehen.}:
2196
2197 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2198 %TODO: Schlüssel -> Zertifikat
2199
2200 \begin{verbatim}
2201 Hallo Heinrich Heine,
2202
2203 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2204
2205 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2206 FE7EEC85C93D94BA und der Bezeichnung
2207 `Heinrich Heine <heinrich@gpg4win.de>'
2208 wurde von mir empfangen.
2209
2210 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2211 dem freundlichen E-Mail-Roboter.
2212
2213 Viele Grüße,
2214 adele@gnupp.de
2215 \end{verbatim}
2216
2217 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2218 Adele.
2219
2220 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2221 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2222 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2223 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2224 \Email{}s verwenden.
2225
2226 \clearpage
2227 \subsubsection{Kurz zusammengefasst}
2228
2229 \begin{enumerate}
2230     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2231         Schlüssel entschlüsselt.
2232     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2233         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2234         können.
2235 \end{enumerate}
2236
2237
2238 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2239 \label{encrypt-smime}
2240
2241 \T\marginSmime
2242 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2243 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2244
2245 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2246
2247 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2248 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2249 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2250 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2251
2252 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2253 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2254 unterstützt nur OpenPGP.
2255
2256 \clearpage
2257 \chapter{Öffentliches Zertifikat importieren}
2258 \label{ch:importCertificate}
2259 \index{Zertifikat!importieren}
2260
2261 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2262 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2263 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2264 auf -- z.B. Kleopatra.
2265
2266 \subsubsection{Öffentliches Zertifikat abspeichern}
2267
2268 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2269 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2270 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2271 \Email{} bekommen haben, gehen Sie wie folgt vor:
2272
2273 \begin{itemize}
2274
2275 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2276     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2277     Ihrem \Email{}-Programm gewohnt sind.
2278
2279 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2280     innerhalb der \Email{} übermittelt, dann müssen Sie das
2281     vollständige Zertifikat markieren:
2282
2283     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2284     von
2285
2286     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2287     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2288
2289     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2290     getan haben.
2291
2292     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2293     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2294     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2295     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2296     \Filename{.pem} oder \Filename{.der} wählen.
2297
2298 \end{itemize}
2299
2300 \clearpage
2301 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2302
2303 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2304 Textblock abgespeichert haben -- in beiden Fällen importieren
2305 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2306
2307 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2308
2309 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2310 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2311 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2312 dem Ergebnis des Importvorgangs:
2313
2314 % screenshot: Kleopatra - certificate import dialog
2315 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2316
2317 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2318 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2319 \Menu{Importierte Zertifikate} von
2320 \Menu{<Pfad-zur-Zertifikatsdatei>}:
2321
2322 % screenshot Kleopatra with new certificate
2323 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2324
2325 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2326 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2327 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2328 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2329
2330 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2331 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2332
2333 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2334 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2335 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2336 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2337 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2338
2339 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2340 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2341 über weltweit erreichbare Zertifikatsserver suchen und importieren
2342 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2343 nachlesen.\\
2344
2345 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2346 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2347 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2348 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2349
2350 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2351 wirklich seinem Absender gehört?
2352
2353 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2354 Kapitel~\ref{ch:trust} erläutert.}
2355
2356 \clearpage
2357 \chapter{Die Zertifikatsprüfung}
2358 \label{ch:trust}
2359
2360 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2361 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2362 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2363 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2364 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2365 Absenderangabe auf einem Briefumschlag.
2366
2367 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2368 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2369 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2370 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2371 Identität des Absenders.
2372
2373 \clearpage
2374 \subsubsection{Der Fingerabdruck}
2375 \index{Fingerabdruck}
2376 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2377 die Sache mit der Identität schnell geregelt: Sie prüfen den
2378 Fingerabdruck des anderen Zertifikats.
2379
2380 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2381 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2382 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2383 "`Fingerabdruck"'.
2384
2385 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2386 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2387 dessen 40-stelligen Fingerabdruck:
2388
2389 % screenshot: GPA key listing with fingerprint
2390 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2391
2392 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2393 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2394
2395 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2396 seinen Besitzer eindeutig.
2397
2398 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2399 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2400 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2401 Sie eindeutig das richtige Zertifikat.
2402
2403 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2404 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2405 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2406 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2407 garantiert authentische Visitenkarte haben, so können Sie sich den
2408 Anruf ersparen.
2409
2410
2411 \clearpage
2412 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2413 \index{Zertifikat!beglaubigen}
2414
2415 \T\marginOpenpgp
2416 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2417 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2418 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2419 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2420 vorbehalten.
