90f6c2ffbf9427642e77dc64573dddab9e65187e
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt,twoside,openright,titlepage,dvips]{scrbook}
5 \usepackage{hyperlatex}
6 \usepackage{a4wide}
7 \usepackage{times}
8 \usepackage[latin1]{inputenc}
9 \usepackage[T1]{fontenc}
10 \usepackage{german}
11 \usepackage{graphicx}
12 \usepackage{alltt}
13 \usepackage{moreverb}
14 \usepackage{fancyhdr}
15 \W\usepackage{rhxpanel}
16 \W\usepackage{sequential}
17
18
19 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
20
21
22 % Hyperref should be among the last packages loaded
23 \usepackage{hyperref}
24
25 % Macros specific to this package
26 \input{macros.tex}
27 \newcommand{\manualversion}{\manualversionEinsteiger}
28 \newcommand{\manualdate}{\manualdateEinsteiger}
29 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
30
31 \T\fancyhead{} % clear all fields
32 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \manualversion\ \manualinprogress}
33 \T\fancyhead[RO,LE]{\thepage}
34 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
35
36
37 % Title stuff 
38 \htmltitle{Gpg4win Kompendium}
39 %\htmladdress{Gpg4win Project, \today}
40 \title{
41 \IncludeImage[width=8cm]{gpg4win-logo}
42 \\
43 Das Gpg4win Kompendium}
44
45 \author{\htmlonly{\xml{p}\small
46 \xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
47 Zu \xlink{Gpg4win für Durchblicker}{durchblicker.html}\xml{br}
48 Zu \xlink{Englische Version dieses Handbuchs}{novices.html}\xml{br}
49 Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
50 }%
51 Eine Veröffentlichung des Gpg4win Projekts\\
52   \small Basierend auf einem Original von 
53 \T\\
54   \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
55 \T\\
56   \small Dr. Francis Wray und Ute Bahn.
57 \T\\ \
58   \small Überarbeitet von
59 \T\\
60   \small Werner Koch}
61 \date{Version \manualversion\ vom \manualdate\ \manualinprogress}
62
63
64 \begin{document}
65 \thispagestyle{empty}
66 \pagestyle{fancy}
67 \T\parindent0cm
68 \T\parskip\medskipamount
69
70
71 \maketitle
72
73
74 \section*{Impressum}
75
76 \noindent
77 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
78 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
79 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
80 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
81 werden.}\\
82 Copyright \copyright{} 2005 g10 Code GmbH\\
83 Permission is granted to copy, distribute and/or modify this document
84 under the terms of the GNU Free Documentation License, Version 1.2 or
85 any later version published by the Free Software Foundation; with no
86 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
87 copy of the license is included in the section entitled "`GNU Free
88 Documentation License"'.
89
90 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
91 oben stehenden Hinweises.]}\\
92 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
93 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
94 Documentation License, Version 1.2 oder einer späteren, von der Free
95 Software Foundation veröffentlichten Version.  Es gibt keine
96 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
97 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
98 License"' findet sich im Anhang mit dem gleichnamigen Titel.
99 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
100 http://www.gnu.org/licenses/translations.html.
101
102 %%\htmlonly{Die aktuelle PDF Version dieses Dokuments finden sie unter
103 %%\xlink{\EinsteigerPDFURL}{\EinsteigerPDFURL}.}
104
105 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
106 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
107 sondern für jedermann.
108
109
110
111 \clearpage %% End of original page 4.
112
113 \tableofcontents
114
115 %%\clearpage
116 %% Orginal page  6
117 %% We don't use these foreword anymore because Mr. Müller is not
118 %% anymore minister of economic and technology.  We might want to ask
119 %% for a new foreword by the current head of that ministr
120 %%
121
122 \clearpage
123 %% Orginal page 7
124 \chapter*{Über dieses Handbuch}
125 \T\addcontentsline{toc}{chapter}{Über dieses Handbuch}
126
127
128 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
129
130 \begin{itemize}
131
132 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
133     Schnelleinstieg in Gpg4win.
134
135 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
136     Das Hintergrundwissen für Gpg4win.
137
138 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
139   Entschlüsselung so oft üben können, wie Sie wollen.
140 \end{itemize}
141
142
143 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
144 und knapp durch die Installation
145 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
146 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
147 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
148 etwa eine halbe Stunde Zeit nehmen.
149
150 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
151 liefert Hintergrundwissen, das Ihnen die
152 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
153 seltener benutzten Fähigkeiten erläutert.
154
155 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
156 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
157 der angegebenen Reihenfolge lesen.
158
159
160 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
161 Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
162 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
163 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
164 Gebrauch der Software vertraut gemacht haben.
165
166 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
167 läuft dort noch immer. "`Gpg4win für Einsteiger"' verwendet diesen
168 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
169 für den Betrieb von Adele.
170
171
172
173
174
175 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
176 % Part I
177
178 \clearpage
179 \part{Einsteiger}
180 \label{part:Einsteiger}
181 \addtocontents{toc}{\protect\vspace{0.3cm}}
182  
183 %% Orginal page 8
184 \chapter{Was ist Gpg4win?}
185 \input{was-ist-gpg4win.tex}
186
187 \clearpage
188 %% Orginal page 9
189 \chapter{Sie installieren Gpg4win}
190
191 Sollte bereits eine GnuPG basierte Anwendung, wie z.B. GnuPP, GnuPT,
192 WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
193 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
194 wie Sie Ihre vorhandenen Schlüssel übernehmen können.
195
196 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
197
198 Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs
199 und melden Sie sich als Administrator an.  Öffnen Sie
200 Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM- Icon mit
201 dem Titel "`Gpg4win"'. Wenn sich das CD-ROM-Icon geöffnet hat, klicken
202 Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
203
204 Haben Sie Gpg4win aus dem Internet heruntergeladen, so klicken Sie
205 bitte auf diese neu abgespeicherte Datei, die den Namen
206 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
207 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
208 einer vertrauenswürdigen Seite erhalten haben.
209
210 Die weitere Installation ist dann identisch:
211
212 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
213 mit \Button{Ja}.
214
215 Es begrüßt Sie dieser Screen:
216
217 \T\enlargethispage{2\baselineskip}
218 % screenshot:  Welcome Seite Installer
219 \begin{center}
220 \IncludeImage{sc-inst-welcome}
221 \end{center}
222
223 Beenden Sie alle möglicherweise auf Ihrem Rechner laufenden Programme,
224 und klicken Sie dann auf \Button{Weiter}.
225
226 \clearpage
227 %% Orginal page 10
228
229 Auf der Seite mit dem Lizenzabkommen, können Sie Informationen zu den
230 Lizenzen dieser Software lesen. 
231
232 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
233 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
234 zu lesen.  
235
236 Geben Sie allerdings diese Software weiter oder wollen Sie sie
237 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
238 machen.  
239
240 % Screenshot Lizenzseite des Installers
241 \begin{center}
242 \IncludeImage{sc-inst-license}
243 \end{center}
244
245
246 Klicken Sie auf \Button{Weiter}.
247
248
249 \clearpage
250 %% New page (not in original document)
251
252 Auf der Seite mit der Komponentenauswahl können
253 Sie entscheiden, welche Programme Sie installieren
254 möchten.
255
256 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
257 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
258 Entscheidung hilft.
259
260 Die Anzeige des benötigen Speichers auf der Festplatte
261 hilft Ihnen vielleicht ebenfalls weiter.
