663080c65d0ec5374317714ac71ab2bc0bede087
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5
6 % define packages
7 \usepackage{hyperlatex}
8 \usepackage{a4wide}
9 \usepackage{times}
10 \usepackage[latin1]{inputenc}
11 \usepackage[T1]{fontenc}
12 \usepackage{german}
13 \usepackage{graphicx}
14 \usepackage{alltt}
15 \usepackage{moreverb}
16 \usepackage{ifthen}
17 \usepackage{fancyhdr}
18 \W\usepackage{rhxpanel}
19 \W\usepackage{sequential}
20 \usepackage[table]{xcolor}
21 \usepackage{color}
22
23 % use index
24 \usepackage{makeidx}
25 \makeindex
26
27 % write any html files directly into this directory
28 % XXX: This is currently deactivated, but sooner or later
29 % we need this to not let smae filenames overwrite each other
30 % when we have more than one compendium. The Makefile.am needs
31 % to be updated for this as well - not a trivial change.
32 %\W\htmldirectory{./compendium-de-html}
33
34 % Hyperref should be among the last packages loaded
35 \usepackage{hyperref}
36
37 % page header
38 \T\fancyhead{} % clear all fields
39 \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
40     %\T\manualinprogress
41     \T\\
42     \T\itshape\nouppercase{\leftmark}}
43 \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{gpg4win-logo}}
44 \T\fancyfoot[C]{\thepage}
45 \T\pagestyle{fancy}
46
47 % define custom commands
48 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
49 \newcommand{\Menu}[1]{\textit{#1}}
50 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
51 \newcommand{\Email}{E-Mail}
52 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
53 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
54 \newcommand{\marginOpenpgp}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{openpgp-icon}}}
55 \newcommand{\marginSmime}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{smime-icon}}}
56 % Note: Do not include more than one image on a source line.
57 \newcommand{\IncludeImage}[2][]{\texorhtml{%
58 \includegraphics[#1]{#2}%
59 }{%
60 \htmlimg{#2.png}%
61 }}
62
63 % custom colors
64 \definecolor{gray}{rgb}{0.4,0.4,0.4}
65 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
66
67 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
68 \T\parindent 0cm
69 \T\parskip\medskipamount
70
71 % Get the version information from another file.
72 % That file is created by the configure script.
73 \input{version.tex}
74
75
76 % Define universal url command.
77 % Used for latex _and_ hyperlatex (redefine see below).
78 % 1. parameter = link text (optional);
79 % 2. parameter = url
80 % e.g.: \uniurl[example link]{http:\\example.com}
81 \newcommand{\uniurl}[2][]{%
82 \ifthenelse{\equal{#1}{}}
83 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
84 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
85
86
87 %%% HYPERLATEX %%%
88 \begin{ifhtml}
89     % HTML title
90     \htmltitle{Gpg4win-Kompendium}
91     % TOC link in panel
92     \htmlpanelfield{Inhalt}{hlxcontents}
93     % name of the html files
94     \htmlname{gpg4win-compendium-de}
95     % redefine bmod
96     \newcommand{\bmod}{mod}
97     % use hlx icons (default path)
98     \newcommand{\HlxIcons}{}
99
100     % Footer
101     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
102         %\manualinprogress
103     \html{br/}
104     \html{small}
105     Das Gpg4win-Kompendium ist unter der
106     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
107     \html{/small}}
108
109     % Changing the formatting of footnotes
110     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
111
112     % redefine universal url for hyperlatex (details see above)
113     \newcommand{\linktext}{0}
114     \renewcommand{\uniurl}[2][]{%
115         \renewcommand{\linktext}{1}%
116         % link text is not set
117         \begin{ifequal}{#1}{}%
118             \xlink{#2}{#2}%
119             \renewcommand{linktext}{0}%
120         \end{ifequal}
121         % link text is set
122         \begin{ifset}{linktext}%
123              \xlink{#1}{#2}%
124     \end{ifset}}
125
126     % german style
127     \htmlpanelgerman
128     \extrasgerman
129     \dategerman
130     \captionsgerman
131
132
133     % SECTIONING:
134     %
135     % on _startpage_: show short(!) toc (only part+chapter)
136     \setcounter {htmlautomenu}{1}
137     % chapters should be <H1>, Sections <H2> etc.
138     % (see hyperlatex package book.hlx)
139     \setcounter{HlxSecNumBase}{-1}
140     % show _numbers_ of parts, chapters and sections in toc
141     \setcounter {secnumdepth}{1}
142     % show parts, chapters and sections in toc (no subsections, etc.)
143     \setcounter {tocdepth}{2}
144     % show every chapter (with its sections) in _one_ html file
145     \setcounter{htmldepth}{2}
146
147     % set counters and numberstyles
148     \newcounter{part}
149     \renewcommand{\thepart}{\arabic{part}}
150     \newcounter{chapter}
151     \renewcommand{\thecapter}{\arabic{chapter}}
152     \newcounter{section}[chapter]
153     \renewcommand{\thesection}{\thechapter.\arabic{section}}
154 \end{ifhtml}
155
156
157 %%% TITLEPAGE %%%
158
159 \title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\
160 Das Gpg4win-Kompendium}
161
162 \author{ \
163     % Hyperlatex: Add links to pdf versions and Homepage
164     \htmlonly{
165         \xml{p}\small
166         \xlink{Aktuelle PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
167         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}\xml{p}
168     }
169     % Authors
170     Eine Veröffentlichung des Gpg4win-Projekts\\
171       \small Basierend auf einer Fassung von
172     \T\\
173       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
174     \T\\[-0.2cm]
175       \small Isabel Kramer und Dr. Francis Wray.
176     \\[0.2cm]
177       \small Grundlegend überarbeitet von
178     \T\\
179       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
180 }
181
182 \date{Version \compendiumVersionDE~vom \compendiumDateDE
183     %\manualinprogress
184     }
185
186
187 %%% BEGIN DOCUMENT %%%
188
189 \begin{document}
190 \maketitle
191
192 \T\section*{Impressum}
193 \W\chapter*{Impressum}
194
195 \thispagestyle{empty}
196 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
197 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
198 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
199 Eindruck eines Zusammenhanges
200 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
201 werden.}\\
202 Copyright \copyright{} 2005 g10 Code GmbH\\
203 Copyright \copyright{} 2009, 2010 Intevation GmbH
204
205 Permission is granted to copy, distribute and/or modify this document
206 under the terms of the GNU Free Documentation License, Version 1.2 or
207 any later version published by the Free Software Foundation; with no
208 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
209 copy of the license is included in the section entitled "`GNU Free
210 Documentation License"'.
211
212 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
213 oben stehenden Hinweises.]}\\
214 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
215 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
216 Documentation License, Version 1.2 oder einer späteren, von der Free
217 Software Foundation veröffentlichten Version.  Es gibt keine
218 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
219 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
220 License"' findet sich im Anhang mit dem gleichnamigen Titel.
221 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
222 http://www.gnu.org/licenses/translations.html.
223
224
225 \clearpage
226 \chapter*{Über dieses Kompendium}
227
228 Das Gpg4win-Kompendium besteht aus drei Teilen:
229
230 \begin{itemize}
231 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
232     Schnelleinstieg in Gpg4win.
233
234 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
235     Fortgeschrittene"'}:
236     Das Hintergrundwissen zu Gpg4win.
237
238 \item \textbf{Anhang}: Weiterführende technische Informationen zu
239     Gpg4win.\\
240 \end{itemize}
241
242 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
243 und knapp durch die Installation und die alltägliche Benutzung der
244 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
245 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
246 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
247 vertraut im Umgang mit Gpg4win gemacht haben.
248
249 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
250 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
251 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
252
253 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
254 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
255 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
256 erläutert.
257
258 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
259 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
260 angegebenen Reihenfolge lesen.\\
261
262 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
263 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
264 GpgOL.\\
265
266 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
267 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
268 geschrieben, sondern \textbf{für jedermann.}\\
269
270 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
271 verfügbar unter: \\
272 \uniurl{http://www.gpg4win.de}
273
274 \clearpage
275 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
276
277 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
278 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
279         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
280         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
281         eckige Klammern benutzt.
282
283         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
284         wenn deren Bedeutung in einem Satz betont, das
285         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
286         werden soll (z.B.: \textit{nur} OpenPGP).
287
288     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
289         die besonders wichtig und damit hervorzuheben sind.  Diese
290         Auszeichnung unterstützt den Leser bei der schnelleren
291         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
292         Passagen.
293
294     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
295         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
296         von Kommandozeilen) verwendet.
297 \end{itemize}
298
299 \clearpage
300 \tableofcontents
301
302
303 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
304 % Part I
305 \clearpage
306 \T\part{Für Einsteiger}
307 \W\part*{\textbf{I Für Einsteiger}}
308 \label{part:Einsteiger}
309 \addtocontents{toc}{\protect\vspace{0.3cm}}
310 \addtocontents{toc}{\protect\vspace{0.3cm}}
311
312
313 \chapter{Gpg4win -- Kryptografie für alle}
314 \index{Kryptografie}
315
316 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
317 \begin{quote}
318     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
319 mit Computer-Programmen und Handbüchern zur \Email{}- und
320 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
321 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
322 und die in Gpg4win enthaltenen Programme sind Freie
323 Software.}
324
325 \end{quote}
326
327 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
328 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
329 Gpg4win umfasst in Version 2 die folgenden Programme:
330
331 \begin{itemize}
332     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
333         Gpg4win -- die eigentliche Verschlüsselungs-Software.
334     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
335         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
336         Gpg4win, die für eine einheitliche Benutzerführung bei allen
337         kryptografischen Operationen sorgt.  
338     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
339         Assistent (GPA)}\\ ist ein alternatives Programm zum Verwalten
340         von Zertifikaten neben Kleopatra.
341     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für Outlook
342         (GpgOL)}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
343         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
344         verschlüsseln.
345    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
346        eXtension (GpgEX)}\\ ist eine Erweiterung für den
347        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
348        über das Kontextmenü signieren bzw.  verschlüsseln kann.
349     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
350         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
351 \end{itemize}
352
353 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
354 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
355 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
356 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
357 sicher und kann nach dem heutigen Stand von Forschung und Technik
358 nicht gebrochen werden.
359
360 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
361 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
362 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
363 kann und darf den Quellcode der Programme untersuchen und -- sofern er
364 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
365 diese weitergeben.
366
367 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
368 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
369 lässt sich die Vertrauenswürdigkeit der Programmierung und des
370 Programmes wirklich prüfen.
371
372 GnuPG basiert auf dem internationalen Standard
373 \textbf{OpenPGP}\index{OpenPGP} (RFC 2440), ist vollständig kompatibel
374 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
375 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
376 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
377 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
378
379 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
380 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
381 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
382 mehr dem Stand der Technik.
383
384 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
385 Wirtschaft und Technologie \index{Bundesministerium für
386 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
387 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
388 Bundesamt für Sicherheit in der Informationstechnik (BSI)
389 \index{Bundesamt für Sicherheit in der Informationstechnik}
390 unterstützt.
391
392 Weitere Informationen zu GnuPG und weiteren Projekten der
393 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
394 \uniurl[www.bsi.de]{http://www.bsi.de} und
395 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
396 Bundesamtes für Sicherheit in der Informationstechnik.
397
398
399 \clearpage
400 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
401 \label{ch:why}
402 \index{Briefumschlag}
403
404 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
405 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
406 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
407 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
408 jedermann frei und kostenlos zugänglich.
409
410 \begin{center}
411 \htmlattributes*{img}{width=300}
412 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
413 \end{center}
414
415 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
416 um rund um den Globus miteinander zu kommunizieren und uns zu
417 informieren. Aber Rechte und Freiheiten, die in anderen
418 Kommunikationsformen längst selbstverständlich sind, muss man sich in
419 den neuen Technologien erst sichern. Das Internet ist so schnell und
420 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
421 Rechte noch nicht so recht nachgekommen ist.
422
423 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
424 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
425 Umschlag schützt die Nachrichten vor fremden Blicken, eine
426 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
427 nicht so wichtig ist, schreibt man es auf eine ungeschützte
428 Postkarte, die auch der Briefträger oder andere lesen können.
429
430 \clearpage
431 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
432 Sie selbst und niemand sonst.
433
434 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
435 \Email{} ist immer offen wie eine Postkarte, und der elektronische
436 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
437 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
438 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
439 zu verteilen, sondern sie auch zu kontrollieren.
