Add compendium pdf link to html version.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5
6 % define packages
7 \usepackage{hyperlatex}
8 \usepackage{a4wide}
9 \usepackage{times}
10 \usepackage[latin1]{inputenc}
11 \usepackage[T1]{fontenc}
12 \usepackage{german}
13 \usepackage{graphicx}
14 \usepackage{alltt}
15 \usepackage{moreverb}
16 \usepackage{ifthen}
17 \usepackage{fancyhdr}
18 \W\usepackage{rhxpanel}
19 \W\usepackage{sequential}
20 \usepackage[table]{xcolor}
21 \usepackage{color}
22
23
24 % write any html files directly into this directory
25 % XXX: This is currently deactivated, but sooner or later
26 % we need this to not let smae filenames overwrite each other
27 % when we have more than one compendium. The Makefile.am needs
28 % to be updated for this as well - not a trivial change.
29 %\W\htmldirectory{./compendium-de-html}
30
31 % Hyperref should be among the last packages loaded
32 \usepackage{hyperref}
33
34 % page header
35 \T\fancyhead{} % clear all fields
36 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \compendiumVersionDE
37    %\T\manualinprogress
38     \T\\
39     \T\itshape\nouppercase{\leftmark}}
40 \T\fancyhead[RO,LE]{\thepage}
41 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
42 \T\pagestyle{fancy}
43
44 % define custom commands
45 \newcommand{\Button}[1]{[\,#1\,]}
46 \newcommand{\Menu}[1]{\emph{#1}}
47 \newcommand{\Filename}[1]{\texttt{#1}}
48 \newcommand{\Email}{E-Mail}
49 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
50 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
51 % Note: Do not include more than one image on a source line.
52 \newcommand{\IncludeImage}[2][]{\texorhtml{%
53 \includegraphics[#1]{#2}%
54 }{%
55 \htmlimg{#2.png}%
56 }}
57
58 % custom colors
59 \definecolor{gray}{rgb}{0.4,0.4,0.4}
60 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
61
62 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
63 \T\parindent 0cm
64 \T\parskip\medskipamount
65
66 % Get the version information from another file.
67 % That file is created by the configure script.
68 \input{version.tex}
69
70
71 % Define universal url command.
72 % Used for latex _and_ hyperlatex (redefine see below).
73 % 1. parameter = link text (optional);
74 % 2. parameter = url
75 % e.g.: \uniurl[example link]{http:\\example.com}
76 \newcommand{\uniurl}[2][]{%
77 \ifthenelse{\equal{#1}{}}
78 {\texorhtml{\href{#2}{#2}}{\xlink{#2}{#2}}}
79 {\texorhtml{\href{#2}{#1}}{\xlink{#1}{#2}}}}
80
81
82 %%% HYPERLATEX %%%
83 \begin{ifhtml}
84     % HTML title
85     \htmltitle{Gpg4win Kompendium}
86     % TOC link in panel
87     \htmlpanelfield{Inhalt}{hlxcontents}
88     % redefine bmod
89     \newcommand{\bmod}{mod}
90     % use hlx icons (default path)
91     \newcommand{\HlxIcons}{}
92
93     % Footer
94     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
95     \html{br/}
96     \html{small}
97     Das Gpg4win Kompendium ist unter der
98     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
99     \html{/small}}
100
101     % Changing the formatting of footnotes
102     \renewenvironment{thefootnotes}{\xname{fussnoten}\chapter*{Fußnoten}\begin{description}}{\end{description}}
103
104     % redefine universal url for hyperlatex (details see above)
105     \newcommand{\linktext}{0}
106     \renewcommand{\uniurl}[2][]{%
107         \renewcommand{\linktext}{1}%
108         % link text is not set
109         \begin{ifequal}{#1}{}%
110             \xlink{#2}{#2}%
111             \renewcommand{linktext}{0}%
112         \end{ifequal}
113         % link text is set
114         \begin{ifset}{linktext}%
115              \xlink{#1}{#2}%
116     \end{ifset}}
117
118     % german style
119     \htmlpanelgerman
120     \extrasgerman
121     \dategerman
122     \captionsgerman
123
124
125     % SECTIONING:
126     %
127     % on _startpage_: show short(!) toc (only part+chapter)
128     \setcounter {htmlautomenu}{1}
129     % chapters should be <H1>, Sections <H2> etc.
130     % (see hyperlatex package book.hlx)
131     \setcounter{HlxSecNumBase}{-1}
132     % show _numbers_ of parts, chapters and sections in toc
133     \setcounter {secnumdepth}{1}
134     % show parts, chapters and sections in toc (no subsections, etc.)
135     \setcounter {tocdepth}{2}
136     % show every chapter (with its sections) in _one_ html file
137     \setcounter{htmldepth}{2}
138
139     % set counters and numberstyles
140     \newcounter{part}
141     \renewcommand{\thepart}{\arabic{part}}
142     \newcounter{chapter}
143     \renewcommand{\thecapter}{\arabic{chapter}}
144     \newcounter{section}[chapter]
145     \renewcommand{\thesection}{\thechapter.\arabic{section}}
146 \end{ifhtml}
147
148
149 %%% TITLEPAGE %%%
150
151 \title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\ Das Gpg4win Kompendium}
152
153 \author{ \
154     % Hyperlatex: Add links to pdf versions and Homepage
155     \htmlonly{
156         \xml{p}\small
157         \xlink{Download als PDF Version}{http://wald.intevation.org/frs/download.php/514/gpg4win-compendium-de-3.0.0-beta1.pdf}\xml{br}
158         Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
159     }
160     % Authors
161     Eine Veröffentlichung des Gpg4win Projekts\\
162       \small Basierend auf einem Original von
163     \T\\
164       \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
165     \T\\[-0.2cm]
166       \small Dr. Francis Wray und Ute Bahn.
167     \\[0.2cm]
168       \small Überarbeitet von
169     \T\\
170       \small Werner Koch, Emanuel Schütze und Jan-Oliver Wagner.
171 }
172
173 \date{Version \compendiumVersionDE~vom \compendiumDateDE
174     %\manualinprogress
175     }
176
177
178 %%% BEGIN DOCUMENT %%%
179
180 \begin{document}
181
182 \maketitle
183
184 \xname{impressum}
185 \T\section*{Impressum}
186 \W\chapter*{Impressum}
187
188 \thispagestyle{empty}
189 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
190 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
191 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
192 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
193 werden.}\\
194 Copyright \copyright{} 2005 g10 Code GmbH\\
195 Copyright \copyright{} 2008 Intevation GmbH
196
197 Permission is granted to copy, distribute and/or modify this document
198 under the terms of the GNU Free Documentation License, Version 1.2 or
199 any later version published by the Free Software Foundation; with no
200 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
201 copy of the license is included in the section entitled "`GNU Free
202 Documentation License"'.
203
204 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
205 oben stehenden Hinweises.]}\\
206 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
207 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
208 Documentation License, Version 1.2 oder einer späteren, von der Free
209 Software Foundation veröffentlichten Version.  Es gibt keine
210 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
211 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
212 License"' findet sich im Anhang mit dem gleichnamigen Titel.
213 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
214 http://www.gnu.org/licenses/translations.html.
215
216 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
217 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
218 sondern für jedermann.
219
220
221 \clearpage %% End of original page 4.
222
223 \xname{inhalt}
224 \tableofcontents
225
226 %%\clearpage
227 %% Orginal page  6
228 %% We don't use these foreword anymore because Mr. Müller is not
229 %% anymore minister of economic and technology.  We might want to ask
230 %% for a new foreword by the current head of that minister.
231
232 \clearpage
233 %% Orginal page 7
234 \xname{ueber-dieses-handbuch}
235 \chapter*{Über dieses Handbuch \htmlonly{\html{br}\html{br}}}
236 \addcontentsline{toc}{chapter}{Über dieses Handbuch}
237
238 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
239
240 \begin{itemize}
241
242 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
243     Schnelleinstieg in Gpg4win.
244
245 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
246     Das Hintergrundwissen für Gpg4win.
247
248 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
249   Entschlüsselung (mit OpenPGP) so oft üben können, wie Sie wollen.
250 \end{itemize}
251
252 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
253 und knapp durch die Installation
254 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
255 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
256 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
257 etwa eine Stunde Zeit nehmen.
258
259 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
260 liefert Hintergrundwissen, das Ihnen die
261 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
262 seltener benutzten Fähigkeiten erläutert.
263
264 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
265 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
266 der angegebenen Reihenfolge lesen.
267
268 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
269 Verfügung. Adele empfängt und sendet verschlüsselte OpenPGP \Email{}s und
270 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
271 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
272 Gebrauch der Software vertraut gemacht haben.
273
274 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
275 läuft dort noch immer. "`Das Gpg4win Kompendium"' verwendet diesen
276 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
277 für den Betrieb von Adele.
278
279
280
281 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
282 % Part I
283 \clearpage
284 \xname{einsteiger}
285 \T\part{Einsteiger}
286 \W\part*{\textbf{I Einsteiger}}
287 \label{part:Einsteiger}
288 \addtocontents{toc}{\protect\vspace{0.3cm}}
289 \addtocontents{toc}{\protect\vspace{0.3cm}}
290
291
292 %% Orginal page 8
293 \xname{was-ist-gpg4win}
294 \chapter{Was ist Gpg4win?}
295
296 \textbf{Das Projekt Gpg4win (GNU Privacy Guard for Windows) ist eine
297 Verschlüsselungssoftware für \Email{}s und Dateien.
298 Gpg4win bezeichnet ein Gesamtpaket, welches in Version 2 die folgenden
299 Programme umfasst:}
300
301 \begin{description}
302     \item[GnuPG:] GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
303     \item[Kleopatra:] Die zentrale Zertifkatsverwaltung von Gpg4win.
304         Unterstützt OpenPGP und X.509\linebreak (S/MIME) und sorgt für
305         eine einheitliche Benutzerführung für alle
306         kryptographischen Operationen.
307     \item[GpgOL:] GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
308         Outlook 2003 und 2007, die verwendet wird um Nachrichten mit OpenPGP
309         oder S/MIME zu verschlüsseln.
310     \item[GpgEX:] GPG Explorer eXtension (GpgEX) ist eine Erweiterung für
311         den Windows Explorer, die es ermöglicht, Dateien über das
312         Kontextmenü zu verschlüsseln.
313     \item[GPA:] Der GNU Privacy Assistent (GPA) ist neben Kleopatra ein
314         alternatives Programm zum Verwalten von OpenPGP Schlüsseln.
315     \item[Claws Mail:] Claws Mail ist ein vollständiges
316         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
317 \end{description}
318
319
320 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
321 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln. GnuPG
322 kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
323 von GnuPG eingesetzte Verschlüsselungstechnologie ist sehr
324 sicher und kann nach dem heutigen
325 Stand von Forschung und Technik nicht gebrochen werden.
326
327 GnuPG ist \textbf{Freie Software}\footnote{oft ungenau auch als Open Source
328 Software bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
329 nach Belieben kommerziell oder privat zu nutzen.  Jedermann darf den
330 Quellcode, also die eigentliche Programmierung des Programms, genau
331 untersuchen und auch selbst Änderungen durchführen und diese
332 weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
333 ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
334 durchführen, da hierdurch die Sicherheit der Software beeinträchtigt
335 werden kann.}
336
337 Für eine Sicherheits-Software ist diese garantierte Transparenz des
338 Quellcodes eine unverzichtbare Grundlage. Nur so läßt sich die
339 Vertrauenswürdigkeit eines Programmes prüfen.
340
341 GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC 2440), ist
342 vollständig kompatibel zu PGP und benutzt die gleiche Infrastruktur
343 (Schlüsselserver etc.). Seit Version 2 von GnuPG wird auch der
344 kryptographische Standard \textbf{S/MIME} (CMS/RFC 3852 bzw. X.509)
345 unterstützt.
346
347 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
348 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
349 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
350 mehr dem Stand der Technik.
351
352 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
353 Wirtschaft und Technologie, Gpg4win und Gpg4win-2
354 durch das Bundesamt für Sicherheit in der Informationstechnik
355 unterstützt.
356
357 Weitere Informationen zu GnuPG und den Projekten der Bundesregierung
358 zum Schutz des Internets finden Sie auf der Website
359 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
360 des Bundesamtes für Sicherheit in der Informationstechnik.
361
362
363 \clearpage
364 %% Original page 6
365 \xname{warum-ueberhaupt-verschluesseln}
366 \chapter{Warum überhaupt verschlüsseln?}
367 \label{ch:why}
368
369 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
370 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
371 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
372 Verschlüsselung nunmehr für jedermann frei und kostenlos
373 zugänglich\ldots
374
375 \begin{center}
376 \htmlattributes*{img}{width=300}
377 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
378 \end{center}
379
380 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
381 um rund um den Globus miteinander zu kommunizieren und uns zu
382 informieren. Aber Rechte und Freiheiten, die in anderen
383 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
384 den neuen Technologien erst sichern. Das Internet ist so schnell und
385 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
386 noch nicht so recht nachgekommen sind.
387
388
389 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
390 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
391 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
392 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
393 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
394 Postkarte, die auch der Briefträger oder andere lesen können.
395
396
397 \clearpage
398 %% Original page 7
399
400 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
401 man selbst und niemand sonst.
402
403 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
404 \Email{} ist immer offen wie eine Postkarte, und der elektronische
405 "`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
406 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
407 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
408 zu verteilen, sondern auch, sie zu kontrollieren.
409
410 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
411 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
412 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
413 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
414 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
415 schon im großen Stil mit Ihrer und meiner \Email{}
416 geschieht\footnote{Hier sei nur an das 
417 \uniurl[Echelon System]{\EchelonUrl} erinnert%
418 \T ~(siehe \uniurl{\EchelonUrl})%
419 .}.
420
421 Denn: Der Umschlag fehlt.
422
423 \begin{center}
424 \htmlattributes*{img}{width=300}
425 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
426 \end{center}
427
428 \clearpage
429 %% Original page 8
430
431 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
432 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
433 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
434 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
435 für wichtig und schützenswert halten oder nicht.
