Switched latex build to pdflatex. Converted eps files to png. Update
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
5
6 % define packages
7 \usepackage{hyperlatex}
8 \usepackage{a4wide}
9 \usepackage{times}
10 \usepackage[latin1]{inputenc}
11 \usepackage[T1]{fontenc}
12 \T\usepackage[ngerman]{babel}
13 \W\usepackage[german]{babel}
14 \usepackage{ifpdf}
15 \usepackage{graphicx}
16 \usepackage{alltt}
17 \usepackage{moreverb}
18 \usepackage{ifthen}
19 \usepackage{fancyhdr}
20 \W\usepackage{rhxpanel}
21 \W\usepackage{sequential}
22 \usepackage[table]{xcolor}
23 \usepackage{color}
24
25 % use index
26 \usepackage{makeidx}
27 \makeindex
28
29 % write any html files directly into this directory
30 % XXX: This is currently deactivated, but sooner or later
31 % we need this to not let smae filenames overwrite each other
32 % when we have more than one compendium. The Makefile.am needs
33 % to be updated for this as well - not a trivial change.
34 %\W\htmldirectory{./compendium-de-html}
35
36 % Hyperref should be among the last packages loaded
37 \usepackage{hyperref}
38
39 \begin{latexonly}
40 \ifpdf
41   \DeclareGraphicsExtensions{.png}
42 \else
43   \DeclareGraphicsExtensions{.eps}
44 \fi
45 \end{latexonly}
46
47 % page header
48 \T\fancyhead{} % clear all fields
49 \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
50     %\T\manualinprogress
51     \T\\
52     \T\itshape\nouppercase{\leftmark}}
53 \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{gpg4win-logo}}
54 \T\fancyfoot[C]{\thepage}
55 \T\pagestyle{fancy}
56
57 % define custom commands
58 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
59 \newcommand{\Menu}[1]{\textit{#1}}
60 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
61 \newcommand{\Email}{E-Mail}
62 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
63 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
64 \newcommand{\marginOpenpgp}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{openpgp-icon}}}
65 \newcommand{\marginSmime}{\marginline{\vspace{11pt}\includegraphics[width=1.5cm]{smime-icon}}}
66 \newcommand{\IncludeImage}[2][]{\texorhtml{%
67 \begin{center}%
68   \includegraphics[#1]{#2}%
69 \end{center}%
70 }{%
71 \htmlimg{#2.png}%
72 }}
73
74 % custom colors
75 \definecolor{gray}{rgb}{0.4,0.4,0.4}
76 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
77
78 \T\parindent 0cm
79 \T\parskip\medskipamount
80
81 % Get the version information from another file.
82 % That file is created by the configure script.
83 \input{version.tex}
84
85
86 % Define universal url command.
87 % Used for latex _and_ hyperlatex (redefine see below).
88 % 1. parameter = link text (optional);
89 % 2. parameter = url
90 % e.g.: \uniurl[example link]{http:\\example.com}
91 \newcommand{\uniurl}[2][]{%
92 \ifthenelse{\equal{#1}{}}
93 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
94 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
95
96
97 %%% HYPERLATEX %%%
98 \begin{ifhtml}
99     % HTML title
100     \htmltitle{Gpg4win-Kompendium}
101     % TOC link in panel
102     \htmlpanelfield{Inhalt}{hlxcontents}
103     % name of the html files
104     \htmlname{gpg4win-compendium-de}
105     % redefine bmod
106     \newcommand{\bmod}{mod}
107     % use hlx icons (default path)
108     \newcommand{\HlxIcons}{}
109
110     % Footer
111     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
112         %\manualinprogress
113     \html{br/}
114     \html{small}
115     Das Gpg4win-Kompendium ist unter der
116     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
117     \html{/small}}
118
119     % Changing the formatting of footnotes
120     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
121
122     % redefine universal url for hyperlatex (details see above)
123     \newcommand{\linktext}{0}
124     \renewcommand{\uniurl}[2][]{%
125         \renewcommand{\linktext}{1}%
126         % link text is not set
127         \begin{ifequal}{#1}{}%
128             \xlink{#2}{#2}%
129             \renewcommand{linktext}{0}%
130         \end{ifequal}
131         % link text is set
132         \begin{ifset}{linktext}%
133              \xlink{#1}{#2}%
134     \end{ifset}}
135
136     % german style
137     \htmlpanelgerman
138     \extrasgerman
139     \dategerman
140     \captionsgerman
141
142
143     % SECTIONING:
144     %
145     % on _startpage_: show short(!) toc (only part+chapter)
146     \setcounter {htmlautomenu}{1}
147     % chapters should be <H1>, Sections <H2> etc.
148     % (see hyperlatex package book.hlx)
149     \setcounter{HlxSecNumBase}{-1}
150     % show _numbers_ of parts, chapters and sections in toc
151     \setcounter {secnumdepth}{1}
152     % show parts, chapters and sections in toc (no subsections, etc.)
153     \setcounter {tocdepth}{2}
154     % show every chapter (with its sections) in _one_ html file
155     \setcounter{htmldepth}{2}
156
157     % set counters and numberstyles
158     \newcounter{part}
159     \renewcommand{\thepart}{\arabic{part}}
160     \newcounter{chapter}
161     \renewcommand{\thecapter}{\arabic{chapter}}
162     \newcounter{section}[chapter]
163     \renewcommand{\thesection}{\thechapter.\arabic{section}}
164 \end{ifhtml}
165
166
167 %%% TITLEPAGE %%%
168
169 \title{
170     \htmlattributes*{img}{width=300}
171     \IncludeImage[width=8cm]{gpg4win-logo}~\newline
172     Das Gpg4win-Kompendium }
173
174 \author{ \
175     % Hyperlatex: Add links to pdf versions and Homepage
176     \htmlonly{
177         \xml{p}\small
178         \xlink{Aktuelle PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
179         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}\xml{p}
180     }
181     % Authors
182     Eine Veröffentlichung des Gpg4win-Projekts\\
183       \small Basierend auf einer Fassung von
184     \T\\
185       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
186     \T\\[-0.2cm]
187       \small Isabel Kramer und Dr. Francis Wray.
188     \\[0.2cm]
189       \small Grundlegend überarbeitet von
190     \T\\
191       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
192 }
193
194 \date{Version \compendiumVersionDE~vom \compendiumDateDE
195     %\manualinprogress
196     }
197
198
199 %%% BEGIN DOCUMENT %%%
200
201 \begin{document}
202 \maketitle
203
204 \T\section*{Impressum}
205 \W\chapter*{Impressum}\\
206
207 \thispagestyle{empty}
208 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
209 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
210 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
211 Eindruck eines Zusammenhanges
212 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
213 werden.}\\
214 Copyright \copyright{} 2005 g10 Code GmbH\\
215 Copyright \copyright{} 2009, 2010 Intevation GmbH
216
217 Permission is granted to copy, distribute and/or modify this document
218 under the terms of the GNU Free Documentation License, Version 1.2 or
219 any later version published by the Free Software Foundation; with no
220 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
221 copy of the license is included in the section entitled "`GNU Free
222 Documentation License"'.
223
224 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
225 oben stehenden Hinweises.]}\\
226 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
227 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
228 Documentation License, Version 1.2 oder einer späteren, von der Free
229 Software Foundation veröffentlichten Version.  Es gibt keine
230 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
231 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
232 License"' findet sich im Anhang mit dem gleichnamigen Titel.
233 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
234 http://www.gnu.org/licenses/translations.html.
235
236
237 \clearpage
238 \chapter*{Über dieses Kompendium}
239
240 Das Gpg4win-Kompendium besteht aus drei Teilen:
241
242 \begin{itemize}
243 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
244     Schnelleinstieg in Gpg4win.
245
246 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
247     Fortgeschrittene"'}:
248     Das Hintergrundwissen zu Gpg4win.
249
250 \item \textbf{Anhang}: Weiterführende technische Informationen zu
251     Gpg4win.\\
252 \end{itemize}
253
254 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
255 und knapp durch die Installation und die alltägliche Benutzung der
256 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
257 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
258 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
259 vertraut im Umgang mit Gpg4win gemacht haben.
260
261 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
262 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
263 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
264
265 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
266 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
267 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
268 erläutert.
269
270 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
271 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
272 angegebenen Reihenfolge lesen.\\
273
274 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
275 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
276 GpgOL.\\
277
278 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
279 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
280 geschrieben, sondern \textbf{für jedermann.}\\
281
282 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
283 verfügbar unter: \\
284 \uniurl{http://www.gpg4win.de}
285
286 \clearpage
287 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
288
289 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
290 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
291         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
292         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
293         eckige Klammern benutzt.
294
295         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
296         wenn deren Bedeutung in einem Satz betont, das
297         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
298         werden soll (z.B.: \textit{nur} OpenPGP).
299
300     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
301         die besonders wichtig und damit hervorzuheben sind.  Diese
302         Auszeichnung unterstützt den Leser bei der schnelleren
303         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
304         Passagen.
305
306     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
307         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
308         von Kommandozeilen) verwendet.