440
441 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
442 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
443 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
444 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
445 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
446 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
447 Wikipedia über das 
448 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
449 \index{Echelon-System}
450 liefert dazu interessantes Hintergrundwissen.
451
452 Denn: der Umschlag fehlt.
453
454 \begin{center}
455 \htmlattributes*{img}{width=300}
456 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
457 \end{center}
458
459 \clearpage
460 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
461 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
462 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
463 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
464 für wichtig und schützenswert halten oder nicht.
465
466 Das ist der Kern des Rechts auf Brief-, Post- und
467 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
468 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
469 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
470 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
471 ist Ihr gutes Recht.
472
473 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
474 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
475 bekannten Mittel zu knacken. In vielen Ländern waren starke
476 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
477 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
478 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
479 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
480 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
481 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
482 in aller Welt als eine praktikable und sichere Software angesehen.
483
484 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
485 Hand.}
486
487 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
488 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
489 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
490 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
491 dieses Vorgehen Schritt für Schritt erläutern.
492
493
494 \clearpage
495 \chapter{So funktioniert Gpg4win}
496 \label{ch:FunctionOfGpg4win}
497 Das Besondere an Gpg4win und der zugrundeliegenden
498 \textbf{"`Public-Key"'-Methode}\index{Public-Key-Methode}
499 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
500 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
501
502 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
503 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
504 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
505 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
506 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
507 Vertrauen in die Sicherheit von Gpg4win gewinnen.
508
509 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
510 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
511 "`Public-Key"' Kryptografie lüften und entdecken, warum mit Gpg4win
512 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
513 knacken sind.
514
515 \clearpage
516 \subsubsection{Der Herr der Schlüsselringe}
517 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
518 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
519 nur einmal gibt und den man ganz sicher aufbewahrt.
520
521 \begin{center}
522 \htmlattributes*{img}{width=300}
523 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
524 \end{center}
525
526 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
527 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
528 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
529 man den Schlüssel mindestens genauso gut absichern, wie das zu
530 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
531 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
532 werden.
533
534 \clearpage
535 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
536 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
537 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
538 dazu auch sehr fehleranfällig.
539
540 \begin{center}
541 \htmlattributes*{img}{width=300}
542 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
543 \end{center}
544
545 Das Grundproblem bei der "`gewöhnlichen"' geheimen
546 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
547 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
548 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
549 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
550 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
551
552 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
553 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
554 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
555 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
556 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
557 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
558 abgefangen werden darf.
559
560
561 \clearpage
562 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
563 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
564 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
565 von einem "`Public-Key"'-Verschlüsselungssystem.
566
567 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
568 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
569 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
570 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
571 Zertifikat)~-- und den darf sowieso jeder kennen.
572
573 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüssel!-Paar}
574 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
575 Schlüsselteile sind durch eine komplexe mathematische Formel
576 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
577 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
578 anderen zu berechnen und damit das Verfahren zu knacken. 
579
580 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
581
582 % Note: The texts on the signs are empty in the current revision.
583 % However, I used the original images and wiped out the texts ``Open
584 % Source"' and ``gratis"' - need to replace with something better.
585 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
586 \begin{center}
587 \htmlattributes*{img}{width=300}
588 \IncludeImage[width=0.5\textwidth]{verleihnix}
589 \end{center}
590
591
592 \clearpage
593 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode}
594 ist recht einfach:
595
596 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
597 key'' oder ,,private key'') muss geheim gehalten werden.
598
599 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
600 öffentlich wie möglich gemacht werden.
601
602 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
603
604 \bigskip
605
606 \begin{quote}
607     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
608 \end{quote}
609
610 \begin{center}
611 \htmlattributes*{img}{width=300}
612 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
613 \end{center}
614
615 \begin{quote}
616     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
617 \end{quote}
618
619
620 \clearpage
621 \subsubsection{Der öffentliche Brieftresor}
622 \index{Brieftresor}
623
624 In einem kleinen Gedankenspiel wird die Methode des
625 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
626 Verschlüsselung\index{Symmetrische Verschlüsselung}
627 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
628 \index{Non-Public-Key-Methode|see{Symmetriesche Verschlüsselung}} deutlicher ...
629
630 \bigskip
631
632 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
633
634 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
635 auf, über den Sie geheime Nachrichten übermitteln wollen.
636
637 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
638 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
639 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
640 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
641 Tresor.
642
643 \begin{center}
644 \htmlattributes*{img}{width=300}
645 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
646 \end{center}
647
648 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
649 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
650 zuschließen und eine geheime Nachricht deponieren zu können.
651
652 \clearpage
653 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
654 Wege übergeben.
655
656 \bigskip
657 \bigskip
658
659 \begin{center}
660 \htmlattributes*{img}{width=300}
661 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
662 \end{center}
663
664 \clearpage
665 Erst wenn der andere den geheimen Schlüssel hat, kann er den
666 Brieftresor öffnen und die geheime Nachricht lesen.
667
668 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
669 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
670 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
671 austauschen wie die Botschaft selbst.
672
673 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
674 gleich die geheime Mitteilung übergeben ...
675
676 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
677 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
678 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
679 könnten.
680
681 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
682
683 \begin{center}
684 \htmlattributes*{img}{width=300}
685 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
686 \end{center}
687
688 \clearpage
689 \textbf{Nun zur "`Public-Key"'-Methode:}
690
691 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
692 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
693 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
694 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
695 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
696 \index{Asymmetrische Verschlüsselung}
697
698 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
699
700 \begin{center}
701 \htmlattributes*{img}{width=300}
702 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
703 \end{center}
704
705 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
706 öffentlicher Schlüssel.
707
708 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
709 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
710 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
711 frei zugänglich.
712
713 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
714 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
715 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
716 nachträglich zu verändern.
717
718 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
719
720 Aufschließen kann man den Brieftresor nur mit einem einzigen
721 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
722
723 \clearpage
724 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
725 kann eine \Email{} an Sie verschlüsseln. 
726
727 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
728 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
729 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
730 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
731
732 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
733
734 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
735 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
736 verfügbaren Schlüssel.
737
738 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
739 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
740 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
741 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
742 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
743 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
744 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
745 und die Nachricht lesen.
746
747 \begin{center}
748 \htmlattributes*{img}{width=300}
749 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
750 \end{center}
751
752 \clearpage
753 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
754 einen geheimen Schlüssel!?
755
756 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
757 allerdings ein gewaltiger:
758
759 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
760 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
761 Übergabe entfällt, sie verbietet sich sogar.
762
763 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
764 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
765 geheimes Codewort.
766
767 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
768 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
769 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
770 bringen kann.
771
772 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
773 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
774 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
775 eigenen Gedächtnis.
776
777 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
778 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
779 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
780
781
782 \clearpage
783 \chapter{Die Passphrase}
784 \label{ch:passphrase}
785 \index{Passphrase}
786
787 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
788 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
789 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
790 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
791 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
792 "`ganzen"' Kryptografieverfahrens.
793
794 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
795 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
796 diese Datei auszuschließen, wird sie zweifach gesichert:
797
798 \begin{center}
799 \htmlattributes*{img}{width=300}
800 \IncludeImage[width=0.5\textwidth]{think-passphrase}
801 \end{center}
802
803 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
804 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
805 der Administrator des Computers immer auf alle Dateien zugreifen kann,
806 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
807 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
808
809 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
810 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
811 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
812 "`im Kopf"' behalten und niemals aufschreiben müssen.
813
814 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
815 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
816 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
817 und nur sehr schwer zu erratende Passphrase ausdenken können.
818
819 \clearpage
820 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
821
822 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
823
824 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
825
826 $\qquad$\verb-nieufdahnlnr- 
827 \texttt{\scriptsize{(Ei\textbf{n}
828 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
829 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
830 Ko\textbf{r}n.)}}
831
832 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
833 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
834 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
835 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
836 kann diese Passphrase niemand.
837
838 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
839 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
840 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
841 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
842 einem für Sie wichtigen Lied.
843
844 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
845 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
846 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
847 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
848 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
849 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
850 einer deutschen Tastatur finden.
851
852 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
853 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
854 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
855
856 $\qquad$\verb-In München steht ein Hofbräuhaus.-
857
858 könnte man beispielsweise diese Passphrase machen:
859
860 $\qquad$\verb-inMinschen stet 1h0f breuhome-
861
862 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
863 sich aber doch merken können, wie z.B.:
864
865 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im-
866
867 $\qquad$\verb-Winter.-
868
869 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
870 geheimen Schlüssel.
871
872 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
873 z.B. so:
874
875 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
876
877 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
878 eine noch kürzere Passphrase verwenden, indem Sie hier und da
879 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
880 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
881 vergessen, wird dabei größer.
882
883 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
884 sichere Passphrase ist dieses hier:
885
886 $\qquad$\verb-R!Qw"s,UIb *7\$-
887
888 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
889 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
890 für die Erinnerung hat.
891
892 \clearpage
893 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
894 sie ...
895
896 \begin{itemize}
897     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
898         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
899         wäre damit bereits einer anderen, möglicherweise unsicheren
900         Software bekannt.  Falls hier ein Hacker erfolgreich
901         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
902
903     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
904         können in Minutenschnelle komplette digitale Wörterbücher über
905         ein Passwort laufen lassen -- bis eines der Wörter passt.
906
907     \item ... aus einem Geburtsdatum, einem Namen oder anderen
908         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
909         zu entschlüsseln, wird sich diese Daten beschaffen.
910
911     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
912         enden"' oder "`to be or not to be"'. Auch mit derartigen
913         gängigen Zitaten testen Passphrase-Knackprogramme eine
914         Passphrase.
915
916     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
917         besteht.  Denken Sie sich unbedingt eine längere Passphrase
918         aus.
919 \end{itemize}
920
921 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
922 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
923 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
924 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
925 nicht eines dieser Beispiele genommen haben.
926
927 \bigskip
928
929 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
930 Unvergesslich und unknackbar.
931
932 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
933 Erzeugung Ihres Schlüsselpaars benötigen.
934
935 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
936 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
937 Nachrichten schicken will, auch tatsächlich echt ist.
938
939
940 \clearpage
941 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
942 \label{ch:openpgpsmime}
943 \index{OpenPGP} \index{S/MIME}
944
945 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
946 wie man ihn mit den Mitteln der modernen Informationstechnologie
947 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
948 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
949 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
950 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
951
952 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
953 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
954 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
955 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
956 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
957 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
958 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
959 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
960 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
961 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
962 -- die \textbf{Authentizität}. \index{Authentizität}
963
964 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
965 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
966 Alltagsleben dient zu dieser
967 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
968 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
969 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
970 Institution von einer übergeordneten Behörde und letztendlich vom
971 Gesetzgeber. Anders betrachtet, handelt es sich um eine
972 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
973 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
974 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
975
976 Dieses Konzept findet sich bei Gpg4win oder anderen
977 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
978 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
979 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
980 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
981 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
982 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
983 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
984 können Sie mit Gpg4win beide Verfahren einsetzen.
985
986
987 \clearpage
988 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
989 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
990 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
991 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
992 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
993 wiederum mit dem Zertifikat einer höher stehenden Organisation
994 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
995 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
996 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
997 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
998 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
999 das Anwenderzertifikat.
1000
1001 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1002 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1003 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1004 \index{Web of Trust}
1005 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1006 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1007 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1008 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1009 dieser Schlüssel durch A beglaubigt wurde.
1010
1011 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1012 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1013 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1014 Zertifikat Ihres Kommunikationspartners vertrauen.
1015
1016 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1017 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1018 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1019 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1020 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1021 installieren und die folgenden Kapitel zu verstehen:
1022
1023 \begin{itemize}
1024     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1025         bieten die notwendige Sicherheit.
1026     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1027         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1028         geheimen Kommunikation. Man sagt somit, sie sind nicht
1029         interoperabel.
1030     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1031         beider Verfahren -- Sie müssen sich aber bei jeder
1032         Verschlüsselung/Signierung für eines der beiden entscheiden.
1033 \end{itemize}
1034
1035 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1036 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1037 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1038 zusammen.