2421
2422
2423 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2424 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2425 autentisch -- halten:
2426 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2427 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2428
2429 ~\\
2430 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2431 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2432 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2433 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2434
2435 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2436 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2437
2438 % screenshot: Kleopatra certify certificate 1
2439 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2440
2441 \clearpage
2442 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2443 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2444
2445 % screenshot: Kleopatra certify certificate 2
2446 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2447
2448 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2449 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2450 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2451 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2452 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2453 Verfügung zu stellen.
2454
2455 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2456
2457 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2458 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2459 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2460 abgeschlossen.
2461
2462 \clearpage
2463 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2464
2465 % screenshot: Kleopatra certify certificate 3
2466 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2467
2468 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2469 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2470 Wählen Sie den Reiter
2471 \Menu{Benutzer-Kennungen und
2472 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2473 Beglaubigungen ein}.
2474
2475 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2476 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2477 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2478
2479 \clearpage
2480 \subsubsection{Das Netz des Vertrauens}
2481 \index{Netz des Vertrauens|see{Web of Trust}}
2482 \index{Web of Trust}
2483
2484 \T\marginOpenpgp
2485 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2486 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2487 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2488 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2489 direkt auf Echtheit (Autentizität) zu prüfen.
2490
2491 \htmlattributes*{img}{width=300}
2492 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2493
2494 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2495 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2496 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2497 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2498 Ihnen und niemandem sonst gehört.
2499
2500 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2501 Beglaubigungs-Infra\-struktur.
2502
2503 Eine einzige Möglichkeit ist denkbar, mit der man diese
2504 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2505 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2506 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2507 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2508 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2509 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2510 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2511
2512 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2513 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2514 nicht die Lösung sein~...
2515
2516
2517 \clearpage
2518 \subsubsection{Beglaubigungsinstanzen}
2519 \index{Beglaubigungsinstanzen}
2520 \index{Certificate Authority (CA)}
2521
2522 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2523 vertrauen können. Sie prüfen ja auch nicht persönlich den
2524 Personalausweis eines Unbekannten durch einen Anruf beim
2525 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2526 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2527 beglaubigt hat.
2528
2529 \T\marginOpenpgp
2530 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2531 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2532 lange einen solchen Dienst kostenlos an, ebenso wie viele
2533 Universitäten.
2534
2535 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2536 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2537 man sich darauf verlassen können.
2538  
2539 \T\marginSmime
2540 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2541 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2542 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2543 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2544 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2545 Benutzerzertifikate zu beglaubigen (vgl.
2546 Kapitel~\ref{ch:openpgpsmime}).
2547
2548 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2549 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2550 berechtigte Institution geben, die die Befugnis dazu wiederum von
2551 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2552 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2553 eines Zertifikates durch den Beglaubigenden.
2554
2555 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2556 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2557 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2558 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2559 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2560 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2561 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2562 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2563 entsprechen.
2564
2565
2566 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2567 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2568 sich z.B. bei folgenden Webadressen über dieses und viele andere
2569 IT-Sicherheits-Themen informieren:
2570 \begin{itemize}
2571     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2572     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2573     \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2574 \end{itemize}
2575
2576 Eine weitere, eher technische Informationsquelle zum Thema
2577 der Beglaubigungsinfrastrukturen bietet das 
2578 GnuPG Handbuch das Sie ebenfalls im Internet finden unter:\\
2579 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2580
2581 \clearpage
2582 \chapter{\Email{}s verschlüsseln}
2583 \label{ch:encrypt}
2584 \index{E-Mail!verschlüsseln}
2585
2586 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2587 \Email{}.
2588
2589 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2590 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2591 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2592
2593
2594 \textbf{Hinweis für OpenPGP:}
2595
2596 \T\marginOpenpgp
2597 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2598 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2599 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2600 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2601 nicht wirklich lesen.
2602
2603 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2604
2605 \textbf{Hinweis für S/MIME:}
2606
2607 \T\marginSmime
2608 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2609 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2610 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2611 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2612 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2613 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2614
2615 % screenshot: GpgOL options
2616 \T\ifthenelse{\boolean{DIN-A5}}{
2617     \T\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_de}
2618 \T}
2619 \T{
2620     \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2621 \T}
2622
2623
2624 \clearpage
2625 \subsubsection{Nachricht verschlüsselt versenden}
2626
2627 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2628 Sie diese an Ihren Korrespondenzpartner.