262
263 % sreenshot Auswahl zu installierender Komponenten
264 \begin{center}
265 \IncludeImage{sc-inst-components}
266 \end{center}
267
268 Sinnvoll ist es, mindestens GnuPG, GPA, WinPT und die Handbücher
269 zu installieren. Den Rest können Sie bei Bedarf auch später installieren.
270
271 Klicken Sie auf \Button{Weiter}.
272
273
274 \clearpage
275 %% Original page 11
276
277 In der nun folgenden Dateiauswahl können Sie einen Ordner auf Ihrem PC
278 aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
279 Normalfall den voreingestellten Ordner\\
280 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
281 übernehmen.
282
283 % screenshot: Auswahl des Installationsverzeichnis.
284 \begin{center}
285 \IncludeImage{sc-inst-directory}
286 \end{center}
287
288 Klicken Sie anschließend auf \Button{Weiter}.
289
290 \clearpage
291
292 Auf der folgenden Seite können Sie festlegen, welche Verknüpfungen
293 installiert werden.  Voreingestellt ist lediglich eine Verknüpfung mit
294 dem Startmenü.  Bitte beachten Sie, daß sie diese Verknüpfungen auch
295 jederzeit später mit den Bordmitteln von Windows verändern können.
296
297 % screenshot: Auswahl des Links
298 \begin{center}
299 \IncludeImage{sc-inst-options}
300 \end{center}
301
302 Klicken Sie anschließend auf \Button{Weiter}.
303
304 \clearpage
305 %% Original page 12
306
307 Falls Sie auf der vorhergehenden Seite eine Verknüpfung mit dem
308 Startmenü ausgewählt haben (dies ist die Voreinstellung), so wird
309 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
310 Startmenüs auswählen können.
311
312 % screenshot:  Startmenu auswählen
313 \begin{center}
314 \IncludeImage{sc-inst-startmenu}
315 \end{center}
316
317 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
318 klicken dann auf \Button{Installieren}.
319
320 \clearpage
321
322 Während der nun folgenden Installation sehen Sie einen
323 Fortschrittsbalken und Informationen, welche Datei momentan
324 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen} drücken
325 um ein Protokoll der Installation sichtbar zu machen.
326
327 % Screenshot: Ready page Installer
328 \begin{center}
329 \IncludeImage{sc-inst-ready}
330 \end{center}
331
332 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
333 \Button{Weiter}.
334
335 \clearpage
336 %% Original page 13
337
338 Die letzte Seite des Installationsvorgangs wird nun angezeigt:
339
340 % Screenshot: Finish page Installer
341 \begin{center}
342 \IncludeImage{sc-inst-finished} 
343 \end{center}
344
345 Klicken Sie auf \Button{Fertig stellen}.
346
347 \clearpage
348
349 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
350 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
351
352 % Screenshot: Finish page Installer with reboot
353 \begin{center}
354 \IncludeImage{sc-inst-finished2}
355 \end{center}
356
357 Sie können hier auswählen, ob Windows sofort neu gestartet werden
358 soll oder später manuell. 
359
360 Klicken Sie hier auch auf \Button{Fertig stellen}.
361
362
363 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
364 % Outlook ausschaltet.
365
366 \clearpage
367 %% Original page 14
368
369 \textbf{Das war's schon!}
370
371 Sie haben Gpg4win installiert und können es gleich zum ersten Mal
372 starten.
373
374 Vorher sollten Sie aber im Handbuch "`Gpg4win für Durchblicker"'
375 (PDF-Datei) die Kapitel 3 und 4 lesen. Wir erklären dort den genialen
376 Trick, mit dem Gpg4win Ihre \Email{}s sicher und bequem verschlüsselt.
377 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
378 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
379 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
380 vor sich geht.
381
382 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
383
384 Weiter geben wir Ihnen dort einige Tipps, mit denen Sie sich einen sicheren
385 und trotzdem leicht zu merkenden Passphrase ausdenken können.
386
387 \textbf{Bevor Sie weiterlesen und im Kapitel~\ref{ch:CreateKeyPair} mit
388 der Schlüsselpaarerzeugung beginnen, ist es wichtig zu verstehen, wie
389 Gpg4win funktioniert und warum die Passphrase dabei so bedeutend ist.
390 Lesen Sie dazu bitte jetzt die Kapitel~\ref{ch:FunctionOfGpg4win} und
391 \ref{ch:passphrase}.}
392
393 \textbf{Für Informationen zur automatischen Installation von Gpg4win (wie sie
394 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
395 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
396 weiter.}
397
398 \clearpage
399 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
400 \label{ch:openpgpsmime}
401
402 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
403 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
404 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
405 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
406
407 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Daten-Übertragung
408 sind 2 Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
409 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
410 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
411
412 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
413 und zwar das Public-Key-Verfahren. Was heisst das?
414
415 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
416 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
417 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
418 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
419 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
420 \textbf{"`Geheimer Schlüssel"'}).
421
422 Klingt zwar komisch wann man an echte Schlösser denkt, aber bei
423 Software löst diese Idee das Problem, dass ich meinen Schlüssel
424 für jeden Empfänger aus der Hand geben müsste.
425 Denn normalerweise muss der Schlüssel zum Verschlüsseln/Abschließen auch
426 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also muss ich Ihnen,
427 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
428 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
429 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
430 grosses Problem.
431
432 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
433 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
434 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
435 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
436 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
437 würde.
438
439 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
440 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung (vgl.
441 Kapitel~\ref{ch:CreateKeyPair}).
442
443 \textbf{Falls Sie sich fragen, wie das Public-Key-Verfahren so funktionieren kann, und
444 warum das sicher ist, lesen Sie jetzt die Kapitel~\ref{ch:themath} und
445 \ref{ch:secretGnupg}.}
446
447 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
448 Geheimnisse verstehen. Viel Spaß beim Entdecken.
449
450 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
451
452 Der wesentlichste \textbf{Unterschied zwischen OpenPGP und S/MIME} liegt
453 im Bereich der Authentifizierung.
454 Um die Authentizität des Absenders festzustellen, ist bei S/MIME
455 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
456 unzweifelhaft beglaubigt.
457 Das heisst, dass ich meinen Schlüssel von einer dazu
458 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
459 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
460 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
461 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
462 man hierarchisches Vertrauenskonzept. Zumeist ist die Kette nur 3 Elemente
463 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
464 Wurzel zertifiziert CA, CA zertifiziert Anwender.
465
466 Im Gegensatz dazu erlaubt OpenPGP neben dieser baumartigen Zertifizierung
467 zusätzlich auch eine direkte "`\textbf{peer-to-peer}"' Zertifizierung (Anwender A zertfiziert
468 Anwender B, B zertifiziert A und C usw.) und macht damit
469 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
470 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
471 also die Möglichkeit, ohne eine Zertifizierung einer höheren Stelle verschlüsselte Daten und
472 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
473 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
474
475 \textbf{Nähere Informationen zu Authentifizierungswegen wie zum Beispiel
476 Web-of-Trust finden Sie im Kapitel~\ref{ch:FunctionOfGpg4win}.}
477 %TODO#: Verweis korrekt? Nichts über web-of-trust. Verweis kam oben
478 %schon einmal.
479
480
481 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
482 ~\\
483 Zusammengefasst bedeutet das für Sie:
484 \begin{itemize}
485 \item sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
486  bieten,
487 \item aber Sie sind \textbf{nicht kompatibel} miteinander, so dass die geheime
488         Kommunikation und die Authentifizierung nicht interoperabel sind.
489 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
490 \textbf{ parallele } Nutzung beider Systeme.