1039
1040 \begin{latexonly} %no hyperlatex
1041 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1042 Symbolen auf die beiden Alternativen hin:
1043 \begin{center}
1044 \IncludeImage[width=2.5cm]{openpgp-icon}
1045 \hspace{1cm}
1046 \IncludeImage[width=2.5cm]{smime-icon}
1047 \end{center}
1048 \end{latexonly}
1049
1050 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
1051
1052
1053 \clearpage
1054 \chapter{Installation von Gpg4win}
1055 \index{Installation}
1056
1057 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1058 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1059 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1060 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1061 sollten Sie schon wissen, was vor sich geht.
1062
1063 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1064 Schlüsselpaar einzurichten.
1065
1066 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1067 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1068 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1069 vorhandenen Zertifikate übernehmen können.
1070
1071 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1072 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1073 Windows-Betriebssystem. 
1074
1075 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1076 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1077 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1078 Installation klicken Sie nach dem Download auf die Datei:
1079
1080 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1081
1082 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1083 klicken Sie auf das \linebreak Installations-Icon "`Gpg4win"'.
1084 Die weitere Installation ist dann identisch.
1085
1086 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1087 mit \Button{Ja}.
1088
1089 \clearpage
1090 Der Installationsassistent startet und befragt Sie zuerst nach der
1091 Sprache für den Installationsvorgang:
1092
1093 % screenshot: Installer Sprachenauswahl
1094 \begin{center}
1095 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1096 \end{center}
1097
1098 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1099
1100 Anschließend begrüßt Sie dieser Willkommensdialog:
1101
1102 % screenshot: Installer Willkommensseite
1103 \begin{center}
1104 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1105 \end{center}
1106
1107 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1108 Sie dann auf \Button{Weiter}.
1109
1110 \clearpage
1111 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1112 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1113 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1114 sofort tun -- auch ohne die Lizenz zu lesen.
1115
1116 % screenshot: Lizenzseite des Installers
1117 \begin{center}
1118 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1119 \end{center}
1120
1121 Klicken Sie auf \Button{Weiter}.
1122
1123 \clearpage
1124 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1125 entscheiden, welche Programme Sie installieren möchten.
1126
1127 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1128 Komponenten auch später installieren. 
1129
1130 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1131 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1132 Festplatten-Platzes aller ausgewählten Komponenten.
1133
1134 % screenshot: Auswahl zu installierender Komponenten
1135 \begin{center}
1136 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1137 \end{center}
1138
1139 Klicken Sie auf \Button{Weiter}.
1140
1141 \clearpage
1142 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1143 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1144
1145 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1146 in dem Sie Gpg4win installieren wollen.
1147
1148 % screenshot: Auswahl des Installationsverzeichnis.
1149 \begin{center}
1150 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1151 \end{center}
1152
1153 Klicken Sie anschließend auf \Button{Weiter}.
1154
1155 \clearpage
1156 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1157 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1158 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1159 verändern.
1160
1161 % screenshot: Auswahl der Startlinks
1162 \begin{center}
1163 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1164 \end{center}
1165
1166 Klicken Sie anschließend auf \Button{Weiter}.
1167
1168 \clearpage
1169 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1170 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1171 dieses Startmenüs festlegen oder einfach übernehmen.
1172
1173 % screenshot:  Startmenu auswählen
1174 \begin{center}
1175 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1176 \end{center}
1177
1178 Klicken Sie dann auf \Button{Installieren}.
1179
1180 \clearpage
1181 Während der nun folgenden \textbf{Installation} sehen Sie einen
1182 Fortschrittsbalken und Informationen, welche Datei momentan
1183 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1184 drücken, um ein Protokoll der Installation sichtbar zu machen.
1185
1186 % screenshot: Ready page Installer
1187 \begin{center}
1188 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1189 \end{center}
1190
1191 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1192 \Button{Weiter}.
1193
1194 \clearpage
1195 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1196 Installationsvorgangs angezeigt:
1197
1198 % screenshot: Finish page Installer
1199 \begin{center}
1200 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1201 \end{center}
1202
1203 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1204 wichtige Informationen zu der soeben installierten Gpg4win-Version
1205 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1206 deaktivieren Sie diese Option.
1207
1208 Klicken Sie schließlich auf \Button{Fertig stellen}.
1209
1210 \clearpage
1211 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1212 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1213
1214 % screenshot: Finish page Installer with reboot
1215 \begin{center}
1216 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1217 \end{center}
1218
1219 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1220 gestartet werden soll.
1221
1222 Klicken Sie auf \Button{Fertig stellen}.
1223
1224 %TODO: NSIS-Installer anpassen, dass vor diesem
1225 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1226 %erscheint.
1227 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1228 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1229 über das Startmenü:\\
1230 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$
1231 Gpg4win README}
1232
1233 \clearpage
1234 \textbf{Das war's schon!}
1235
1236 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1237 ersten Mal starten.
1238
1239 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1240 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1241 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1242 von Gpg4win"' weiter.
1243
1244
1245 \clearpage
1246 \chapter{Erstellung eines Zertifikats}
1247 \label{ch:CreateKeyPair}
1248 \index{Zertifikat!erstellen}
1249 \index{Schlüssel!erzeugen}
1250
1251 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1252 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1253 Schutz Ihres geheimen Schlüssels entsteht
1254 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1255 Schlüsselpaar\index{Schlüssel!-Paar} erzeugen.
1256
1257 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1258 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1259 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1260 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1261 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1262 Schlüssel.
1263
1264 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1265 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1266 "`X.509"'\index{X.509}).
1267
1268 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1269 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1270
1271 \T\marginOpenpgp
1272 Genau das können Sie tun -- allerdings nur für OpenPGP:
1273
1274 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1275 \index{Beglaubigung} entscheiden,
1276 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1277 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1278 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1279
1280 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1281 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1282 wird danach kein Problem mehr sein.
1283
1284 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1285 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP stammt und
1286 bis auf Weiteres in Betrieb ist.  Auch in diesem Kompendium können wir
1287 die Benutzung des Übungsroboters nur empfehlen. Wir bedanken uns bei
1288 den Inhabern von gnupp.de für den Betrieb von Adele.
1289
1290 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1291 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1292 machen. Doch dazu später mehr.
1293
1294 \clearpage
1295 \textbf{Los geht's!}
1296 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1297
1298 % screenshot Startmenu with Kleopatra highlighted
1299 \begin{center}
1300 \htmlattributes*{img}{width=400}
1301 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1302 \end{center}
1303
1304 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{kleopatra} --
1305 die Zertifikatsverwaltung:
1306 \index{Zertifikatsverwaltung}
1307
1308 % screenshot: Kleopatra main window
1309 \begin{center}
1310 \htmlattributes*{img}{width=508}
1311 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1312 \end{center}
1313
1314 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1315 Zertifikate erstellt (oder importiert) haben. 
1316
1317 \clearpage
1318 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1319
1320 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1321 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1322 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1323 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1324 Kapitel~\ref{ch:openpgpsmime} erläutert.
1325
1326 \label{chooseCertificateFormat}
1327 % screenshot: Kleopatra - New certificate - Choose format
1328 \begin{center}
1329 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1330 \end{center}
1331
1332 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1333 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1334 zusammen.
1335
1336 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1337 haben, lesen Sie nun also bitte entweder:
1338 \begin{itemize}
1339     \item Abschnitt \ref{createKeyPairOpenpgp}:
1340         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1341         Seite) oder
1342     \item Abschnitt \ref{createKeyPairX509}:
1343         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1344         \pageref{createKeyPairX509}).
1345 \end{itemize}
1346
1347
1348
1349 \clearpage
1350 \section{OpenPGP-Zertifikat erstellen}
1351 \label{createKeyPairOpenpgp}
1352 \index{OpenPGP!Zertifikat erstellen}
1353
1354 \T\marginOpenpgp
1355 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1356 OpenPGP-Schlüsselpaar erzeugen}.
1357
1358
1359 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1360 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1361 sichtbar.
1362
1363 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1364 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1365 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1366 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1367 Name und die \Email{}-Adresse später öffentlich sichtbar.
1368
1369 % screenshot: Creating OpenPGP Certificate - Personal details
1370 \begin{center}
1371 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1372 \end{center}
1373
1374 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1375 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1376 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1377 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1378
1379 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1380 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1381 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1382 informieren.
1383
1384 Klicken Sie auf \Button{Weiter}.
1385
1386 \clearpage
1387 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1388 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1389 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1390 über die Option \Menu{Alle Details} einsehen.
1391
1392 % screenshot: Creating OpenPGP Certificate - Review Parameters
1393 \begin{center}
1394 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1395 \end{center}
1396
1397 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1398 erzeugen}.
1399
1400 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1401 \textbf{Passphrase}!
1402
1403 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1404 Passphrase eingeben:
1405
1406 % screenshot: New certificate - pinentry
1407 \begin{center}
1408 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1409 \end{center}
1410
1411 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1412 jetzt eine einfach zu merkende und schwer zu knackende geheime
1413 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1414 ein!
1415
1416 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1417 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1418
1419 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1420 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1421 hingewiesen.
1422
1423 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1424 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1425
1426 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1427 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1428 \Button{OK}.
1429
1430 \clearpage
1431 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1432 % screenshot: Creating OpenPGP Certificate - Create Key
1433 \begin{center}
1434 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1435 \end{center}
1436
1437 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1438 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1439 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1440 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1441 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1442 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1443 Qualität des erzeugten Schlüsselpaars.
1444
1445 \clearpage
1446 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1447 erhalten Sie folgenden Dialog:
1448
1449 % screenshot: Creating OpenPGP certificate - key successfully created
1450 \begin{center}
1451 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1452 \end{center}
1453
1454 Im Ergebnis-Textfeld wird der 40-stellige
1455 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1456 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1457 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1458 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1459 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1460 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1461 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1462 und als Schlüsselkennung\index{Schlüssel!-Kennung} (oder
1463 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1464 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1465 der Fingerabdruck einer Person.
1466
1467 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1468 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1469 sich ihn jederzeit später anzeigen lassen.
1470
1471 \clearpage
1472 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1473 folgenden drei Schaltflächen betätigen:
1474
1475 \begin{description}
1476
1477 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1478     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1479     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1480     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1481
1482     % screenshot: New OpenPGP certificate - export key
1483     \begin{center}
1484         \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1485     \end{center}
1486
1487     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1488     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1489     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1490     "`ASCII armor"') ein- bzw. ausschalten.
1491
1492     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1493
1494     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1495     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1496     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1497     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1498     belassen!  Bewahren Sie diesen Datenträger mit der
1499     Sicherheitskopie sicher auf.
1500
1501     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1502     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1503     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1504     Kapitel \ref{ch:ImExport}).
1505
1506 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1507     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1508     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1509     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1510     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1511     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1512
1513     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1514     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1515     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1516     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1517     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1518     und versenden diese Datei per \Email{} an Ihre
1519     Korrespondenzpartner. Weitere Details finden Sie im
1520     Abschnitt~\ref{sec_publishPerEmail}.
1521
1522 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1523     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1524     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1525     auf diesem Server veröffentlichen, erfahren Sie in
1526     Kapitel~\ref{ch:keyserver}.
1527
1528 \end{description}
1529
1530 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1531 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1532
1533 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1534 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1535 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1536
1537
1538 \clearpage
1539 \section{X.509-Zertifikat erstellen}
1540 \label{createKeyPairX509}
1541 \index{X.509!Zertifikat erstellen}
1542
1543 \T\marginSmime
1544 Klicken Sie im Zertifikatsformat-Auswahldialog von
1545 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1546 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1547 erstellen}.
1548
1549
1550 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1551 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1552 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1553 = locality) und Abteilung (OU = organizational unit) ergänzen.
1554
1555 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1556 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1557 Organisation sowie Ländercode und geben irgendeine ausgedachte
1558 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1559 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1560
1561 % screenshot: New X.509 Certificate - Personal details
1562 \begin{center}
1563 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1564 \end{center}
1565
1566 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1567 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1568 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1569 informieren.
1570
1571 Klicken Sie auf \Button{Weiter}.
1572
1573 \clearpage
1574 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1575 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1576 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1577 über die Option \Menu{Alle Details} einsehen.
1578
1579 % screenshot: New X.509 Certificate - Review Parameters
1580 \begin{center}
1581 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1582 \end{center}
1583
1584 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1585
1586 \clearpage
1587 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1588
1589 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1590 Passphrase einzugeben:
1591
1592 % screenshot: New X.509 certificate - pinentry
1593 \begin{center}
1594 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1595 \end{center}
1596
1597 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1598 jetzt eine einfach zu merkende und schwer zu knackende geheime
1599 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1600 ein!