309 \end{itemize}
310
311 \clearpage
312 \tableofcontents
313
314
315 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
316 % Part I
317 \clearpage
318 \T\part{Für Einsteiger}
319 \W\part*{\textbf{I Für Einsteiger}}
320 \label{part:Einsteiger}
321 \addtocontents{toc}{\protect\vspace{0.3cm}}
322 \addtocontents{toc}{\protect\vspace{0.3cm}}
323
324
325 \chapter{Gpg4win -- Kryptografie für alle}
326 \index{Kryptografie}
327
328 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
329 \begin{quote}
330     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
331 mit Computer-Programmen und Handbüchern zur \Email{}- und
332 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
333 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
334 und die in Gpg4win enthaltenen Programme sind Freie
335 Software.}
336
337 \end{quote}
338
339 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
340 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
341 Gpg4win umfasst in Version 2 die folgenden Programme:
342
343 \begin{itemize}
344     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
345         Gpg4win -- die eigentliche Verschlüsselungs-Software.
346     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
347         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
348         Gpg4win, die für eine einheitliche Benutzerführung bei allen
349         kryptografischen Operationen sorgt.  
350     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
351         Assistent}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
352         von Zertifikaten neben Kleopatra.
353     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
354         Outlook}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
355         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
356         verschlüsseln.
357    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
358        eXtension}\index{GpgEX}\\ ist eine Erweiterung für den
359        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
360        über das Kontextmenü signieren bzw.  verschlüsseln kann.
361     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
362         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
363 \end{itemize}
364
365 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
366 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
367 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
368 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
369 sicher und kann nach dem heutigen Stand von Forschung und Technik
370 nicht gebrochen werden.
371
372 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
373 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
374 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
375 kann und darf den Quellcode der Programme untersuchen und -- sofern er
376 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
377 diese weitergeben.
378
379 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
380 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
381 lässt sich die Vertrauenswürdigkeit der Programmierung und des
382 Programmes wirklich prüfen.
383
384 GnuPG basiert auf dem internationalen Standard
385 \textbf{OpenPGP}\index{OpenPGP} (RFC 2440), ist vollständig kompatibel
386 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
387 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
388 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
389 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
390
391 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
392 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
393 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
394 mehr dem Stand der Technik.
395
396 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
397 Wirtschaft und Technologie \index{Bundesministerium für
398 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
399 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
400 Bundesamt für Sicherheit in der Informationstechnik (BSI)
401 \index{Bundesamt für Sicherheit in der Informationstechnik}
402 unterstützt.
403
404 Weitere Informationen zu GnuPG und weiteren Projekten der
405 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
406 \uniurl[www.bsi.de]{http://www.bsi.de} und
407 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
408 Bundesamtes für Sicherheit in der Informationstechnik.
409
410
411 \clearpage
412 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
413 \label{ch:why}
414 \index{Briefumschlag}
415
416 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
417 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
418 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
419 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
420 jedermann frei und kostenlos zugänglich.
421
422 \htmlattributes*{img}{width=300}
423 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
424
425 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
426 um rund um den Globus miteinander zu kommunizieren und uns zu
427 informieren. Aber Rechte und Freiheiten, die in anderen
428 Kommunikationsformen längst selbstverständlich sind, muss man sich in
429 den neuen Technologien erst sichern. Das Internet ist so schnell und
430 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
431 Rechte noch nicht so recht nachgekommen ist.
432
433 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
434 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
435 Umschlag schützt die Nachrichten vor fremden Blicken, eine
436 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
437 nicht so wichtig ist, schreibt man es auf eine ungeschützte
438 Postkarte, die auch der Briefträger oder andere lesen können.
439
440 \clearpage
441 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
442 Sie selbst und niemand sonst.
443
444 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
445 \Email{} ist immer offen wie eine Postkarte, und der elektronische
446 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
447 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
448 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
449 zu verteilen, sondern sie auch zu kontrollieren.
450
451 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
452 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
453 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
454 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
455 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
456 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
457 Wikipedia über das 
458 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
459 \index{Echelon-System}
460 liefert dazu interessantes Hintergrundwissen.
461
462 Denn: der Umschlag fehlt.
463
464 \htmlattributes*{img}{width=300}
465 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
466
467 \clearpage
468 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
469 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
470 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
471 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
472 für wichtig und schützenswert halten oder nicht.
473
474 Das ist der Kern des Rechts auf Brief-, Post- und
475 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
476 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
477 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
478 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
479 ist Ihr gutes Recht.
480
481 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
482 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
483 bekannten Mittel zu knacken. In vielen Ländern waren starke
484 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
485 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
486 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
487 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
488 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
489 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
490 in aller Welt als eine praktikable und sichere Software angesehen.
491
492 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
493 Hand.}
494
495 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
496 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
497 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
498 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
499 dieses Vorgehen Schritt für Schritt erläutern.
500
501
502 \clearpage
503 \chapter{So funktioniert Gpg4win}
504 \label{ch:FunctionOfGpg4win}
505 Das Besondere an Gpg4win und der zugrundeliegenden
506 \textbf{"`Public-Key"'-Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
507 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
508 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
509
510 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
511 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
512 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
513 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
514 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
515 Vertrauen in die Sicherheit von Gpg4win gewinnen.
516
517 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
518 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
519 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
520 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
521 knacken sind.
522
523 \clearpage
524 \subsubsection{Der Herr der Schlüsselringe}
525 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
526 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
527 nur einmal gibt und den man ganz sicher aufbewahrt.
528
529 \htmlattributes*{img}{width=300}
530 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
531
532 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
533 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
534 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
535 man den Schlüssel mindestens genauso gut absichern, wie das zu
536 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
537 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
538 werden.
539
540 \clearpage
541 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
542 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
543 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
544 dazu auch sehr fehleranfällig.
545
546 \htmlattributes*{img}{width=300}
547 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
548
549 Das Grundproblem bei der "`gewöhnlichen"' geheimen
550 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
551 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
552 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
553 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
554 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
555
556 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
557 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
558 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
559 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
560 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
561 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
562 abgefangen werden darf.
563
564
565 \clearpage
566 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
567 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
568 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
569 von einem "`Public-Key"'-Verschlüsselungssystem.
570
571 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
572 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
573 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
574 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
575 Zertifikat)~-- und den darf sowieso jeder kennen.
576
577 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
578 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
579 Schlüsselteile sind durch eine komplexe mathematische Formel
580 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
581 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
582 anderen zu berechnen und damit das Verfahren zu knacken. 
583
584 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
585
586 \htmlattributes*{img}{width=300}
587 \IncludeImage[width=0.5\textwidth]{verleihnix}
588
589
590 \clearpage
591 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode}
592 ist recht einfach:
593
594 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
595 key'' oder ,,private key'') muss geheim gehalten werden.
596
597 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
598 öffentlich wie möglich gemacht werden.
599
600 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
601
602 \bigskip
603
604 \begin{quote}
605     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
606 \end{quote}
607
608 \htmlattributes*{img}{width=300}
609 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
610
611 \begin{quote}
612     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
613 \end{quote}
614
615
616 \clearpage
617 \subsubsection{Der öffentliche Brieftresor}
618 \index{Brieftresor}
619
620 In einem kleinen Gedankenspiel wird die Methode des
621 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
622 Verschlüsselung\index{Symmetrische Verschlüsselung}
623 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
624 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
625
626 \bigskip
627
628 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
629
630 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
631 auf, über den Sie geheime Nachrichten übermitteln wollen.
632
633 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
634 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
635 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
636 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
637 Tresor.
638
639 \htmlattributes*{img}{width=300}
640 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
641
642 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
643 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
644 zuschließen und eine geheime Nachricht deponieren zu können.
645
646 \clearpage
647 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
648 Wege übergeben.
649
650 \bigskip
651 \bigskip
652
653 \htmlattributes*{img}{width=300}
654 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
655
656 \clearpage
657 Erst wenn der andere den geheimen Schlüssel hat, kann er den
658 Brieftresor öffnen und die geheime Nachricht lesen.
659
660 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
661 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
662 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
663 austauschen wie die Botschaft selbst.
664
665 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
666 gleich die geheime Mitteilung übergeben ...
667
668 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
669 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
670 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
671 könnten.
672
673 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
674
675 \htmlattributes*{img}{width=300}
676 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
677
678 \clearpage
679 \textbf{Nun zur "`Public-Key"'-Methode:}
680
681 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
682 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
683 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
684 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
685 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
686 \index{Asymmetrische Verschlüsselung}
687
688 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
689
690 \htmlattributes*{img}{width=300}
691 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
692
693 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
694 öffentlicher Schlüssel.
695
696 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
697 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
698 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
699 frei zugänglich.
700
701 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
702 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
703 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
704 nachträglich zu verändern.
705
706 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
707
708 Aufschließen kann man den Brieftresor nur mit einem einzigen
709 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
710
711 \clearpage
712 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
713 kann eine \Email{} an Sie verschlüsseln. 
714
715 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
716 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
717 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
718 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
719
720 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
721
722 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
723 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
724 verfügbaren Schlüssel.
725
726 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
727 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
728 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
729 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
730 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
731 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
732 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
733 und die Nachricht lesen.
734
735 \htmlattributes*{img}{width=300}
736 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
737
738 \clearpage
739 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
740 einen geheimen Schlüssel!?
741
742 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
743 allerdings ein gewaltiger:
744
745 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
746 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
747 Übergabe entfällt, sie verbietet sich sogar.
748
749 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
750 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
751 geheimes Codewort.
752
753 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
754 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
755 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
756 bringen kann.
757
758 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
759 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
760 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
761 eigenen Gedächtnis.
762
763 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
764 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
765 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
766
767
768 \clearpage
769 \chapter{Die Passphrase}
770 \label{ch:passphrase}
771 \index{Passphrase}
772
773 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
774 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
775 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
776 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
777 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
778 "`ganzen"' Kryptografieverfahrens.