491 \end{itemize}
492
493 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
494 Sorgen, in den folgenden Kapiteln wird jeder Schritt von der Installation bis
495 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
496 mit S/MIME detailliert erklärt. Außerdem weisen Sie besondere Symbole für OpenPGP und S/MIME auf
497 Erklärungen zu den verschiedenen Konzepten hin, so dass immer sofort ersichtlich ist,
498 zu welchem Konzept welche Erklärung gehört.
499
500 \begin{center}
501 \IncludeImage{openpgp-icon}
502 \IncludeImage{smime-icon}
503 \end{center}
504
505 \clearpage
506 %% Original page 15
507 \chapter{Sie erzeugen Ihr Schlüsselpaar}
508 \label{ch:CreateKeyPair}
509
510 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
511 (Kapitel \ref{ch:themath}, Seite \pageref{ch:themath})
512 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
513 entsteht (Kapitel \ref{ch:passphrase}, Seite \pageref{ch:passphrase}),
514 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
515
516 Ein Schlüsselpaar besteht, wie wir im letzten Kapitel gelernt haben,
517 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
518 Das gilt sowohl für OpenPGP wie auch für S/MIME (X.509).
519
520 ~\\
521 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
522 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
523
524 Genau das können Sie tun - und zwar für OpenPGP:
525
526 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
527 Sie können den gesamten Ablauf der Schlüsselerzeugung,
528 Verschlüsselung und Entschlüsselung durchspielen,
529 so oft Sie wollen, bis Sie ganz sicher sind.
530
531 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
532 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
533 Problem mehr sein.
534
535 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
536
537 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
538 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
539 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
540 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
541 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
542
543
544 \clearpage
545 %% Original page 16
546 \textbf{Los geht's!}
547 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
548
549 % TODO screenshot Startmenu with Kleopatra highlighted
550 \begin{center}
551 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
552 \end{center}
553
554 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
555 Zertifikatsverwaltung:
556
557 % TODO screenshot: Kleopatra main window
558 \begin{center}
559 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
560 \end{center}
561
562 Zu Beginn ist diese Übersicht leer, da wir noch keine 
563 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
564 nachholen:
565
566 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
567 Im folgenden Dialog entscheiden Sie sich für ein Format,
568 für das anschließend ein Zertifikat erstellt werden soll.
569 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
570 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
571 Seite \pageref{ch:openpgpsmime}.
572
573 \label{chooseCertificateFormat}
574 % TODO screenshot: Kleopatra - New certificate - Choose format
575 \begin{center}
576 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
577 \end{center}
578
579 %% Original page 17
580
581 Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
582 gliedert sich an dieser Stelle in zwei Abschnitte: 
583 \textbf{OpenPGP-Schlüsselpaar erstellen}  und 
584 \textbf{X.509-Schlüsselpaar erstellen}.
585 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
586 Sie sich oben entschieden haben.
587
588
589
590
591
592 %% OpenPGP %%
593 %% Original page 18
594 \section*{OpenPGP-Schlüsselpaar erstellen}
595
596 Klicken Sie im obigen Auswahldialog auf 
597 %TODO:german
598 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
599
600 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
601
602 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
603 \Email{}-Adresse an.
604
605 % TODO screenshot: New Certificate - Personal details
606 \begin{center}
607 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
608 \end{center}
609
610
611 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
612 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
613 \Email{}-Adresse eingeben, z.B. "`Heinrich Heine"' und "`\verb-heinrichh@gpg4win.de-"'.
614
615 Optional können Sie einen Kommentar zum Schlüssel eingeben.
616 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
617 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
618 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
619 Name und die \Email{}-Adresse später öffentlich sichtbar.
620
621 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
622 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
623 über die Details informieren.
624
625 \clearpage
626 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
627 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
628 (voreingestellten) Experten-Einstellungen interessieren, können Sie
629 diese über die Option
630 % TODO:german
631 \textit{Show all details} einsehen.
632
633 % TODO screenshot: New Certificate - Review Parameters
634 \begin{center}
635 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
636 \end{center}
637
638 Sofern alles korrekt ist, klicken Sie anschließend auf 
639 %TODO:german
640 \Button{Create Key}. 
641
642
643 \clearpage
644 %% Original page 19
645 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
646
647 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
648 Passphrase einzugeben:
649
650 %TODO screenshot: New certificate - pinentry
651 \begin{center}
652 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
653 \end{center}
654
655 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
656 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
657 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
658 Sicherheit Ihrer Passphrase ernst!
659
660 Sie sollten nun eine geheime, einfach zu merkende und schwer
661 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
662
663 %TODO#: ist derzeit nich so:
664 %Falls die Passphrase nicht sicher genug sein sollte, werden Sie
665 %darauf hingewiesen.
666
667 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
668 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
669
670 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
671 Ihre Eingabe jeweils mit \Button{OK}.\\
672
673
674 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
675 % TODO screenshot: New Certificate - Create Key
676 \begin{center}
677 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
678 \end{center}
679
680 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
681 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
682 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
683 %TODO# ggf. noch mehr erläutern!
684
685 \clearpage
686 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
687 erhalten Sie folgenden Dialog:
688
689 %TODO screenshot: New certificate - key successfully created
690 \begin{center}
691 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
692 \end{center}
693
694 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
695 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
696 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
697 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
698 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
699 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
700 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
701
702 Sie brauchen sich die
703 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
704 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
705
706 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
707 drei Möglichkeiten durchführen:
708 \begin{description}
709     \item[Erstellen Sie eine Sicherungskopie Ihres
710         OpenPGP-Schlüsselpaares.]
711         %TODO#: Paar od. geheimer Schluessel? Dateiformat?
712     
713     ~\\Klicken Sie dazu auf den Button
714     %TODO:german
715     \Button{Make a Backup Of Your Certificate...}
716
717     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
718     exportiert werden soll:
719
720     % TODO screenshot: New certificate - export key
721     \begin{center}
722     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
723     \end{center}
724
725     Klicken Sie anschließend auf
726     \Button{OK}. 
727
728     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
729     abgespeichert haben, so sollten Sie
730     baldmöglichst diese Datei auf einen anderen Datenträger (USB
731     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
732     löschen. Bewahren Sie diesen Datenträger sicher auf. 
733
734     Sie können eine Sicherungskopie auch jederzeit später anlegen;
735     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
736     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} 
737
738     \item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
739     ~\\Klicken Sie auf den Button 
740     %TODO:german
741     \Button{Send Certificate By EMail}.
742
743     Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
744     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
745     selbstversändlich \textit{nicht} versendet.
746     Geben Sie eine Empfänger-\Email{}-Adresse an und
747     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
748
749     %TODO# Wird hier nur der öffentliche Schlüssel versendet?
750
751     % ggf TODO screenshot: New certificate - send openpgp key per email
752    \begin{center}
753    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
754    \end{center}
755
756
757     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
758     ~\\Klicken Sie auf 
759     %TODO:german
760     \Button{Upload Certificate To Directory Service...}
761     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
762     Verzeichnisdienst in Kleopatra konfiguriert haben.
763
764     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
765     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
766
767     %TODO#: Mehr Erläuterungen nötig?  
768
769 \end{description}
770
771 ~\\
772 Beenden Sie anschließend den Kleopatra-Assistenten mit
773 %TODO:german
774 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
775 abzuschließen.
776
777 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
778 auf Seite~\pageref{finishKeyPairGeneration}. Von da an
779 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
780
781
782
783 %% X.509 %%
784 %% Original page 21
785 \clearpage
786 \section*{X.509-Schlüsselpaar erstellen \margin{\IncludeImage[width=1.5cm]{smime-icon}} }
787
788 Klicken Sie im Zertifikatsformat-Auswahldialog von
789 Seite~\pageref{chooseCertificateFormat} auf
790 %TODO:german
791 \Button{Create a personal X.509 key pair and certification request}.