1601
1602 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1603 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1604
1605 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1606 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1607 hingewiesen.
1608
1609 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1610 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1611
1612 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1613 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1614 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1615 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1616 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1617 \Button{OK}.
1618
1619 \clearpage
1620 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1621 % screenshot: New  X.509 Certificate - Create Key
1622 \begin{center}
1623 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1624 \end{center}
1625
1626 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1627 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1628 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1629 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1630 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1631 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1632 Qualität des erzeugten Schlüsselpaars.
1633
1634 \clearpage
1635 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1636 erhalten Sie folgenden Dialog:
1637
1638 % screenshot: New X.509 certificate - key successfully created
1639 \begin{center}
1640 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1641 \end{center}
1642
1643 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1644
1645 \begin{description}
1646
1647 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1648     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1649     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1650     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1651     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1652     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1653     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1654     die kostenlos X.509-Zertifikate ausstellt.
1655
1656 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1657     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1658     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1659     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1660     den vorbereiteten Text dieser \Email{}.
1661
1662     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1663     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1664     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1665     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1666     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1667     Authority, CA).
1668
1669     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1670     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1671     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1672     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1673
1674 \end{description}
1675
1676 Beenden Sie anschließend den Kleopatra-Assistenten mit
1677 \Button{Fertigstellen}.
1678
1679
1680 \clearpage
1681 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1682
1683 \T\marginSmime
1684 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1685 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1686 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1687 für ihre Zertifikate erheben.
1688
1689 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1690 müssen Sie sich zunächst bei
1691 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1692
1693 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1694 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1695 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1696 sichere Pass\-phrase für Ihr Zertifikat fest.
1697
1698 Ihr Client-Zertifikat wird nun erstellt.
1699
1700 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1701 neu erstellten X.509-Zertifikat und dem dazugehörigen
1702 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1703
1704 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1705 Browser. Bei Firefox können Sie danach z.B. über
1706 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1707 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1708 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1709
1710 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1711 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1712 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1713 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1714 Internetseiten von CAcert.
1715
1716 Speichern Sie abschließend eine Sicherungskopie Ihres
1717 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1718 erhält automatisch die Endung \Filename{.p12}.
1719
1720 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1721 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1722 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1723 gelangt.
1724
1725 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1726 erfahren Sie in Kapitel \ref{ch:ImExport}.
1727
1728 ~\\
1729 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1730 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1731 wieder identisch.
1732
1733
1734 \clearpage
1735 \section{Zertifikatserstellung abgeschlossen}
1736 \label{sec_finishKeyPairGeneration}
1737
1738 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1739 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1740 einzigartigen elektronischen Schlüssel.}
1741
1742 Im weiteren Verlauf des Kompendiums wird nur noch ein
1743 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1744 auch entsprechend für ein X509-Zertifikat.
1745
1746 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1747
1748 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1749 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1750 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1751
1752 % screenshot: Kleopatra with new openpgp certificate
1753 \begin{center}
1754 \htmlattributes*{img}{width=508}
1755 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1756 \end{center}
1757
1758 \clearpage
1759 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1760 sehen zu können:
1761
1762 % screenshot: details of openpgp certificate
1763 \begin{center}
1764 \htmlattributes*{img}{width=508}
1765 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1766 \end{center}
1767
1768 Was bedeuten die einzelnen Zertifikatsdetails?
1769
1770 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1771 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1772 Sie auf \Button{Ablaufdatum ändern}.
1773
1774 \textbf{Weitere Details zum Zertifikat finden Sie im
1775 Kapitel~\ref{ch:CertificateDetails}.}
1776
1777
1778 \clearpage
1779 \chapter{Verbreitung des öffentlichen Zertifikats}
1780 \label{ch:publishCertificate}
1781 \index{Zertifikat!verbreiten}
1782
1783 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1784 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1785 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1786 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1787 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1788 Geheimhaltung bereits erledigt.
1789
1790 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1791 können und sollen öffentliche Zertifikate von Ihren
1792 Korrespondenzpartnern haben -- je mehr, desto besser.
1793
1794 Denn:
1795
1796 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1797 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1798 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1799 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1800 der Zertifikatsverwaltung Kleopatra.}
1801
1802 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1803 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1804 benutzen.
1805
1806 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1807 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1808 benutzen.
1809
1810 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1811 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1812 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1813 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1814 beispielsweise ...
1815
1816 \begin{itemize}
1817     \item ... direkt per \textbf{\Email{}} an bestimmte
1818     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1819     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1820         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1821     \item ... über die eigene Homepage.
1822     \item ... persönlich, z.B. per USB-Stick.
1823 \end{itemize}
1824
1825 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1826 Seiten näher anschauen.
1827
1828 \clearpage
1829 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1830 \label{sec_publishPerEmail}
1831
1832 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1833 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1834 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1835 erfahren Sie in diesem Abschnitt.\\ 
1836
1837 \T\marginOpenpgp
1838 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1839 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1840 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1841 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1842 Seite~\pageref{publishPerEmailx509}.
1843
1844 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1845 zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen
1846 und netten jungen Dame lieber korrespondiert als mit einem Stück
1847 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1848 Adele so vorstellen:
1849
1850 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1851 \begin{center}
1852 \IncludeImage[width=0.5\textwidth]{adele01}
1853 \end{center}
1854
1855 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1856 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1857 eine verschlüsselte \Email{} an Sie zurück.
1858
1859 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1860 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1861 legt Adele ihr eigenes öffentliches Zertifikat bei.
1862
1863 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1864 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1865 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1866 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1867 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1868
1869 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1870 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1871 den nächsten Seiten.
1872
1873
1874 \clearpage
1875 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1876 \index{Zertifikat!exportieren}
1877
1878 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1879 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1880 Zertifikate) und klicken Sie dann auf
1881 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1882 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1883 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1884 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1885 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1886 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1887 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1888
1889 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1890 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1891 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1892 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1893
1894 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1895 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1896 Exportieren angegeben haben.
1897
1898 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1899 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1900 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1901 ziemlich wirrer Text- und Zahlenblock:
1902
1903 % screenshot: Editor mit ascii armored key
1904 \begin{center}
1905 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1906 \end{center}
1907
1908 \clearpage
1909 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1910 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1911 versenden kann oder nicht.
1912
1913 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1914 \Email{}-Text versenden}
1915
1916 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1917 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1918 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1919 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1920 Zertifikat eigentlich besteht.
1921
1922 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1923 Zertifikat von
1924
1925 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1926 bis\\
1927 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1928
1929 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1930 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1931 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1932 kopiert.
1933
1934 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1935 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1936 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1937 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1938 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1939
1940 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1941 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1942 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1943 \ref{appendix:gpgol}).
1944
1945 \textbf{Adressieren} Sie nun diese \Email{} an
1946 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1947 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1948
1949 \clearpage
1950 So etwa sollte Ihre \Email{} nun aussehen:
1951
1952 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1953 \begin{center}
1954 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1955 \end{center}
1956
1957 Schicken Sie die \Email{} an Adele ab.
1958
1959 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1960 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1961 Sie nie Antwort von Adele bekommen ...
1962
1963 \clearpage
1964 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1965 versenden}
1966
1967 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1968 öffentliches OpenPGP-Zertifikat auch direkt als
1969 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1970 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1971 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1972 leichter nachzuvollziehen ist.
1973
1974 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1975 der Zertifikatsdatei im Anhang:
1976
1977 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1978 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1979 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1980 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1981 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
1982 Dateianhang}.
1983
1984 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
1985 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
1986 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
1987
1988 Ihre fertige \Email{} sollte dann etwa so aussehen:
1989
1990 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1991 \begin{center}
1992 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1993 \end{center}
1994
1995 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1996
1997 \clearpage
1998 \subsubsection{Kurz zusammengefasst}
1999
2000 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
2001 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
2002 direkt in eine \Email{} kopiert und einmal die komplette Datei als
2003 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
2004 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
2005
2006 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
2007 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
2008 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
2009 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
2010 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
2011 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
2012
2013 \clearpage
2014 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
2015 \label{sec_publishPerKeyserver}
2016
2017 \T\marginOpenpgp
2018 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
2019 einen OpenPGP-Zertifikats\-server verbreiten.}
2020
2021 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
2022 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
2023 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
2024 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
2025 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
2026 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
2027 Korrespondenzpartner.
2028
2029 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
2030 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
2031 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
2032 Spam-Schutz.
2033
2034 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
2035 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
2036 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
2037
2038 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
2039 eine Warnmeldung:
2040
2041 % screenshot: Kleopatra keyserver export warning
2042 \begin{center}
2043 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2044 \end{center}
2045
2046 Es ist der öffentliche OpenPGP-Zertifikatsserver
2047 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2048 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2049 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2050 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2051 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2052 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2053 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2054
2055 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2056 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2057 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2058 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2059 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2060 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2061
2062 \clearpage
2063 \subsubsection{Kurz zusammengefasst}
2064 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2065 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2066
2067 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2068 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2069 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2070 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2071
2072
2073 \clearpage
2074 \section{Veröffentlichen von X.509-Zertifikaten}
2075 \label{publishPerEmailx509}
2076
2077 \T\marginSmime
2078 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2079 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2080 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2081 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2082 Zertifikatsverwaltung importiert werden.
2083
2084 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2085 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2086 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2087 oder testweise an sich selbst schreiben.
2088
2089 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2090 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2091 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2092 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2093
2094 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2095 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2096 markieren und in einer Datei
2097 abspeichern -- in der Regel also Wurzelzertifikat,
2098 CA-Zertifikat\index{CA-Zertifikat} und
2099 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2100
2101 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2102 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2103 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2104 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2105 Zertifikate gemeinsam in eine Datei.
2106
2107 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2108 muss er diesem das Vertrauen aussprechen bzw. durch einen
2109 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2110 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2111 der selben  "`Wurzel"' gehören), dann besteht diese
2112 Vertrauensstellung bereits.
2113
2114
2115 \clearpage
2116 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2117 \label{ch:decrypt}
2118 \index{\Email{}!entschlüsseln}
2119
2120 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2121 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2122
2123 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2124 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2125 GpgOL entschlüsseln. \index{Outlook}
2126 \index{Outlook}
2127
2128 \T\marginOpenpgp
2129 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2130 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2131 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2132 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2133 \pageref{encrypt-smime}.
2134
2135 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2136 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2137 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2138 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2139
2140 % cartoon: Adele typing and sending a mail
2141 \begin{center}
2142 \IncludeImage[width=0.5\textwidth]{adele02}
2143 \end{center}
2144
2145 \clearpage
2146 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2147
2148 Für die meisten \Email{}-Programme gibt es spezielle
2149 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2150 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2151 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2152 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2153 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2154 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2155 lesen oder später, wenn Sie diese Funktion benötigen.
2156
2157 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2158 Adele.
2159
2160 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2161 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2162 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2163 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2164 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2165 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2166 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2167 oder entschlüsseln.
2168
2169 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2170 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2171 verschlüsselt.
2172
2173 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2174 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2175 Passphrase ein.
2176
2177 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2178 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2179
2180 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2181 aufrufen, indem Sie im Menü der geöffneten \Email{}
2182 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2183
2184 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2185
2186 \clearpage
2187 \subsubsection{Die entschlüsselte Nachricht}
2188
2189 Die entschlüsselte Antwort von Adele sieht in etwa so
2190 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2191 etwas unterschiedlich aussehen.}:
2192
2193 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2194 %TODO: Schlüssel -> Zertifikat
2195
2196 \begin{verbatim}
2197 Hallo Heinrich Heine,
2198
2199 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2200
2201 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2202 FE7EEC85C93D94BA und der Bezeichnung
2203 `Heinrich Heine <heinrich@gpg4win.de>'
2204 wurde von mir empfangen.
2205
2206 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2207 dem freundlichen E-Mail-Roboter.
2208
2209 Viele Grüße,
2210 adele@gnupp.de
2211 \end{verbatim}
2212
2213 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2214 Adele.
2215
2216 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2217 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2218 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2219 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2220 \Email{}s verwenden.
2221
2222 \clearpage
2223 \subsubsection{Kurz zusammengefasst}
2224
2225 \begin{enumerate}
2226     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2227         Schlüssel entschlüsselt.
2228     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2229         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2230         können.
2231 \end{enumerate}
2232
2233
2234 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2235 \label{encrypt-smime}
2236
2237 \T\marginSmime
2238 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2239 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2240
2241 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2242
2243 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2244 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2245 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2246 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2247
2248 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2249 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2250 unterstützt nur OpenPGP.