2629
2630 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2631 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2632 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2633 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2634 auch direkt auf das Schloss klicken.
2635
2636 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2637
2638 % screenshot: OL composer with Adele's address and body text
2639 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2640
2641 Klicken Sie nun auf \Button{Senden}.
2642
2643 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2644 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2645 Ihres Korrespondenzpartners vorliegt.
2646
2647 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2648 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2649 Nachricht verschlüsselt und versendet.
2650
2651
2652 \clearpage
2653 \subsubsection{Zertifikatsauswahl}
2654 \index{Zertifikat!Auswahl}
2655 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2656 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2657 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2658 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2659 selbstständig auswählen können.
2660
2661 % screenshot: kleopatra encryption dialog - certificate selection
2662 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2663
2664 Sollte Kleopatra das öffentliche Zertifikat Ihres
2665 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2666 in Ihre Zertifikatsverwaltung importiert (vgl.
2667 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2668 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2669 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2670 Kapitel~\ref{sec_allow-mark-trusted}).
2671
2672
2673 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2674 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2675 verschlüsselt werden.
2676
2677 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2678 \begin{quote}
2679   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2680   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2681 \end{quote}
2682
2683
2684 \clearpage
2685 \subsubsection{Verschlüsselung abschließen}
2686 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2687 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2688
2689 % screenshot: kleopatra encryption successfully
2690 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2691
2692 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2693 verschlüsselt!}
2694
2695
2696 \chapter{\Email{}s signieren}
2697 \label{ch:sign}
2698 \index{E-Mail!signieren}
2699
2700 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2701 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2702 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2703
2704 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2705 Zertifikat, sondern auch eine komplette \textbf{\Email{}
2706 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2707 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2708
2709 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2710 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2711 oder verändert wurde.
2712
2713 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2714 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2715 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2716 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2717 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2718
2719 Sie haben sicher bemerkt, dass diese digitale
2720 Signatur\index{Signatur!digitale} nicht mit der
2721 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2722 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2723 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2724 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2725 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2726
2727 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2728 Übrigens ist die digitale Signatur auch nicht mit der
2729 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2730 elektronische} gleichzusetzen, wie sie im Signaturgesetz
2731 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2732 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2733 allerdings genau denselben Zweck.
2734
2735 % cartoon: Müller mit Schlüssel
2736 \htmlattributes*{img}{width=300}
2737 \T\ifthenelse{\boolean{DIN-A5}}{
2738     \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2739 \T}
2740 \T{
2741     \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2742 \T}
2743
2744 \clearpage
2745 \section{Signieren mit GpgOL}
2746 \T\enlargethispage{\baselineskip}
2747 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2748 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2749 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2750 folgende Schritte durch:
2751
2752 \begin{itemize}
2753     \item Nachricht signiert versenden
2754     \item Zertifikatsauswahl
2755     \item Signierung abschließen
2756 \end{itemize}
2757
2758 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2759
2760 %\clearpage
2761 \subsubsection{Nachricht signiert versenden}
2762
2763 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2764 Sie diese an Ihren Korrespondenzpartner.
2765
2766 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2767 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2768 Schaltfläche mit dem signierenden Stift oder alternativ den
2769 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2770
2771 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2772
2773 % screenshot: OL composer with Adele's address and body text
2774 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2775
2776 Klicken Sie nun auf \Button{Senden}.
2777
2778 \clearpage
2779 \subsubsection{Zertifikatsauswahl}
2780
2781 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2782 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2783 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2784
2785 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2786 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2787 Signieren nach dem gewünschten Protokollverfahren:
2788
2789 % screenshot: kleopatra format choice dialog
2790 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2791
2792 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2793 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2794 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2795 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2796 Schlüssel vorliegt:
2797
2798 % screenshot: kleopatra format choice dialog
2799 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2800
2801 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2802
2803
2804 \clearpage
2805 \subsubsection{Signierung abschließen}
2806 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2807 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2808
2809 % screenshot: kleopatra sign dialog 2 - choose certificate
2810 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2811
2812 Dies ist notwendig, denn Sie wissen:
2813 \begin{quote}
2814     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2815 \end{quote}
2816 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2817 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Zertifikat, das
2818 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2819 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2820
2821 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2822 Nachricht wird nun signiert und versendet.
2823
2824 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2825 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2826 Ergebnisdialog:
2827
2828 % screenshot: kleopatra sign successful
2829 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2830
2831 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2832 signiert!}
2833
2834
2835 \clearpage
2836 \subsubsection{Kurz zusammengefasst}
2837 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2838 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2839
2840 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2841 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2842
2843 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2844 sicheren \Email{}-Versand: verschlüsseln und signieren.