792 %TODO# ggf "vgl. Abb"
793
794
795
796 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
797 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
798 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
799
800 % TODO screenshot: New X.509 Certificate - Personal details
801 \begin{center}
802 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
803 \end{center}
804
805
806 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
807 machen Sie beliebige Angaben für Name, Organisation und
808 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
809 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
810 "`\verb-heinrichh@gpg4win.de-"'.
811
812 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
813 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
814 über die Details informieren.
815
816 \clearpage
817 Es werden nun noch einmal alle Eingaben und Einstellungen zur
818 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
819 (voreingestellten) Experten-Einstellungen interessieren, können Sie
820 diese über die Option
821 % TODO:german
822 \textit{Show all details} einsehen.
823
824 % TODO screenshot: New Certificate - Review Parameters
825 \begin{center}
826 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
827 \end{center}
828
829 Sofern alles korrekt ist, klicken Sie anschließend auf 
830 %TODO:german
831 \Button{Create Key}. 
832
833
834 \clearpage
835 %% Original page 19
836 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
837
838 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
839 Passphrase einzugeben:
840
841 %TODO screenshot: New certificate - pinentry
842 \begin{center}
843 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
844 \end{center}
845
846 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
847 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
848 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
849 Sicherheit Ihrer Passphrase ernst!
850
851 Sie sollten nun eine geheime, einfach zu merkende und schwer
852 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
853
854 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
855 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
856
857 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
858 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
859
860 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
861 Ihre Eingabe jeweils mit \Button{OK}.\\
862
863
864 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
865 % TODO screenshot: New Certificate - Create Key
866 \begin{center}
867 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
868 \end{center}
869
870 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
871 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
872 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
873 %TODO# ggf. noch mehr erläutern!
874
875 \clearpage
876 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
877 erhalten Sie folgenden Dialog:
878
879 %TODO screenshot: New certificate - key successfully created
880 \begin{center}
881 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
882 \end{center}
883
884
885 Als nächstes \textit{können} Sie einen (oder mehrere) der folgenden
886 drei Möglichkeiten durchführen:
887 \begin{description}
888     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
889     ~\\Klicken Sie dazu auf den Button 
890     %TODO:german
891     \Button{Save Request To File...}
892
893     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
894     gespeichert werden soll. Als Dateiendung wählen Sie *.p10 und
895     bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
896     auf verschiedene Weise an eine Zertifizierungsstelle geben.
897
898     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
899     ~\\Klicken Sie auf den Button 
900     %TODO:german
901     \Button{Send Certificate By EMail}.
902
903     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
904     Zertifizierungs-Anfrage im Anhang.
905     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
906     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
907     vorbereiteten Text dieser \Email{}.
908
909     % ggf TODO screenshot: New certificate - send openpgp key per email
910    \begin{center}
911    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
912    \end{center}
913     
914     %TODO#:korrekt?
915     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
916     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
917     X.509-Zertifikat.
918 \end{description}
919
920 \clearpage
921 Beenden Sie anschließend den Kleopatra-Assistenten mit 
922 %TODO:german
923 \Button{Finish}.
924
925 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
926 auf der nächsten Seite. Von nun an
927 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
928
929
930 \clearpage
931 %% Original page 23
932
933 \section*{Schlüsselpaar-Erstellung abgeschlossen}
934 \label{finishKeyPairGeneration}
935
936 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
937 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
938
939 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
940 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
941 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
942 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
943
944 %TODO screenshot: Kleopatra with new openpgp certificate
945 \begin{center}
946 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
947 \end{center}
948
949 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
950 nachlesen zu können:
951
952 %TODO screenshot: details of openpgp certificate
953 \begin{center}
954 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
955 \end{center}
956
957 Was bedeuten die einzelnen Zertifikatsdetails? 
958
959 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
960 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
961 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
962
963 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
964 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
965 %TODO# DSA erklären
966
967 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
968 Kapitel~\ref{KeyDetails}. 
969 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
970 Informationen benötigen.}
971
972
973
974 \clearpage
975 %% Original page 24
976
977 \chapter{Sie veröffentlichen Ihre Zertifikat per \Email{}}
978
979 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
980 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
981 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
982 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
983 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
984
985 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
986 Zertifikate von Ihren Korrespondenzpartnern haben --- je mehr, desto besser.
987
988 Denn:
989
990 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
991 das Zertifikat des anderen besitzen und benutzen. Natürlich
992 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
993 kann, wie zum Beispiel Gpg4win.}
994
995 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
996 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
997
998 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
999 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1000 benutzen.
1001
1002 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1003 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1004 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1005 gibt es zwei Möglichkeiten:
1006
1007 \begin{itemize}
1008 \item Das Zertifikat \textbf{direkt per \Email{}} an bestimmte
1009     Korrespondenzpartner schicken (gilt für OpenPGP und S/MIME).
1010 \item Das Zertifikat \textbf{auf einem OpenPGP-Schlüsselserver}
1011     veröffentlichen -- weltweit für jedermann zugänglich
1012     (\textit{Achtung: gilt nur für OpenPGP!}).
1013 \end{itemize}
1014
1015 Beachten Sie, dass bei der zweiten Möglichkeit Ihre \Email{}-Adresse für
1016 jedermann zugänglich ist. Dies birgt leider das Risiko, dass Ihnen
1017 auch ungebetene Personen \Email{}s schreiben können und die
1018 SPAM-Menge für Ihre \Email{}-Adresse dadurch zunehmen kann.
1019 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1020
1021
1022 \clearpage
1023 %% Original page 25
1024 Zum Üben dieses Vorgangs kommt nun Adele ins Spiel:
1025
1026 Adele ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1027 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1028 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1029 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1030 vorgestellt:
1031
1032 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1033 \begin{center}
1034 \IncludeImage{adele01}
1035 \end{center}
1036
1037 Adele schicken Sie zunächst Ihren öffentlichen Schlüssel. Wenn Adele
1038 Ihren Schlüssel empfangen hat, verschlüsselt sie damit eine \Email{} an
1039 Sie und sendet sie zurück.
1040
1041 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1042 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1043 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1044
1045 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1046 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1047 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1048 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1049 Adressat wahrscheinlich ziemlich übel nehmen würde.
1050
1051 %TODO#: nur OpenPGP mit Adele?
1052 Wir exportieren also nun Ihren öffentlichen Schlüssel, kopieren ihn in
1053 eine \Email{} und senden diese an Adele.
1054
1055
1056 \clearpage
1057 %% Original page 26
1058 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1059 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1060 anhängen können. Zudem bekommen Sie so Ihren Schlüssel zum ersten Mal
1061 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1062 Schlüssel eigentlich besteht.
1063
1064 Und so geht's:\\
1065 Selektieren Sie den zu exportierenden Schlüssel (durch klicken auf die
1066 entsprechende Zeile in der Liste der Schlüssel) und klicken Sie dann
1067 auf \Button{Export} in der Iconleiste von GPA.  Wählen Sie dann einen
1068 geeigneten Ordner auf Ihrem PC aus und speichern Sie den Schlüssel
1069 dort z.B. als\\ \Filename{mein-key.asc}.
1070
1071 Über den Erfolg dieser Operation werden Sie durch eine Hinweisbox
1072 informiert.  Klicken Sie dort dann auf \Button{OK}.