2251
2252 \clearpage
2253 \chapter{Öffentliches Zertifikat importieren}
2254 \label{ch:importCertificate}
2255 \index{Zertifikat!importieren}
2256
2257 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2258 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2259 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2260 auf -- z.B. Kleopatra.
2261
2262 \subsubsection{Öffentliches Zertifikat abspeichern}
2263
2264 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2265 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2266 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2267 \Email{} bekommen haben, gehen Sie wie folgt vor:
2268
2269 \begin{itemize}
2270
2271 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2272     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2273     Ihrem \Email{}-Programm gewohnt sind.
2274
2275 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2276     innerhalb der \Email{} übermittelt, dann müssen Sie das
2277     vollständige Zertifikat markieren:
2278
2279     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2280     von
2281
2282     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2283     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2284
2285     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2286     getan haben.
2287
2288     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2289     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2290     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2291     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2292     \Filename{.pem} oder \Filename{.der} wählen.
2293
2294 \end{itemize}
2295
2296 \clearpage
2297 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2298
2299 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2300 Textblock abgespeichert haben -- in beiden Fällen importieren
2301 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2302
2303 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2304
2305 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2306 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2307 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2308 dem Ergebnis des Importvorgangs:
2309
2310 % screenshot: Kleopatra - certificate import dialog
2311 \begin{center}
2312 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2313 \end{center}
2314
2315 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2316 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2317 \Menu{Importierte Zertifikate} von
2318 \Menu{<Pfad-zur-Zertifikatsdatei>}"':
2319
2320 % screenshot Kleopatra with new certificate
2321 \begin{center}
2322 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2323 \end{center}
2324
2325 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2326 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2327 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2328 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2329
2330 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2331 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2332
2333 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2334 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2335 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2336 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2337 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2338
2339 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2340 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2341 über weltweit erreichbare Zertifikatsserver suchen und importieren
2342 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2343 nachlesen.\\
2344
2345 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2346 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2347 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2348 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2349
2350 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2351 wirklich seinem Absender gehört?
2352
2353 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2354 Kapitel~\ref{ch:trust} erläutert.}
2355
2356 \clearpage
2357 \chapter{Die Zertifikatsprüfung}
2358 \label{ch:trust}
2359
2360 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2361 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2362 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2363 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2364 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2365 Absenderangabe auf einem Briefumschlag.
2366
2367 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2368 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2369 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2370 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2371 Identität des Absenders.
2372
2373 \clearpage
2374 \subsubsection{Der Fingerabdruck}
2375 \index{Fingerabdruck}
2376 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2377 die Sache mit der Identität schnell geregelt: Sie prüfen den
2378 Fingerabdruck des anderen Zertifikats.
2379
2380 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2381 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2382 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2383 "`Fingerabdruck"'.
2384
2385 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2386 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2387 dessen 40-stelligen Fingerabdruck:
2388
2389 % screenshot: GPA key listing with fingerprint
2390 \begin{center}
2391 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2392 \end{center}
2393
2394 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2395 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2396
2397 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2398 seinen Besitzer eindeutig.
2399
2400 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2401 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2402 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2403 Sie eindeutig das richtige Zertifikat.
2404
2405 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2406 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2407 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2408 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2409 garantiert authentische Visitenkarte haben, so können Sie sich den
2410 Anruf ersparen.
2411
2412
2413 \clearpage
2414 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2415 \index{Zertifikat!beglaubigen}
2416
2417 \T\marginOpenpgp
2418 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2419 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2420 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2421 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2422 vorbehalten.
2423
2424
2425 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2426 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2427 autentisch -- halten:
2428 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2429 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2430
2431 ~\\
2432 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2433 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2434 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2435 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2436
2437 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2438 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2439
2440 % screenshot: Kleopatra certify certificate 1
2441 \begin{center}
2442 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2443 \end{center}
2444
2445 \clearpage
2446 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2447 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2448
2449 % screenshot: Kleopatra certify certificate 2
2450 \begin{center}
2451 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2452 \end{center}
2453
2454 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2455 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2456 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2457 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2458 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2459 Verfügung zu stellen.
2460
2461 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2462
2463 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2464 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2465 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2466 abgeschlossen.
2467
2468 \clearpage
2469 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2470
2471 % screenshot: Kleopatra certify certificate 3
2472 \begin{center}
2473 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2474 \end{center}
2475
2476 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2477 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2478 Wählen Sie den Reiter \linebreak \Menu{Benutzer-Kennungen und
2479 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2480 Beglaubigungen ein}.
2481
2482 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2483 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2484 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2485
2486 \clearpage
2487 \subsubsection{Das Netz des Vertrauens}
2488 \index{Netz des Vertrauens|see{Web of Trust}}
2489 \index{Web of Trust}
2490
2491 \T\marginOpenpgp
2492 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2493 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2494 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2495 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2496 direkt auf Echtheit (Autentizität) zu prüfen.
2497
2498 \begin{center}
2499 \htmlattributes*{img}{width=300}
2500 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2501 \end{center}
2502
2503 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2504 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2505 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2506 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2507 Ihnen und niemandem sonst gehört.
2508
2509 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2510 Beglaubigungs-Infra\-struktur.
2511
2512 Eine einzige Möglichkeit ist denkbar, mit der man diese
2513 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2514 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2515 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2516 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2517 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2518 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2519 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2520
2521 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2522 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2523 nicht die Lösung sein ...
2524
2525
2526 \clearpage
2527 \subsubsection{Beglaubigungsinstanzen}
2528 \index{Beglaubigungsinstanzen}
2529 \index{Certificate Authority (CA)}
2530
2531 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2532 vertrauen können. Sie prüfen ja auch nicht persönlich den
2533 Personalausweis eines Unbekannten durch einen Anruf beim
2534 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2535 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2536 beglaubigt hat.
2537
2538 \T\marginOpenpgp
2539 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2540 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2541 lange einen solchen Dienst kostenlos an, ebenso wie viele
2542 Universitäten.
2543
2544 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2545 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2546 man sich darauf verlassen können.
2547  
2548 \T\marginSmime
2549 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2550 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2551 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2552 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2553 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2554 Benutzerzertifikate zu beglaubigen (vgl.
2555 Kapitel~\ref{ch:openpgpsmime}).
2556
2557 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2558 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2559 berechtigte Institution geben, die die Befugnis dazu wiederum von
2560 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2561 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2562 eines Zertifikates durch den Beglaubigenden.
2563
2564 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2565 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2566 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2567 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2568 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2569 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2570 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem strengen
2571 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2572 entsprechen.
2573
2574 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2575 sich z.B. bei folgenden Webadressen über dieses und viele andere
2576 IT-Sicherheits-Themen informieren:
2577 \begin{itemize}
2578     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2579     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2580     \item \uniurl[www.gpg4win.de]{http://www.bsi.de}
2581 \end{itemize}
2582
2583 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
2584 der Beglaubigungsinfrastrukturen bietet das 
2585 \uniurl[Original GnuPG Handbuch]{http://www.gnupg.org/gph/de/manual},
2586 das Sie ebenfalls im Internet finden%
2587 \T\linebreak(\uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}).
2588
2589 \clearpage
2590 \chapter{\Email{}s verschlüsseln}
2591 \label{ch:encrypt}
2592 \index{\Email{}!verschlüsseln}
2593
2594 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2595 \Email{}.
2596
2597 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2598 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2599 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2600
2601
2602 \textbf{Hinweis für OpenPGP:}
2603
2604 \T\marginOpenpgp
2605 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2606 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2607 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2608 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2609 nicht wirklich lesen.
2610
2611
2612 \textbf{Hinweis für S/MIME:}
2613
2614 \T\marginSmime
2615 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2616 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2617 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2618 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2619 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2620 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2621
2622 % screenshot: GpgOL options
2623 \begin{center}
2624 \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2625 \end{center}
2626
2627
2628
2629 \clearpage
2630 \subsubsection{Nachricht verschlüsselt versenden}
2631
2632 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2633 Sie diese an Ihren Korrespondenzpartner.
2634
2635 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2636 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2637 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2638 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2639 auch direkt auf das Schloss klicken.
2640
2641 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2642
2643 % screenshot: OL composer with Adele's address and body text
2644 \begin{center}
2645 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2646 \end{center}
2647
2648 Klicken Sie nun auf \Button{Senden}.
2649
2650 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2651 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2652 Ihres Korrespondenzpartners vorliegt.
2653
2654 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2655 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2656 Nachricht verschlüsselt und versendet.
2657
2658 In den GpgOL-Optionen können Sie auch PGP/MIME oder S/MIME für alle
2659 signierten und verschlüsselten Nachrichten als Voreinstellung
2660 definieren: \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}.
2661
2662
2663 \clearpage
2664 \subsubsection{Zertifikatsauswahl}
2665 \index{Zertifikat!Auswahl}
2666 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2667 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2668 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2669 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2670 selbstständig auswählen können.
2671
2672 % screenshot: kleopatra encryption dialog - certificate selection
2673 \begin{center}
2674     \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2675 \end{center}
2676
2677 Sollte Kleopatra das öffentliche Zertifikat Ihres
2678 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2679 in Ihre Zertifikatsverwaltung importiert (vgl.
2680 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2681 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2682 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2683 Kapitel~\ref{sec_allow-mark-trusted}).
2684
2685
2686 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2687 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2688 verschlüsselt werden.
2689
2690 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2691 \begin{quote}
2692   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2693   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2694 \end{quote}
2695
2696
2697 \clearpage
2698 \subsubsection{Verschlüsselung abschließen}
2699 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2700 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2701
2702 % screenshot: kleopatra encryption successfully
2703 \begin{center}
2704 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2705 \end{center}
2706
2707 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2708 verschlüsselt!}
2709
2710
2711 \chapter{\Email{}s signieren}
2712 \label{ch:sign}
2713 \index{\Email{}!signieren}
2714
2715 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2716 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2717 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2718
2719 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2720 Zertifikat, sondern auch eine komplette \linebreak \textbf{\Email{}
2721 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2722 elektronischen Signatur versehen -- einer Art elektronischem Siegel.
2723
2724 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2725 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2726 oder verändert wurde.
2727
2728 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2729 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2730 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2731 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2732 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2733
2734 Sie haben sicher bemerkt, dass diese elektronische
2735 Signatur\index{Signatur!elektronische} nicht mit der
2736 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2737 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2738 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2739 Visitenkarte fungieren, schützt die elektronische Signatur Ihre
2740 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2741
2742 Übrigens ist die elektronische Signatur auch nicht mit der
2743 qualifizierten digitalen Signatur\index{Signatur!qualifizierte
2744 digitale} gleichzusetzen, wie sie im Signaturgesetz
2745 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2746 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2747 allerdings genau denselben Zweck.
2748
2749 % cartoon:  Müller mit Schlüssel
2750 \begin{center}
2751 \htmlattributes*{img}{width=300}
2752 \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2753 \end{center}
2754
2755 \clearpage
2756 \section{Signieren mit GpgOL}
2757
2758 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2759 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2760 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2761 folgende Schritte durch:
2762
2763 \begin{itemize}
2764     \item Nachricht signiert versenden
2765     \item Zertifikatsauswahl
2766     \item Signierung abschließen
2767 \end{itemize}
2768
2769 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2770
2771 %\clearpage
2772 \subsubsection{Nachricht signiert versenden}
2773
2774 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2775 Sie diese an Ihren Korrespondenzpartner.
2776
2777 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2778 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2779 Schaltfläche mit dem signierenden Stift oder alternativ den
2780 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2781
2782 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2783
2784 % screenshot: OL composer with Adele's address and body text
2785 \begin{center}
2786 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2787 \end{center}
2788
2789 Klicken Sie nun auf \Button{Senden}.
2790
2791 \clearpage
2792 \subsubsection{Zertifikatsauswahl}
2793
2794 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2795 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2796 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2797
2798 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2799 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2800 Signieren nach dem gewünschten Protokollverfahren:
2801
2802 % screenshot: kleopatra format choice dialog
2803 \begin{center}
2804 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2805 \end{center}
2806
2807 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2808 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2809 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2810 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2811 Schlüssel vorliegt:
2812
2813 % screenshot: kleopatra format choice dialog
2814 \begin{center}
2815 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2816 \end{center}
2817
2818 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2819
2820
2821 \clearpage
2822 \subsubsection{Signierung abschließen}
2823 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2824 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2825
2826 % screenshot: kleopatra sign dialog 2 - choose certificate
2827 \begin{center}
2828 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2829 \end{center}
2830
2831 Dies ist notwendig, denn Sie wissen:
2832 \begin{quote}
2833     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2834 \end{quote}
2835 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2836 Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das
2837 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2838 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2839
2840 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2841 Nachricht wird nun signiert und versendet.