779
780 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
781 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
782 diese Datei auszuschließen, wird sie zweifach gesichert:
783
784 \htmlattributes*{img}{width=300}
785 \IncludeImage[width=0.5\textwidth]{think-passphrase}
786
787 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
788 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
789 der Administrator des Computers immer auf alle Dateien zugreifen kann,
790 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
791 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
792
793 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
794 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
795 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
796 "`im Kopf"' behalten und niemals aufschreiben müssen.
797
798 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
799 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
800 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
801 und nur sehr schwer zu erratende Passphrase ausdenken können.
802
803 \clearpage
804 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
805
806 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
807
808 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
809
810 $\qquad$\verb-nieufdahnlnr- 
811 \texttt{\scriptsize{(Ei\textbf{n}
812 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
813 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
814 Ko\textbf{r}n.)}}
815
816 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
817 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
818 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
819 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
820 kann diese Passphrase niemand.
821
822 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
823 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
824 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
825 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
826 einem für Sie wichtigen Lied.
827
828 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
829 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
830 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
831 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
832 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
833 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
834 einer deutschen Tastatur finden.
835
836 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
837 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
838 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
839
840 $\qquad$\verb-In München steht ein Hofbräuhaus.-
841
842 könnte man beispielsweise diese Passphrase machen:
843
844 $\qquad$\verb-inMinschen stet 1h0f breuhome-
845
846 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
847 sich aber doch merken können, wie z.B.:
848
849 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im-
850
851 $\qquad$\verb-Winter.-
852
853 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
854 geheimen Schlüssel.
855
856 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
857 z.B. so:
858
859 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
860
861 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
862 eine noch kürzere Passphrase verwenden, indem Sie hier und da
863 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
864 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
865 vergessen, wird dabei größer.
866
867 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
868 sichere Passphrase ist dieses hier:
869
870 $\qquad$\verb-R!Qw"s,UIb *7\$-
871
872 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
873 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
874 für die Erinnerung hat.
875
876 \clearpage
877 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
878 sie ...
879
880 \begin{itemize}
881     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
882         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
883         wäre damit bereits einer anderen, möglicherweise unsicheren
884         Software bekannt.  Falls hier ein Hacker erfolgreich
885         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
886
887     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
888         können in Minutenschnelle komplette digitale Wörterbücher über
889         ein Passwort laufen lassen -- bis eines der Wörter passt.
890
891     \item ... aus einem Geburtsdatum, einem Namen oder anderen
892         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
893         zu entschlüsseln, wird sich diese Daten beschaffen.
894
895     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
896         enden"' oder "`to be or not to be"'. Auch mit derartigen
897         gängigen Zitaten testen Passphrase-Knackprogramme eine
898         Passphrase.
899
900     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
901         besteht.  Denken Sie sich unbedingt eine längere Passphrase
902         aus.
903 \end{itemize}
904
905 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
906 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
907 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
908 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
909 nicht eines dieser Beispiele genommen haben.
910
911 \bigskip
912
913 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
914 Unvergesslich und unknackbar.
915
916 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
917 Erzeugung Ihres Schlüsselpaars benötigen.
918
919 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
920 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
921 Nachrichten schicken will, auch tatsächlich echt ist.
922
923
924 \clearpage
925 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
926 \label{ch:openpgpsmime}
927 \index{OpenPGP} \index{S/MIME}
928
929 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
930 wie man ihn mit den Mitteln der modernen Informationstechnologie
931 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
932 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
933 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
934 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
935
936 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
937 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
938 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
939 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
940 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
941 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
942 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
943 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
944 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
945 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
946 -- die \textbf{Authentizität}. \index{Authentizität}
947
948 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
949 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
950 Alltagsleben dient zu dieser
951 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
952 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
953 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
954 Institution von einer übergeordneten Behörde und letztendlich vom
955 Gesetzgeber. Anders betrachtet, handelt es sich um eine
956 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
957 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
958 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
959
960 Dieses Konzept findet sich bei Gpg4win oder anderen
961 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
962 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
963 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
964 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
965 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
966 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
967 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
968 können Sie mit Gpg4win beide Verfahren einsetzen.
969
970
971 \clearpage
972 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
973 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
974 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
975 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
976 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
977 wiederum mit dem Zertifikat einer höher stehenden Organisation
978 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
979 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
980 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
981 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
982 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
983 das Anwenderzertifikat.
984
985 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
986 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
987 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
988 \index{Web of Trust}
989 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
990 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
991 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
992 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
993 dieser Schlüssel durch A beglaubigt wurde.
994
995 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
996 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
997 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
998 Zertifikat Ihres Kommunikationspartners vertrauen.
999
1000 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1001 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1002 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1003 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1004 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1005 installieren und die folgenden Kapitel zu verstehen:
1006
1007 \begin{itemize}
1008     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1009         bieten die notwendige Sicherheit.
1010     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1011         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1012         geheimen Kommunikation. Man sagt somit, sie sind nicht
1013         interoperabel.
1014     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1015         beider Verfahren -- Sie müssen sich aber bei jeder
1016         Verschlüsselung/Signierung für eines der beiden entscheiden.
1017 \end{itemize}
1018
1019 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1020 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1021 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1022 zusammen.
1023
1024 \begin{latexonly} %no hyperlatex
1025 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1026 Symbolen auf die beiden Alternativen hin:
1027 \IncludeImage[width=2.5cm]{openpgp-icon}
1028 \hspace{1cm}
1029 \IncludeImage[width=2.5cm]{smime-icon}
1030 \end{latexonly}
1031
1032
1033 \clearpage
1034 \chapter{Installation von Gpg4win}
1035 \index{Installation}
1036
1037 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1038 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1039 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1040 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1041 sollten Sie schon wissen, was vor sich geht.
1042
1043 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1044 Schlüsselpaar einzurichten.
1045
1046 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1047 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1048 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1049 vorhandenen Zertifikate übernehmen können.
1050
1051 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1052 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1053 Windows-Betriebssystem. 
1054
1055 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1056 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1057 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1058 Installation klicken Sie nach dem Download auf die Datei:
1059
1060 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1061
1062 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1063 klicken Sie auf das \linebreak Installations-Icon "`Gpg4win"'.
1064 Die weitere Installation ist dann identisch.
1065
1066 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1067 mit \Button{Ja}.
1068
1069 \clearpage
1070 Der Installationsassistent startet und befragt Sie zuerst nach der
1071 Sprache für den Installationsvorgang:
1072
1073 % screenshot: Installer Sprachenauswahl
1074 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1075
1076 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1077
1078 Anschließend begrüßt Sie dieser Willkommensdialog:
1079
1080 % screenshot: Installer Willkommensseite
1081 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1082
1083 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1084 Sie dann auf \Button{Weiter}.
1085
1086 \clearpage
1087 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1088 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1089 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1090 sofort tun -- auch ohne die Lizenz zu lesen.
1091
1092 % screenshot: Lizenzseite des Installers
1093 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1094
1095 Klicken Sie auf \Button{Weiter}.
1096
1097 \clearpage
1098 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1099 entscheiden, welche Programme Sie installieren möchten.
1100
1101 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1102 Komponenten auch später installieren. 
1103
1104 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1105 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1106 Festplatten-Platzes aller ausgewählten Komponenten.
1107
1108 % screenshot: Auswahl zu installierender Komponenten
1109 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1110
1111 Klicken Sie auf \Button{Weiter}.
1112
1113 \clearpage
1114 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1115 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1116
1117 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1118 in dem Sie Gpg4win installieren wollen.
1119
1120 % screenshot: Auswahl des Installationsverzeichnis.
1121 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1122
1123 Klicken Sie anschließend auf \Button{Weiter}.
1124
1125 \clearpage
1126 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1127 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1128 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1129 verändern.
1130
1131 % screenshot: Auswahl der Startlinks
1132 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1133
1134 Klicken Sie anschließend auf \Button{Weiter}.
1135
1136 \clearpage
1137 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1138 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1139 dieses Startmenüs festlegen oder einfach übernehmen.
1140
1141 % screenshot:  Startmenu auswählen
1142 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1143
1144 Klicken Sie dann auf \Button{Installieren}.
1145
1146 \clearpage
1147 Während der nun folgenden \textbf{Installation} sehen Sie einen
1148 Fortschrittsbalken und Informationen, welche Datei momentan
1149 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1150 drücken, um ein Protokoll der Installation sichtbar zu machen.
1151
1152 % screenshot: Ready page Installer
1153 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1154
1155 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1156 \Button{Weiter}.
1157
1158 \clearpage
1159 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1160 Installationsvorgangs angezeigt:
1161
1162 % screenshot: Finish page Installer
1163 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1164
1165 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1166 wichtige Informationen zu der soeben installierten Gpg4win-Version
1167 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1168 deaktivieren Sie diese Option.
1169
1170 Klicken Sie schließlich auf \Button{Fertig stellen}.
1171
1172 \clearpage
1173 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1174 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1175
1176 % screenshot: Finish page Installer with reboot
1177 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1178
1179 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1180 gestartet werden soll.
1181
1182 Klicken Sie auf \Button{Fertig stellen}.
1183
1184 %TODO: NSIS-Installer anpassen, dass vor diesem
1185 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1186 %erscheint.
1187 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1188 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1189 über das Startmenü:\\
1190 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$
1191 Gpg4win README}
1192
1193 \clearpage
1194 \textbf{Das war's schon!}
1195
1196 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1197 ersten Mal starten.
1198
1199 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1200 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1201 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1202 von Gpg4win"' weiter.