1073
1074
1075 \clearpage
1076 %% Original page 27
1077
1078 Sehen Sie sich dann diese Datei mit dem Explorer an. Sie müssen hierzu
1079 denselben Ordern auswählen, den Sie beim Exportieren angegeben haben.
1080
1081 Öffnen Sie diese Datei mit einem Texteditor, z.B. mit WordPad.  Sie
1082 sehen Ihren öffentlichen Schlüssel im Texteditor so, wie er wirklich
1083 aussieht ­-- ein ziemlich wirrer Text- und Zahlenblock:
1084
1085 % screenshot: Editor mit ascii armored key
1086 \begin{center}
1087 \IncludeImage[width=0.9\textwidth]{sc-misc-mein-key-asc}
1088 \end{center}
1089
1090
1091 \clearpage
1092 %% Original page 28
1093
1094 Markieren Sie nun den gesamten Schlüssel von
1095
1096 \begin{verbatim}
1097 -----BEGIN PGP PUBLIC KEY BLOCK-----
1098 \end{verbatim}
1099 bis
1100 \begin{verbatim}
1101 -----END PGP PUBLIC KEY BLOCK-----
1102 \end{verbatim}
1103
1104 und kopieren Sie ihn mit dem Menübefehl oder mit dem Tastaturkürzel
1105 Strg+C. Damit haben Sie den Schlüssel in den Speicher Ihres Rechners
1106 ­-- bei Windows Zwischenablage genannt ­-- kopiert.
1107
1108 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1109 Sie benutzen ­-- und fügen Ihren öffentlichen Schlüssel in eine leere
1110 \Email{} ein. Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei
1111 Windows Strg+V.  Es ist sinnvoll vorher das Mailprogramm so zu
1112 konfigurieren, dass reine Textnachrichten gesendet werden und keine HTML
1113 formatierte Nachrichten.
1114
1115 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1116 "`Copy \& Paste"'.
1117
1118 Adressieren Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1119 schreiben in die Betreffzeile:
1120
1121 \textbf{mein öffentlicher Schlüssel}
1122
1123 So etwa sollte Ihre \Email{} nun aussehen:
1124
1125 % screenshot:  Eines composer Windows.
1126 \begin{center}
1127 \IncludeImage[width=0.9\textwidth]{sc-ol-send-test-key}
1128 \end{center}
1129
1130 Schicken Sie die \Email{} an Adele nun ab. Nur zur Vorsicht: natürlich
1131 sollten Ihre \Email{}s \textbf{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1132 Beispieladresse als Absender haben, sondern \emph{Ihre eigene
1133   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1134 bekommen$\ldots$
1135
1136
1137 \clearpage
1138 %% Original page 29
1139
1140 Genauso gehen Sie vor, wenn Sie Ihren Schlüssel an eine echte
1141 \Email{}-Adresse senden. Natürlich können Sie dann auch noch ein paar
1142 erklärende Sätze dazuschreiben. Adele braucht diese Erklärung nicht,
1143 denn sie ist zu nichts anderem als zu diesem Zweck programmiert
1144 worden.
1145
1146 \textbf{Fassen wir kurz zusammen:} Sie haben Ihren
1147 öffentlichen Schlüssel per \Email{} an einen Korrespondenzpartner
1148 geschickt.
1149
1150 ~\\
1151 \textbf{Im Kapitel~\ref{ch:attachment} beschreiben wir, wie
1152 Sie Ihren Schlüssel auch als Dateianhang versenden.}
1153
1154 Das ist oftmals das einfachere und gebräuchlichere Verfahren. Wir haben Ihnen hier
1155 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1156 transparenter und leichter nachzuvollziehen ist.  Sie können dieses
1157 Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1158
1159
1160 \clearpage
1161 %% Original page 30
1162 \chapter{Sie veröffentlichen Ihren OpenPGP-Schlüssel per Keyserver}
1163
1164
1165 Diese Möglichkeit bietet sich eigentlich immer an, selbst wenn Sie nur
1166 mit wenigen Partnern verschlüsselte \Email{}s austauschen.  Ihr
1167 Schlüssel ist dann sozusagen "`stets griffbereit"' auf einem Server im
1168 Internet vorhanden.
1169
1170 \textbf{Wichtig: Die Veröffentlichung Ihres Schlüssels auf einem Keyserver ist
1171 nur für OpenPGP-Schlüssel möglich!}
1172 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1173
1174 \textsc{Vorsicht: Obwohl es noch keine Hinweise gibt, dass Spammer
1175   Adressen wirklich von den Keyservern sammeln, so ist dies jedoch
1176   technisch möglich.  Falls Sie keinen wirksamen Spamfilter benutzen,
1177   sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1178   Keyserver absehen.}
1179
1180 Wählen Sie Ihren OpenPGP-Schlüssel in Kleopatra aus und klicken im
1181 Menü auf
1182 %TODO:german
1183 \Menu{Datei$\rightarrow$Export Certificate to Server...}. 
1184
1185 % screenshot: GPA export key to keyserver
1186 \begin{center}
1187 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1188 \end{center}
1189
1190 Wie Sie sehen, ist ein öffentlicher Keyserver bereits voreingestellt
1191 (\texttt{keys.gnupg.net}). Wenn Sie auf
1192 \Button{Fortsetzen} klicken, wird der Schlüssel an diesen Server
1193 geschickt. Von dort aus wird Ihr Schlüssel an alle, weltweit 
1194 verbundenen Keyserver weitergereicht.
1195 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver 
1196 herunterladen und dazu benutzen, Ihnen
1197 eine sichere \Email{} zu schreiben.
1198
1199 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1200 Übungsschlüssel nicht ab.  Er ist wertlos und kann nicht
1201 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1202 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1203 Clinton"' dort herumliegen ­ schon seit Jahren$\ldots$
1204
1205 \textbf{Fassen wir kurz zusammen:} Sie wissen nun, wie Sie Ihren
1206 Schlüssel auf einen Schlüsselserver im Internet schicken können.
1207
1208 \textbf{Wie Sie den Schlüssel eines Partners auf den
1209   Schlüsselservern suchen und finden, beschreiben wir im 
1210   Kapitel~\ref{ch:keyserver}.
1211   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1212   Funktion benötigen.  }
1213
1214 \clearpage
1215 %% Original page 31
1216 \chapter{Sie entschlüsseln eine \Email{}}
1217
1218 Adele erhält nun Ihren öffentlichen Schlüssel, verschüsselt damit eine
1219 \Email{} und sendet sie an Sie zurück.  Nach kurzer Zeit erhalten Sie
1220 Adeles Antwort.
1221
1222 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1223
1224 % cartoon: Adele typing and sending a mail
1225 \begin{center}
1226 \IncludeImage{adele02}
1227 \end{center}
1228
1229
1230 \clearpage
1231 %% Orginal page 32
1232 So sieht sie aus:
1233
1234 \begin{verbatim}
1235 From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1236 Subject: Re: mein öffentlicher Schlüssel
1237 To: heinrichh@duesseldorf.de
1238 Date: Thu, 12 Jan 2006 09:17:28 +0100
1239
1240 -----BEGIN PGP MESSAGE-----
1241 Version: GnuPG v1.4.1 (GNU/Linux)
1242
1243 hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1244 QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1245 NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1246 ....
1247 ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1248 A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1249 bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1250 =VCHb
1251 -----END PGP MESSAGE-----
1252 \end{verbatim}
1253
1254 (Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1255 stark gekürzt.)