2842
2843 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2844 Ergebnisdialog:
2845
2846 % screenshot: kleopatra sign successful
2847 \begin{center}
2848 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2849 \end{center}
2850
2851 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2852 signiert!}
2853
2854
2855 \clearpage
2856 \subsubsection{Kurz zusammengefasst}
2857 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2858 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2859
2860 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2861 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2862
2863 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2864 sicheren \Email{}-Versand: verschlüsseln und signieren.
2865
2866 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2867 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2868 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2869 \Email{} ist:
2870
2871 \begin{itemize}
2872     \item unverschlüsselt
2873     \item verschlüsselt
2874     \item signiert
2875     \item signiert und verschlüsselt (mehr dazu im
2876         Abschnitt~\ref{sec_encsig})
2877 \end{itemize}
2878
2879 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2880 S/MIME realisieren.
2881
2882 \clearpage
2883 \section{Signatur mit GpgOL prüfen}
2884 \index{Signatur!prüfen mit GpgOL}
2885
2886 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2887 Korrespondenzpartners.
2888
2889 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2890 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2891 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2892 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2893 Zertifikatsverwaltung importiert haben (vgl.
2894 Kapitel~\ref{ch:importCertificate}).
2895
2896 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2897 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2898 Kapitel~\ref{ch:decrypt}):
2899
2900 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2901
2902 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2903 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2904
2905 % screenshot: Kleopatra - successfully verify dialog
2906 \begin{center}
2907 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2908 \end{center}
2909
2910 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2911 signierte \Email{} zu lesen.
2912
2913 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2914 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2915 Entschlüsseln/Prüfen}.
2916
2917 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2918 % TODO: ggf. Screenshot mit neg. Meldung.
2919 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2920 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2921 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2922 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2923 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2924
2925 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2926 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2927
2928 \clearpage
2929 \section{Gründe für eine gebrochene Signatur}
2930 \label{sec_brokenSignature}
2931 \index{Signatur!gebrochene}
2932
2933 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2934 können:
2935
2936 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2937 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2938 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2939 Inhalt oder den Betreff der \Email{} verändert.
2940
2941 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2942 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2943 auszuschließen, dass die \Email{} durch eine fehlerhafte
2944 Übertragung verändert wurde.
2945
2946 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2947 Sie immer die \Email{} erneut beim Absender an!\\
2948
2949 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2950 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2951 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2952 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2953 die Formatierungsinformationen verloren gehen, was zum Bruch der
2954 Signatur führen kann.
2955
2956 Bei Outlook 2003 und 2007 können Sie unter
2957 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2958 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2959
2960
2961 \clearpage
2962 \section{Verschlüsseln und Signieren}
2963 \label{sec_encsig}
2964 \index{\Email{}!verschlüsseln und signieren}
2965
2966 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2967 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2968 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2969
2970 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2971 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2972 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2973 könnte.
2974
2975 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2976 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2977 erzeugen: die Signatur.
2978
2979 Solch eine elektronische Signatur bestätigt eindeutig die
2980 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2981 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2982 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2983 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2984
2985 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2986 verschlüsseln und signieren:
2987
2988 \begin{enumerate}
2989     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2990         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2991     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2992         öffentlichen Zertifikat des Korrespondenzpartners.
2993 \end{enumerate}
2994
2995 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2996
2997 \begin{enumerate}
2998     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2999         geheimen Schlüssel.
3000     \item Einen soliden äußeren Umschlag: die
3001         Verschlüsselung mit dem öffentlichen Zertifikat des
3002         Korrespondenzpartners.
3003 \end{enumerate}
3004
3005 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
3006 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
3007 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
3008 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
3009 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
3010 das Siegel (die elektronische Signatur) nur mit Ihrem geheimen
3011 Schlüssel kodiert worden sein.
3012
3013 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
3014 ganz einfach.
3015
3016
3017 \clearpage
3018 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
3019 \label{ch:archive}
3020 \index{\Email{}!verschlüsselt archivieren}
3021
3022 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
3023 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
3024
3025 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
3026 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
3027 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
3028 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
3029 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
3030 aufbewahren!
3031
3032 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
3033 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
3034 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
3035
3036 Also was tun?
3037
3038 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
3039 selbst!}
3040
3041 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
3042 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
3043 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
3044 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
3045 lesbar machen.
3046
3047 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
3048 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
3049 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
3050 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
3051 entscheiden, an welches Zertifikat verschlüsselt werden soll.
3052
3053 \clearpage
3054 \subsubsection{Kurz zusammengefasst}
3055
3056 \begin{enumerate}
3057     \item Sie haben mit dem öffentlichen Zertifikat Ihres
3058         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
3059         damit geantwortet.
3060     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
3061         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
3062         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
3063 \end{enumerate}
3064
3065
3066 \vspace{1cm}
3067 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3068 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3069
3070 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
3071
3072 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3073 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3074 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3075 dass Sie viele spannende Dinge darin entdecken werden!
3076
3077
3078 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3079 % Part II
3080
3081 % page break in toc
3082 \addtocontents{toc}{\protect\newpage}
3083
3084 \clearpage
3085 \T\part{Für Fortgeschrittene}
3086 \W\part*{\textbf{II Für Fortgeschrittene}}
3087 \label{part:Fortgeschrittene}
3088 \addtocontents{toc}{\protect\vspace{0.3cm}}
3089
3090
3091 \clearpage
3092 \chapter{Zertifikat im Detail}
3093 \label{ch:CertificateDetails}
3094 \index{Zertifikat!im Datail}
3095
3096 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3097 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3098 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3099 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3100 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3101 X.509-Zertifikaten. Es geht hierbei um:
3102
3103 \begin{itemize}
3104 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
3105 \item den Fingerabdruck
3106 \item die Schlüssel-ID\index{Schlüssel!-Kennung}\index{Schlüssel!-ID}
3107 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
3108 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3109 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3110 \end{itemize}
3111
3112 \begin{description}
3113
3114 \item[Die Benutzerkennung] besteht aus dem Namen und der
3115     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3116     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3117     <heinrich@gpg4win.de>}
3118
3119     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3120     Menüpunkt \Menu{Zertifikate$\rightarrow$\linebreak
3121     Benutzerkennung hinzufügen...} Ihr Zertifikat um weitere
3122     Benutzerkennungen erweitern.  Das ist dann sinnvoll, wenn Sie
3123     z.B.  für eine weitere \Email{}-Adresse dasselbe Zertifikat nutzen
3124     möchten.
3125
3126     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3127     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3128
3129 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3130     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3131     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3132     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3133     oder auf einem X.509-Zertifikats\-server liegen.  Was
3134     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3135
3136 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3137     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3138     Zweck wie dieser. Die wesentlich geringere Länge macht die
3139     Schlüsselkennung einfacher handhabbar, 
3140     %TODO: prüfen
3141     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3142     Zertifikate mit derselben Kennung).
3143
3144 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3145     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3146     
3147     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3148     "`Unbegrenzt"' gesetzt.  Sie können dies mit Kleopatra ändern,
3149     indem Sie auf die Schaltfläche "`Ablaufdatum ändern"' in den
3150     Zertifikatsdetails klicken -- oder das Menü
3151     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3152     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3153     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3154     auszugeben.
3155
3156     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3157     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3158     festgelegt und kann nicht vom Nutzer geändert werden.
3159
3160 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3161     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3162     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3163     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3164     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3165     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3166     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3167     einstellen.
3168
3169     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3170     Für X.509-Zerti\-fikate gibt es diese Methode der
3171     Vertrauensstellung nicht.
3172
3173 \item[Die Beglaubigungen] \T\marginOpenpgp
3174     Ihres OpenPGP-Zertifikats beinhalten die
3175     Benutzerkennungen derjenigen \linebreak Zertifikatsinhaber, die
3176     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3177     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3178     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3179     Nutzern erhalten.
3180
3181     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3182     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3183     nicht.
3184
3185 \end{description}
3186
3187 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3188 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3189 neue Zertifikate erhalten oder ändern wollen.
3190
3191 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3192 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3193 \ref{ch:trust} gelesen.
3194
3195
3196 \clearpage
3197 \chapter{Die Zertifikatsserver}
3198 \label{ch:keyserver}
3199 \index{Zertifikatsserver}
3200
3201 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3202 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3203 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3204 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3205 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3206
3207 Zertifikatsserver können von allen Programmen benutzt werden, die die
3208 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3209 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3210
3211 \begin{description}
3212
3213 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3214     \index{Zertifikatsserver!OpenPGP}
3215     (im Englischen auch "`key server"' genannt) sind dezentral
3216     organisiert und synchronisieren sich weltweit miteinander.
3217     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3218     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3219     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3220     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3221     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3222     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3223
3224     \begin{center}
3225     \htmlattributes*{img}{width=300}
3226     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3227     \end{center}
3228
3229 \item[X.509-Zertifikatsserver] \T\marginSmime
3230     \index{Zertifikatsserver!X.509}
3231     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3232     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3233     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3234
3235 \end{description}
3236
3237
3238 \clearpage
3239 \section{Zertifikatsserver einrichten}
3240 \label{configureCertificateServer}
3241 \index{Zertifikatsserver!einrichten}
3242
3243 Öffnen Sie den Konfigurationsdialog von Kleopatra:
3244 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}
3245
3246 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3247 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3248 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3249
3250 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3251 OpenPGP-Zertifikatsserver mit der Serveradresse
3252 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3253 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3254 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3255 nächsten Seite.
3256
3257 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3258 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3259 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3260 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3261 Server-Port.
3262
3263 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3264 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3265 tragen Ihre gewünschten Angaben ein.
3266
3267 Der folgende Screenshot zeigt einen konfigurierten
3268 OpenPGP-Zertifikatsserver:
3269
3270 % screenshot: Kleopatra OpenPGP certificate server config dialog
3271 \begin{center}
3272 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3273 \end{center}
3274
3275 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3276 Zertifikatsserver ist nun erfolgreich eingerichtet.
3277
3278 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3279 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3280 starten (Anleitung siehe
3281 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3282
3283 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3284 nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
3285 "`Servername"' um den Parameter \Filename{http-proxy=<proxydomain>}
3286 ergänzen. Der vollständige Servername könnte also z.B. lauten:\\
3287 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ Kontrollieren und ggf.
3288 korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in
3289 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3290
3291 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3292 finden Sie im \linebreak Abschnitt~\ref{x509CertificateServers}.
3293
3294 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3295
3296 \T\marginOpenpgp
3297 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3298 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3299
3300 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3301 \begin{itemize}
3302 \item hkp://blackhole.pca.dfn.de
3303 \item hkp://pks.gpg.cz
3304 \item hkp://pgp.cns.ualberta.ca
3305 \item hkp://minsky.surfnet.nl
3306 \item hkp://keyserver.ubuntu.com
3307 \item hkp://keyserver.pramberger.at
3308 \item http://keyserver.pramberger.at
3309 \item http://gpg-keyserver.de
3310 \end{itemize}
3311
3312 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3313 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3314 beginnen.
3315
3316 Die Zertifikatsserver unter den Adressen
3317 \begin{itemize}
3318     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3319         siehe Bildschirmfoto auf vorheriger Seite)
3320 \item hkp://subkeys.pgp.net
3321 \end{itemize}
3322 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3323 dann zufällig ein konkreter Server ausgewählt.
3324
3325 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3326 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3327 synchronisiert (Stand: August 2009).
3328
3329 \clearpage
3330 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3331 \label{searchAndImportCertificateFromServer}
3332 \index{Zertifikatsserver!Suche nach Zertifikaten}
3333 \index{Zertifikat!importieren}
3334 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3335 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3336 importieren.
3337
3338 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3339 auf Server suchen...}.
3340
3341 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3342 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3343 seine \Email{}-Adresse seines Zertifikats eingeben können.
3344
3345 % screenshot: Kleopatra certification search dialog
3346 \begin{center}
3347 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3348 \end{center}
3349
3350 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3351 auf die Schaltfläche \Button{Details...}.