1203
1204
1205 \clearpage
1206 \chapter{Erstellung eines Zertifikats}
1207 \label{ch:CreateKeyPair}
1208 \index{Zertifikat!erstellen}
1209 \index{Schlüssel!erzeugen}
1210
1211 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1212 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1213 Schutz Ihres geheimen Schlüssels entsteht
1214 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1215 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1216
1217 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1218 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1219 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1220 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1221 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1222 Schlüssel.
1223
1224 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1225 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1226 "`X.509"'\index{X.509}).
1227
1228 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1229 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1230
1231 \T\marginOpenpgp
1232 Genau das können Sie tun -- allerdings nur für OpenPGP:
1233
1234 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1235 \index{Beglaubigung} entscheiden,
1236 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1237 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1238 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1239
1240 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1241 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1242 wird danach kein Problem mehr sein.
1243
1244 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1245 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP stammt und
1246 bis auf Weiteres in Betrieb ist.  Auch in diesem Kompendium können wir
1247 die Benutzung des Übungsroboters nur empfehlen. Wir bedanken uns bei
1248 den Inhabern von gnupp.de für den Betrieb von Adele.
1249
1250 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1251 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1252 machen. Doch dazu später mehr.
1253
1254 \clearpage
1255 \textbf{Los geht's!}
1256 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1257
1258 % screenshot Startmenu with Kleopatra highlighted
1259 \htmlattributes*{img}{width=400}
1260 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1261
1262 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra} --
1263 die Zertifikatsverwaltung:
1264 \index{Zertifikatsverwaltung}
1265
1266 % screenshot: Kleopatra main window
1267 \htmlattributes*{img}{width=508}
1268 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1269
1270 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1271 Zertifikate erstellt (oder importiert) haben. 
1272
1273 \clearpage
1274 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1275
1276 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1277 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1278 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1279 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1280 Kapitel~\ref{ch:openpgpsmime} erläutert.
1281
1282 \label{chooseCertificateFormat}
1283 % screenshot: Kleopatra - New certificate - Choose format
1284 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1285
1286 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1287 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1288 zusammen.
1289
1290 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1291 haben, lesen Sie nun also bitte entweder:
1292 \begin{itemize}
1293     \item Abschnitt \ref{createKeyPairOpenpgp}:
1294         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1295         Seite) oder
1296     \item Abschnitt \ref{createKeyPairX509}:
1297         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1298         \pageref{createKeyPairX509}).
1299 \end{itemize}
1300
1301
1302
1303 \clearpage
1304 \section{OpenPGP-Zertifikat erstellen}
1305 \label{createKeyPairOpenpgp}
1306 \index{OpenPGP!Zertifikat erstellen}
1307
1308 \T\marginOpenpgp
1309 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1310 OpenPGP-Schlüsselpaar erzeugen}.
1311
1312
1313 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1314 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1315 sichtbar.
1316
1317 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1318 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1319 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1320 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1321 Name und die \Email{}-Adresse später öffentlich sichtbar.
1322
1323 % screenshot: Creating OpenPGP Certificate - Personal details
1324 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1325
1326 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1327 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1328 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1329 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1330
1331 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1332 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1333 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1334 informieren.
1335
1336 Klicken Sie auf \Button{Weiter}.
1337
1338 \clearpage
1339 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1340 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1341 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1342 über die Option \Menu{Alle Details} einsehen.
1343
1344 % screenshot: Creating OpenPGP Certificate - Review Parameters
1345 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1346
1347 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1348 erzeugen}.
1349
1350 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1351 \textbf{Passphrase}!
1352
1353 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1354 Passphrase eingeben:
1355
1356 % screenshot: New certificate - pinentry
1357 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1358
1359 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1360 jetzt eine einfach zu merkende und schwer zu knackende geheime
1361 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1362 ein!
1363
1364 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1365 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1366
1367 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1368 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1369 hingewiesen.
1370
1371 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1372 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1373
1374 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1375 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1376 \Button{OK}.
1377
1378 \clearpage
1379 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1380 % screenshot: Creating OpenPGP Certificate - Create Key
1381 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1382
1383 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1384 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1385 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1386 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1387 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1388 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1389 Qualität des erzeugten Schlüsselpaars.
1390
1391 \clearpage
1392 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1393 erhalten Sie folgenden Dialog:
1394
1395 % screenshot: Creating OpenPGP certificate - key successfully created
1396 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1397
1398 Im Ergebnis-Textfeld wird der 40-stellige
1399 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1400 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1401 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1402 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1403 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1404 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1405 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1406 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1407 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1408 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1409 der Fingerabdruck einer Person.
1410
1411 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1412 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1413 sich ihn jederzeit später anzeigen lassen.
1414
1415 \clearpage
1416 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1417 folgenden drei Schaltflächen betätigen:
1418
1419 \begin{description}
1420
1421 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1422     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1423     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1424     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1425
1426     % screenshot: New OpenPGP certificate - export key
1427     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1428
1429     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1430     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1431     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1432     "`ASCII armor"') ein- bzw. ausschalten.
1433
1434     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1435
1436     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1437     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1438     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1439     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1440     belassen!  Bewahren Sie diesen Datenträger mit der
1441     Sicherheitskopie sicher auf.
1442
1443     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1444     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1445     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1446     Kapitel \ref{ch:ImExport}).
1447
1448 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1449     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1450     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1451     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1452     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1453     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1454
1455     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1456     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1457     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1458     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1459     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1460     und versenden diese Datei per \Email{} an Ihre
1461     Korrespondenzpartner. Weitere Details finden Sie im
1462     Abschnitt~\ref{sec_publishPerEmail}.
1463
1464 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1465     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1466     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1467     auf diesem Server veröffentlichen, erfahren Sie in
1468     Kapitel~\ref{ch:keyserver}.
1469
1470 \end{description}
1471
1472 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1473 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1474
1475 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1476 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1477 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1478
1479
1480 \clearpage
1481 \section{X.509-Zertifikat erstellen}
1482 \label{createKeyPairX509}
1483 \index{X.509!Zertifikat erstellen}
1484
1485 \T\marginSmime
1486 Klicken Sie im Zertifikatsformat-Auswahldialog von
1487 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1488 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1489 erstellen}.
1490
1491
1492 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1493 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1494 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1495 = locality) und Abteilung (OU = organizational unit) ergänzen.
1496
1497 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1498 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1499 Organisation sowie Ländercode und geben irgendeine ausgedachte
1500 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1501 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1502
1503 % screenshot: New X.509 Certificate - Personal details
1504 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1505
1506 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1507 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1508 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1509 informieren.
1510
1511 Klicken Sie auf \Button{Weiter}.
1512
1513 \clearpage
1514 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1515 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1516 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1517 über die Option \Menu{Alle Details} einsehen.
1518
1519 % screenshot: New X.509 Certificate - Review Parameters
1520 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1521
1522 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1523
1524 \clearpage
1525 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1526
1527 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1528 Passphrase einzugeben:
1529
1530 % screenshot: New X.509 certificate - pinentry
1531 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1532
1533 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1534 jetzt eine einfach zu merkende und schwer zu knackende geheime
1535 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1536 ein!
1537
1538 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1539 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1540
1541 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1542 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1543 hingewiesen.
1544
1545 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1546 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1547
1548 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1549 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1550 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1551 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1552 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1553 \Button{OK}.
1554
1555 \clearpage
1556 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1557 % screenshot: New  X.509 Certificate - Create Key
1558 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1559
1560 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1561 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1562 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1563 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1564 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1565 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1566 Qualität des erzeugten Schlüsselpaars.
1567
1568 \clearpage
1569 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1570 erhalten Sie folgenden Dialog:
1571
1572 % screenshot: New X.509 certificate - key successfully created
1573 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1574
1575 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1576
1577 \begin{description}
1578
1579 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1580     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1581     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1582     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1583     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1584     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1585     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1586     die kostenlos X.509-Zertifikate ausstellt.
1587
1588 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1589     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1590     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1591     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1592     den vorbereiteten Text dieser \Email{}.
1593
1594     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1595     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1596     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1597     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1598     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1599     Authority, CA).
1600
1601     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1602     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1603     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1604     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1605
1606 \end{description}
1607
1608 Beenden Sie anschließend den Kleopatra-Assistenten mit
1609 \Button{Fertigstellen}.
1610
1611
1612 \clearpage
1613 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1614
1615 \T\marginSmime
1616 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1617 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1618 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1619 für ihre Zertifikate erheben.
1620
1621 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1622 müssen Sie sich zunächst bei
1623 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1624
1625 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1626 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1627 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1628 sichere Pass\-phrase für Ihr Zertifikat fest.
1629
1630 Ihr Client-Zertifikat wird nun erstellt.
1631
1632 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1633 neu erstellten X.509-Zertifikat und dem dazugehörigen
1634 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1635
1636 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1637 Browser. Bei Firefox können Sie danach z.B. über
1638 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1639 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1640 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1641
1642 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1643 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1644 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1645 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1646 Internetseiten von CAcert.
1647
1648 Speichern Sie abschließend eine Sicherungskopie Ihres
1649 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1650 erhält automatisch die Endung \Filename{.p12}.
1651
1652 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1653 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1654 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1655 gelangt.
1656
1657 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1658 erfahren Sie in Kapitel \ref{ch:ImExport}.
1659
1660 ~\\
1661 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1662 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1663 wieder identisch.