436
437 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
438 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
439 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen -- Sie müssen ja auch
440 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
441
442 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
443 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
444 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
445 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
446 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
447 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
448 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
449 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
450 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
451 praktikable und sichere Software angesehen.
452
453 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
454 Hand.}
455
456 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
457 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
458 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
459 um Gpg4win richtig zu nutzen. In diesem Handbuch werden wir
460 Ihnen dieses Vorgehen Schritt für Schritt erläutern...
461
462
463 \clearpage
464 \xname{zwei-wege-ein-ziel}
465 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
466 \label{ch:openpgpsmime}
467
468 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
469 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
470 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
471 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
472
473 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung
474 sind zwei Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
475 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
476 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
477
478 \subsubsection{Die Gemeinsamkeit: Das Public-Key-Verfahren}
479 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
480 und zwar das Public-Key-Verfahren. Was heisst das?
481
482 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
483 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
484 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
485 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
486 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
487 \textbf{"`Geheimer Schlüssel"'}).
488
489 Klingt zwar komisch, wenn man an echte Schlösser denkt, aber bei
490 Software löst diese Idee das Problem, dass ich meinen Schlüssel
491 für jeden Empfänger aus der Hand geben müsste.
492 Denn normalerweise muss ein Schlüssel zum Verschlüsseln/Abschließen auch
493 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste ich Ihnen,
494 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
495 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
496 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
497 großes Problem.
498
499 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
500 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
501 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
502 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
503 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
504 würde.
505
506 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
507 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung
508 (Näheres erfahren wir später in Kapitel~\ref{ch:CreateKeyPair}).
509
510 \textbf{Falls Sie sich jetzt fragen, wie das Public-Key-Verfahren so
511 funktionieren kann, lesen Sie einmal
512 Kapitel~\ref{ch:FunctionOfGpg4win}.}
513 \textbf{Wenn Sie sich dann noch fragen, warum Gpg4win so sicher ist,
514 sind vermutlich die Kapitel~\ref{ch:themath} und
515 \ref{ch:secretGnupg} genau das richtige für Sie!}
516 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
517 Geheimnisse verstehen. Viel Spaß beim Entdecken.
518
519 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
520
521 \clearpage
522 \subsubsection{Der Unterschied: Die Authentifizierung}
523
524 Der wesentlichste Unterschied zwischen OpenPGP und S/MIME liegt
525 im Bereich der Authentifizierung.
526
527 Um die Authentizität des Absenders festzustellen, ist bei
528 \textbf{S/MIME}
529 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
530 unzweifelhaft beglaubigt.
531 Das heisst, dass ich meinen öffentlichen Schlüssel von einer dazu
532 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
533 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
534 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
535 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
536 man \textbf{hierarchisches Vertrauenskonzept}. Zumeist ist die Kette nur 3 Elemente
537 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
538 Wurzel zertifiziert CA, CA zertifiziert Anwender.
539
540 Im Gegensatz dazu erlaubt \textbf{OpenPGP} neben dieser baumartigen Zertifizierung
541 zusätzlich auch eine direkte "`peer-to-peer"' Zertifizierung (Anwender A zertfiziert
542 Anwender B, B zertifiziert A und C usw.) und macht damit
543 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
544 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
545 also die Möglichkeit, \textit{ohne} die Zertifizierung von einer höheren Stelle verschlüsselte Daten und
546 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
547 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
548
549 \textbf{Nähere Informationen zu Authentifizierungswegen, wie zum Beispiel
550 dem Web-of-Trust oder den Zertifizierunsstellen, erhalten Sie später in Kapitel~\ref{ch:trust}.}
551
552 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
553
554 \clearpage
555 \subsubsection{Fassen wir kurz zusammen...}
556
557 Was bedeutet das für Sie?
558 \begin{itemize}
559 \item Sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
560     bieten.
561 \item Beide Verfahren sind \textbf{nicht kompatibel} miteinander. Sie
562     bieten zwei separate Wege bei der Authentifizierung Ihrer geheimen Kommunikation.
563     Man sagt, sie sind nicht interoperabel.
564 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
565 \textbf{ parallele } Nutzung beider Systeme.
566 \end{itemize}
567
568 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
569 Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis
570 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
571 mit S/MIME detailliert erklärt.
572
573 Die beiden nachfolgenden Symbole weisen Sie in diesem Kompendium
574 auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer
575 schnell überblicken, welche Besonderheiten bei welchem Konzept zu
576 beachten sind.
577
578 \begin{center}
579 \IncludeImage[width=3cm]{openpgp-icon}
580 \hspace{1cm}
581 \IncludeImage[width=3cm]{smime-icon}
582 \end{center}
583
584
585
586 \clearpage
587 \xname{sie-installieren-gpg4win}
588 %% Orginal page 9
589 \chapter{Sie installieren Gpg4win}
590
591 Beginnen wir nun mit der Installation von Gpg4win. Beachten Sie, dass
592 Sie dafür Administrator-Rechte auf Ihrem Windows-System benötigen.
593
594 Sollte bereits eine GnuPG basierte Anwendung, wie z.B.
595 GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
596 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
597 wie Sie Ihre vorhandenen Schlüssel und Zertifikate übernehmen können.
598
599 Falls Sie Gpg4win aus dem Internet heruntergeladen haben:
600 \vspace{-0.28cm}
601 \begin{quote}
602 Klicken Sie
603 bitte auf diese neu abgespeicherte Datei, die den Namen\linebreak
604 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
605 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
606 einer vertrauenswürdigen Seite erhalten haben.
607 \end{quote}
608
609 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
610 \vspace{-0.28cm}
611 \begin{quote}
612     Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs.
613  Öffnen Sie Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM-Icon mit
614 dem Titel "`Gpg4win"'. Anschließen klicken Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
615 \end{quote}
616
617 Die weitere Installation ist dann identisch:
618
619 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
620 mit \Button{Ja}.
621
622 \clearpage
623 Es begrüßt Sie dieser Dialog:
624
625 % TODO screenshot: Installer Willkommensseite
626 \begin{center}
627 \IncludeImage{sc-inst-welcome}
628 \end{center}
629
630 Beenden Sie alle auf Ihrem Rechner laufenden Programme, und klicken Sie dann auf \Button{Weiter}.
631
632 \clearpage
633 %% Orginal page 10
634
635 Auf der Seite mit dem \textbf{Lizenzabkommen}, können Sie Informationen zu den
636 Lizenzen dieser Software lesen. 
637
638 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
639 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
640 zu lesen.  
641
642 Geben Sie allerdings diese Software weiter oder wollen Sie sie
643 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
644 machen.  
645
646 % TODO screenshot: Lizenzseite des Installers
647 \begin{center}
648 \IncludeImage{sc-inst-license}
649 \end{center}
650
651
652 Klicken Sie auf \Button{Weiter}.
653
654
655 \clearpage
656 %% New page (not in original document)
657
658 Auf der Seite mit der \textbf{Komponentenauswahl} können
659 Sie entscheiden, welche Programme Sie installieren
660 möchten.
661
662 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
663 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
664 Entscheidung hilft.
665
666 Die Anzeige des benötigen Speichers auf der Festplatte
667 hilft Ihnen vielleicht ebenfalls weiter.
668
669 % TODO sreenshot: Auswahl zu installierender Komponenten
670 \begin{center}
671 \IncludeImage{sc-inst-components}
672 \end{center}
673
674 Alle sinnvollen Komponenten sind bereits vorausgewählt.
675 Den Rest können Sie bei Bedarf auch später installieren.
676
677 Klicken Sie auf \Button{Weiter}.
678
679
680 \clearpage
681 %% Original page 11
682
683 In der nun folgenden \textbf{Verzeichnisauswahl} können Sie eine Ordner auf Ihrem PC
684 aussuchen, in dem Gpg4win installiert wird. Sie können hier in der
685 Regel den vorgeschlagenen Programme-Ordner übernehmen; z.B.:
686 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}.
687
688 % TODO screenshot: Auswahl des Installationsverzeichnis.
689 \begin{center}
690 \IncludeImage{sc-inst-directory}
691 \end{center}
692
693 Klicken Sie anschließend auf \Button{Weiter}.
694
695 \clearpage
696
697 Auf der folgenden Seite können Sie festlegen, welche
698 \textbf{Verknüpfungen} installiert werden.  Voreingestellt ist
699 lediglich eine Verknüpfung mit dem Startmenü.  Bitte beachten Sie, daß
700 sie diese Verknüpfungen auch jederzeit später mit den Bordmitteln von
701 Windows verändern können.
702
703 % TODO screenshot: Auswahl der Startlinks
704 \begin{center}
705 \IncludeImage{sc-inst-options}
706 \end{center}
707
708 Klicken Sie anschließend auf \Button{Weiter}.
709
710 \clearpage
711 %% Original page 12
712
713 Falls Sie auf der vorhergehenden Seite eine \textbf{Verknüpfung mit dem
714 Startmenü} ausgewählt haben (dies ist die Voreinstellung), so wird
715 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
716 Startmenüs auswählen können.
717
718 % TODO screenshot:  Startmenu auswählen
719 \begin{center}
720 \IncludeImage{sc-inst-startmenu}
721 \end{center}
722
723 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
724 klicken dann auf \Button{Installieren}.
725
726 \clearpage
727
728 Während der nun folgenden \textbf{Installation} sehen Sie einen
729 Fortschrittsbalken und Informationen, welche Datei momentan
730 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
731 drücken, um ein Protokoll der Installation sichtbar zu machen.
732
733 % TODO screenshot: Ready page Installer
734 \begin{center}
735 \IncludeImage{sc-inst-ready}
736 \end{center}
737
738 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
739 \Button{Weiter}.
740
741 \clearpage
742 %% Original page 13
743
744 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
745
746 % TODO screenshot: Finish page Installer
747 \begin{center}
748 \IncludeImage{sc-inst-finished} 
749 \end{center}
750
751 Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie die
752 Option auf dieser Seite.
753
754 Klicken Sie schließlich auf \Button{Fertig stellen}.
755
756 \clearpage
757
758 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
759 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
760
761 % TODO screenshot: Finish page Installer with reboot
762 \begin{center}
763 \IncludeImage{sc-inst-finished2}
764 \end{center}
765
766 Sie können hier auswählen, ob Windows sofort neu gestartet werden
767 soll oder später manuell. 
768
769 Klicken Sie hier auch auf \Button{Fertig stellen}.
770
771
772 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
773 % Outlook ausschaltet.
774
775 \clearpage
776 %% Original page 14
777
778 \textbf{Das war's schon!}
779
780 Sie haben Gpg4win erfolgreich installiert und können es gleich zum ersten Mal
781 starten.
782
783 Vorher sollten Sie aber Kapitel~\ref{ch:FunctionOfGpg4win} lesen.
784 Wir erklären dort den genialen Trick, mit dem Gpg4win Ihre \Email{}s
785 sicher und bequem verschlüsselt.
786 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
787 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
788 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
789 vor sich geht.
790
791 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
792
793 Weiter geben wir Ihnen in Kapitel~\ref{ch:passphrase} einige Tipps,
794 mit denen Sie sich einen sicheren
795 und trotzdem leicht zu merkenden Passphrase ausdenken können.
796
797 Für Informationen zur \textbf{automatischen Installation} von Gpg4win (wie sie
798 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
799 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
800 weiter.
801
802
803 \clearpage
804 \xname{sie-erzeugen-ihr-schluesselpaar}
805 %% Original page 15
806 \chapter{Sie erzeugen Ihr Schlüsselpaar}
807 \label{ch:CreateKeyPair}
808
809 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
810 (Kapitel \ref{ch:themath})
811 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
812 entsteht (Kapitel \ref{ch:passphrase}),
813 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
814
815 Ein Schlüsselpaar besteht, wie wir im Kapitel~\ref{ch:openpgpsmime} gelernt haben,
816 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
817 Das gilt sowohl für OpenPGP wie auch für S/MIME (die Schlüssel
818 und Zertifikate entsprechen einem Standard mit der Bezeichnung X.509).
819
820 ~\\
821 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
822 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
823
824 Genau das können Sie tun -- und zwar für OpenPGP:
825
826 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
827 Sie können den gesamten Ablauf der Schlüsselerzeugung,
828 Verschlüsselung und Entschlüsselung durchspielen,
829 so oft Sie wollen, bis Sie ganz sicher sind.
830
831 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
832 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
833 Problem mehr sein.
834
835 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
836
837 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
838 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
839 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
840 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
841 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
842
843
844 \clearpage
845 %% Original page 16
846 \textbf{Los geht's!}
847 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
848
849 % TODO screenshot Startmenu with Kleopatra highlighted
850 \begin{center}
851 \htmlattributes*{img}{width=400}
852 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
853 \end{center}
854
855 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
856 Zertifikatsverwaltung:
857
858 % TODO screenshot: Kleopatra main window
859 \begin{center}
860 \htmlattributes*{img}{width=508}
861 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
862 \end{center}
863
864 Zu Beginn ist diese Übersicht leer, da wir noch keine 
865 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
866 nachholen...
867
868 \clearpage
869 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
870
871 Im folgenden Dialog entscheiden Sie sich für ein Format,
872 für das anschließend ein Zertifikat erstellt werden soll.
873 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
874 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
875 Seite \pageref{ch:openpgpsmime}.
876
877 \label{chooseCertificateFormat}
878 % TODO screenshot: Kleopatra - New certificate - Choose format
879 \begin{center}
880 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
881 \end{center}
882
883 %% Original page 17
884
885 ~\\Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
886 gliedert sich an dieser Stelle in zwei Abschnitte:
887
888 \begin{itemize}
889     \item Abschnitt \ref{createKeyPairOpenpgp}: \textbf{OpenPGP-Schlüsselpaar erstellen}
890      \T(siehe nächste Seite)
891      und
892     \item Abschnitt \ref{createKeyPairX509}:
893         \textbf{X.509-Schlüsselpaar erstellen} 
894         \T (siehe Seite \pageref{createKeyPairX509})
895         .