3352
3353 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3354 Zertifikatssammlung einfügen möchten, selektieren Sie das
3355 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3356 \linebreak \Button{Importieren}.
3357
3358 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3359 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3360
3361 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3362 in der Zertifikatsverwaltung von Kleopatra.
3363
3364 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3365 \index{Zertifikat!exportieren}
3366
3367 \T\marginOpenpgp
3368 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3369 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3370 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3371 unterwegs rund um die Welt.
3372
3373 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3374 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3375 nach Server exportieren...}.
3376
3377 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3378 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3379 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3380 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3381 ein "`globales"' Zertifikat.
3382
3383 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3384 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3385 Kleopatra den bereits voreingestellten Server
3386 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3387
3388
3389
3390 \clearpage
3391 \chapter{Dateianhänge verschlüsseln}
3392 \index{Dateianhänge verschlüsseln}
3393
3394 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3395 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3396 verschlüsselt werden.
3397
3398 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3399 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3400 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3401
3402 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3403 Anhängen automatisch.}
3404
3405 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3406 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3407 unverschlüsselt mitgesendet.
3408
3409 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3410 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3411 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3412 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3413 beschrieben ist.
3414
3415
3416 \clearpage
3417 \chapter{Dateien signieren und verschlüsseln}
3418 \label{ch:EncFiles}
3419 \index{GpgEX}
3420
3421 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3422 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3423
3424 \begin{itemize}
3425   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3426       Zertifikats, um sicherzugehen, dass die Datei unverändert
3427       bleibt.
3428
3429   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3430       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3431       geheim zu halten.
3432 \end{itemize}
3433
3434 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3435 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3436 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3437 genau funktioniert.
3438
3439 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3440 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3441 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3442 gesondert darum zu kümmern.
3443
3444 \clearpage
3445 \section{Dateien signieren und prüfen}
3446 \label{sec_signFile}
3447 \index{Datei!signieren}
3448
3449 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3450 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3451 (Integrität)\index{Integrität} der Datei an.
3452
3453 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3454 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3455 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3456 Kontextmenü:
3457
3458 % screenshot GpgEX contextmenu sign/encrypt
3459 \begin{center}
3460 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3461 \end{center}
3462
3463 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3464
3465 \clearpage
3466 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
3467
3468 % screenshot sign file, step 1
3469 \begin{center}
3470 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
3471 \end{center}
3472
3473 Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII armor)}
3474 aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
3475 \Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
3476 Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
3477 dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
3478 kennen.
3479
3480 Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
3481 einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
3482 Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
3483 angesehen werden.
3484
3485
3486 Klicken Sie anschließend auf \Button{Weiter}.
3487
3488 \clearpage
3489 Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
3490 Ihr geheimes (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
3491 Datei signieren möchten.
3492
3493 % screenshot sign file, step 2: choose sign certificates
3494 \begin{center}
3495 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
3496 \end{center}
3497
3498 Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
3499
3500 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
3501
3502 \clearpage
3503 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3504
3505 % screenshot sign file, step 3: finish
3506 \begin{center}
3507 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
3508 \end{center}
3509
3510 Sie haben damit Ihre Datei erfolgreich signiert.
3511
3512 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
3513 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
3514 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
3515 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
3516 notwendig.
3517
3518 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3519 wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
3520 OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
3521 Ergebnis möglich:
3522
3523 \begin{description}
3524     \item[OpenPGP:]~\\
3525     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
3526     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3527     ~ \small (bei Ausgabe als Text/ASCII-armor)
3528     \normalsize
3529
3530     \item[S/MIME:]~\\
3531     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
3532     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3533     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3534     \normalsize
3535 \end{description}
3536
3537 \clearpage
3538 \subsubsection{Signatur prüfen}
3539 \index{Datei!Signatur prüfen}
3540
3541 Prüfen Sie nun, ob die eben signierte Datei integer
3542 -- d.h. korrekt -- ist!
3543
3544 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
3545 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
3546 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
3547 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
3548 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
3549 den Eintrag  \Menu{Entschlüsseln und prüfen}:
3550
3551 % screenshot GpgEX contextmenu verifiy/decrypt
3552 \begin{center}
3553 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3554 \end{center}
3555
3556 \clearpage
3557 Daraufhin erhalten Sie folgendes Fenster:
3558
3559 % screenshot kleopatra verify file, step 1
3560 \begin{center}
3561 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
3562 \end{center}
3563
3564 Kleopatra zeigt unter \Menu{Eingabe-Datei} den vollständigen Pfad zur
3565 ausgewählten Signatur-Datei an.
3566
3567 Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
3568 aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
3569 mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
3570 die zugehörige signierte Originaldatei in demselben Datei-Ordner.
3571
3572 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
3573 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
3574 gleichzeitig verarbeiten.
3575
3576 Bestätigen Sie die gegebenen Operationen mit
3577 \Button{Entschlüsseln/Prüfen}.
3578
3579 \clearpage
3580 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3581 Fenster:
3582
3583 % screenshot kleopatra verify file, step 2
3584 \begin{center}
3585 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
3586 \end{center}
3587
3588 Das Ergebnis zeigt, dass die Signatur korrekt ist -- also die Datei
3589 integer ist und somit \textbf{nicht} verändert wurde.
3590
3591 \clearpage
3592 Selbst wenn nur ein Zeichen in der Originaldatei hinzugefügt, gelöscht
3593 oder geändert wurde, wird die Signatur als gebrochen angezeigt
3594 (Kleopatra stellt das Ergebnis als rote Warnung dar):
3595
3596 % screenshot kleopatra verify file, step 2a (bad signature)
3597 \begin{center}
3598 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
3599 \end{center}
3600
3601
3602 \clearpage
3603 \section{Dateien verschlüsseln und entschlüsseln}
3604 \index{Datei!verschlüsseln}
3605
3606 Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern
3607 auch verschlüsseln. Das sollten Sie im folgenden Abschnitt mit GpgEX
3608 und Kleopatra einmal durchspielen.
3609
3610 Selektieren Sie eine (oder mehrere) Datei(en) und öffnen Sie mit der
3611 rechten Maustaste das Kontextmenü:
3612
3613 % screenshot GpgEX contextmenu sign/encrypt
3614 \begin{center}
3615 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3616 \end{center}
3617
3618 Wählen Sie hier wieder \Menu{Signieren und verschlüsseln} aus.
3619
3620 \clearpage
3621 Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
3622 Abschnitt~\ref{sec_signFile}) bereits kennen.
3623
3624 Wählen Sie im oberen Feld auf die Option \Menu{Verschlüsseln}:
3625
3626 % screenshot kleopatra encrypt file, step 1
3627 \begin{center}
3628 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
3629 \end{center}
3630
3631 Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
3632 umstellen:
3633 \begin{description}
3634     \item[Ausgabe als Text (ASCII armor):] Bei
3635         Aktivierung dieser Option erhalten Sie die verschlüsselte
3636         Datei mit einer Dateiendung \Filename{.asc} (OpenPGP) bzw.
3637         \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3638         Texteditor geöffnet werden -- Sie sehen dort allerdings nur
3639         den Buchstaben- und Ziffernsalat, den Sie schon kennen.
3640
3641         Ist diese Option nicht ausgewählt, so wird eine verschlüsselte
3642         Datei mit der Endung \Filename{.gpg} (OpenPGP) bzw.
3643         \Filename{.p7m} (S/MIME) angelegt. Diese Dateien sind
3644         Binärdateien, sie können also nicht mit einem Texteditor
3645         angesehen werden.
3646
3647     \item[Unverschlüsseltes Original anschließend löschen:] Ist diese
3648         Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem
3649         Verschlüsseln gelöscht.
3650 \end{description}
3651
3652 Klicken Sie auf \Button{Weiter}.
3653
3654 \clearpage
3655 Für wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
3656 Dialog einen oder mehrere Empfänger-Zertifikate aus:
3657
3658 % screenshot kleopatra encrypt file, step 2
3659 \begin{center}
3660 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile2_de}
3661 \end{center}
3662
3663 Zum Auswählen selektieren Sie im oberen Teil die gewünschten
3664 Zertifikate und drücken Sie auf \Button{Hinzufügen}.  Sie bekommen
3665 alle ausgewählten Zertifikate im unteren Dialogteil zur Kontrolle noch
3666 einmal angezeigt.
3667
3668 Abhängig vom gewählten Empfänger-Zertifikat und dessen Typ (OpenPGP
3669 oder S/MIME) wird Ihre Datei anschließend mit Hilfe von OpenPGP und/oder
3670 S/MIME verschlüsselt. Haben Sie also ein OpenPGP-Zertifikat
3671 \textit{und} ein S/MIME-Zertifikat ausgewählt, werden Sie zwei
3672 verschlüsselte Dateien erhalten.  Die möglichen Dateitypen der
3673 verschlüsselten Dateien finden Sie auf der nächsten Seite.
3674
3675 Klicken Sie nun auf \Button{Verschlüsseln}: Die Datei wird
3676 verschlüsselt.
3677
3678 \clearpage
3679 Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
3680 aussehen:
3681 % screenshot kleopatra encrypt file, step 3: successful
3682 \begin{center}
3683 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
3684 \end{center}
3685
3686 Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
3687
3688 Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten
3689 Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.  Beim Verschlüsseln
3690 Ihrer Originaldatei (hier \Filename{<dateiname>.txt}) sind insgesamt
3691 vier Dateitypen als Ergebnis möglich:
3692
3693 \begin{description}
3694     \item[OpenPGP:]~\\
3695     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.gpg}}\\
3696     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3697     ~ \small (bei Ausgabe als Text/ASCII-armor)
3698     \normalsize
3699
3700     \item[S/MIME:]~\\
3701     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7m}}\\
3702     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3703     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3704     \normalsize
3705 \end{description}
3706
3707 Eine dieser vier möglichen verschlüsselten Ergebnisdateien geben Sie
3708 nun an Ihren ausgewählten Empfänger weiter. Anders als beim Signieren
3709 einer Datei wird die unverschlüsselte Originaldatei natürlich
3710 \textbf{nicht} weitergegeben.
3711
3712 \clearpage
3713 \subsubsection{Datei entschlüsseln}
3714 \index{Datei!entschlüsseln}
3715 Nun kann die zuvor verschlüsselte Datei zum Testen einmal
3716 entschlüsselt werden.
3717
3718 Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes
3719 Zertifikat verschlüsselt haben -- andernfalls können Sie die Datei
3720 nicht mit Ihrem geheimen Schlüssel entschlüsseln (vgl.
3721 Kapitel~\ref{ch:archive}).
3722
3723 Selektieren Sie die verschlüsselte Datei -- also eine mit der Endung
3724 \Filename{.gpg}, \Filename{.asc}, \Filename{.p7m} oder \Filename{.pem}
3725 -- und wählen Sie im Kontextmenü des Windows-Explorers
3726 den Eintrag \Menu{Entschlüsseln und prüfen}:
3727
3728 % screenshot contextmenu verifiy/decrypt
3729 \begin{center}
3730 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3731 \end{center}
3732
3733 \clearpage
3734 Im folgenden Entschlüsselungsdialog können Sie bei Bedarf noch den
3735 Ausgabe-Ordner verändern.
3736
3737 % screenshot kleopatra decrypt file, step 1
3738 \begin{center}
3739 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
3740 \end{center}
3741
3742 Klicken Sie auf \Button{Entschlüsseln/Prüfen}.
3743
3744 Geben Sie anschließend Ihre Passphrase ein.
3745
3746 \clearpage
3747 Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:
3748
3749 % screenshot kleopatra decrypt file, step 2
3750 \begin{center}
3751 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile2_de}
3752 \end{center}
3753
3754 Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit
3755 einem entsprechenden Programm verwenden können.
3756
3757 \clearpage
3758 \subsubsection{Kurz zusammengefasst}
3759 Sie haben gelernt, wie Sie mit GpgEX:
3760 \begin{itemize}
3761     \item Dateien signieren
3762     \item signierte Dateien prüfen
3763     \item Dateien verschlüsseln
3764     \item verschlüsselte Dateien entschlüsseln
3765 \end{itemize}
3766
3767 \subsubsection{Gleichzeitig signieren und verschlüsseln}
3768
3769 Diese Option ist Ihnen sicher schon in den entsprechenden Dialogen
3770 aufgefallen.  Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben
3771 in einem Schritt.