1256
1257 \clearpage
1258 %% Original page 33
1259
1260 \textbf{Diese \Email{} werden Sie nun mit dem Programm WinPT entschlüsseln.}
1261
1262 WinPT ist ein sogenanntes "`Frontend"' für GnuPG. Es dient zur
1263 eigentlichen Ver- und Entschlüsselung der \Email{}s und zur Erzeugung
1264 und Überprüfung von digitalen Unterschriften. Und zwar ­-- und das ist
1265 einer seiner Vorteile ­-- mit jedem beliebigen Mailprogramm.
1266
1267 Für die meisten Mailprogramme --­ z.B. MS Outlook für Windows, gibt es
1268 außerdem spezielle PlugIns, mit denen die Ver- und Entschlüsselung
1269 direkt im jeweiligen Mailprogramm erledigt werden kann.
1270
1271 \textbf{Hinweise zu diesen Lösungen finden Sie im
1272   Kapitel~\ref{ch:plugins}. Sie können dieses Kapitel jetzt lesen oder später, wenn
1273   Sie diese Funktion benötigen. }
1274
1275 WinPT hat dagegen den Vorteil, dass es nicht mit einem bestimmten,
1276 sondern mit jedem Mailprogramm funktioniert. Es erledigt nämlich
1277 die Ver- und Entschlüsselung einfach im Speicher des Rechners. Das
1278 bedeutet, dass man den Text, der ver- oder entschlüsselt werden soll,
1279 zunächst in die Zwischenablage des Rechners zu kopieren ist.
1280
1281 Markieren Sie also den gesamten Text aus Adeles \Email{} und kopieren Sie ihn
1282 mit dem entsprechenden Menübefehl oder Tastaturkürzel (Strg+C).
1283
1284 Damit haben Sie den Schlüssel in den Speicher Ihres Rechners ­-- bei
1285 Windows Zwischenablage oder Clipboard genannt ­-- kopiert.
1286
1287
1288 \clearpage
1289 %% Original page 34
1290 Starten Sie nun WinPT aus dem Windows-Startmenü:
1291
1292 % screenshot: startmenu Auswahl winpt
1293 \begin{center}
1294 \IncludeImage[width=0.7\textwidth]{sc-winpt-startmenu}
1295 \end{center}
1296
1297 Während WinPT startet, erscheint kurz ein Hinweis darauf, dass das
1298 Programm die bereits vorhandenen Schlüssel einlädt.
1299
1300 Nachdem das Programm gestartet wurde, sehen Sie unten rechts in der
1301 Windows-Taskleiste das Schlüsselsymbol von WinPT:
1302
1303 % screenshot: taskbar rechts mit WinPT icon
1304 \begin{center}
1305 \IncludeImage{sc-winpt-trayicon}
1306 \end{center}
1307
1308
1309 \clearpage
1310 %% Original page 35
1311 Klicken Sie mit der rechten Maustaste auf dieses Icon.  Daraufhin
1312 öffnet sich das WinPT-Menü. Hier klicken Sie auf
1313 \Menu{Zwischenablage$\rightarrow$Entschlüsseln/Überprüfen}.
1314
1315 Es erscheint dieser Dialog: Geben Sie nun Ihre geheime Passphrase
1316 ein. Adeles \Email{} wird nun entschlüsselt.
1317
1318 % screenshot: WinPT decryption dialog
1319 \begin{center}
1320 \IncludeImage[width=0.7\textwidth]{sc-winpt-clip-decrypt}
1321 \end{center}
1322
1323 Kurz darauf erscheint ein kurzer Hinweis, dass die Entschlüsselung
1324 beendet ist.
1325
1326 \clearpage
1327 %% Original page 36
1328
1329 Der entschlüsselte Text befindet sich jetzt, genau wie beim Verschlüsseln,
1330 wieder in der Zwischenablage von Windows. Kopieren Sie
1331 ihn mit Einfügen (Strg+V) in den Texteditor oder auch in Ihr
1332 Mailprogramm.
1333
1334 Die entschlüsselte Antwort von Adele sieht so aus\footnote{Abhängig
1335   von der Softwareversion von Adele kann dies auch etwas
1336   unterschiedlich aussehen}:
1337
1338 \begin{verbatim}
1339 Hallo Heinrich Heine,
1340
1341 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1342
1343 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1344 57251332CD8687F6 und der Bezeichnung
1345 `Heinrich Heine <heinrichh@duesseldorf.de>'
1346 wurde von mir empfangen.
1347
1348 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1349 dem freundlichen E-Mail-Roboter.
1350
1351 Viele Grüße,
1352 adele@gnupp.de
1353 \end{verbatim}
1354
1355 Der Textblock, der darauf folgt, ist der öffentliche Schlüssel von
1356 Adele.
1357
1358 Wir werden anschließend diesen öffentlichen Schlüssel importieren und
1359 an Ihrem Schlüsselbund befestigen. So können Sie ihn jederzeit zum
1360 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1361 oder dessen signierte Mails überprüfen.
1362
1363 \textbf{Fassen wir kurz zusammen:}
1364
1365 \begin{enumerate}
1366 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1367   Schlüssel entschlüsselt.
1368
1369 \item Der Korrespondenzpartner hat seinen eigenen öffentlichen
1370   Schlüssel beigelegt, damit Sie ihm verschlüsselt antworten können.
1371 \end{enumerate}
1372
1373
1374 \clearpage
1375 %% Original page 37
1376 \chapter{Sie befestigen einen Schlüssel am Schlüsselbund}
1377 \label{ch:keyring}
1378
1379 Ihr Korrespondenzpartner muss nicht etwa jedes Mal seinen Schlüssel
1380 mitschicken, wenn er Ihnen signiert schreibt. Sie bewahren seinen
1381 öffentlichen Schlüssel einfach an Ihrem GnuPG-"`Schlüsselbund"' auf.
1382
1383 \textbf{1. Möglichkeit:}
1384
1385 Um einen öffentlichen Schlüssel zu importieren (an Ihrem Schlüsselbund
1386 zu befestigen), speichern Sie ihn am einfachsten als Textblock ab, so
1387 wie Sie es vorhin schon bei Ihrem eigenen Schlüssel getan haben.
1388
1389
1390 Also:
1391
1392
1393 markieren Sie den öffentlichen
1394 Schlüssel, den Sie von Ihrem
1395 Korrespondenzpartner erhalten
1396 haben, von
1397
1398 \begin{verbatim}
1399 -----BEGIN PGP PUBLIC KEY BLOCK-----
1400 \end{verbatim}
1401 bis
1402 \begin{verbatim}
1403 -----END PGP PUBLIC KEY BLOCK-----
1404 \end{verbatim}
1405
1406 und setzen ihn mit Copy \& Paste in einen Texteditor ein. Speichern
1407 Sie den Schlüssel unter einem Namen in einem Ordner, den Sie leicht
1408 wiederfinden, z.B. als \Filename{adeles-key.asc} im Ordner
1409 \Filename{Eigene Dateien}.
1410
1411
1412
1413 \clearpage
1414 %% Original page 38
1415 \textbf{2. Möglichkeit:}
1416
1417 Der Schlüssel liegt der \Email{} als Dateianhang bei. Welches
1418 Mailprogramm Sie auch immer benutzen, Sie können stets Dateianhänge
1419 ("`Attachments"') auf Ihrer Festplatte abspeichern. Tun Sie das jetzt
1420 (am besten wieder in einem Ordner, den Sie leicht wiederfinden, z.B.
1421 \Filename{Eigene~Dateien}).