1664
1665
1666 \clearpage
1667 \section{Zertifikatserstellung abgeschlossen}
1668 \label{sec_finishKeyPairGeneration}
1669
1670 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1671 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1672 einzigartigen elektronischen Schlüssel.}
1673
1674 Im weiteren Verlauf des Kompendiums wird nur noch ein
1675 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1676 auch entsprechend für ein X509-Zertifikat.
1677
1678 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1679
1680 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1681 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1682 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1683
1684 % screenshot: Kleopatra with new openpgp certificate
1685 \htmlattributes*{img}{width=508}
1686 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1687
1688 \clearpage
1689 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1690 sehen zu können:
1691
1692 % screenshot: details of openpgp certificate
1693 \htmlattributes*{img}{width=508}
1694 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1695
1696 Was bedeuten die einzelnen Zertifikatsdetails?
1697
1698 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1699 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1700 Sie auf \Button{Ablaufdatum ändern}.
1701
1702 \textbf{Weitere Details zum Zertifikat finden Sie im
1703 Kapitel~\ref{ch:CertificateDetails}.}
1704
1705
1706 \clearpage
1707 \chapter{Verbreitung des öffentlichen Zertifikats}
1708 \label{ch:publishCertificate}
1709 \index{Zertifikat!verbreiten}
1710
1711 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1712 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1713 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1714 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1715 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1716 Geheimhaltung bereits erledigt.
1717
1718 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1719 können und sollen öffentliche Zertifikate von Ihren
1720 Korrespondenzpartnern haben -- je mehr, desto besser.
1721
1722 Denn:
1723
1724 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1725 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1726 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1727 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1728 der Zertifikatsverwaltung Kleopatra.}
1729
1730 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1731 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1732 benutzen.
1733
1734 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1735 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1736 benutzen.
1737
1738 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1739 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1740 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1741 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1742 beispielsweise ...
1743
1744 \begin{itemize}
1745     \item ... direkt per \textbf{\Email{}} an bestimmte
1746     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1747     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1748         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1749     \item ... über die eigene Homepage.
1750     \item ... persönlich, z.B. per USB-Stick.
1751 \end{itemize}
1752
1753 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1754 Seiten näher anschauen.
1755
1756 \clearpage
1757 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1758 \label{sec_publishPerEmail}
1759
1760 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1761 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1762 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1763 erfahren Sie in diesem Abschnitt.\\ 
1764
1765 \T\marginOpenpgp
1766 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1767 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1768 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1769 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1770 Seite~\pageref{publishPerEmailx509}.
1771
1772 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1773 zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen
1774 und netten jungen Dame lieber korrespondiert als mit einem Stück
1775 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1776 Adele so vorstellen:
1777
1778 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1779 \IncludeImage[width=0.5\textwidth]{adele01}
1780
1781 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1782 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1783 eine verschlüsselte \Email{} an Sie zurück.
1784
1785 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1786 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1787 legt Adele ihr eigenes öffentliches Zertifikat bei.
1788
1789 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1790 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1791 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1792 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1793 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1794
1795 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1796 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1797 den nächsten Seiten.
1798
1799
1800 \clearpage
1801 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1802 \index{Zertifikat!exportieren}
1803
1804 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1805 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1806 Zertifikate) und klicken Sie dann auf
1807 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1808 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1809 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1810 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1811 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1812 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1813 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1814
1815 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1816 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1817 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1818 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1819
1820 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1821 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1822 Exportieren angegeben haben.
1823
1824 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1825 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1826 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1827 ziemlich wirrer Text- und Zahlenblock:
1828
1829 % screenshot: Editor mit ascii armored key
1830 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1831
1832 \clearpage
1833 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1834 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1835 versenden kann oder nicht.
1836
1837 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1838 \Email{}-Text versenden}
1839
1840 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1841 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1842 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1843 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1844 Zertifikat eigentlich besteht.
1845
1846 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1847 Zertifikat von
1848
1849 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1850 bis\\
1851 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1852
1853 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1854 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1855 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1856 kopiert.
1857
1858 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1859 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1860 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1861 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1862 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1863
1864 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1865 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1866 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1867 \ref{appendix:gpgol}).
1868
1869 \textbf{Adressieren} Sie nun diese \Email{} an
1870 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1871 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1872
1873 \clearpage
1874 So etwa sollte Ihre \Email{} nun aussehen:
1875
1876 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1877 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1878
1879 Schicken Sie die \Email{} an Adele ab.
1880
1881 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1882 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1883 Sie nie Antwort von Adele bekommen ...
1884
1885 \clearpage
1886 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1887 versenden}
1888
1889 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1890 öffentliches OpenPGP-Zertifikat auch direkt als
1891 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1892 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1893 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1894 leichter nachzuvollziehen ist.
1895
1896 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1897 der Zertifikatsdatei im Anhang:
1898
1899 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1900 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1901 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1902 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1903 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
1904 Dateianhang}.
1905
1906 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
1907 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
1908 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
1909
1910 Ihre fertige \Email{} sollte dann etwa so aussehen:
1911
1912 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1913 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1914
1915 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1916
1917 \clearpage
1918 \subsubsection{Kurz zusammengefasst}
1919
1920 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
1921 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
1922 direkt in eine \Email{} kopiert und einmal die komplette Datei als
1923 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
1924 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
1925
1926 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
1927 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
1928 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
1929 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
1930 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
1931 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
1932
1933 \clearpage
1934 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
1935 \label{sec_publishPerKeyserver}
1936
1937 \T\marginOpenpgp
1938 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
1939 einen OpenPGP-Zertifikats\-server verbreiten.}
1940
1941 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
1942 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
1943 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
1944 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
1945 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1946 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
1947 Korrespondenzpartner.
1948
1949 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
1950 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
1951 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
1952 Spam-Schutz.
1953
1954 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
1955 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
1956 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
1957
1958 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
1959 eine Warnmeldung:
1960
1961 % screenshot: Kleopatra keyserver export warning
1962 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1963
1964 Es ist der öffentliche OpenPGP-Zertifikatsserver
1965 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
1966 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
1967 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
1968 Zertifikat an alle weltweit verbundenen Zertifikatsserver
1969 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
1970 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
1971 benutzen, Ihnen eine sichere \Email{} zu schreiben.
1972
1973 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
1974 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
1975 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
1976 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
1977 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
1978 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
1979
1980 \clearpage
1981 \subsubsection{Kurz zusammengefasst}
1982 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
1983 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
1984
1985 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
1986 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
1987 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
1988 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
1989
1990
1991 \clearpage
1992 \section{Veröffentlichen von X.509-Zertifikaten}
1993 \label{publishPerEmailx509}
1994
1995 \T\marginSmime
1996 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
1997 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
1998 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
1999 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2000 Zertifikatsverwaltung importiert werden.
2001
2002 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2003 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2004 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2005 oder testweise an sich selbst schreiben.
2006
2007 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2008 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2009 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2010 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2011
2012 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2013 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2014 markieren und in einer Datei
2015 abspeichern -- in der Regel also Wurzelzertifikat,
2016 CA-Zertifikat\index{CA-Zertifikat} und
2017 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2018
2019 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2020 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2021 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2022 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2023 Zertifikate gemeinsam in eine Datei.
2024
2025 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2026 muss er diesem das Vertrauen aussprechen bzw. durch einen
2027 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2028 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2029 der selben  "`Wurzel"' gehören), dann besteht diese
2030 Vertrauensstellung bereits.
2031
2032
2033 \clearpage
2034 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2035 \label{ch:decrypt}
2036 \index{E-Mail!entschlüsseln}
2037
2038 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2039 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2040
2041 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2042 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2043 GpgOL entschlüsseln. \index{Outlook}
2044 \index{Outlook}
2045
2046 \T\marginOpenpgp
2047 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2048 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2049 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2050 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2051 \pageref{encrypt-smime}.
2052
2053 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2054 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2055 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2056 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2057
2058 % cartoon: Adele typing and sending a mail
2059 \IncludeImage[width=0.5\textwidth]{adele02}
2060
2061 \clearpage
2062 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2063
2064 Für die meisten \Email{}-Programme gibt es spezielle
2065 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2066 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2067 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2068 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2069 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2070 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2071 lesen oder später, wenn Sie diese Funktion benötigen.
2072
2073 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2074 Adele.
2075
2076 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2077 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2078 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2079 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2080 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2081 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2082 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2083 oder entschlüsseln.
2084
2085 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2086 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2087 verschlüsselt.
2088
2089 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2090 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2091 Passphrase ein.
2092
2093 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2094 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2095
2096 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2097 aufrufen, indem Sie im Menü der geöffneten \Email{}
2098 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2099
2100 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2101
2102 \clearpage
2103 \subsubsection{Die entschlüsselte Nachricht}
2104
2105 Die entschlüsselte Antwort von Adele sieht in etwa so
2106 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2107 etwas unterschiedlich aussehen.}:
2108
2109 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2110 %TODO: Schlüssel -> Zertifikat
2111
2112 \begin{verbatim}
2113 Hallo Heinrich Heine,
2114
2115 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2116
2117 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2118 FE7EEC85C93D94BA und der Bezeichnung
2119 `Heinrich Heine <heinrich@gpg4win.de>'
2120 wurde von mir empfangen.
2121
2122 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2123 dem freundlichen E-Mail-Roboter.
2124
2125 Viele Grüße,
2126 adele@gnupp.de
2127 \end{verbatim}
2128
2129 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2130 Adele.
2131
2132 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2133 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2134 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2135 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2136 \Email{}s verwenden.