896 \end{itemize}
897
898 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
899 Sie sich oben entschieden haben.
900
901
902 \clearpage
903 %% OpenPGP %%
904 %% Original page 18
905 \section{OpenPGP-Schlüsselpaar erstellen}
906 \label{createKeyPairOpenpgp}
907
908 Klicken Sie im obigen Auswahldialog auf 
909 %TODO:german
910 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
911
912 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
913
914 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
915 \Email{}-Adresse an.
916
917 % TODO screenshot: New Certificate - Personal details
918 \begin{center}
919 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
920 \end{center}
921
922
923 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
924 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
925 \Email{}-Adresse eingeben, z.B.:\\ \verb-Heinrich Heine- und \verb-heinrichh@gpg4win.de-.
926
927 Optional können Sie einen Kommentar zum Schlüssel eingeben.
928 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
929 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
930 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
931 Name und die \Email{}-Adresse später öffentlich sichtbar.
932
933 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
934 Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
935 über die Details informieren.
936
937 \clearpage
938 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
939 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
940 (voreingestellten) Experten-Einstellungen interessieren, können Sie
941 diese über die Option \textit{Alle Details} einsehen.
942
943 % TODO screenshot: New Certificate - Review Parameters
944 \begin{center}
945 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
946 \end{center}
947
948 Sofern alles korrekt ist, klicken Sie anschließend auf 
949 %TODO:german
950 \Button{Create Key}. 
951
952
953 \clearpage
954 %% Original page 19
955 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
956
957 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
958 Passphrase einzugeben:
959
960 % screenshot: New certificate - pinentry
961 \begin{center}
962 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
963 \end{center}
964
965 Im Kapitel~\ref{ch:passphrase} 
966 \T (Seite \pageref{ch:passphrase})
967 geben wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
968 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
969 Sicherheit Ihrer Passphrase ernst!
970
971 Sie sollten nun eine geheime, einfach zu merkende und schwer
972 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
973
974 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
975 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
976
977 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
978 Ihre Eingabe jeweils mit \Button{OK}.\\
979
980
981 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
982 % TODO screenshot: New Certificate - Create Key
983 \begin{center}
984 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
985 \end{center}
986
987 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
988 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
989 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
990
991 \clearpage
992 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
993 erhalten Sie folgenden Dialog:
994
995 %TODO screenshot: New certificate - key successfully created
996 \begin{center}
997 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
998 \end{center}
999
1000 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
1001 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
1002 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
1003 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
1004 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
1005 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
1006 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
1007
1008 Sie brauchen sich die
1009 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
1010 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
1011
1012 \clearpage
1013 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
1014 drei Möglichkeiten durchführen:
1015 \begin{description}
1016     \item[Erstellen Sie eine Sicherungskopie Ihres
1017         geheimen(!) OpenPGP-Schlüsselpaares.]
1018
1019     ~\\Klicken Sie dazu auf die Schaltfläche
1020     %TODO:german
1021     \Button{Sicherheitskopie Ihres Zertifikats erstellen...}
1022
1023     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
1024     exportiert werden soll:
1025
1026     % TODO screenshot: New certificate - export key
1027     \begin{center}
1028     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1029     \end{center}
1030     
1031     Kleopatra wählt automatischn den Dateityp und speichert Ihr Schlüsselpaar 
1032     entweder als \textit{*.asc} bzw. \textit{*.gpg} Datei ab -- abhängig davon.
1033     ob Sie die die Option \textit{ASCII-Mantel} ein- bzw. ausschalten.
1034
1035     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1036
1037     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1038     abgespeichert haben, so sollten Sie
1039     baldmöglichst diese Datei auf einen anderen Datenträger (USB
1040     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
1041     löschen. Bewahren Sie diesen Datenträger sicher auf. 
1042
1043     Sie können eine Sicherungskopie auch jederzeit später anlegen;
1044     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
1045     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} (vgl.
1046     Kapitel \ref{ch:ImExport}).
1047
1048     \item[Versenden Sie Ihr erstelltes öffentliches(!) Zertifikat per \Email{}.]
1049     ~\\Klicken Sie auf die Schaltfläche
1050     \Button{Zertifikat per \Email{} versenden}.
1051
1052     Es sollte dabei eine neue \Email{} erstellt werden -- mit Ihrem neuen
1053     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
1054     selbstversändlich \textit{nicht} versendet.
1055     Geben Sie eine Empfänger-\Email{}-Adresse an und
1056     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1057
1058     \textbf{Beachten Sie:} Nicht alle
1059     \Email{}-Programme unterstützen diese Funktion. Sollte kein neues
1060     \Email{}-Fenster aufgehen, so beenden Sie den
1061     Zertifikatserstellungsdialog, speichern Ihr
1062     \textit{öffentliches} Zertifikat durch
1063     \Menu{Datei$\rightarrow$Zertifikat exportieren} und versenden
1064     diese Datei per E-Mail an Ihre Korrespondenzpartner 
1065     (Details im Abschnitt \ref{sec_publishPerEmail}).
1066
1067
1068     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
1069     ~\\Klicken Sie auf 
1070     \Button{Zertifikate zu Verzeichnisdienste senden...}
1071     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
1072     Verzeichnisdienst in Kleopatra konfiguriert haben.
1073
1074     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
1075     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
1076
1077 \end{description}
1078
1079 ~\\
1080 Beenden Sie anschließend den Kleopatra-Assistenten mit
1081 %TODO:german
1082 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
1083 abzuschließen.
1084
1085 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
1086 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von da an
1087 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1088
1089
1090
1091 %% X.509 %%
1092 %% Original page 21
1093 \clearpage
1094 \section{X.509-Schlüsselpaar erstellen}
1095 \label{createKeyPairX509}
1096
1097 Klicken Sie im Zertifikatsformat-Auswahldialog von
1098 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1099 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1100 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellen}.
1101
1102
1103
1104 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
1105 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
1106 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
1107
1108 % TODO screenshot: New X.509 Certificate - Personal details
1109 \begin{center}
1110 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
1111 \end{center}
1112
1113
1114 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
1115 machen Sie beliebige Angaben für Name, Organisation und
1116 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
1117 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
1118 \verb-heinrichh@gpg4win.de-.
1119
1120 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
1121 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
1122 über die Details informieren.
1123
1124 \clearpage
1125 Es werden nun noch einmal alle Eingaben und Einstellungen zur
1126 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1127 (voreingestellten) Experten-Einstellungen interessieren, können Sie
1128 diese über die Option \textit{Alle Details} einsehen.
1129
1130 % TODO screenshot: New Certificate - Review Parameters
1131 \begin{center}
1132 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1133 \end{center}
1134
1135 Sofern alles korrekt ist, klicken Sie anschließend auf 
1136 %TODO:german
1137 \Button{Create Key}. 
1138
1139
1140 \clearpage
1141 %% Original page 19
1142 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
1143
1144 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
1145 Passphrase einzugeben:
1146
1147 %TODO screenshot: New certificate - pinentry
1148 \begin{center}
1149 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1150 \end{center}
1151
1152 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
1153 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
1154 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1155 Sicherheit Ihrer Passphrase ernst!
1156
1157 Sie sollten nun eine geheime, einfach zu merkende und schwer
1158 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1159
1160 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
1161 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
1162
1163 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1164 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1165
1166 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
1167 Ihre Eingabe jeweils mit \Button{OK}.\\
1168
1169
1170 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
1171 % TODO screenshot: New Certificate - Create Key
1172 \begin{center}
1173 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
1174 \end{center}
1175
1176 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1177 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1178 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1179
1180 \clearpage
1181 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1182 erhalten Sie folgenden Dialog:
1183
1184 %TODO screenshot: New certificate - key successfully created
1185 \begin{center}
1186 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1187 \end{center}
1188
1189
1190 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
1191 drei Möglichkeiten durchführen:
1192 \begin{description}
1193     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
1194     ~\\Klicken Sie dazu auf die Schaltfläche
1195     \Button{Anfrage in Datei speichern...}
1196
1197     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
1198     gespeichert werden soll und bestätigen Sie Ihre Eingabe. 
1199     Kleopatra fügt beim Speichern automatisch die Dateiendung 
1200     \textit{*.p10} hinzu. Sie könnne diese Datei dann später
1201     auf verschiedene Weise an eine Zertifizierungsstelle geben.
1202
1203     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
1204     ~\\Klicken Sie auf die Schaltfläche
1205     \Button{Anfrage per \Email{} versenden}.
1206
1207     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
1208     Zertifizierungs-Anfrage im Anhang.
1209     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
1210     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
1211     vorbereiteten Text dieser \Email{}.
1212
1213     \textbf{Beachten Sie:} Nicht alle
1214     \Email{}-Programme unterstützen diese Funktion. Sollte kein neues
1215     \Email{}-Fenster aufgehen, so speichern Sie Ihre Anfrage zunächst in eine
1216     Datei (siehe oben) und versenden diese Datei per E-Mail an 
1217     Ihre Zertifizierungsstelle.
1218
1219     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
1220     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
1221     X.509-Zertifikat. Dieses müssen Sie dann nur noch in Kleopatra
1222     importieren (vgl. Kapitel \ref{ch:ImExport}).
1223 \end{description}
1224
1225
1226 Beenden Sie anschließend den Kleopatra-Assistenten mit 
1227 %TODO:german
1228 \Button{Finish}.
1229
1230
1231
1232 \clearpage
1233 \subsubsection{Erstellung eines X.509-Schlüsselpaars mit www.cacert.org}
1234 CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle
1235 Zertifizierungsstelle (CA), die kostenlos X.509-Zertifikate ausstellt.
1236
1237 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können, müssen Sie
1238 sich zunächst unter \uniurl[www.cacert.org]{http://www.cacert.org}
1239 registrieren.
1240
1241 Anschließend können Sie sich mit Ihrem CAcert-Account ein (oder
1242 mehrere) Client-Zertifikat(e) erstellen: Sie sollten dabei auf eine hohe
1243 Schlüsselgröße achten. In dem startenden Assistenten legen Sie
1244 Ihre sichere Passphrase für Ihr Zertifikat fest.
1245
1246 Ihre X.509-Zertifikatsanfrage wird nun erstellt.
1247
1248 Im Anschluß daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem neu
1249 erstellten X.509-Zertifikat und dem dazugehörigen CAcert-Root-Zertifikat.
1250 Laden Sie sich beide Zertifikate herunter.
1251
1252 Folgen Sie den Anweisungen und installieren Ihr Zertifikat mit Ihrem
1253 Browser. Mit Firefox können Sie danach z.B. über
1254 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1255 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1256 Zertifikate"' mit dem Namen \textit{CAcert WoT User} finden. 
1257
1258 Wenn Sie sich von anderen Mitglieder des CACert-Web-of-Trust
1259 bestätigen lassen, können Sie auch personalisierte Zertifikate mit
1260 Ihrem Namen (CN) ausstellen.
1261
1262 Speichern Sie abschließend eine Sicherungskopie Ihres X.509-Zertifikatspaars in einer *.p12
1263 Datei.
1264 \textbf{Achtung:} Diese *.p12 Datei enthält Ihr (öffentliches) Zertifikat und Ihren
1265 zugehörigen \textit{geheimen} Schlüssel. Achten Sie darauf, dass diese
1266 Datei nicht in unbefugte Hände gelangt.
1267
1268 Wie Sie Ihr X.509-Schlüsselpaar in Kleopatra importieren erfahren Sie
1269 in Kapitel \ref{ch:ImExport}.
1270
1271 ~\\
1272 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
1273 auf der nächsten Seite. Von nun an
1274 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1275
1276
1277 \clearpage
1278 %% Original page 23
1279
1280 \section{Schlüsselpaar-Erstellung abgeschlossen}
1281 \label{sec_finishKeyPairGeneration}
1282
1283 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
1284 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
1285
1286 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
1287 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
1288 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
1289 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
1290
1291 %TODO screenshot: Kleopatra with new openpgp certificate
1292 \begin{center}
1293 \htmlattributes*{img}{width=508}
1294 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1295 \end{center}
1296
1297 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1298 nachlesen zu können:
1299
1300 %TODO screenshot: details of openpgp certificate
1301 \begin{center}
1302 \htmlattributes*{img}{width=508}
1303 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1304 \end{center}
1305
1306 Was bedeuten die einzelnen Zertifikatsdetails? 
1307
1308 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
1309 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
1310 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
1311
1312 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
1313 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
1314
1315 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
1316 Kapitel~\ref{KeyDetails}. 
1317 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1318 Informationen benötigen.}
1319
1320
1321
1322 \clearpage
1323 \xname{sie-veroeffentlichen-ihr-zertifikat}
1324 %% Original page 24
1325 \chapter{Sie veröffentlichen Ihr Zertifikat}
1326 \label{ch:publishCertificate}
1327
1328 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1329 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
1330 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
1331 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
1332 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
1333
1334 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
1335 Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
1336
1337 Denn:
1338
1339 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
1340 das Zertifikat des anderen besitzen und benutzen. Natürlich
1341 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
1342 kann, wie zum Beispiel Gpg4win.}
1343
1344 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1345 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
1346
1347 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
1348 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1349 benutzen.
1350
1351 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1352 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1353 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1354 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
1355 beispielsweise ...
1356
1357 \begin{itemize}
1358     \item ... direkt per \textbf{\Email{}} an bestimmte
1359     Korrespondenzpartner (vgl. Abschnitt~\ref{sec_publishPerEmail}).
1360     \item ... auf einem \textbf{OpenPGP-Schlüsselserver};
1361     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{sec_publishPerKeyserver}).
1362     \item ... über die eigene Homepage.
1363     \item ... persönlich, z.B. per USB-Stick.
1364 \end{itemize}
1365
1366 Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
1367 näher anschauen.
1368
1369 %% Original page 25
1370 \clearpage
1371 \section{Veröffentlichen per \Email{}}
1372 \label{sec_publishPerEmail}
1373
1374 Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1375 Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
1376 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1377 Abschnitt.