1422
1423 Ob Sie nun den Schlüssel als Text oder als \Email{}-Anhang abgespeichert
1424 haben, ist egal: in beiden Fällen importieren Sie diesen
1425 abgespeicherten Schlüssel in den GnuPG-"`Schlüsselbund"'.
1426
1427 % screenshot:  Startmenu, Auswahl GPA
1428
1429 Und zwar so:
1430
1431 Starten Sie den GNU Privacy Assistant (GPA) im Windows-Menü, falls Sie ihn
1432 in der letzten Übung ausgeschaltet haben.
1433
1434
1435 \clearpage
1436 %% Original page 39
1437 Wenn der GNU Privacy Assistant läuft, klicken Sie auf die Schaltfläche
1438 Import, suchen die eben abgespeicherte Schlüsseldatei und laden sie. Der
1439 importierte Schlüssel wird nun im GNU Privacy Assistant angezeigt:
1440
1441 % screenshot GPA Schlüsselverwaltung mit zwei Schlüsseln
1442 \begin{center}
1443 \IncludeImage[width=0.9\textwidth]{sc-gpa-two-keys}
1444 \end{center}
1445
1446 Damit haben Sie einen fremden öffentlichen Schlüssel ­-- in diesem
1447 Beispiel den von Adele ­-- importiert und an Ihrem Schlüsselbund
1448 befestigt. Sie können diesen Schlüssel jederzeit benutzen, um
1449 verschlüsselte Nachrichten an den Besitzer dieses Schlüssels zu
1450 senden und Signaturen zu prüfen.
1451
1452 \textbf{Bevor wir weitermachen, eine wichtige Frage:}\\
1453 Woher wissen Sie eigentlich, dass der fremde öffentliche Schlüssel
1454 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem Namen
1455 versenden -- die Absenderangabe besagt eigentlich gar nichts.
1456
1457 Wie können Sie also sichergehen, dass ein Schlüssel auch wirklich
1458 seinem Absender gehört?
1459
1460
1461 \textbf{Die Kernfrage der Schlüsselprüfung besprechen wir im
1462 Kapitel~\ref{ch:trust}. Lesen Sie jetzt bitte dort weiter, bevor
1463 Sie danach an dieser Stelle fortfahren.}
1464
1465 \clearpage
1466 %% Original page 40
1467 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie man sich von der
1468 Echtheit eines Schlüssels überzeugt und ihn dann mit seinem eigenen
1469 geheimen Schlüssel signiert.
1470
1471 In Kapitel~\ref{ch:sign} besprechen wir,
1472 wie man nicht nur einen Schlüssel, sondern auch eine komplette
1473 \Email{}-Nachricht signieren kann. Das bedeutet, dass man die \Email{} mit
1474 einer Art elektronischem Siegel versieht.
1475
1476 Der Text ist dann zwar noch für jeden lesbar, aber der Empfänger kann
1477 feststellen, ob die \Email{} unterwegs manipuliert oder verändert wurde
1478 und das die \Email{} wirklich von Ihnen stammt.
1479
1480 Die Überprüfung einer solchen Signatur ist sehr einfach. Sie müssen
1481 dazu natürlich den öffentlichen Schlüssel des Absenders bereits an
1482 Ihrem Gpg4win-"`Schlüsselbund"' befestigt haben, wie in
1483 Kapitel~\ref{ch:keyring} besprochen.
1484
1485 % cartoon:  Müller mit Schlüssel
1486 \begin{center}
1487 \IncludeImage[width=0.4\textwidth]{man-with-signed-key}
1488 \end{center}
1489
1490
1491 \clearpage
1492 %% Original page 41
1493 Wenn Sie eine signierte \Email{} erhalten, sehen Sie, dass der Text am
1494 Anfang und Ende von einer Signatur eingerahmt ist.  Sie beginnt mit
1495
1496 \begin{verbatim}
1497 -----BEGIN PGP SIGNED MESSAGE-----
1498 Hash: SHA1
1499 \end{verbatim} 
1500
1501 und endet unter der \Email{}-Nachricht mit
1502
1503 \begin{verbatim}
1504 -----BEGIN PGP SIGNATURE-----
1505 Version: GnuPG v1.4.2 (MingW32)
1506
1507 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
1508 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
1509 =O6lY
1510 -----END PGP SIGNATURE-----
1511 \end{verbatim}
1512
1513 Markieren Sie den gesamten Text von \textsl{BEGIN PGP SIGNED MESSAGE}
1514 bis \textsl{END PGP SIGNATURE} und kopieren Sie ihn mit Strg+C in die
1515 Zwischenablage.
1516
1517 Nun fahren Sie genauso fort wie bei der Entschlüsselung einer \Email{},
1518 wie wir es in Kapitel 7 dieses Handbuchs besprochen haben:
1519
1520 Sie öffnen WinPT aus der Windows-Taskleiste und wählen \newline
1521 \Menu{Zwischenablage$\rightarrow$ Entschlüsseln/Überprüfen}.
1522
1523 Sie sollte daraufhin folgendes Fenster sehen:
1524
1525 % screenshot: WinPT good signature.
1526 \begin{center}
1527 \IncludeImage[width=0.7\textwidth]{sc-winpt-good-sig}
1528 \end{center}
1529
1530 Falls Sie dort aber in der Statusspalte \emph{Die Signatur ist nicht
1531   gültig!}  erhalten, wurde die Nachricht bei der Übertragung
1532 verändert.  Aufgrund der technischen Gegebenheiten im Internet ist es
1533 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
1534 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
1535 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
1536
1537
1538 \textbf{Wie Sie in einem solchen Fall vorgehen sollten,
1539 erfahren Sie im Kapitel~\ref{ch:sign}, "`\Email{}s signieren"'.
1540 Lesen Sie jetzt bitte dort weiter, bevor Sie danach an
1541 dieser Stelle fortfahren.}
1542
1543 \clearpage
1544 %% Original page 42
1545 \chapter{Sie verschlüsseln eine \Email{}}
1546
1547 Jetzt wird es nochmal spannend:
1548
1549 Sie verschlüsseln eine \Email{} und senden sie an Adele. Wenn Sie einen
1550 ebenso geduldigen menschlichen Korrespondenzpartner haben, dann senden
1551 Sie Ihre \Email{} eben an diesen.
1552
1553 Starten Sie nun Ihr \Email{}programm. Schreiben Sie eine Nachricht ­--
1554 es ist egal, was: Adele kann nicht wirklich lesen$\ldots$
1555
1556 Nun markieren Sie den gesamten Text und kopieren Sie ihn mit dem
1557 entsprechenden Menübefehl oder Tastaturkürzel (Strg+C).  Damit haben
1558 Sie den Text in den Speicher Ihres Rechners ­-- bei Windows
1559 Zwischenablage oder Clipboard genannt ­-- kopiert.
1560
1561 % screenshot: composer mit mail an Adele, body markiert
1562 \begin{center}
1563 \IncludeImage[width=0.9\textwidth]{sc-ol-send-enc-msg1}
1564 \end{center}
1565
1566 Sie öffnen nun WinPT aus der Windows-Taskleiste und wählen
1567 \Menu{Zwischenablage$\rightarrow$Verschlüsseln}.
1568
1569
1570 \clearpage
1571 %% Original page 45
1572 Daraufhin öffnet sich ein Fenster mit den Schlüsseln, die Sie an Ihrem
1573 Schlüsselbund haben. In unserem Beispiel sind das Adeles Schlüssel,
1574 den sie Ihnen vorhin geschickt hat, und Ihr eigener Schlüssel, den Sie
1575 in Kapitel 2 erzeugt haben.