2137
2138 \clearpage
2139 \subsubsection{Kurz zusammengefasst}
2140
2141 \begin{enumerate}
2142     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2143         Schlüssel entschlüsselt.
2144     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2145         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2146         können.
2147 \end{enumerate}
2148
2149
2150 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2151 \label{encrypt-smime}
2152
2153 \T\marginSmime
2154 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2155 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2156
2157 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2158
2159 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2160 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2161 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2162 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2163
2164 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2165 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2166 unterstützt nur OpenPGP.
2167
2168 \clearpage
2169 \chapter{Öffentliches Zertifikat importieren}
2170 \label{ch:importCertificate}
2171 \index{Zertifikat!importieren}
2172
2173 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2174 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2175 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2176 auf -- z.B. Kleopatra.
2177
2178 \subsubsection{Öffentliches Zertifikat abspeichern}
2179
2180 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2181 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2182 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2183 \Email{} bekommen haben, gehen Sie wie folgt vor:
2184
2185 \begin{itemize}
2186
2187 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2188     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2189     Ihrem \Email{}-Programm gewohnt sind.
2190
2191 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2192     innerhalb der \Email{} übermittelt, dann müssen Sie das
2193     vollständige Zertifikat markieren:
2194
2195     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2196     von
2197
2198     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2199     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2200
2201     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2202     getan haben.
2203
2204     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2205     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2206     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2207     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2208     \Filename{.pem} oder \Filename{.der} wählen.
2209
2210 \end{itemize}
2211
2212 \clearpage
2213 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2214
2215 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2216 Textblock abgespeichert haben -- in beiden Fällen importieren
2217 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2218
2219 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2220
2221 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2222 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2223 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2224 dem Ergebnis des Importvorgangs:
2225
2226 % screenshot: Kleopatra - certificate import dialog
2227 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2228
2229 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2230 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2231 \Menu{Importierte Zertifikate} von
2232 \Menu{<Pfad-zur-Zertifikatsdatei>}"':
2233
2234 % screenshot Kleopatra with new certificate
2235 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2236
2237 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2238 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2239 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2240 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2241
2242 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2243 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2244
2245 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2246 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2247 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2248 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2249 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2250
2251 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2252 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2253 über weltweit erreichbare Zertifikatsserver suchen und importieren
2254 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2255 nachlesen.\\
2256
2257 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2258 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2259 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2260 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2261
2262 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2263 wirklich seinem Absender gehört?
2264
2265 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2266 Kapitel~\ref{ch:trust} erläutert.}
2267
2268 \clearpage
2269 \chapter{Die Zertifikatsprüfung}
2270 \label{ch:trust}
2271
2272 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2273 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2274 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2275 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2276 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2277 Absenderangabe auf einem Briefumschlag.
2278
2279 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2280 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2281 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2282 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2283 Identität des Absenders.
2284
2285 \clearpage
2286 \subsubsection{Der Fingerabdruck}
2287 \index{Fingerabdruck}
2288 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2289 die Sache mit der Identität schnell geregelt: Sie prüfen den
2290 Fingerabdruck des anderen Zertifikats.
2291
2292 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2293 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2294 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2295 "`Fingerabdruck"'.
2296
2297 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2298 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2299 dessen 40-stelligen Fingerabdruck:
2300
2301 % screenshot: GPA key listing with fingerprint
2302 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2303
2304 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2305 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2306
2307 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2308 seinen Besitzer eindeutig.
2309
2310 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2311 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2312 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2313 Sie eindeutig das richtige Zertifikat.
2314
2315 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2316 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2317 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2318 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2319 garantiert authentische Visitenkarte haben, so können Sie sich den
2320 Anruf ersparen.
2321
2322
2323 \clearpage
2324 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2325 \index{Zertifikat!beglaubigen}
2326
2327 \T\marginOpenpgp
2328 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2329 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2330 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2331 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2332 vorbehalten.
2333
2334
2335 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2336 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2337 autentisch -- halten:
2338 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2339 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2340
2341 ~\\
2342 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2343 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2344 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2345 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2346
2347 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2348 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2349
2350 % screenshot: Kleopatra certify certificate 1
2351 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2352
2353 \clearpage
2354 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2355 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2356
2357 % screenshot: Kleopatra certify certificate 2
2358 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2359
2360 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2361 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2362 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2363 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2364 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2365 Verfügung zu stellen.
2366
2367 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2368
2369 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2370 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2371 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2372 abgeschlossen.
2373
2374 \clearpage
2375 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2376
2377 % screenshot: Kleopatra certify certificate 3
2378 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2379
2380 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2381 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2382 Wählen Sie den Reiter \linebreak \Menu{Benutzer-Kennungen und
2383 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2384 Beglaubigungen ein}.
2385
2386 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2387 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2388 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2389
2390 \clearpage
2391 \subsubsection{Das Netz des Vertrauens}
2392 \index{Netz des Vertrauens|see{Web of Trust}}
2393 \index{Web of Trust}
2394
2395 \T\marginOpenpgp
2396 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2397 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2398 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2399 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2400 direkt auf Echtheit (Autentizität) zu prüfen.
2401
2402 \htmlattributes*{img}{width=300}
2403 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2404
2405 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2406 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2407 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2408 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2409 Ihnen und niemandem sonst gehört.
2410
2411 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2412 Beglaubigungs-Infra\-struktur.
2413
2414 Eine einzige Möglichkeit ist denkbar, mit der man diese
2415 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2416 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2417 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2418 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2419 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2420 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2421 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2422
2423 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2424 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2425 nicht die Lösung sein ...
2426
2427
2428 \clearpage
2429 \subsubsection{Beglaubigungsinstanzen}
2430 \index{Beglaubigungsinstanzen}
2431 \index{Certificate Authority (CA)}
2432
2433 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2434 vertrauen können. Sie prüfen ja auch nicht persönlich den
2435 Personalausweis eines Unbekannten durch einen Anruf beim
2436 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2437 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2438 beglaubigt hat.
2439
2440 \T\marginOpenpgp
2441 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2442 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2443 lange einen solchen Dienst kostenlos an, ebenso wie viele
2444 Universitäten.
2445
2446 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2447 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2448 man sich darauf verlassen können.
2449  
2450 \T\marginSmime
2451 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2452 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2453 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2454 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2455 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2456 Benutzerzertifikate zu beglaubigen (vgl.
2457 Kapitel~\ref{ch:openpgpsmime}).
2458
2459 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2460 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2461 berechtigte Institution geben, die die Befugnis dazu wiederum von
2462 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2463 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2464 eines Zertifikates durch den Beglaubigenden.
2465
2466 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2467 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2468 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2469 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2470 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2471 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2472 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2473 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2474 entsprechen.
2475
2476 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2477 sich z.B. bei folgenden Webadressen über dieses und viele andere
2478 IT-Sicherheits-Themen informieren:
2479 \begin{itemize}
2480     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2481     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2482     \item \uniurl[www.gpg4win.de]{http://www.bsi.de}
2483 \end{itemize}
2484
2485 Eine weitere, eher technische Informationsquelle zum Thema
2486 der Beglaubigungsinfrastrukturen bietet das 
2487 GnuPG Handbuch das Sie ebenfalls im Internet unter finden
2488 \linebreak(\uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}).
2489
2490 \clearpage
2491 \chapter{\Email{}s verschlüsseln}
2492 \label{ch:encrypt}
2493 \index{E-Mail!verschlüsseln}
2494
2495 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2496 \Email{}.
2497
2498 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2499 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2500 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2501
2502
2503 \textbf{Hinweis für OpenPGP:}
2504
2505 \T\marginOpenpgp
2506 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2507 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2508 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2509 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2510 nicht wirklich lesen.
2511
2512
2513 \textbf{Hinweis für S/MIME:}
2514
2515 \T\marginSmime
2516 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2517 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2518 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2519 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2520 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2521 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2522
2523 % screenshot: GpgOL options
2524 \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2525
2526 \clearpage
2527 \subsubsection{Nachricht verschlüsselt versenden}
2528
2529 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2530 Sie diese an Ihren Korrespondenzpartner.
2531
2532 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2533 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2534 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2535 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2536 auch direkt auf das Schloss klicken.
2537
2538 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2539
2540 % screenshot: OL composer with Adele's address and body text
2541 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2542
2543 Klicken Sie nun auf \Button{Senden}.
2544
2545 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2546 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2547 Ihres Korrespondenzpartners vorliegt.
2548
2549 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2550 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2551 Nachricht verschlüsselt und versendet.
2552
2553 In den GpgOL-Optionen können Sie auch PGP/MIME oder S/MIME für alle
2554 signierten und verschlüsselten Nachrichten als Voreinstellung
2555 definieren: \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}.
2556
2557
2558 \clearpage
2559 \subsubsection{Zertifikatsauswahl}
2560 \index{Zertifikat!Auswahl}
2561 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2562 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2563 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2564 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2565 selbstständig auswählen können.
2566
2567 % screenshot: kleopatra encryption dialog - certificate selection
2568 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2569
2570 Sollte Kleopatra das öffentliche Zertifikat Ihres
2571 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2572 in Ihre Zertifikatsverwaltung importiert (vgl.
2573 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2574 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2575 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2576 Kapitel~\ref{sec_allow-mark-trusted}).
2577
2578
2579 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2580 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2581 verschlüsselt werden.