1378
1379 ~\\
1380 Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
1381 Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
1382 Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
1383 X.509-Zertifikaten finden Sie auf
1384 Seite~\pageref{publishPerEmailx509}.}
1385 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1386
1387 \textbf{Adele}
1388 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1389 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1390 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1391 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1392 vorgestellt:
1393
1394 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1395 \begin{center}
1396 \IncludeImage{adele01}
1397 \end{center}
1398
1399 Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
1400 diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
1401 eine \Email{} an Sie und sendet sie zurück.
1402
1403 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1404 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1405 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1406
1407 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1408 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1409 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1410 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1411 Adressat wahrscheinlich ziemlich übel nehmen würde.
1412
1413 Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
1414 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1415
1416
1417 \clearpage
1418 %% Original page 26
1419
1420
1421
1422 \subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
1423
1424 Selektieren Sie in Kleopatra das zu exportierende Zertifikat
1425 (durch Klicken auf die entsprechende Zeile in der Liste der
1426 Zertifikate) und klicken Sie dann auf
1427 \Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
1428 Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
1429 speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
1430 z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1431
1432 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1433 dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
1434 -- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
1435 Schlüssel exportieren.
1436
1437
1438 %% Original page 27
1439 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
1440 Windows Explorer und wählen denselben Ordern aus, den Sie beim
1441 Exportieren angegeben haben.
1442
1443 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1444 Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
1445 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1446 und Zahlenblock:
1447
1448 % screenshot: Editor mit ascii armored key
1449 \begin{center}
1450 \IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
1451 \end{center}
1452
1453
1454 \clearpage
1455 %% Original page 28
1456
1457 \subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
1458 versenden}
1459
1460 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1461 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1462 anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
1463 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1464 Schlüssel eigentlich besteht.
1465
1466 \textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
1467 Schlüssel von
1468
1469 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1470 bis\\
1471 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1472
1473 und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
1474 Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
1475 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1476
1477 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1478 Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
1479 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
1480 Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
1481 reine Textnachrichten gesendet werden und keine HTML formatierte
1482 Nachrichten.
1483
1484 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1485 "`Copy \& Paste"'.
1486
1487 \textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1488 schreiben in die Betreffzeile z.B.: \textit{Mein OpenPGP-Zertifikat}.
1489
1490 So etwa sollte Ihre \Email{} nun aussehen:
1491
1492 %TODO screenshot:  Outlook composer fenster mit openpgp zertifikat.
1493 \begin{center}
1494 \IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1495 \end{center}
1496
1497 \T\enlargethispage{2\baselineskip}
1498 Schicken Sie die \Email{} an Adele ab.
1499
1500 Nur zur Vorsicht: Natürlich
1501 sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1502 Beispieladresse als Absender haben, sondern \textit{Ihre eigene
1503   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1504 bekommen$\ldots$
1505
1506
1507 \clearpage
1508 %% Original page 29
1509 \subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
1510 versenden}
1511
1512 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1513 OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1514 versenden. Das ist oftmals das
1515 einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
1516 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1517 transparenter und leichter nachzuvollziehen ist.
1518
1519 Schreiben wir Adele nun noch einmal eine neue Mail mit der
1520 Zertifikatsdatei im Anhang:
1521
1522 Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1523 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1524 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster). 
1525 Ergänzen Sie den Empfänger
1526 (\verb-adele@gnupp.de-) und einen Betreff, z.B.
1527 \textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
1528
1529 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1530 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1531 als zu diesem Übungszweck programmiert worden.
1532
1533 Ihre fertige \Email{} sollte dann etwa so aussehen:
1534
1535 %TODO screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1536 \begin{center}
1537 \IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1538 \end{center}
1539
1540 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1541
1542 \clearpage
1543 \subsubsection{Fassen wir kurz zusammen...}
1544
1545 Sie haben Ihr OpenPGP-Zertifikat in
1546 Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
1547 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1548 komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
1549 wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
1550
1551 Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
1552 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1553 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1554 Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
1555 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1556 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1557 (z.B. Kleopatra) importieren kann.
1558
1559 ~\\Nachdem \label{publishPerEmailx509}
1560 Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
1561 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1562 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1563 Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1564 Kapitel~\ref{ch:openpgpsmime}).
1565
1566 Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
1567 Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1568 \textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
1569
1570 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1571 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1572 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1573 aussuchen oder Sie schreiben testweise an sich selber.
1574
1575 Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
1576 die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
1577 Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
1578 eine Datei abspeichern wollen. Ersteres ist empfehlenswert, denn
1579 Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette die er sonst
1580 zusammensuchen müsste.
1581 Klicken Sie dazu in Kleopatra alle Kettenelemente mit
1582 gedrückter Shift-Taste an und exportieren Sie diese markierten
1583 Elemente nach oben beschriebener Regel.
1584
1585 Hatte Ihr Korrespondenzpartner das Wurzel-Zertifkat noch nicht,
1586 so muss er dieser Wurzel das Vertrauen aussprechen bzw. durch
1587 einen Administrator ausprechen lassen um letztlich auch Ihnen
1588 zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie
1589 beide zur selben Wurzel gehören, selbst bei unterschiedlichen
1590 Zertifizierungstellen), dann besteht das Vertrauen unmittelbar
1591 mit der Verfügbarkeit der Kette.
1592
1593 \clearpage
1594 %% Original page 30
1595 \section{Veröffentlichen per Schlüsselserver}
1596 \label{sec_publishPerKeyserver}
1597
1598 \textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
1599 Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
1600 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1601
1602 Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
1603 internationalen Schlüsselserver bietet sich eigentlich
1604 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1605 \Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
1606 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1607 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1608 Korrespondenzpartner.
1609
1610
1611 \textsc{Vorsicht: Die Veröffentlichung Ihrer E-Mail-Adresse
1612 auf einem Keyserver birgt leider das Risiko, dass Ihnen
1613 auch ungebetene Personen E-Mails schreiben können und die
1614 SPAM-Menge für Ihre E-Mail-Adresse dadurch zunehmen kann.
1615 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1616 Falls Sie keinen wirksamen Spamfilter benutzen,
1617 sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1618 Keyserver absehen.}
1619
1620 ~\\
1621 \textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
1622 Menü auf \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
1623
1624 Sofern Sie noch keinen Schlüsselserver
1625 definiert haben, bekommen Sie eine Warnmeldung:
1626
1627 % TODO screenshot: Kleopatra keyserver export warning
1628 \begin{center}
1629 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1630 \end{center}
1631
1632 Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
1633 \texttt{keys.gnupg.net} bereits voreingestellt.
1634 Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
1635 diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
1636 verbundenen Keyserver weitergereicht.
1637 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
1638 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1639
1640 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1641 Übungsschlüssel bitte nicht ab.  Er ist wertlos und kann nicht
1642 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1643 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1644 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1645
1646 \clearpage
1647 \subsubsection{Fassen wir kurz zusammen...}
1648 Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
1649 Schlüsselserver im Internet veröffentlichen.
1650
1651 \textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
1652   Schlüsselservern suchen und importieren, beschreiben wir im
1653   Kapitel~\ref{ch:keyserver}.
1654   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1655   Funktion benötigen.}
1656
1657 ~\\Die Veröffentlichung von X.509-Zertifikaten erfolgt in einigen
1658 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1659 Fällen durch die Zertifizierungsstelle. Das passiert typischerweise
1660 über LDAP-Server.
1661 Im Unterschied zu den OpenPGP-Schlüsselservern synchronisieren sich
1662 die LDAP-Server jedoch nicht weltweit untereinander.
1663
1664
1665
1666
1667 \clearpage
1668 %% Original page 31
1669 \xname{sie-entschluesseln-eine-email}
1670 \chapter{Sie entschlüsseln eine \Email{}}
1671 \label{ch:decrypt}
1672
1673 Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
1674 und wollen diese nun entschlüsseln? 
1675 Alles was Sie dazu brauchen ist Gpg4win, Ihr Schlüsselpaar und
1676 natürlich ganz wichtig: Ihre Passphrase.
1677
1678 In diesem Kapitel erklären wir Ihnen Schritt für Schritt, wie Sie Ihre
1679 \Email{}s in Microsoft Outlook mit Gpg4win entschlüsseln.
1680
1681 ~\\
1682 Wir üben jetzt diesen Vorgang einmal mit Adele und Ihrem
1683 OpenPGP-Zertifikat!\\
1684 \textit{Achtung: Die folgenden Übungen gelten nur für OpenPGP!
1685 Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
1686 Ende dieses Kapitels auf Seite \pageref{encrypt-smime}.}
1687 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
1688
1689
1690 Im Abschnitt~\ref{sec_publishPerEmail} haben Sie Adele Ihr
1691 OpenPGP-Zertifikat geschickt.
1692 Mit Hilfe dieses Zertifikats verschüsselt Adele nun eine
1693 \Email{} und sendet sie an Sie zurück. Nach kurzer Zeit sollten Sie
1694 Adeles Antwort erhalten.
1695
1696
1697 % cartoon: Adele typing and sending a mail
1698 \begin{center}
1699 \IncludeImage{adele02}
1700 \end{center}
1701
1702
1703 \clearpage
1704 %% Orginal page 32
1705 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
1706
1707 Für die meisten Mailprogramme gibt es spezielle Erweiterungen
1708 (sogenannte Plugins), mit denen die Ver- und Entschlüsselung direkt im
1709 jeweiligen Mailprogramm erledigt werden kann. --
1710 \textbf{GpgOL} ist ein solches Plugin für MS Outlook, dass wir in
1711 diesem Abschnitt nutzen wollen, um die \Email{} von Adele zu
1712 entschlüsseln.
1713
1714 Hinweise zu weiteren Software-Lösungen finden Sie im Kapitel~\ref{ch:plugins}.
1715 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1716
1717 ~\\
1718 Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
1719
1720 Kleopatra haben wir bisher nur als Zertifikatsverwaltung kennengelernt.
1721 Das Programm leistet aber weitaus mehr: Es kann die eigentliche Verschlüsselungs-Software
1722 GnuPG steuern und damit nicht nur Schlüssel und Zertifikate verwalten, sondern
1723 auch sämtliche kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
1724 Kleopatra sorgt für die graphische Benutzeroberfläche, also die Dialoge
1725 die Sie als Benutzer sehen während Sie eine \Email ver- oder entschlüsseln.
1726 Das heisst auch, dass Sie immer die gleichen Dialog sehen, egal ob
1727 Sie mit Outlook, einem anderen \Email-Programm oder auch mit dem Windows Explorer
1728 etwas verschlüsseln.
1729
1730 Kleopatra bearbeitet also die verschlüsselte \Email{} von
1731 Adele. Diese \Email{} hat Adele mit \textit{Ihrem} OpenPGP-Zertifikat verschlüsselt.
1732
1733 Um die
1734 Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (zum
1735 Schlüsselpaar gehörigen) Passphrase. Geben Sie diese in den
1736 aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
1737 einen Statusdialog (siehe nachfolgende Abbildung).
1738 Mit \Button{Details einblenden} können Sie sich
1739 weitere Informationen der \Email{}-Überprüfung anzeigen lassen.
1740
1741 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1742 \begin{center}
1743 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1744 \end{center}
1745
1746 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
1747 entschlüsselte \Email{} zu lesen.
1748
1749 Möchten Sie den Prüfdialog nach dem Lesen der Mail noch einmal manuell aufrufen,
1750 so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
1751 Enschlüsseln/Prüfen}.
1752
1753 Doch nun wollen wir das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
1754
1755
1756
1757 %So sollte Adeles Antwort-\Email{} etwa aussehen:
1758 %
1759 %\begin{verbatim}
1760 %From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1761 %Subject: Re: Mein OpenPGP-Zertifikat
1762 %To: heinrichh@gpg4win.de
1763 %Date: Thu, 08 Jul 2008 09:17:28 +0100
1764 %
1765 %-----BEGIN PGP MESSAGE-----
1766 %Version: GnuPG v1.4.1 (GNU/Linux)
1767 %
1768 %hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1769 %QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1770 %NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1771 %
1772 %...
1773 %
1774 %ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1775 %A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1776 %bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1777 %=VCHb
1778 %-----END PGP MESSAGE-----
1779 %\end{verbatim}
1780
1781 %\textit{(Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1782 %stark gekürzt.)}
1783
1784
1785 %\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
1786
1787
1788
1789
1790 \clearpage
1791 %% Original page 36
1792 \subsubsection{Die entschlüsselte Nachricht}
1793
1794 Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
1795   von der Softwareversion von Adele kann dies auch etwas
1796   unterschiedlich aussehen.}:
1797 %TODO: lieber ein OL-Screenshot der mail.
1798
1799 \begin{verbatim}
1800 Hallo Heinrich Heine,
1801
1802 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1803
1804 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1805 BCFA2133DDC8CA90 und der Bezeichnung
1806 `Heinrich Heine <heinrichh@duesseldorf.de>'
1807 wurde von mir empfangen.
1808
1809 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1810 dem freundlichen E-Mail-Roboter.
1811
1812 Viele Grüße,
1813 adele@gnupp.de
1814 \end{verbatim}
1815
1816 Der Textblock, der darauf folgt, ist das Zertifikat von Adele.
1817
1818 Wir werden im nächsten Kapitel dieses Zertifikat importieren und
1819 an Ihrem Schlüsselbund befestigen. Importierte Zertifikate können
1820 Sie jederzeit zum
1821 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1822 oder dessen signierte Mails überprüfen.
1823
1824 \clearpage
1825 \subsubsection{Fassen wir kurz zusammen...}
1826
1827
1828 \begin{enumerate}
1829 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1830   Schlüssel entschlüsselt.
1831
1832 \item Der Korrespondenzpartner hat sein eigenes Zertifikat
1833     beigelegt, damit Sie ihm verschlüsselt antworten können.
1834 \end{enumerate}
1835
1836 \label{encrypt-smime}
1837 ~\\Nachdem 
1838 Sie gelernt haben, wie Sie \Email{}s mit Ihrem OpenPGP-Zertifikat
1839 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1840 entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte 
1841 \textbf{S/MIME}-\Email{}s entschlüsseln.