2845
2846 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2847 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2848 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2849 \Email{} ist:
2850
2851 \begin{itemize}
2852     \item unverschlüsselt
2853     \item verschlüsselt
2854     \item signiert
2855     \item signiert und verschlüsselt (mehr dazu im
2856         Abschnitt~\ref{sec_encsig})
2857 \end{itemize}
2858
2859 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2860 S/MIME realisieren.
2861
2862 \clearpage
2863 \section{Signatur mit GpgOL prüfen}
2864 \index{Signatur!prüfen mit GpgOL}
2865
2866 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2867 Korrespondenzpartners.
2868
2869 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2870 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2871 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2872 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2873 Zertifikatsverwaltung importiert haben (vgl.
2874 Kapitel~\ref{ch:importCertificate}).
2875
2876 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2877 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2878 Kapitel~\ref{ch:decrypt}):
2879
2880 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2881
2882 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2883 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2884
2885 % screenshot: Kleopatra - successfully verify dialog
2886 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2887
2888 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2889 signierte \Email{} zu lesen.
2890
2891 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2892 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2893 Entschlüsseln/Prüfen}.
2894
2895 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2896 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2897 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2898 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2899 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2900 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2901
2902 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2903 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2904
2905 \clearpage
2906 \section{Gründe für eine gebrochene Signatur}
2907 \label{sec_brokenSignature}
2908 \index{Signatur!gebrochene}
2909
2910 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2911 können:
2912
2913 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2914 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2915 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2916 Inhalt oder den Betreff der \Email{} verändert.
2917
2918 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2919 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2920 auszuschließen, dass die \Email{} durch eine fehlerhafte
2921 Übertragung verändert wurde.
2922
2923 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2924 Sie immer die \Email{} erneut beim Absender an!\\
2925
2926 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2927 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2928 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2929 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2930 die Formatierungsinformationen verloren gehen, was zum Bruch der
2931 Signatur führen kann.
2932
2933 Bei Outlook 2003 und 2007 können Sie unter
2934 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2935 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2936
2937
2938 \clearpage
2939 \section{Verschlüsseln und Signieren}
2940 \label{sec_encsig}
2941 \index{E-Mail!verschlüsseln und signieren}
2942
2943 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2944 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2945 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2946
2947 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2948 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2949 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2950 könnte.
2951
2952 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2953 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2954 erzeugen: die Signatur.
2955
2956 Solch eine digitale Signatur bestätigt eindeutig die
2957 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2958 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2959 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2960 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2961
2962 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2963 verschlüsseln und signieren:
2964
2965 \begin{enumerate}
2966     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2967         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2968     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2969         öffentlichen Zertifikat des Korrespondenzpartners.
2970 \end{enumerate}
2971
2972 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2973
2974 \begin{enumerate}
2975     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2976         geheimen Schlüssel.
2977     \item Einen soliden äußeren Umschlag: die
2978         Verschlüsselung mit dem öffentlichen Zertifikat des
2979         Korrespondenzpartners.
2980 \end{enumerate}
2981
2982 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2983
2984 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2985 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2986 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2987 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2988 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
2989 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
2990 Schlüssel kodiert worden sein.
2991
2992 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2993 ganz einfach.
2994
2995
2996 \clearpage
2997 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2998 \label{ch:archive}
2999 \index{E-Mail!verschlüsselt archivieren}
3000
3001 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
3002 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
3003
3004 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
3005 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
3006 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
3007 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
3008 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
3009 aufbewahren!
3010
3011 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
3012 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
3013 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
3014
3015 Also was tun?
3016
3017 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
3018 selbst!}
3019
3020 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
3021 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
3022 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
3023 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
3024 lesbar machen.
3025
3026 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
3027 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
3028 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
3029 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
3030 entscheiden, an welches Zertifikat verschlüsselt werden soll.
3031
3032 \clearpage
3033 \subsubsection{Kurz zusammengefasst}
3034
3035 \begin{enumerate}
3036     \item Sie haben mit dem öffentlichen Zertifikat Ihres
3037         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
3038         damit geantwortet.
3039     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
3040         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
3041         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
3042 \end{enumerate}
3043
3044
3045 \vspace{1cm}
3046 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3047 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3048
3049 \textbf{Willkommen in der Welt der freien und sicheren \Email{}"=Verschlüsselung!}
3050
3051 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3052 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3053 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3054 dass Sie viele spannende Dinge darin entdecken werden!