2582
2583 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2584 \begin{quote}
2585   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2586   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2587 \end{quote}
2588
2589
2590 \clearpage
2591 \subsubsection{Verschlüsselung abschließen}
2592 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2593 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2594
2595 % screenshot: kleopatra encryption successfully
2596 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2597
2598 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2599 verschlüsselt!}
2600
2601
2602 \chapter{\Email{}s signieren}
2603 \label{ch:sign}
2604 \index{E-Mail!signieren}
2605
2606 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2607 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2608 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2609
2610 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2611 Zertifikat, sondern auch eine komplette \linebreak \textbf{\Email{}
2612 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2613 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2614
2615 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2616 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2617 oder verändert wurde.
2618
2619 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2620 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2621 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2622 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2623 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2624
2625 Sie haben sicher bemerkt, dass diese digitale
2626 Signatur\index{Signatur!digitale} nicht mit der
2627 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2628 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2629 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2630 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2631 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2632
2633 Übrigens ist die digitale Signatur auch nicht mit der
2634 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2635 elektronische} gleichzusetzen, wie sie im Signaturgesetz
2636 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2637 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2638 allerdings genau denselben Zweck.
2639
2640 % cartoon: Müller mit Schlüssel
2641 \htmlattributes*{img}{width=300}
2642 \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2643
2644 \clearpage
2645 \section{Signieren mit GpgOL}
2646
2647 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2648 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2649 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2650 folgende Schritte durch:
2651
2652 \begin{itemize}
2653     \item Nachricht signiert versenden
2654     \item Zertifikatsauswahl
2655     \item Signierung abschließen
2656 \end{itemize}
2657
2658 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2659
2660 %\clearpage
2661 \subsubsection{Nachricht signiert versenden}
2662
2663 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2664 Sie diese an Ihren Korrespondenzpartner.
2665
2666 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2667 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2668 Schaltfläche mit dem signierenden Stift oder alternativ den
2669 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2670
2671 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2672
2673 % screenshot: OL composer with Adele's address and body text
2674 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2675
2676 Klicken Sie nun auf \Button{Senden}.
2677
2678 \clearpage
2679 \subsubsection{Zertifikatsauswahl}
2680
2681 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2682 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2683 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2684
2685 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2686 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2687 Signieren nach dem gewünschten Protokollverfahren:
2688
2689 % screenshot: kleopatra format choice dialog
2690 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2691
2692 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2693 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2694 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2695 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2696 Schlüssel vorliegt:
2697
2698 % screenshot: kleopatra format choice dialog
2699 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2700
2701 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2702
2703
2704 \clearpage
2705 \subsubsection{Signierung abschließen}
2706 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2707 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2708
2709 % screenshot: kleopatra sign dialog 2 - choose certificate
2710 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2711
2712 Dies ist notwendig, denn Sie wissen:
2713 \begin{quote}
2714     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2715 \end{quote}
2716 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2717 Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das
2718 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2719 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2720
2721 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2722 Nachricht wird nun signiert und versendet.
2723
2724 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2725 Ergebnisdialog:
2726
2727 % screenshot: kleopatra sign successful
2728 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2729
2730 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2731 signiert!}
2732
2733
2734 \clearpage
2735 \subsubsection{Kurz zusammengefasst}
2736 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2737 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2738
2739 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2740 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2741
2742 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2743 sicheren \Email{}-Versand: verschlüsseln und signieren.
2744
2745 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2746 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2747 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2748 \Email{} ist:
2749
2750 \begin{itemize}
2751     \item unverschlüsselt
2752     \item verschlüsselt
2753     \item signiert
2754     \item signiert und verschlüsselt (mehr dazu im
2755         Abschnitt~\ref{sec_encsig})
2756 \end{itemize}
2757
2758 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2759 S/MIME realisieren.
2760
2761 \clearpage
2762 \section{Signatur mit GpgOL prüfen}
2763 \index{Signatur!prüfen mit GpgOL}
2764
2765 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2766 Korrespondenzpartners.
2767
2768 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2769 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2770 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2771 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2772 Zertifikatsverwaltung importiert haben (vgl.
2773 Kapitel~\ref{ch:importCertificate}).
2774
2775 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2776 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2777 Kapitel~\ref{ch:decrypt}):
2778
2779 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2780
2781 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2782 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2783
2784 % screenshot: Kleopatra - successfully verify dialog
2785 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2786
2787 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2788 signierte \Email{} zu lesen.
2789
2790 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2791 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2792 Entschlüsseln/Prüfen}.
2793
2794 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2795 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2796 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2797 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2798 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2799 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2800
2801 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2802 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2803
2804 \clearpage
2805 \section{Gründe für eine gebrochene Signatur}
2806 \label{sec_brokenSignature}
2807 \index{Signatur!gebrochene}
2808
2809 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2810 können:
2811
2812 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2813 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2814 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2815 Inhalt oder den Betreff der \Email{} verändert.
2816
2817 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2818 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2819 auszuschließen, dass die \Email{} durch eine fehlerhafte
2820 Übertragung verändert wurde.
2821
2822 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2823 Sie immer die \Email{} erneut beim Absender an!\\
2824
2825 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2826 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2827 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2828 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2829 die Formatierungsinformationen verloren gehen, was zum Bruch der
2830 Signatur führen kann.
2831
2832 Bei Outlook 2003 und 2007 können Sie unter
2833 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2834 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2835
2836
2837 \clearpage
2838 \section{Verschlüsseln und Signieren}
2839 \label{sec_encsig}
2840 \index{E-Mail!verschlüsseln und signieren}
2841
2842 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2843 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2844 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2845
2846 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2847 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2848 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2849 könnte.
2850
2851 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2852 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2853 erzeugen: die Signatur.
2854
2855 Solch eine digitale Signatur bestätigt eindeutig die
2856 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2857 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2858 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2859 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2860
2861 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2862 verschlüsseln und signieren:
2863
2864 \begin{enumerate}
2865     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2866         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2867     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2868         öffentlichen Zertifikat des Korrespondenzpartners.
2869 \end{enumerate}
2870
2871 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2872
2873 \begin{enumerate}
2874     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2875         geheimen Schlüssel.
2876     \item Einen soliden äußeren Umschlag: die
2877         Verschlüsselung mit dem öffentlichen Zertifikat des
2878         Korrespondenzpartners.
2879 \end{enumerate}
2880
2881 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2882 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2883 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2884 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2885 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
2886 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
2887 Schlüssel kodiert worden sein.
2888
2889 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2890 ganz einfach.
2891
2892
2893 \clearpage
2894 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2895 \label{ch:archive}
2896 \index{E-Mail!verschlüsselt archivieren}
2897
2898 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
2899 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
2900
2901 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
2902 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
2903 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
2904 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
2905 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
2906 aufbewahren!
2907
2908 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
2909 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
2910 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
2911
2912 Also was tun?
2913
2914 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2915 selbst!}
2916
2917 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2918 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
2919 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
2920 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
2921 lesbar machen.
2922
2923 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
2924 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
2925 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
2926 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
2927 entscheiden, an welches Zertifikat verschlüsselt werden soll.
2928
2929 \clearpage
2930 \subsubsection{Kurz zusammengefasst}
2931
2932 \begin{enumerate}
2933     \item Sie haben mit dem öffentlichen Zertifikat Ihres
2934         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
2935         damit geantwortet.
2936     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
2937         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
2938         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
2939 \end{enumerate}
2940
2941
2942 \vspace{1cm}
2943 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
2944 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
2945
2946 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
2947
2948 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
2949 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
2950 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
2951 dass Sie viele spannende Dinge darin entdecken werden!
2952
2953
2954 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2955 % Part II
2956
2957 % page break in toc
2958 \addtocontents{toc}{\protect\newpage}
2959
2960 \clearpage
2961 \T\part{Für Fortgeschrittene}
2962 \W\part*{\textbf{II Für Fortgeschrittene}}
2963 \label{part:Fortgeschrittene}
2964 \addtocontents{toc}{\protect\vspace{0.3cm}}
2965
2966
2967 \clearpage
2968 \chapter{Zertifikat im Detail}
2969 \label{ch:CertificateDetails}
2970 \index{Zertifikatsdetails}
2971
2972 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
2973 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
2974 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
2975 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
2976 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
2977 X.509-Zertifikaten. Es geht hierbei um:
2978
2979 \begin{itemize}
2980 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
2981 \item den Fingerabdruck
2982 \item die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}
2983 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
2984 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
2985 \item die Beglaubigungen \textbf{(nur OpenPGP)}
2986 \end{itemize}
2987
2988 \begin{description}
2989
2990 \item[Die Benutzerkennung] besteht aus dem Namen und der
2991     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
2992     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
2993     <heinrich@gpg4win.de>}
2994
2995     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
2996     Menüpunkt \Menu{Zertifikate$\rightarrow$\linebreak
2997     Benutzerkennung hinzufügen...} Ihr Zertifikat um weitere
2998     Benutzerkennungen erweitern.  Das ist dann sinnvoll, wenn Sie
2999     z.B.  für eine weitere \Email{}-Adresse dasselbe Zertifikat nutzen
3000     möchten.
3001
3002     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3003     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3004
3005 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3006     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3007     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3008     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3009     oder auf einem X.509-Zertifikats\-server liegen.  Was
3010     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3011
3012 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3013     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3014     Zweck wie dieser. Die wesentlich geringere Länge macht die
3015     Schlüsselkennung einfacher handhabbar, 
3016     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3017     Zertifikate mit derselben Kennung).
3018
3019 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3020     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3021     
3022     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3023     "`Unbegrenzt"' gesetzt.  Sie können dies mit Kleopatra ändern,
3024     indem Sie auf die Schaltfläche "`Ablaufdatum ändern"' in den
3025     Zertifikatsdetails klicken -- oder das Menü
3026     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3027     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3028     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3029     auszugeben.