1842
1843 Die Antwort lautet auch hier: Genauso wie bei OpenPGP!
1844 Der Unterschied zu OpenPGP ist lediglich, dass S/MIME \textit{nicht}
1845 von Adele unterstützt wird und somit die obige Übung nur für OpenPGP
1846 gilt.
1847
1848 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie
1849 die Nachricht in Outlook und geben im aufgehenden Dialog Ihre Passphrase ein. 
1850 Sie bekommen einen ähnlichen
1851 Statusdialog wie bei OpgenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
1852 entschlüsselte S/MIME \Email{}.
1853
1854
1855
1856
1857 \clearpage
1858 %% Original page 37
1859 \xname{sie-importieren-ein-zertifikat}
1860 \chapter{Sie importieren ein Zertifikat}
1861 \label{ch:keyring}
1862
1863 Ihr Korrespondenzpartner muss nicht jedes Mal sein Zertifikat 
1864 mitschicken, wenn er Ihnen signiert schreibt.
1865 Sie bewahren seinen öffentlichen Schlüssel einfach an 
1866 Ihrem GnuPG-"`Schlüsselbund"' (oder besser: "`Zertifikatsbund"') auf.
1867
1868
1869 \subsubsection{Zertifikat abspeichern}
1870
1871 Bevor Sie ein Zertifikat in Kleopatra importieren,
1872 müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
1873 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
1874 \Email{} bekommen haben, gehen Sie wie folgt vor:
1875
1876 \begin{itemize}
1877     \item Liegt das Zertifikat einer \Email{} als \textbf{Dateianhang} bei, speichern
1878 Sie es (wie Sie es in Ihrem Mailprogramm gewohnt sind)
1879 auf einem Ort Ihrer Festplatte ab.
1880
1881
1882 \item Sollte das Zertifikat als \textbf{Textblock} innerhalb Ihrer \Email{}
1883 übermittelt worden sein, so müssen Sie zunächst das vollständige
1884 Zertifikat markieren: 
1885
1886 Bei OpenPGP-Zertifikaten markieren Sie den Bereich von
1887
1888 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1889 bis\\
1890 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1891
1892 so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon getan haben.
1893
1894 Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
1895 Texteditor ein und speichern Sie das Zertifikat ab. Als Dateiendung
1896 sollten Sie für OpenPGP-Zertifikate \textit{*.asc} und für X.509-Zertifikate 
1897 z.B. \textit{*.pem} wählen.
1898
1899 \end{itemize}
1900
1901 %% Original page 38/39
1902 \clearpage
1903 \subsubsection{Zertifikat in Kleopatra importieren}
1904
1905 Ob Sie nun das Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
1906 haben, ist egal: In beiden Fällen importieren Sie dieses
1907 abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung
1908 \textbf{Kleopatra}.
1909
1910
1911 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
1912
1913 Klicken Sie im Menü auf
1914 \Menu{Datei$\rightarrow$Zertifikat importieren...},
1915 suchen das eben abgespeicherte Zertifikat aus und laden es.
1916 Sie erhalten einen Informations-Dialog mit dem Ergebnis des Importvorgangs:
1917
1918 % screenshot: Kleopatra - certificate import dialog
1919 \begin{center}
1920 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-certificate_de}
1921 \end{center}
1922
1923
1924 Das erfolgreich importierte Zertifikat wird nun in Kleopatra angezeigt
1925 -- und zwar unter einem separatem Reiter "`Importierte
1926 Zertifikate von \textit{<Pfad-zur-Zertifikatsdatei>}"':
1927
1928 % screenshot Kleopatra with new certificate
1929 \begin{center}
1930 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withAdeleKey_de}
1931 \end{center}
1932
1933 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr als nur ein
1934 Zertifikat enthalten kann. Schließen Sie diesen Reiter mit
1935 dem rot-weißen Schließen-Button am Rechten Fensterrand.
1936
1937 Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
1938 das von Ihnen importierte Zertifikat sehen.
1939
1940 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
1941 OpenPGP-Zertifikat von Adele -- importiert und an Ihrem Schlüsselbund
1942 befestigt. Sie können dieses Zertifikat jederzeit benutzen, um
1943 verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
1944 senden und Signaturen zu prüfen.
1945
1946 Sobald Sie E-Mail-Verschlüsselung häufiger und mit vielen
1947 Korrspondenzpartnern betreiben, werden Sie aus Gründen des Komforts
1948 die Zertifikate über weltweite Verteilungsdienste suchen und importieren
1949 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver} nachlesen.
1950
1951
1952 \clearpage
1953 \subsubsection{Bevor wir weitermachen, eine wichtige
1954 Frage:}
1955 Woher wissen Sie eigentlich, dass das fremde
1956 OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
1957 unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
1958 gar nichts.
1959
1960 Wie können Sie also sichergehen, dass ein Zertifikat auch wirklich
1961 seinem Absender gehört?
1962
1963 \textbf{Die Kernfrage der Zertifikatsprüfung erläutern wir im
1964 Kapitel~\ref{ch:trust}. Lesen Sie bitte jetzt dort weiter, bevor
1965 Sie danach an dieser Stelle fortfahren.}
1966
1967
1968
1969 \clearpage
1970 %% Original page 42
1971 \xname{sie-verschluesseln-eine-email}
1972 \chapter{Sie verschlüsseln eine \Email{}}
1973 \label{ch:encrypt}
1974
1975 Jetzt wird es noch einmal spannend: Wir versenden eine verschlüsselte \Email{}!
1976
1977 Sie brauchen dazu Outlook, Kleopatra und natürlich ein Zertifikat
1978 Ihres Korrespondenzpartners.
1979
1980 ~\\
1981 Erstellen Sie zunächst in Outlook eine neue \Email{} und adressieren Sie diese an Ihren
1982 Korrespondenzpartner.
1983
1984 %% Original page 45
1985
1986
1987 \textit{Hinweis nur für OpenPGP:}\\Sie können zum Üben dieses Vorgangs
1988 mit OpenPGP wieder Adele nutzen. S/MIME wird von Adele nicht
1989 unterstützt! \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1990 Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
1991 \verb-adele@gnupp.de-. Der Inhalt der Nachricht ist egal -- Adele kann
1992 nicht wirklich lesen...
1993
1994 \clearpage
1995 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
1996 \label{encryptProtocol}
1997 Bestimmen Sie nun das Protokoll -- PGP/MIME oder S/MIME --
1998 mit der Sie Ihre Nachricht verschlüsseln wollen. Die hängt davon ab,
1999 in welchem Format das Zertifikat Ihres Korrespondenzpartners bei Ihnen
2000 vorliegt.
2001 Klicken Sie dazu im Menü \Menu{Extras$\rightarrow$GnuPG Protokoll} des geöffneten
2002 Outlook-Nachrichtenfensters auf:
2003 \textit{PGP/MIME}, \textit{S/MIME} oder \textit{automatisch}.
2004
2005 Sofern Sie diese Auswahl auf der Voreinstellung \textit{automatisch} lassen, haben Sie
2006 später im Verschlüsselungsprozess noch die Möglichkeit zwischen PGP/MIME und S/MIME zu wählen.
2007
2008 Haben Sie ein bevorzugtes GnuPG-Protokoll? Dann können Sie unter den
2009 GpgOL-Optionen
2010 (\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}) 
2011 PGP/MIME oder S/MIME als Voreinstellung definieren.
2012
2013 ~\\
2014 \textbf{Wichtiger Hinweis nur für S/MIME:}\\
2015 Nach der Installation von Gpg4win ist die
2016 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
2017 S/MIME-Funktionalität in GpgOL deaktiviert. Wenn Sie S/MIME nutzen
2018 möchten, sollten Sie zuvor unter
2019 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2020 \textit{S/MIME Unterstützung einschalten} aktivieren:
2021
2022 % TODO screenshot: GpgOL options
2023 \begin{center}
2024 \IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
2025 \end{center}
2026
2027 Lesen Sie sich die angezeigten Informationen sorgfältig durch,
2028 vor allem dann wenn Sie schon vorher mit S/MIME über ein anderes Plugin-Produkt
2029 gearbeitet haben.
2030
2031 \clearpage
2032 \subsubsection{Verschlüsselung aktivieren}
2033 Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht auch wirklich
2034 verschlüsselt versenden wollen:
2035 Wählen Sie \Menu{Extras$\rightarrow$Nachricht mit GnuPG verschlüsseln}.
2036 Die Schaltfläche mit dem Schloss-Icon in der
2037 Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
2038 Schaltfläche klicken).
2039
2040 Ihre Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2041
2042 % TODO screenshot: OL composer with Adele's address and body text
2043 \begin{center}
2044 \IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
2045 \end{center}
2046 Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
2047 erneuter Klick auf die o.g. Schaltfläche.
2048
2049 Klicken Sie nun auf \Button{Senden}.
2050
2051 \clearpage
2052 \subsubsection{Zertifikatsauswahl}
2053 Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das Zertifikat des
2054 Empfängers angeben. Kleopatra wählt -- abhängig von der
2055 Empfänger-\Email{}-Adresse -- in der Regel das passende Zertifikat
2056 automatisch aus.
2057
2058 % TODO screenshot: kleopatra encryption dialog - certificate selection
2059 % (with Adele + my own certificate)
2060 \begin{center}
2061 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
2062 \end{center}
2063
2064 Im Normalfall können Sie dieses vorausgewähte Zertifikat mit
2065 \Button{Weiter} bestätigen.
2066
2067 \clearpage
2068 Sollte es jedoch nicht das richtige Zertifikat sein -- z.B. weil zu der \Email{}-Adresse 
2069 mehrere Zertifikate existieren oder Sie bewusst ein anderes Zertifikat
2070 auswählen wollen -- klicken Sie
2071 auf den \Button{...}-Button neben der Drop-Down-Liste.
2072
2073 Sie bekommen einen Kleopatra-Dialog mit einer Auflistung aller Zertifikate des
2074 gewählten Zertifikatstyps, die in Ihrer Zertifikatsverwaltung
2075 existieren (also Zertifikate, die von Ihnen bis dahin importiert wurden).
2076 Exemplarisch sehen Sie hier eine Auswahl von verfügbaren
2077 OpenPGP-Zertifikaten:
2078
2079 % TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
2080 \begin{center}
2081 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
2082 \end{center}
2083
2084 Wählen Sie das korrekte Zertifikat Ihres Korrespondenzpartners aus, denn damit muss Ihre Nachricht ja
2085 verschlüsselt werden.
2086
2087 Sie erinnern sich an den Grundsatz:
2088 \begin{quote}
2089     \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
2090   müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.}
2091 \end{quote}
2092
2093 Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun verschlüsselt.
2094
2095 \clearpage
2096 \subsubsection{Verschlüsselung abschließen}
2097 Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
2098 Sie eine Meldung, die Ihnen dies bestätigt:
2099
2100 % TODO screenshot: kleopatra encryption successfully
2101 \begin{center}
2102 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
2103 \end{center}
2104
2105 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2106 verschlüsselt!}
2107
2108
2109
2110
2111 %% Original page 37 & 40
2112 \xname{sie-signieren-eine-email}
2113 \chapter{Sie signieren eine \Email{}}
2114 \label{ch:sign}
2115
2116 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2117 Echtheit eines OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
2118 geheimen OpenPGP-Schlüssel signieren können.
2119
2120 In diesem Kapitel wollen wir uns damit beschäftigen,
2121 wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
2122 \textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
2123 einer elektronischen Unterschrift (eine Art elektronisches Siegel) versehen.
2124
2125 Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
2126 feststellen, ob die \Email{} unterwegs manipuliert oder verändert
2127 wurde.
2128
2129 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2130 tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
2131 korrespondieren, dessen Zertifikat Sie nicht haben~(aus welchem
2132 Grund auch immer), können Sie so die Nachricht wenigstens
2133 mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2134
2135 \textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht
2136 mit der \Email{}-"`Signatur"', die man unter eine \Email{} setzt und die zum
2137 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
2138 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
2139 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
2140 Manipulationen und bestätigt den Absender.
2141
2142 Übrigens ist die elektronische Unterschrift auch nicht mit der
2143 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
2144 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
2145 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
2146 genau denselben Zweck.
2147
2148 % cartoon:  Müller mit Schlüssel
2149 \begin{center}
2150 \htmlattributes*{img}{width=300}
2151 \IncludeImage[width=0.4\textwidth]{man-with-signed-key}
2152 \end{center}
2153
2154
2155
2156 \clearpage
2157 %% Original page 38
2158 \section{Signieren mit GpgOL}
2159
2160 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2161 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2162 \Email{} verfasst haben, gehen wir -- analog zur Verschlüsselung --
2163 folgende Schritte durch:
2164
2165 \begin{itemize}
2166     \item Protokoll bestimmen -- PGP/MIME oder S/MIME
2167     \item Signierung aktivieren
2168     \item Zertifikatsauswahl
2169     \item Signierung abschließen
2170 \end{itemize}
2171
2172 Auf den nächsten Seiten beschreiben wir diese Schritte im Detail.
2173
2174 \clearpage
2175 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
2176 Genauso wie beim Verschlüsseln von \Email{}s müssen Sie vorher das
2177 Protokoll bestimmen, nach welchem Verfahren signiert bzw.
2178 verschlüsselt werden soll.
2179
2180 Nutzen Sie dazu das Menü
2181 \Menu{Extras$\rightarrow$GnuPG Protokoll} im
2182 Outlook-Nachrichtenfenster und wählen Sie \textit{PGP/MIME},
2183 \textit{S/MIME} oder \textit{automatisch}. -- Die Erklärungen und
2184 Hinweise vom Verschlüsseln (siehe Seite~\pageref{encryptProtocol}) gelten auch
2185 für das Signieren.
2186
2187
2188 \subsubsection{Signierung aktivieren}
2189 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass 
2190 Ihre Nachricht signiert versendet werden soll:
2191
2192 Dazu aktivieren Sie den Menüeintrag \Menu{Extras$\rightarrow$Nachricht
2193 mit GnuPG signieren}. Die Schaltfläche mit dem unterschreibenden Stift
2194 wird aktiviert.