3055
3056
3057 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3058 % Part II
3059
3060 % page break in toc
3061 \addtocontents{toc}{\protect\newpage}
3062
3063 \clearpage
3064 \T\part{Für Fortgeschrittene}
3065 \W\part*{\textbf{II Für Fortgeschrittene}}
3066 \label{part:Fortgeschrittene}
3067 \addtocontents{toc}{\protect\vspace{0.3cm}}
3068
3069
3070 \clearpage
3071 \chapter{Zertifikat im Detail}
3072 \label{ch:CertificateDetails}
3073 \index{Zertifikatsdetails}
3074
3075 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3076 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3077 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3078 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3079 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3080 X.509-Zertifikaten. Es geht hierbei um:
3081
3082 \begin{itemize}
3083 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
3084 \item den Fingerabdruck
3085 \item die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}
3086 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
3087 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3088 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3089 \end{itemize}
3090
3091 \begin{description}
3092
3093 \item[Die Benutzerkennung] besteht aus dem Namen und der
3094     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3095     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3096     <heinrich@gpg4win.de>}
3097
3098     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3099     Menüpunkt \Menu{Zertifikate$\rightarrow$%
3100     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
3101     Benutzerkennung hinzufügen...} 
3102     Ihr Zertifikat um weitere Benutzerkennungen
3103     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
3104     \Email{}-Adresse dasselbe Zertifikat nutzen möchten.
3105
3106     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3107     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3108
3109 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3110     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3111     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3112     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3113     oder auf einem X.509-Zertifikats\-server liegen.  Was
3114     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3115
3116 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3117     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3118     Zweck wie dieser. Die wesentlich geringere Länge macht die
3119     Schlüsselkennung einfacher handhabbar, 
3120     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3121     Zertifikate mit derselben Kennung).
3122
3123 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3124     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3125     
3126     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3127     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
3128     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
3129     Zertifikatsdetails klicken -- oder das Menü
3130     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3131     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3132     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3133     auszugeben.
3134
3135     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3136     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3137     festgelegt und kann nicht vom Nutzer geändert werden.
3138
3139 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3140     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3141     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3142     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3143     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3144     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3145     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3146     einstellen.
3147
3148     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3149     Für X.509-Zerti\-fikate gibt es diese Methode der
3150     Vertrauensstellung nicht.
3151
3152 \item[Die Beglaubigungen] \T\marginOpenpgp
3153     Ihres OpenPGP-Zertifikats beinhalten die
3154     Benutzerkennungen derjenigen Zertifikatsinhaber, die
3155     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3156     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3157     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3158     Nutzern erhalten.
3159
3160     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3161     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3162     nicht.
3163
3164 \end{description}
3165
3166 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3167 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3168 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3169 neue Zertifikate erhalten oder ändern wollen.
3170
3171 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3172 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3173 \ref{ch:trust} gelesen.
3174
3175
3176 \clearpage
3177 \chapter{Die Zertifikatsserver}
3178 \label{ch:keyserver}
3179 \index{Zertifikatsserver}
3180
3181 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3182 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3183 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3184 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3185 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3186
3187 Zertifikatsserver können von allen Programmen benutzt werden, die die
3188 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3189 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3190
3191
3192 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3193
3194 \begin{description}
3195
3196 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3197     \index{Zertifikatsserver!OpenPGP}
3198     (im Englischen auch "`key server"' genannt) sind dezentral
3199     organisiert und synchronisieren sich weltweit miteinander.
3200     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3201     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3202     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3203     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3204     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3205     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3206
3207     \htmlattributes*{img}{width=300}
3208     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3209
3210 \item[X.509-Zertifikatsserver] \T\marginSmime
3211     \index{Zertifikatsserver!X.509}
3212     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3213     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3214     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3215
3216 \end{description}
3217
3218
3219 \clearpage
3220 \section{Zertifikatsserver einrichten}
3221 \label{configureCertificateServer}
3222 \index{Zertifikatsserver!einrichten}
3223
3224 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
3225 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
3226
3227
3228 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3229 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3230 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3231
3232 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3233 OpenPGP-Zertifikatsserver mit der Serveradresse
3234 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3235 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3236 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3237 nächsten Seite.
3238
3239 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3240 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3241 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3242 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3243 Server-Port.
3244
3245 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3246 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3247 tragen Ihre gewünschten Angaben ein.