3772
3773 Beachten Sie, dass immer {\em zuerst signiert}, erst danach
3774 verschlüsselt wird.
3775
3776 Die Signatur wird also immer als geheim mitverschlüsselt.  Sie kann
3777 nur von denjenigen gesehen und geprüft werden, die die Datei
3778 erfolgreich entschlüsseln konnten.
3779
3780 Möchten Sie Dateien signieren \textit{und} verschlüsseln, ist das
3781 derzeit nur mit OpenPGP möglich.
3782
3783
3784 \clearpage
3785 \chapter{Im- und Export eines geheimen Zertifikats}
3786 \label{ch:ImExport}
3787
3788 In den Kapiteln \ref{ch:publishCertificate} und
3789 \ref{ch:importCertificate} wurde der Im- und Export von Zertifikaten
3790 erläutert. Sie haben Ihr eigenes Zertifikat exportiert, um es zu
3791 veröffentlichen, und das Zertifikat Ihres Korrespondenzpartners
3792 importiert und so "`an Ihrem Schlüsselbund\index{Schlüsselbund}
3793 befestigt"' (d.h. in Ihre Zertifikatsverwaltung aufgenommen).
3794
3795 Dabei ging es stets um \textbf{öffentliche} Schlüssel. Es gibt
3796 aber auch hin und wieder die Notwendigkeit, einen \textbf{geheimen}
3797 Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits
3798 vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win
3799 weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie
3800 Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls
3801 zunächst das gesamte Schlüsselpaar dorthin transferiert werden --~der
3802 öffentliche und der geheime Schlüssel.
3803
3804 \clearpage
3805 \section{Export}
3806 \index{Zertifikat!exportieren}
3807 Immer, wenn Sie ein geheimes Zertifikat auf einen anderen Rechner
3808 transferieren oder auf einer anderen Festplattenpartition bzw. einem
3809 Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
3810 Sicherungskopie erstellen.
3811
3812 Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
3813 OpenPGP-Zertifikats\-erzeu\-gung angelegt. Da Ihr OpenPGP-Zertifikat
3814 aber inzwischen weitere Beglaubigungen haben kann, sollten Sie es ggf.
3815 erneut sichern.
3816
3817 Öffnen Sie Kleopatra, selektieren Sie Ihr eigenes Zertifikat und
3818 klicken Sie auf \Menu{Datei$\rightarrow$Geheimes Zertifikat
3819 exportieren}.
3820
3821 % screenshot kleopatra export secret key
3822 \begin{center}
3823 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3824 \end{center}
3825
3826 Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.  Der Dateityp
3827 wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen
3828 OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig
3829 die Dateiendung \Filename{.gpg} (OpenPGP) oder \Filename{.p12}
3830 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um
3831 Binärdateien, die Ihr Zertifikat (inkl. geheimem Schlüssel)
3832 verschlüsselt enthalten.
3833
3834 Bei Aktivierung der Option \Menu{ASCII-geschützt (ASCII armor)}
3835 erhalten Sie die Dateiendung \Filename{.asc} (OpenPGP) bzw.
3836 \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3837 Texteditor geöffnet werden -- Sie sehen dort allerdings nur den
3838 Buchstaben- und Ziffernsalat, den Sie schon kennen. 
3839
3840 Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei
3841 mit der Endung \Filename{.gpg} (OpenPGP) oder \Filename{.p12} (S/MIME)
3842 angelegt.  Diese Dateien sind Binärdateien, sie können also nicht mit
3843 einem Texteditor angesehen werden. 
3844
3845 Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
3846 Kleopatra in \textbf{einem} einzigen geheimen Zertifikat
3847 abgespeichert.
3848
3849 \textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie
3850 enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische
3851 Informationen!
3852
3853 \clearpage
3854 \section{Import}
3855 \index{Zertifikat!importieren}
3856 Zum Importieren Ihres zuvor exportierten geheimen Zertifikats in
3857 Kleopatra gehen Sie so vor, wie Sie es vom Import fremder
3858 öffentlicher Zertifikate gewohnt sind (vgl.
3859 Kapitel~\ref{ch:importCertificate}):
3860
3861 Klicken Sie auf \Menu{Datei$\rightarrow$Zertifikat importieren...} und
3862 wählen Sie die zu importierende Datei aus.  Handelt es sich um eine
3863 PKCS12-Datei (z.B. vom Typ \Filename{.p12}), so werden Sie zunächst
3864 nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:
3865
3866 % screenshot pinentry p12 import (I)
3867 \begin{center}
3868 \IncludeImage[width=0.45\textwidth]{sc-pinentry-p12-import-a_de}
3869 \end{center}
3870
3871 Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der
3872 nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:
3873
3874 % screenshot pinentry p12 import (II)
3875 \begin{center}
3876 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3877 \end{center}
3878
3879 Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu
3880 kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend
3881 gewarnt.
3882
3883 \clearpage
3884 Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
3885 das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am
3886 Beispiel eines geheimen OpenPGP-Zertifikats:
3887
3888 % screenshot kleopatra import secret key - status
3889 \begin{center}
3890 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3891 \end{center}
3892
3893 Kleopatra hat damit sowohl den geheimen als auch den öffentlichen
3894 Schlüssel aus der Sicherungsdatei importiert. Ihr Zertifikat ist damit
3895 unter "`Meine Zertifikate"' in der Zertifikatsverwaltung von Kleopatra
3896 sichtbar.
3897
3898 Sichern Sie die Sicherungskopie Ihres
3899 geheimen Zertifikats -- möglichst auf einem physikalisch gesicherten
3900 (z.B. in einem Tresor) externen Medium. Löschen Sie
3901 sie danach von Ihrer Festplatte und denken Sie auch daran, die
3902 gelöschte Datei aus Ihrem "`Papierkorb"' zu entfernen. Andernfalls
3903 stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime
3904 \Email{}-Verschlüsselung dar.\\
3905
3906 \T\marginOpenpgp
3907 Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP ("`Pretty
3908 Good Privacy"') exportiertes Zertifikat nicht importieren können:  Sie
3909 geben zwar die richtige Passphrase ein, diese wird aber nicht
3910 akzeptiert.  Der Grund ist, dass bestimmte Versionen von PGP intern
3911 einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen
3912 nicht unterstützen kann.  
3913
3914 Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase
3915 und exportieren/importieren Sie das OpenPGP-Zertifikat erneut.  Sollte dies
3916 auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3917 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie
3918 wieder -- in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl
3919 die \textbf{Datei sicher löschen} als auch in PGP und in
3920 Gpg4win danach wieder eine echte \textbf{Passphrase setzen.}
3921
3922 ~\\ \textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr
3923 Schlüsselpaar exportiert und wieder importiert.}
3924
3925
3926 \clearpage
3927 \chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
3928 \label{ch:smime-configuration}
3929
3930 \T\enlargethispage{\baselineskip}
3931 \T\marginSmime
3932 Im Rahmen einer zentralen Softwareverteilung oder Umgebungen, in denen
3933 viele Anwender auf einem Rechner arbeiten, ist es sinnvoll, einige
3934 systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.
3935
3936 Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten
3937 ist es sinnvoll, dass die Anwender die Informationen dazu miteinander
3938 teilen.
3939
3940 Einige typische systemweite Einstellungen sind:
3941
3942 \begin{description}
3943 \item[Vertrauenswürdige Wurzelzertifikate:]
3944     \index{Vertrauenswürdige Wurzelzertifikate}
3945     \index{Wurzelzertifikat}
3946     Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3947     Wurzelzertifikate suchen und installieren sowie deren
3948     Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl.
3949     Abschnitt \ref{sec_allow-mark-trusted}), ist eine systemweite
3950     Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.
3951
3952     Dazu sollten die Wurzelzertifikate abgelegt -- wie in Abschnitt
3953     \ref{trustedrootcertsdirmngr} beschrieben -- und die
3954     vertrauenswürdigen Wurzelzertifikate definiert werden -- wie in
3955     Abschnitt \ref{sec_systemtrustedrootcerts} beschrieben.
3956
3957 \item[Direkt verfügbare CA-Zertifikate:] \index{CA-Zertifikat}
3958     Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate
3959     der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu
3960     suchen und zu importieren, ist auch hier eine systemweite
3961     Vorbelegung der wichtigsten CA-Zertifikate sinnvoll.  Eine
3962     Beschreibung hierzu finden Sie im Abschnitt
3963     \ref{extracertsdirmngr}.
3964
3965
3966 \item[Proxy für Zertifikatsserver- und Sperrlisten-Suche:]
3967     \index{Proxy}
3968
3969     Für die Gültigkeitsinformationen bieten die X.509-Protokolle
3970     verschiedene Möglichkeiten an. Von den meisten
3971     Zertifizierungsstellen werden Sperrlisten\index{Sperrlisten} (auch
3972     CRLs \index{CRLs|see{Sperrlisten}} genannt, nach RFC5280) und
3973     OSCP\index{OSCP} (nach RFC2560) unterstützt. OSCP bringt
3974     zeitnähere Informationen, hat aber den Nachteil, dass Netzverkehr
3975     bis zum OSCP-Dienst erfolgt und daran auch
3976     gut erkannt werden kann, mit welchen Partnern gerade Nachrichten
3977     ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es
3978     ist die Komponente "`DirMngr"' \index{Directory Manager (DirMngr)},
3979     welche als systemweiter Dienst läuft.
3980
3981     Es können interne Netzwerke keine direkten Verbindungen der
3982     einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern
3983     einen Stellvertreterdienst (einen sogenannten "`Proxy"') vorsehen. 
3984     Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies
3985     \index{LDAP} \index{HTTP} umgehen.
3986
3987     S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste
3988     extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch
3989     Verzeichnisdienste über LDAP\index{LDAP}. Anders als bei OpenPGP kann sich der
3990     Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den
3991     verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich
3992     Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich
3993     sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern
3994     möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen,
3995     dass X.509-Sperrlisten ausschließlich mit korrekten Informationen
3996     übermittelt werden.  
3997
3998     \clearpage
3999     Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen
4000     HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie
4001     folgende Schritte durch:
4002
4003     \begin{enumerate}
4004         \item Stellen Sie X.509-Zertifikatsserver-Suche auf einen
4005             Proxy ein, wie in Abschnitt~\ref{x509CertificateServers}
4006             beschrieben.
4007
4008         \item Stellen Sie Sperrlisten-Suche auf einen Proxy ein,
4009             wie ebenfalls in Abschnitt~\ref{x509CertificateServers}
4010             beschrieben.
4011            
4012         \item Starten Sie den DirMngr neu (siehe
4013             Abschnitt~\ref{dirmngr-restart}).
4014     \end{enumerate}
4015 \end{description}
4016
4017
4018
4019 \clearpage
4020 \chapter{Bekannte Probleme und Abhilfen}
4021 \index{Probleme}
4022
4023 \section{GpgOL-Menüs und -Dialoge nicht mehr in Outlook zu finden} 
4024 \index{Outlook}
4025 Es kann vorkommen, dass die von GpgOL zu Outlook hinzugefügten Menüs
4026 und Dialoge nicht mehr zu finden sind.
4027
4028 Das kann dann passieren, wenn ein technisches Problem auftrat und
4029 Outlook aus diesem Grund die GpgOL-Komponente deaktiviert hat.
4030
4031 Reaktivieren Sie GpgOL über das Outlook-Menü:\\ Outlook2007:
4032 \Menu{?$\rightarrow$Deaktivierte Elemente}\\ Outlook2003:
4033 \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}
4034
4035 Um  GpgOL manuell zu (de-)aktivieren, nutzen Sie den Add-In-Manager von
4036 Outlook:
4037 \begin{itemize}
4038     \item \textbf{Outlook2003:}
4039         \Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
4040         Optionen...$\rightarrow$Add-In-Manager...}
4041     \item \textbf{Outlook2007:}
4042         \Menu{Extras$\rightarrow$Vertrauensstellungscenter$\rightarrow$Add-Ins}
4043         -- dann unter \Menu{Verwalten} die \newline \Menu{Exchange-Clienterweiterungen} auswählen 
4044         und auf \Button{Gehe zu...} klicken.
4045 \end{itemize}
4046
4047 \section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}
4048
4049 Wenn bereits viele Schaltflächen in der Symbolleiste des
4050 Nachrichtenfensters vorhanden sind, so stellt Outlook2003 die
4051 Signieren-/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort
4052 sichtbar dar.