2195
2196 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen (als
2197 Protokoll wurde hier exemplarisch OpenPGP gewählt):
2198 % TODO screenshot: OL composer with Adele's address and body text
2199 \begin{center}
2200 \IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
2201 \end{center}
2202
2203 Wie beim Verschlüsseln können Sie natürlich auch die Signieroption
2204 jederzeit mit einem erneuten Klick auf die Schlatfläche wieder deaktivieren.
2205
2206 Klicken Sie nun auf \Button{Senden}.
2207
2208 \clearpage
2209 \subsubsection{Zertifikatsauswahl}
2210 Daraufhin öffnet Kleopatra ein Fenster, in dem -- anders als beim
2211 Verschlüsseln -- Ihre \textit{eigenen} Zertifikate angezeigt werden.
2212
2213
2214 % TODO screenshot: kleopatra sign dialog - certificate selection
2215 \begin{center}
2216 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
2217 \end{center}
2218
2219 Denn:
2220 \begin{quote}
2221     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2222 \end{quote}
2223 Logisch, denn nur Ihr eigener geheimer Schlüssel bestätigt Ihre
2224 Identität. Der Korrespondenzpartner kann dann mit Ihrem Zertifikat, das
2225 er bereits hat oder sich besorgen kann, Ihre Identität überprüfen.
2226 Denn nur Ihr geheimer Schlüssel passt zu Ihrem Zertifikat.
2227
2228
2229 Im Normalfall können Sie im obigen Dialog Ihr vorausgewähtes Zertifikat mit
2230 \Button{Weiter} bestätigen. Beim ersten Durchlauf des Signierprozesses müssen
2231 Sie jedoch zunächst Kleopatra Ihr bevorzugtes Zertifikat für OpenPGP
2232 bzw. S/MIME mitteilen.
2233
2234 Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges
2235 Zertifikat angezeigt sein -- z.B. weil Sie mehrere Zertifikate
2236 besitzen -- klicken Sie auf \Button{Signaturzertifikate ändern ...}.
2237
2238
2239 \clearpage
2240 Sie bekommen einen Auswahl-Dialog mit einer Auflistung aller Ihrer
2241 eigenen Zertifikate, die in Ihrer Zertifikatsverwaltung existieren.
2242 Nachfolgend der Dialog, gefüllt mit Beispielzertifikaten für OpenPGP
2243 und S/MIME:
2244 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2245 \begin{center}
2246 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
2247 \end{center}
2248
2249 Wählen Sie Ihr korrektes Zertifikat aus, mit dem Sie Ihre Nachricht
2250 signieren wollen.
2251
2252 Klicken Sie anschließend auf \Button{OK}. Ihr ausgewähltes Zertifikat
2253 wird in den letzten "`\Email{} signieren"'-Dialog übernommen.
2254
2255 Bestätigen Sie Ihr Zertifikat mit \Button{Weiter}.
2256
2257
2258 \clearpage
2259 \subsubsection{Signierung abschließen}
2260 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2261 aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
2262
2263 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2264 \begin{center}
2265 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2266 \end{center}
2267
2268 Dies ist notwendig, weil Sie mit Ihrem eignen geheimen Schlüssel
2269 signieren. Bestätigen Sie Ihre Eingabe mit \Button{OK}.
2270
2271 Ihre Nachricht wird nun signiert und versandt.
2272 Nach erfolgreicher Signierung Ihrer Nachricht, erhalten
2273 Sie folgenden Dialog:
2274
2275 % TODO screenshot: kleopatra sign successful
2276 \begin{center}
2277 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
2278 \end{center}
2279
2280 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2281 signiert!}
2282
2283
2284 \clearpage
2285 \subsubsection{Fassen wir kurz zusammen...}
2286 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2287 \textbf{signieren}.
2288
2289 Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine
2290 \Email{} mit dem Zertifikat Ihres Korrespondenzpartners
2291 \textbf{verschlüsseln}.
2292
2293 Damit beherschen Sie nun die beiden wichtigsten Techniken für einen
2294 sicheren \Email{}-Versand.
2295
2296 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2297 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden wollen
2298 -- je nachdem, wie wichtig und schutzbedürftig der
2299 Inhalt Ihrer \Email{} ist:
2300
2301 \begin{itemize}
2302     \item unverschlüsselt
2303     \item verschlüsselt
2304     \item signiert
2305     \item signiert und verschlüsselt \textit{(Mehr dazu im
2306         Abschnitt~\ref{sec_encsig}, S.~\pageref{sec_encsig})}
2307 \end{itemize}
2308
2309 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2310 S/MIME realisieren.
2311
2312
2313
2314 \clearpage
2315 \section{Signatur mit GpgOL überprüfen}
2316 %% Original page 41
2317 Angenommen Sie erhalten eine signierte \Email{} Ihres
2318 Korrespondenzpartners.
2319
2320 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2321 Alles was Sie dazu brauchen, ist das OpenPGP- oder X.509-Zertifikat
2322 Ihres Korrespondenzpartners.
2323 Dessen Zertifikat sollten Sie vor der Überprüfung bereits
2324 in Ihre Kleopatra Zertifikatsverwaltung importiert haben
2325 (vgl. Kapitel~\ref{ch:keyring}).
2326
2327 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu überprüfen,
2328 gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
2329 (vgl. Kapitel~\ref{ch:decrypt}):
2330
2331 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2332
2333 GpgOL übergibt die \Email{} automatisch an Kleopatra zur
2334 Prüfung der Signatur. Kleopatra  meldet das Ergebnis
2335 in einem Statusdialog, z.B.:
2336
2337 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
2338 \begin{center}
2339 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
2340 \end{center}
2341
2342 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2343 signierte \Email{} zu lesen.
2344
2345 Möchten Sie die Überprüfung noch einmal manuell aufrufen,
2346 so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2347 Enschlüsseln/Prüfen}.
2348
2349 Sollte die Signaturprüfung fehlt schlagen,
2350 % TODO: ggf. Screenshot mit neg. Meldung.
2351 wurde die Nachricht bei der Übertragung verändert.
2352 Aufgrund der technischen Gegebenheiten im Internet ist es
2353 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2354 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2355 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
2356
2357 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten,
2358 erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2359
2360
2361 \clearpage
2362 \subsubsection{Übrigens...}
2363 Wenn Sie kein Gpg4win installiert haben und eine signierte
2364 \Email{} öffnen, lässt sich die Signatur natürlich nicht überprüfen.
2365 Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
2366 ist die Signatur.
2367
2368 Exemplarisch für OpenPGP zeigen wir Ihnen, wie dann so eine
2369 OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussieht:
2370
2371 Die \Email{} beginnt mit:
2372 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2373
2374 \begin{verbatim}
2375 -----BEGIN PGP SIGNED MESSAGE-----
2376 Hash: SHA1
2377 \end{verbatim} 
2378
2379 und endet unter der \Email{}-Nachricht mit:
2380
2381 \begin{verbatim}
2382 -----BEGIN PGP SIGNATURE-----
2383 Version: GnuPG v1.4.2 (MingW32)
2384
2385 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
2386 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
2387 =O6lY
2388 -----END PGP SIGNATURE-----
2389 \end{verbatim}
2390
2391 \textit{Dies ist ein Beispiel -- Abwandlungen sind natürlich möglich.}
2392
2393
2394 \clearpage
2395 %% Original page 40
2396 \section{Gründe für eine gebrochene Signatur}
2397 \label{sec_brokenSignature}
2398
2399
2400 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur
2401 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2402 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2403 dass Ihre \Email{} manipuliert sein könnte; d.h. jemand hat vielleicht
2404 den Inhalt oder den Betreff der \Email{} verändert.
2405
2406 Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, 
2407 dass Ihre \Email{} manipuliert wurde:
2408
2409 \begin{enumerate}
2410 \item Aufgrund der technischen Gegebenheiten ist es nicht
2411   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2412   über das Internet verändert wurde.
2413 \item Das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2414   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2415   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2416   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2417   "`HTML-Mails"' und "`Word Wrap"'.
2418
2419   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2420   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2421   niemand sie willentlich verändert hat.  Bei Outlook 2003
2422   beispielsweise muss diese Option unter
2423   \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das Nachrichtenformat
2424   auf \textit{Nur Text} eingestellt sein.
2425 \end{enumerate}
2426
2427 Häufig sind falsche Einstellungen am \Email{}-Programm der Grund für
2428 eine gebrochene Signatur. 
2429
2430 \textbf{In jedem Fall sollten Sie die \Email{} erneut beim Absender anfordern!}
2431
2432
2433
2434 \clearpage
2435 %% Original page 42
2436 \section{Verschlüsseln und signieren}
2437 \label{sec_encsig}
2438
2439 Normalerweise verschlüsseln Sie eine Nachricht mit dem Zertifikat 
2440 Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
2441 \Email{} entschlüsselt.
2442
2443 Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
2444 verschlüsseln --, ist technisch nicht möglich und macht keinen Sinn,
2445 weil alle Welt das dazugehörigen (öffentliche) Zertifikat kennt und die
2446 Nachricht damit entschlüsseln könnte.
2447
2448 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2449 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2450 beschrieben haben. Solch eine digitale Signatur bestätigt eindeutig
2451 die Urheberschaft -- denn wenn jemand Ihr Zertifikat
2452 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2453 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2454 kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
2455 haben.
2456
2457 Wenn Sie ganz sicher gehen wollen, können Sie beide Möglichkeiten
2458 kombinieren, also die \Email{} verschlüsseln und signieren:
2459
2460 \begin{enumerate}
2461     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
2462   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2463 \item Dann \textbf{verschlüsseln} Sie den Text mit dem Zertifikat
2464   des Korrespondenzpartners.
2465 \end{enumerate}
2466
2467 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2468
2469 \begin{enumerate}
2470 \item Einen Innenumschlag, der mit einem Siegel verschlossen ist (die
2471   Signatur mit Ihrem eigenen geheimen Schlüssel).
2472 \item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2473   Zertifikat des Korrespondenzpartners).
2474 \end{enumerate}
2475
2476 Ihr Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
2477 geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
2478 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
2479 Hülle öffnet er mit Ihrem Zertifikat und hat den Beweis Ihrer
2480 Urheberschaft, denn wenn Ihr Zertifikat passt, kann er nur mit Ihrem
2481 Geheimschlüssel kodiert worden sein.
2482
2483 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2484 ganz einfach.
2485
2486
2487
2488 \clearpage
2489 %% Original page 47
2490 \xname{wie-sie-ihre-emails-verschluesselt-archivieren}
2491 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2492 \label{ch:archive}
2493
2494 Eine wichtige Einstellung müssen Sie nun noch vornehmen, um Gpg4win
2495 richtig nutzen zu können: Es geht um Ihre
2496 \Email{}s, die Sie verschlüsselt versenden.
2497
2498 Wie können Sie diese wichtigen Nachrichten sicher archivieren?
2499 Natürlich können Sie einfach eine Klartextversion Ihrer Texte aufbewahren,
2500 aber das wäre eigentlich nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
2501 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
2502 Sie sollten also stets Ihre verschlüsselt gesendeten \Email{}s auch
2503 \textit{verschlüsselt} aufbewahren!
2504
2505 Sie ahnen das Problem: zum Entschlüsseln Ihrer archivierten
2506 (versendeten) \Email{}s braucht Sie aber den geheimen Schlüssel des
2507 Empfängers -- und den haben Sie nicht und werden Sie nie haben$\ldots$
2508
2509 Also was tun?
2510
2511 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2512 selbst!}
2513
2514 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2515 (z.B. Adele) verschlüsselt und ein weiteres Mal auch für Sie, mit
2516 Hilfe Ihres eigenen Zertifikats. So können Sie die \Email{} später einfach
2517 mit Ihrem eigenen geheimen Schlüssel wieder lesbar machen.
2518
2519 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen (Sie
2520 können ja auch mehrere haben) müssen Sie dem Programm dies
2521 mitteilen.
2522
2523 Wie? -- Das erfahren Sie auf der nächsten Seite.
2524
2525 \clearpage
2526 %% Original page 48
2527 Um diese Option zu nutzen, genügen einige wenige Mausklicks:
2528
2529 Öffnen Sie Kleopatra und dort das GnuPG-Backend über \Menu{Extras$\rightarrow$GnuPG-Backend
2530 einrichten...}.
2531
2532 Wählen Sie \textit{GPG for OpenPGP} bzw.
2533 \textit{GPG for S/MIME} und geben Sie in das Textfeld an der Stelle
2534 \textbf{\Menu{Auch an NAME verschlüsseln}} 
2535 den vollständigen Fingerabdruck Ihres Zertifikats an, z.B.:
2536
2537
2538 % TODO screenshot: Kleopatra GnuPG Backend - Gpg for OpenPGP with fingerprint
2539 \begin{center}
2540 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-backend-openpgpWithFingerprint_de}
2541 \end{center}
2542
2543 %In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
2544 %"`Encrypt to this key"' Ihren Schlüssel ein bzw. die
2545 %dazugehörige \Email{}-Adresse.
2546
2547 Den Fingerabdruck finden Sie in den Zertifikatsdetails.
2548
2549 Eine entsprechende Option finden Sie auch bei allen \Email{}-Programmen,
2550 die GnuPG direkt unterstützen.
2551
2552
2553 \clearpage
2554 %% Original page 49
2555 \subsubsection{Fassen wir kurz zusammen...}
2556
2557 \begin{enumerate}
2558 \item Sie haben mit dem Zertifikat Ihres Korrespondenzpartners eine
2559   \Email{} verschlüsselt und ihm damit geantwortet.