3248
3249
3250 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3251 Der folgende Screenshot zeigt einen konfigurierten
3252 OpenPGP"=Zertifikatsserver:
3253
3254 % screenshot: Kleopatra OpenPGP certificate server config dialog
3255 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3256
3257 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3258 Zertifikatsserver ist nun erfolgreich eingerichtet.
3259
3260 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3261 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3262 starten (Anleitung siehe
3263 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3264
3265 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3266 nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
3267 \Menu{Servername} um den Parameter \Filename{http-proxy=<proxydomain>}
3268 ergänzen. Der vollständige Servername könnte also z.B. lauten:\\
3269 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ Kontrollieren und ggf.
3270 korrigieren können Sie die Zertifikatsserver"=Konfigurationen auch in
3271 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3272
3273 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3274 finden Sie im Abschnitt~\ref{x509CertificateServers}.
3275
3276 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3277
3278 \T\marginOpenpgp
3279 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3280 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3281
3282 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3283 \begin{itemize}
3284 \item hkp://blackhole.pca.dfn.de
3285 \item hkp://pks.gpg.cz
3286 \item hkp://pgp.cns.ualberta.ca
3287 \item hkp://minsky.surfnet.nl
3288 \item hkp://keyserver.ubuntu.com
3289 \item hkp://keyserver.pramberger.at
3290 \item http://keyserver.pramberger.at
3291 \item http://gpg-keyserver.de
3292 \end{itemize}
3293
3294 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3295 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3296 beginnen.
3297
3298 Die Zertifikatsserver unter den Adressen
3299 \begin{itemize}
3300     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3301         siehe Bildschirmfoto auf vorheriger Seite)
3302 \item hkp://subkeys.pgp.net
3303 \end{itemize}
3304 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3305 dann zufällig ein konkreter Server ausgewählt.
3306
3307 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3308 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3309 synchronisiert (Stand: Mai 2010).
3310
3311 \clearpage
3312 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3313 \label{searchAndImportCertificateFromServer}
3314 \index{Zertifikatsserver!Suche nach Zertifikaten}
3315 \index{Zertifikat!importieren}
3316 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3317 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3318 importieren.
3319
3320 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3321 auf Server suchen...}.
3322
3323 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3324 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3325 seine \Email{}-Adresse seines Zertifikats eingeben können.
3326
3327 % screenshot: Kleopatra certification search dialog
3328 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3329
3330 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3331 auf die Schaltfläche \Button{Details...}.
3332
3333 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3334 Zertifikatssammlung einfügen möchten, selektieren Sie das
3335 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3336 \Button{Importieren}.
3337
3338 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3339 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3340
3341 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3342 in der Zertifikatsverwaltung von Kleopatra.
3343
3344 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3345 \index{Zertifikat!exportieren}
3346
3347 \T\marginOpenpgp
3348 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3349 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3350 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3351 unterwegs rund um die Welt.
3352
3353 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3354 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3355 nach Server exportieren...}.
3356
3357 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3358 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3359 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3360 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3361 ein "`globales"' Zertifikat.
3362
3363 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3364 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3365 Kleopatra den bereits voreingestellten Server
3366 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3367
3368
3369
3370 \clearpage
3371 \chapter{Dateianhänge verschlüsseln}
3372 \index{Dateianhänge verschlüsseln}
3373
3374 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3375 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3376 verschlüsselt werden.
3377
3378 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3379 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3380 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3381
3382 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3383 Anhängen automatisch.}
3384
3385 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3386 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3387 unverschlüsselt mitgesendet.
3388
3389 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3390 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3391 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3392 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3393 beschrieben ist.
3394
3395
3396 \clearpage
3397 \chapter{Dateien signieren und verschlüsseln}
3398 \label{ch:EncFiles}
3399 \index{GpgEX}
3400
3401 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3402 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3403
3404 \begin{itemize}
3405   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3406       Zertifikats, um sicherzugehen, dass die Datei unverändert
3407       bleibt.
3408
3409   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3410       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3411       geheim zu halten.
3412 \end{itemize}
3413
3414 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3415 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3416 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3417 genau funktioniert.
3418
3419 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3420 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3421 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3422 gesondert darum zu kümmern.
3423
3424 \clearpage
3425 \section{Dateien signieren und prüfen}
3426 \label{sec_signFile}
3427 \index{Datei!signieren}
3428
3429 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3430 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3431 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
3432
3433 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3434 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3435 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3436 Kontextmenü:
3437
3438 % screenshot GpgEX contextmenu sign/encrypt
3439 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3440
3441 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3442
3443 \clearpage