3030
3031     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3032     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3033     festgelegt und kann nicht vom Nutzer geändert werden.
3034
3035 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3036     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3037     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3038     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3039     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3040     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3041     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3042     einstellen.
3043
3044     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3045     Für X.509-Zerti\-fikate gibt es diese Methode der
3046     Vertrauensstellung nicht.
3047
3048 \item[Die Beglaubigungen] \T\marginOpenpgp
3049     Ihres OpenPGP-Zertifikats beinhalten die
3050     Benutzerkennungen derjenigen \linebreak Zertifikatsinhaber, die
3051     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3052     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3053     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3054     Nutzern erhalten.
3055
3056     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3057     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3058     nicht.
3059
3060 \end{description}
3061
3062 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3063 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3064 neue Zertifikate erhalten oder ändern wollen.
3065
3066 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3067 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3068 \ref{ch:trust} gelesen.
3069
3070
3071 \clearpage
3072 \chapter{Die Zertifikatsserver}
3073 \label{ch:keyserver}
3074 \index{Zertifikatsserver}
3075
3076 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3077 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3078 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3079 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3080 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3081
3082 Zertifikatsserver können von allen Programmen benutzt werden, die die
3083 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3084 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3085
3086 \begin{description}
3087
3088 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3089     \index{Zertifikatsserver!OpenPGP}
3090     (im Englischen auch "`key server"' genannt) sind dezentral
3091     organisiert und synchronisieren sich weltweit miteinander.
3092     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3093     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3094     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3095     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3096     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3097     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3098
3099     \htmlattributes*{img}{width=300}
3100     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3101
3102 \item[X.509-Zertifikatsserver] \T\marginSmime
3103     \index{Zertifikatsserver!X.509}
3104     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3105     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3106     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3107
3108 \end{description}
3109
3110
3111 \clearpage
3112 \section{Zertifikatsserver einrichten}
3113 \label{configureCertificateServer}
3114 \index{Zertifikatsserver!einrichten}
3115
3116 Öffnen Sie den Konfigurationsdialog von Kleopatra:
3117 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}
3118
3119 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3120 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3121 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3122
3123 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3124 OpenPGP-Zertifikatsserver mit der Serveradresse
3125 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3126 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3127 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3128 nächsten Seite.
3129
3130 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3131 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3132 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3133 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3134 Server-Port.
3135
3136 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3137 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3138 tragen Ihre gewünschten Angaben ein.
3139
3140 Der folgende Screenshot zeigt einen konfigurierten
3141 OpenPGP-Zertifikatsserver:
3142
3143 % screenshot: Kleopatra OpenPGP certificate server config dialog
3144 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3145
3146 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3147 Zertifikatsserver ist nun erfolgreich eingerichtet.
3148
3149 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3150 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3151 starten (Anleitung siehe
3152 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3153
3154 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3155 nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
3156 "`Servername"' um den Parameter \Filename{http-proxy=<proxydomain>}
3157 ergänzen. Der vollständige Servername könnte also z.B. lauten:\\
3158 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ Kontrollieren und ggf.
3159 korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in
3160 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3161
3162 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3163 finden Sie im \linebreak Abschnitt~\ref{x509CertificateServers}.
3164
3165 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3166
3167 \T\marginOpenpgp
3168 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3169 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3170
3171 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3172 \begin{itemize}
3173 \item hkp://blackhole.pca.dfn.de
3174 \item hkp://pks.gpg.cz
3175 \item hkp://pgp.cns.ualberta.ca
3176 \item hkp://minsky.surfnet.nl
3177 \item hkp://keyserver.ubuntu.com
3178 \item hkp://keyserver.pramberger.at
3179 \item http://keyserver.pramberger.at
3180 \item http://gpg-keyserver.de
3181 \end{itemize}
3182
3183 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3184 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3185 beginnen.
3186
3187 Die Zertifikatsserver unter den Adressen
3188 \begin{itemize}
3189     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3190         siehe Bildschirmfoto auf vorheriger Seite)
3191 \item hkp://subkeys.pgp.net
3192 \end{itemize}
3193 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3194 dann zufällig ein konkreter Server ausgewählt.
3195
3196 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3197 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3198 synchronisiert (Stand: August 2009).
3199
3200 \clearpage
3201 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3202 \label{searchAndImportCertificateFromServer}
3203 \index{Zertifikatsserver!Suche nach Zertifikaten}
3204 \index{Zertifikat!importieren}
3205 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3206 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3207 importieren.
3208
3209 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3210 auf Server suchen...}.
3211
3212 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3213 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3214 seine \Email{}-Adresse seines Zertifikats eingeben können.
3215
3216 % screenshot: Kleopatra certification search dialog
3217 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3218
3219 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3220 auf die Schaltfläche \Button{Details...}.
3221
3222 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3223 Zertifikatssammlung einfügen möchten, selektieren Sie das
3224 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3225 \linebreak \Button{Importieren}.
3226
3227 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3228 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3229
3230 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3231 in der Zertifikatsverwaltung von Kleopatra.
3232
3233 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3234 \index{Zertifikat!exportieren}
3235
3236 \T\marginOpenpgp
3237 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3238 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3239 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3240 unterwegs rund um die Welt.
3241
3242 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3243 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3244 nach Server exportieren...}.
3245
3246 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3247 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3248 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3249 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3250 ein "`globales"' Zertifikat.
3251
3252 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3253 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3254 Kleopatra den bereits voreingestellten Server
3255 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3256
3257
3258
3259 \clearpage
3260 \chapter{Dateianhänge verschlüsseln}
3261 \index{Dateianhänge verschlüsseln}
3262
3263 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3264 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3265 verschlüsselt werden.
3266
3267 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3268 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3269 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3270
3271 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3272 Anhängen automatisch.}
3273
3274 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3275 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3276 unverschlüsselt mitgesendet.
3277
3278 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3279 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3280 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3281 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3282 beschrieben ist.
3283
3284
3285 \clearpage
3286 \chapter{Dateien signieren und verschlüsseln}
3287 \label{ch:EncFiles}
3288 \index{GpgEX}
3289
3290 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3291 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3292
3293 \begin{itemize}
3294   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3295       Zertifikats, um sicherzugehen, dass die Datei unverändert
3296       bleibt.
3297
3298   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3299       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3300       geheim zu halten.
3301 \end{itemize}
3302
3303 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3304 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3305 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3306 genau funktioniert.
3307
3308 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3309 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3310 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3311 gesondert darum zu kümmern.
3312
3313 \clearpage
3314 \section{Dateien signieren und prüfen}
3315 \label{sec_signFile}
3316 \index{Datei!signieren}
3317
3318 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3319 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3320 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
3321
3322 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3323 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3324 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3325 Kontextmenü:
3326
3327 % screenshot GpgEX contextmenu sign/encrypt
3328 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3329
3330 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3331
3332 \clearpage
3333 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
3334
3335 % screenshot sign file, step 1
3336 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
3337
3338 Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII armor)}
3339 aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
3340 \Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
3341 Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
3342 dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
3343 kennen.
3344
3345 Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
3346 einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
3347 Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
3348 angesehen werden.
3349
3350
3351 Klicken Sie anschließend auf \Button{Weiter}.
3352
3353 \clearpage
3354 Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
3355 Ihr geheimes (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
3356 Datei signieren möchten.
3357
3358 % screenshot sign file, step 2: choose sign certificates
3359 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
3360
3361 Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
3362
3363 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
3364
3365 \clearpage
3366 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3367
3368 % screenshot sign file, step 3: finish
3369 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
3370
3371 Sie haben damit Ihre Datei erfolgreich signiert.
3372
3373 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
3374 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
3375 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
3376 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
3377 notwendig.
3378
3379 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3380 wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
3381 OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
3382 Ergebnis möglich:
3383
3384 \begin{description}
3385     \item[OpenPGP:]~\\
3386     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
3387     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3388     ~ \small (bei Ausgabe als Text/ASCII-armor)
3389     \normalsize
3390
3391     \item[S/MIME:]~\\
3392     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
3393     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3394     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3395     \normalsize
3396 \end{description}
3397
3398 \clearpage
3399 \subsubsection{Signatur prüfen}
3400 \index{Datei!Signatur prüfen}
3401
3402 Prüfen Sie nun, ob die eben signierte Datei integer
3403 -- d.h. korrekt -- ist!
3404
3405 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
3406 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
3407 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
3408 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
3409 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
3410 den Eintrag  \Menu{Entschlüsseln und prüfen}:
3411
3412 % screenshot GpgEX contextmenu verifiy/decrypt
3413 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3414
3415 \clearpage
3416 Daraufhin erhalten Sie folgendes Fenster:
3417
3418 % screenshot kleopatra verify file, step 1
3419 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
3420
3421 Kleopatra zeigt unter \Menu{Eingabe-Datei} den vollständigen Pfad zur
3422 ausgewählten Signatur-Datei an.
3423
3424 Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
3425 aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
3426 mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
3427 die zugehörige signierte Originaldatei in demselben Datei-Ordner.
3428
3429 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
3430 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
3431 gleichzeitig verarbeiten.
3432
3433 Bestätigen Sie die gegebenen Operationen mit
3434 \Button{Entschlüsseln/Prüfen}.
3435
3436 \clearpage
3437 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3438 Fenster:
3439
3440 % screenshot kleopatra verify file, step 2
3441 \IncludeImage[width=0