2560 \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten \Email{}s auch
2561   zusätzlich mit Ihrem eigenen Zertifikat, so dass die Nachrichten für
2562   Sie lesbar bleiben.
2563 \end{enumerate}
2564
2565 \vspace{1cm}
2566 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums werden
2567 Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win besitzen.}
2568
2569 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
2570
2571 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
2572 funktioniert, empfehlen wir Ihnen sich nun mit dem zweiten,
2573 fortgeschrittenen Teil von Gpg4win zu beschäftigten. Wir versprechen
2574 Ihnen, Sie werden viele spannende Dinge darin entdecken!
2575
2576 Genau wie das Kryptographiesystem Gpg4win wurden dieses Kompendium nicht nur
2577 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
2578 sondern \textbf{für jedermann.}
2579
2580
2581
2582
2583
2584
2585
2586 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2587 % Part II
2588
2589 % page break in toc
2590 \addtocontents{toc}{\protect\newpage}
2591
2592 \clearpage
2593 \xname{fortgeschrittene}
2594 \T\part{Fortgeschrittene}
2595 \W\part*{\textbf{II Fortgeschrittene}}
2596 \label{part:Fortgeschrittene}
2597 \addtocontents{toc}{\protect\vspace{0.3cm}}
2598
2599
2600 \clearpage
2601 %% Original page 9
2602 \xname{wie-funktioniert-gpg4win}
2603 \chapter{Wie funktioniert Gpg4win?}
2604 \label{ch:FunctionOfGpg4win}
2605
2606 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
2607 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
2608 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
2609
2610 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
2611 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
2612 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
2613 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
2614 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
2615
2616 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
2617 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
2618 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
2619 knacken ist.
2620
2621
2622 \clearpage
2623 %% Original page 10
2624 \subsubsection{Der Herr der Schlüsselringe}
2625
2626 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
2627 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
2628 nur einmal gibt und den man ganz sicher aufbewahrt.
2629
2630 \begin{center}
2631 \htmlattributes*{img}{width=300}
2632 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
2633 \end{center}
2634
2635 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
2636 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
2637 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
2638 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
2639 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
2640
2641
2642 \clearpage
2643 %% Original page 11
2644
2645 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
2646 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
2647 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
2648 dazu auch sehr fehleranfällig.
2649
2650 \begin{center}
2651 \htmlattributes*{img}{width=300}
2652 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
2653 \end{center}
2654
2655 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
2656 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
2657 und dass sowohl der Absender als auch der Empfänger diesen geheimen
2658 Schlüssel kennen.
2659
2660 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
2661 solchen System ein Geheimnis (eine verschlüsselte Nachricht)
2662 mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
2663 Schlüssel) mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
2664 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
2665 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
2666 Dritten abgefangen werden darf.
2667
2668
2669
2670 \clearpage
2671 %% Original page 12
2672
2673 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel -- mit einem
2674 weiteren Schlüssel (engl. "`key"'), der vollkommen frei und öffentlich
2675 (engl. "`public"') zugänglich ist.
2676
2677 Man spricht daher auch von
2678 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
2679
2680 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
2681 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
2682 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
2683 Weitergegeben wird nur der öffentliche Schlüssel (das Zertifikat)~-- und den kennt
2684 sowieso jeder.
2685
2686 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
2687 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
2688 eine komplexe mathematische Formel untrennbar miteinander verbunden.
2689 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
2690 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
2691 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir,
2692 warum das so ist.
2693
2694 % Note: The texts on the signs are empty in the current revision.
2695 % However, I used the original images and wiped out the texts ``Open
2696 % Source"' and ``gratis"' - need to replace with something better.
2697 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
2698 \begin{center}
2699 \htmlattributes*{img}{width=300}
2700 \IncludeImage[width=0.4\textwidth]{verleihnix}
2701 \end{center}
2702
2703
2704 \clearpage
2705 %% Original page 13
2706 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
2707
2708 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2709 (engl. ,,secret key'' oder ,,private key''), muss geheim gehalten werden.
2710
2711 Der \textbf{öffentliche Schlüssel}, auch \textbf{Zertifikat} genannt
2712 (public key), soll so
2713 öffentlich wie möglich gemacht werden.
2714
2715 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2716
2717 \bigskip
2718
2719 \begin{quote}
2720     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
2721 \end{quote}
2722
2723 \begin{center}
2724 \htmlattributes*{img}{width=300}
2725 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
2726 \end{center}
2727
2728 \begin{quote}
2729     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
2730 \end{quote}
2731
2732
2733 \clearpage
2734 %% Original page 14
2735
2736 \subsubsection{Der öffentliche Safe}
2737
2738 In einem kleinen Gedankenspiel
2739 wird die Methode des Public-Key Verschlüsselungssystems
2740 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher...
2741
2742 \bigskip
2743
2744 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
2745
2746 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
2747 auf, über den Sie geheime Nachrichten übermitteln wollen.
2748
2749 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
2750 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2751 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2752 Nachrichten zunächst einmal gut gesichert.
2753
2754 \begin{center}
2755 \htmlattributes*{img}{width=300}
2756 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
2757 \end{center}
2758
2759 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2760 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
2761 und eine Geheimnachricht deponieren zu können.
2762
2763
2764 \clearpage
2765 %% Original page 15
2766 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2767 Wege übergeben.
2768
2769 \bigskip
2770 \bigskip
2771
2772 \begin{center}
2773 \htmlattributes*{img}{width=300}
2774 \IncludeImage[width=0.7\textwidth]{secret-key-exchange}
2775 \end{center}
2776
2777 \clearpage
2778 %% Original page 16
2779 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
2780 öffnen und die geheime Nachricht lesen.
2781
2782 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
2783 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
2784 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
2785 die Botschaft selbst.
2786
2787 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2788 gleich die geheime Mitteilung übergeben\ldots
2789
2790
2791 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
2792 \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2793 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2794 könnten.
2795
2796 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
2797
2798 \begin{center}
2799 \htmlattributes*{img}{width=300}
2800 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
2801 \end{center}
2802
2803 \clearpage
2804 %% Original page 17
2805 \textbf{Jetzt die Public-Key Methode:}
2806
2807 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
2808 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2809 -- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2810 -- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2811
2812 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
2813
2814 \begin{center}
2815 \htmlattributes*{img}{width=300}
2816 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
2817 \end{center}
2818
2819 Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: es ist Ihr
2820 öffentlicher Schlüssel.
2821
2822 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2823 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2824 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2825 frei zugänglich.
2826
2827 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2828 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2829 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2830 Botschaft nachträglich zu verändern.
2831
2832 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2833
2834 Aufschließen kann man den Briefkasten nur mit einem einzigen
2835 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2836
2837 \clearpage
2838 %% Original page 18
2839
2840 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
2841 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2842 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2843 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2844 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2845
2846 Spielen wir das Gedankenspiel noch einmal anders herum:
2847
2848 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2849 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2850 verfügbaren Schlüssel.
2851
2852 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2853 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2854 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2855 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2856 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2857 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2858 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2859 und die Nachricht lesen.
2860
2861 \begin{center}
2862 \htmlattributes*{img}{width=300}
2863 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2864 \end{center}
2865
2866
2867 \clearpage
2868 %% Original page 19 
2869 \textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
2870 geheimen Schlüssel!?
2871
2872 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2873 allerdings ein gewaltiger:
2874
2875 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2876 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2877 Übergabe entfällt, sie verbietet sich sogar.
2878
2879 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2880 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
2881 geheimes Codewort.
2882
2883 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: alle
2884 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2885 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2886 bringen kann.
2887
2888 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2889 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2890 Schlüsselbund.
2891
2892
2893 \clearpage
2894 %% Original page 20
2895 \xname{die-passphrase}
2896 \chapter{Die Passphrase}
2897 \label{ch:passphrase}
2898
2899 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
2900 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2901 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2902 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2903 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2904
2905 Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
2906 abzuspeichern. Dies geschieht auf zweierlei Weise:
2907
2908 \begin{center}
2909 \htmlattributes*{img}{width=300}
2910 \IncludeImage[width=0.3\textwidth]{think-passphrase}
2911 \end{center}
2912
2913 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2914 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2915 weder zum Schreiben noch zum Lesen.  Es ist deswegen unbedingt zu
2916 vermeiden, den Schlüssel in einem öffentlichen Ordner
2917 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2918 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2919 ("`Homedir"') von GnuPG
2920 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2921 befinden; für einen Benutzer mit
2922 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2923 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2924 sein.  Der geheime Schlüssel befindet sich dort in einer Datei mit dem
2925 Namen \verb=secring.gpg=.
2926
2927 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2928 der Administrator des Rechners immer auf alle Dateien zugreifen --
2929 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2930 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2931 Trojanersoftware) kompromittiert werden. 
2932
2933 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2934 Passphrase.
2935
2936 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2937 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2938 haben und niemals aufschreiben müssen.
2939
2940 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
2941 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2942 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
2943 merkende und nur sehr schwer zu erratende Passphrase ausdenken
2944 können.
2945
2946
2947 \clearpage
2948 %% Original page 21
2949 Eine \textbf{gute Passphrase} kann so entstehen:
2950
2951 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
2952
2953 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
2954
2955 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
2956
2957 $\qquad$\verb-nieufdahnlnr- 
2958 \texttt{\scriptsize{(Ei\textbf{n}
2959 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
2960 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
2961 Ko\textbf{r}n.)}}
2962
2963
2964 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
2965 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
2966 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
2967 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächnis. Erraten
2968 kann diese Passphrase niemand.
2969
2970
2971 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2972 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2973 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2974 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2975 Sie wichtigen Liedes.
2976
2977
2978 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2979 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2980 "`ß"', "`\$"' usw.
2981
2982 Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
2983 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2984 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2985 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2986 Tastatur finden.
2987
2988
2989 %% Original page  22
2990 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2991 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2992 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
2993
2994 $\qquad$\verb-In München steht ein Hofbräuhaus.-
2995
2996 könnten man beispielsweise diese Passphrase machen:
2997
2998 $\qquad$\verb-inMinschen stet 1h0f breuhome-
2999
3000 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
3001 sich aber doch merken können, wie z.B.:
3002
3003 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.-
3004
3005 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
3006 geheimen Schlüssel.
3007
3008 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
3009 z.B. so:
3010
3011 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
3012
3013 Das ist nun kürzer, aber nicht mehr so leicht zu merken. 
3014 Wenn Sie eine noch kürzere Passphrase verwenden, 
3015 indem Sie hier und da Sonderzeichen benutzen,
3016 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
3017 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
3018 noch größer.
3019
3020 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
3021 sichere Passphrase ist dieses hier:
3022
3023 $\qquad$\verb-R!Qw"s,UIb *7\$-
3024
3025 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
3026 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
3027 für die Erinnerung hat.
3028
3029 \clearpage
3030 %% Original page 23
3031 Eine \textbf{schlechte Passphrase} ist blitzschnell geknackt, wenn sie:
3032
3033 \begin{itemize}
3034 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
3035   \Email{}-Account oder Ihr Handy
3036
3037 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
3038   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
3039
3040 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
3041   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
3042   diese Daten herankommen.
3043
3044 \item ein landläufiges Zitat ist; wie z.B. "`das wird böse enden"' oder "`to
3045   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
3046   Cracker routinemäßig und blitzschnell eine Passphrase.
3047
3048 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
3049   Denken Sie sich eine längere Passphrase aus.
3050
3051 \end{itemize}
3052
3053 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
3054 \textit{auf gar keinen Fall} eines der oben angeführten Beispiele.  Denn es liegt auf
3055 der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
3056 Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
3057 nicht eines dieser Beispiele genommen haben.
3058
3059 \bigskip
3060
3061 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
3062 Unvergesslich und unknackbar.
3063
3064 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
3065 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
3066
3067
3068
3069
3070 \clearpage
3071 %% Original page 24
3072 \xname{schluessel-im-detail}
3073 \chapter{Zertifikat im Detail}
3074 \label{KeyDetails}
3075
3076 Auf Seite \pageref{sec_finishKeyPairGeneration} haben Sie sich schon
3077 den Detaildialog Ihres erzeugtes Zertifikats angesehen. Viele Angaben
3078 zu Ihrem Zertifikat sind dort aufgelistet. Einige werden wir im
3079 folgenden Abschnitt ansprechen (beachten Sie die Unterschiede für
3080 OpenPGP- und X.509-Zertifikate):
3081
3082 \begin{itemize}
3083 \item die Benutzer-ID
3084 \item den Fingerabdruck
3085 \item die Gültigkeit
3086 \item das Inhabervertrauen \textit{(nur OpenPGP)}
3087 \item die Beglaubigungen \textit{(nur OpenPGP)}
3088 \end{itemize}
3089
3090 \textbf{Die Benutzer-ID} besteht aus dem Namen und der
3091 \Email{}-Adresse, die Sie während der Zertifikatserzeugung eingegeben
3092 haben, also z.B.: \verb=Heinrich Heine <heinrichh@gpg4win.de>=\\
3093 Für OpenPGP-Zertifikate können Sie mit Kleopatra über den Menüpunkt
3094 \Menu{Zertifikate$\rightarrow$Benutzer-ID hinzufügen...} Ihr
3095 Zertifikat um weitere Benutzerkennungen erweitern. Das ist dann
3096 sinnvoll, wenn Sie z.B. für eine weitere \Email{}-Adressen Ihr gleiches
3097 Zertifikat nutzen möchten.\\
3098 \textit{Beachten Sie: Hinzufügen neuer Benutzer-IDs ist in Kleopatra
3099 nur für OpenPGP-Zertifikate (nicht aber für X.509) möglich.}
3100
3101 \textbf{Der Fingerabdruck} wird verwendet, um mehrere
3102 Zertifikate voneinander zu unterscheiden. Mit dieser Kennung können
3103 Sie nach (öffentlichen) Zertifikaten suchen, die z.B. auf einem
3104 weltweit verfügbaren OpenPGP-Schlüsselservern oder auf einem
3105 X.509-LDAP-Vezeichnisdienst-Server liegen.
3106 Was Schlüsselserver sind, erfahren Sie im folgenden Kapitel.
3107
3108 \textbf{Die Gültigkeit} ist normalerweise auf "`Unbegrenzt"'
3109 gesetzt. Für OpenPGP-Zertifikate können Sie die Gültigkeit selbständig
3110 mit Kleopatra ändern, indem Sie auf die Schaltfläche
3111 "`Ablaufdatum ändern"' in den Zertifikatsdetails klicken (oder den Menü
3112 \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen) 
3113 und ein neues Datum eintragen. Damit können
3114 Sie Zertifkate nur für eine begrenzte Zeit gültig erklären, zum
3115 Beispiel, um sie an externe Mitarbeiter auszugeben.\\
3116 Die Gültigkeit von X.509-Zertifikaten wird bei der Zertifkatsausstellung
3117 von der Zertifizierungsstelle (CA) festgelegt und kann nicht vom Nutzer
3118 geändert werden.
3119
3120 \textbf{Das Inhabervertrauen} beschreibt das Maß an Zuversicht, das
3121 Sie subjektiv in den Besitzer des OpenPGP-Zertifikats setzen, andere
3122 OpenPGP-Zertifikate korrekt zu signieren/beglaubigen.
3123 Sie können das Vertrauen über die Schaltfläche \Button{Vertraue durch dieses Zertifikat
3124 ausgestellte Beglaubigungen} in den Zertifikatsdetails (oder über das Menü
3125 \Menu{Zertifikate$\rightarrow$Inhabervertrauen ändern}) einstellen.\\
3126 \textit{Beachten Sie: Das Inhabervertrauen ist nur für OpenPGP-Zertifikate
3127 relevant. Für X.509-Zertifikate gibt es diese Vertrauensmethode
3128 nicht.}
3129
3130 \textbf{Die Beglaubigungen} Ihres OpenPGP-Zertifikats beinhalten die
3131 Benutzer-IDs derjenigen Zertifikatsinhaber, die sich von der Echtheit
3132 Ihres Zertifikats überzeugt und es dann auch signiert haben. Das
3133 Vertrauen in die Gültigkeit Ihres Zertifikats steigt mit der Anzahl an
3134 Beglaubigungen, die Sie von anderen Nutzern erhalten.\\
3135 \textit{Beachten Sie: Beglaubigungen sind nur für OpenPGP-Zertifikate
3136 relevant. Für X.509-Zertifikate gibt es diese Vetrauensmethode nicht.}
3137
3138 ~\\
3139 Diese Zertifikatsdetails sind für die tagtägliche Benutzung von Gpg4win nicht
3140 unbedingt erforderlich. Sie werden relevant, wenn Sie neue Zertifikate
3141 erhalten oder ändern. 
3142
3143 Wie Sie fremde Zertifikate prüfen und signieren und was genau das
3144 "`Netz des Vertrauens"' ist, erfahren Sie im Kapitel \ref{ch:trust}.
3145
3146
3147 \clearpage
3148 %% Original page 25
3149 \xname{die-openpgp-schluesselserver}
3150 \chapter{Die OpenPGP-Schlüsselserver}
3151 \label{ch:keyserver}
3152
3153 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
3154 OpenPGP-Zertifikats haben wir Ihnen bereits im
3155 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3156 Kapitel beschäftigt sich mit den Details von Schlüsselservern.
3157 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3158
3159 %% Original page 26
3160
3161 Schlüsselserver können von allen Programmen benutzt werden, die den
3162 OpenPGP-Standard unterstützen.
3163
3164 In Kleopatra ist ein Keyserver bereits voreingestellt:
3165 \texttt{hkp://keys.gnupg.net}.
3166 Ein Mausklick unter
3167 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
3168 genügt, und Ihr öffentlicher Schlüssel ist unterwegs rund um die Welt.
3169 Es genügt, den Schlüssel an irgendeinen der verfügbaren
3170 Keyserver zu senden, denn fast alle synchronsieren sich weltweit
3171 miteinander.
3172 Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
3173 verfügbar ist, aber dann haben Sie einen globales Zertifikat!
3174
3175 \begin{center}
3176 \htmlattributes*{img}{width=300}
3177 \IncludeImage[width=0.3\textwidth]{keyserver-world}
3178 \end{center}
3179
3180 Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
3181 über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
3182 nicht.  Dieses verteilte Netz von Keyservern sorgt für eine bessere
3183 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
3184 Schlüssel löschen um so die Kommunikation unmöglich zu machen
3185 ("`Denial of Service"'-Angriff).
3186
3187 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
3188 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
3189 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
3190 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
3191
3192 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
3193 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
3194 umgehen können.
3195
3196
3197 \clearpage
3198 \subsubsection{Adressen einiger Schlüsselserver}
3199
3200 Hier eine Auswahl von gut funktionierenden Schlüsselservern:
3201 \begin{itemize}
3202 \item hkp://blackhole.pca.dfn.de
3203 \item hkp://pks.gpg.cz
3204 \item hkp://pgp.cns.ualberta.ca
3205 \item hkp://minsky.surfnet.nl
3206 \item hkp://keyserver.ubuntu.com
3207 \item hkp://keyserver.pramberger.at
3208 \item http://gpg-keyserver.de
3209 \item http://keyserver.pramberger.at
3210 \end{itemize}   
3211 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
3212 besten die Keyserver, deren URL mit \verb-http://- beginnen.
3213
3214 Die Keyserver unter den Adressen
3215 \begin{itemize}
3216 \item hkp://keys.gnupg.net
3217 \item hkp://subkeys.pgp.net
3218 \end{itemize}
3219 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3220 dann zufällig ein konkreter Server ausgewählt.
3221
3222 \textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
3223 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
3224 werden.
3225
3226 \clearpage
3227 \subsubsection{Schlüsselservern einrichten}
3228
3229 Öffnen Sie die Kleopatra-Einstellungen:
3230 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}.
3231
3232 Legen Sie unter der Rubrik "`Verzeichnisdienste"' einen neuen
3233 Schlüsselserver an, indem Sie auf \Menu{Neu$\rightarrow$OpenPGP}
3234 klicken. Ein voreingestellter OpenPGP-Keyserver mit dem Servernamen
3235 \verb=keys.gnupg.net= wird in die Liste hinzugefügt:
3236
3237 %TODO screenshot: Kleopatra configure Keyserver dialog
3238 \begin{center}
3239 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-configureKeyserver_de}
3240 \end{center}
3241
3242 Passen Sie den Eintrag nach Bedarf an (z.B. indem Sie Sie eine
3243 Serveradresse von der letzten Seite hier abändern).
3244
3245 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3246 OpenPGP-Schlüsselserver ist nun erfolgreich eingerichtet. Testen Sie
3247 nun Ihre Konfiguration indem Sie eine Zerifikatssuche auf dem
3248 Server starten (siehe nächster Abschnitt).
3249
3250 \clearpage
3251 \subsubsection{Zertifikate auf Schlüsselservern suchen}
3252 %% Original page 27
3253
3254 Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen
3255 (vgl. Abschnitt~\ref{sec_publishPerKeyserver}),
3256 können Sie auch nach Zertifikaten suchen und diese später importieren.
3257
3258 Klicken Sie dazu in Kleopatra auf 
3259 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
3260 erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
3261 Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
3262 können:
3263
3264 %TODO screenshot: Kleopatra certification search dialog
3265 \begin{center}
3266 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3267 \end{center}
3268
3269 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3270 auf die Schaltfläche \Button{Details ...}.
3271
3272 \subsubsection{Zertifikate vom Schlüsselservern importieren}
3273 %% Original page 28
3274 Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
3275 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
3276 Zertifikat aus der Liste der Suchergebnisse und
3277 klicken Sie auf \Button{Importieren}.
3278
3279 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
3280 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
3281 \Button{OK}. 
3282
3283 War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
3284 der Kleopatra-Zertifikatsverwaltung.
3285
3286
3287
3288 \clearpage
3289 %% Original page 31
3290 \xname{die-zertifikatspruefung}
3291 \chapter{Die Zertifikatsprüfung}
3292 \label{ch:trust}
3293
3294 Woher wissen Sie eigentlich, dass das fremde Zertifikat
3295 wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
3296 Korrespondenzpartner glauben, dass das Zertifikat, das Sie
3297 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
3298 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
3299
3300 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
3301 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
3302 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
3303 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
3304 Identität des Absenders.
3305
3306 \clearpage
3307 \subsubsection{Der Fingerabdruck}
3308 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
3309 die Sache mit der Identität schnell geregelt: Sie prüfen den
3310 Fingerabdruck des anderen Zertifikats.
3311
3312 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
3313 es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
3314 eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
3315 "`Fingerprint"'.
3316
3317 Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
3318 lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
3319 dessen 40-stelligen Fingerabdruck:
3320
3321 %TODO: mit Adeles Zertifikat
3322 % screenshot:  GPA key listing with fingerprint
3323 \begin{center}
3324 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
3325 \end{center}
3326
3327 Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:\\
3328 %TODO
3329 \verb+BA90 087D 0C6C 7F4D EAF0 0907 BCFA 2133 DDC8 CA90+
3330
3331
3332
3333 %% Original page 32
3334 ~\\
3335 Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
3336 Besitzer eindeutig.
3337
3338 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
3339 von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben
3340 mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
3341 eindeutig das richtige Zertifikat.
3342
3343 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
3344 Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
3345 solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
3346 gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
3347 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
3348 den Anruf ersparen.
3349
3350
3351 \clearpage
3352 \subsubsection{OpenPGP-Zertifikat signieren}
3353
3354 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
3355 Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
3356 dieses Zertifikat zu signieren.
3357
3358
3359 \textit{Beachten Sie: \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3360 Signieren von Zertifikaten durch Benutzer ist nur mit OpenPGP
3361 möglich. Bei X.509 ist das authorisierten Stellen vorbehalten!}
3362
3363 Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen
3364 (Gpg4win-)Benutzern mit, dass Sie dieses
3365 Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
3366 dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
3367 Echtheit.
3368
3369 ~\\
3370 \textbf{Wie funktioniert das Signieren nun genau?}\\
3371 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
3372 halten und signieren möchten. Wählen Sie anschließend im Menü:
3373 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
3374
3375 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu signierende
3376 OpenPGP-Zertifikat mit \Button{Weiter}:
3377
3378 % TODO screenshot: Kleopatra certify certificate 1
3379 \begin{center}
3380 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
3381 \end{center}
3382
3383 \clearpage
3384 Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
3385 (im letzten Schritt ausgewählte) Zertifikat signieren wollen:
3386 % TODO screenshot: Kleopatra certify certificate 2
3387 \begin{center}
3388 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
3389 \end{center}
3390
3391 %TODO:german
3392 Entscheiden Sie hier, ob Sie
3393 \Button{Nur für mich selbst beglaubigen} oder
3394 \Button{Für alle sichtbar beglaubigen} wollen. Bei
3395 letzterer Variante haben Sie die Option, das signierte Zertifikat
3396 anschließend auf einen Keyserver hochzuladen und damit der Welt ein
3397 mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat 
3398 zur Verfügung zu stellen.
3399
3400 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
3401
3402 Wie beim Signieren einer \Email{} müssen Sie auch beim Signieren eines
3403 Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase eingeben.
3404 Erst nach korrekter Eingabe ist die Beglaubigung abgeschlossen.
3405
3406 \clearpage 
3407
3408 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3409 % TODO screenshot: Kleopatra certify certificate 3
3410 \begin{center}
3411 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
3412 \end{center}
3413
3414 ~\\
3415 Wollen Sie nun einmal die erfolgte Beglaubigung überprüfen?\\
3416 Dann öffnen Sie die Zertifikatsdetails des eben signierten
3417 Zertifikats. Wählen Sie den Reiter \textit{Benutzer-IDs und
3418 Beglaubigungen} und klicken auf die Schaltfläche \Button{Hole
3419 Beglaubigungen ein}.
3420
3421 Sortiert nach den Benutzer-IDs sehen sie alle Beglaubigungen, die in
3422 diesem Zertifikat enthalten sind. Hier sollte Sie auch Ihre
3423 Zertifikat wiederfinden, mit dem Sie eben signiert haben.
3424
3425 \clearpage
3426 %% Original page 33/34
3427
3428 \subsubsection{Das Netz des Vertrauens}
3429
3430 Durch das Signieren/Beglaubigen von Zertifikaten entsteht -- auch über den Kreis von
3431 Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
3432 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
3433 angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
3434 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3435
3436 \begin{center}
3437 \htmlattributes*{img}{width=300}
3438 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
3439 \end{center}
3440
3441 Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats,
3442 wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat
3443 wird im Laufe der Zeit die Signaturen vieler anderer GnuPG-Benutzer
3444 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
3445 Zertifikat wirklich Ihnen und niemandem sonst gehört.
3446
3447 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
3448 Beglaubigungs-Infra\-struktur.
3449
3450 Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung 
3451 aushebeln kann: Jemand schiebt Ihnen einen falsches
3452 Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
3453 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
3454 solches gefälschtes Zertifikat signiert wird, hat das "`Netz des
3455 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
3456 vergewissern, ob ein Zertifikat, wirklich zu der Person
3457 gehört, der er zu gehören vorgibt.
3458
3459 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
3460 Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
3461 nicht die Lösung sein\ldots
3462
3463
3464 \clearpage
3465 %% Original page 35
3466 \subsubsection{Zertifizierungsinstanzen}
3467
3468 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
3469 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
3470 Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
3471 sondern vertrauen darauf, dass die ausstellende
3472 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
3473
3474 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
3475 Verschlüsselung für OpenPGP. In Deutschland bietet unter anderem z.B. die
3476 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
3477 wie viele Universitäten.
3478 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3479
3480 Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
3481 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
3482 sich darauf verlassen.
3483
3484 ~\\
3485 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
3486 anderen Verschlüsselungssystemen -- wie z.B. S/MIME  --
3487 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
3488 vorgesehen.
3489 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
3490 Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' beglaubigt und
3491 ihnen das Recht vergibt, Benutzerzertifikate zu beglaubigen
3492 (vgl. Kapitel~\ref{ch:openpgpsmime}).
3493
3494 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
3495 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
3496 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
3497 übergeordneten Stelle erhalten hat.
3498
3499
3500 %% Original page 36
3501
3502 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
3503 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
3504 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
3505 beruhende &