1576
1577 % screenshot: Winpt encryption key selection
1578 \begin{center}
1579 \IncludeImage[width=0.7\textwidth]{sc-winpt-sel-enc-key}
1580 \end{center}
1581
1582 Klicken Sie auf Adeles Schlüssel, denn damit muss die Nachricht ja
1583 verschlüsselt werden.
1584
1585 Sie erinnern sich an den Grundsatz:
1586
1587 \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
1588   müssen Sie dessen öffentlichen Schlüssel haben und zum Verschlüsseln
1589   benutzen.}
1590
1591
1592 Nachdem Sie auf \Button{OK} geklickt haben, wird Ihre Nachricht
1593 verschlüsselt. Nach kurzer Zeit erscheint eine Meldung die dies
1594 bestätigt.
1595
1596
1597 \clearpage
1598 %% Original page 46
1599 Die verschlüsselte Nachricht befindet sich noch in der Zwischenablage
1600 (Clipboard) und kann nun mühelos in das \Email{}-Fenster hineinkopiert
1601 werden.  Löschen Sie den unverschlüsselten Text oder kopieren die den
1602 Inhalt der Zwischenablage einfach darüber.
1603
1604 So ähnlich sollte das Ergebnis aussehen:
1605
1606 % screenshot: composer Windows mit enrcypted text 
1607 \begin{center}
1608 \IncludeImage[width=0.9\textwidth]{sc-ol-send-enc-msg2}
1609 \end{center}
1610
1611 Senden Sie nun Ihre \Email{} wieder an Adele.  Nur zur Vorsicht:
1612 natürlich sollten Ihre \Email{}s \textbf{nicht} \verb-heinrichh@gpg4win.de- als
1613 Absender haben, sondern Ihre eigene \Email{}-Adresse.  Denn sonst werden
1614 Sie nie Antwort von Adele bekommen$\ldots$
1615
1616 \textbf{Herzlichen Glückwunsch!  Sie haben Ihre erste \Email{}
1617 verschlüsselt!}
1618
1619 \clearpage
1620 %% Original page 47
1621 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren}
1622
1623 Eine Einstellung müssen Sie noch vornehmen, damit Sie Ihre \Email{}s
1624 verschlüsselt aufbewahren können.  Natürlich können Sie einfach eine
1625 Klartextversion Ihrer Texte aufbewahren, aber das wäre eigentlich
1626 nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
1627 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
1628 Also sollte immer eine verschlüsselte Kopie der \Email{} aufbewahrt
1629 werden.
1630
1631 Sie ahnen das Problem: zum Entschlüsseln der archivierten \Email{}s
1632 braucht man den geheimen Schlüssel des Empfängers ­-- und den haben
1633 Sie nicht und werden Sie nie haben$\ldots$
1634
1635 Also was tun?
1636
1637 Ganz einfach: Sie verschlüsseln zusätzlich auch an sich selbst.
1638
1639 Die Nachricht wird für den eigentlichen Empfänger (z.B. Adele), als
1640 auch mit Ihren eigenen öffenlichen Schlüssel verschlüsselt.  So können
1641 Sie den Text auch später noch einfach mit Ihrem eigenen
1642 Geheimschlüssel wieder lesbar machen.
1643
1644 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen ­-- Sie
1645 können ja auch mehrere haben --­ müssen Sie dem Programm dies
1646 mitteilen.
1647
1648 \clearpage
1649 %% Original page 48
1650 Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie WinPT und
1651 dort das Menü \Menu{Einstellungen $\rightarrow$ GPG}.
1652
1653 % screenshot: Winpt configuration dialog
1654 \begin{center}
1655 \IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
1656 \end{center}
1657
1658 In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
1659 "`Encrypt to this key"' Ihren Schlüssel ein bzw. die
1660 dazugehörige \Email{}-Adresse.
1661
1662 Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
1663 die GnuPG direkt unterstützen.
1664
1665
1666 \clearpage
1667 %% Original page 49
1668 \textbf{Fassen wir kurz zusammen:}
1669
1670 \begin{enumerate}
1671 \item Sie haben mit dem öffentlichen Schlüssel Ihres Partners eine
1672   \Email{} verschlüsselt und ihm damit geantwortet.
1673 \item Sie haben WinPT mitgeteilt, dass Archivkopien Ihrer \Email{}s auch
1674   zusätzlich mit Ihrem eigenen Schlüssel verschlüsselt werden sollen.
1675 \end{enumerate}
1676
1677 \textbf{Das war's! Willkommen in der Welt der freien und sicheren
1678 \Email{}-Verschlüsselung!}
1679
1680 \textbf{\OtherBook{} Lesen Sie nun die Kapitel 10 bis 12 im Handbuch "`\xlink{Gpg4win
1681 für Durchblicker}{durchblicker.html}"'.  Sie erfahren dort unter anderem, wie man \Email{}s
1682 signiert und einen bereits vorhandenen Geheimschlüssel in GnuPG
1683 importiert und verwendet.}
1684
1685 \textbf{\OtherBook{} Ab Kapitel 13 des Handbuchs "`\xlink{Gpg4win für
1686 Durchblicker}{durchblicker.html}"' 
1687 können Sie weiterhin in zwei spannenden Kapiteln lesen, auf welchen
1688 Verfahren die Sicherheit von GnuPG beruht.}
1689
1690 Und Sie können lesen, wie die geheimnisvolle Mathematik hinter GnuPG
1691 im Detail funktioniert.
1692
1693 Genau wie das Kryptographiesystem Gpg4win wurden diese Texte nicht nur
1694 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
1695 sondern
1696
1697 \textbf{für jedermann.}
1698
1699
1700
1701
1702
1703
1704
1705 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
1706 % Part II
1707
1708 % page break in toc
1709 \addtocontents{toc}{\protect\newpage}
1710
1711 \clearpage
1712 \part{Fortgeschrittene}
1713 \label{part:Fortgeschrittene}
1714 \addtocontents{toc}{\protect\vspace{0.3cm}}
1715
1716 \clearpage
1717 %% Original page 6
1718 \chapter{Warum überhaupt  verschlüsseln?}
1719
1720 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
1721 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
1722 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
1723 Verschlüsselung nunmehr für jedermann frei und kostenlos
1724 zugänglich\ldots
1725
1726 \begin{center}
1727 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
1728 \end{center}
1729
1730 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
1731 um rund um den Globus miteinander zu kommunizieren und uns zu
1732 informieren. Aber Rechte und Freiheiten, die in anderen
1733 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
1734 den neuen Technologien erst sichern. Das Internet ist so schnell und
1735 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
1736 noch nicht so recht nachgekommen sind.
1737
1738
1739 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
1740 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
1741 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
1742 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
1743 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
1744 Postkarte, die auch der Briefträger oder andere lesen können.
1745
1746
1747 \clearpage
1748 %% Original page 7
1749
1750 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
1751 man selbst und niemand sonst.
1752
1753 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
1754 \Email{} ist immer offen wie eine Postkarte, und der elektronische
1755 "`Briefträger"' --- und andere --- können sie immer lesen. Die Sache
1756 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
1757 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
1758 zu verteilen, sondern auch, sie zu kontrollieren.
1759
1760 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
1761 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
1762 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
1763 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
1764 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
1765 schon im großen Stil mit Ihrer und meiner \Email{}
1766 geschieht.\footnote{Hier sei nur an das \xlink{Echelon
1767     System}{\EchelonUrl} erinnert%
1768 \T; siehe \href{\EchelonUrl}{\EchelonUrl}%
1769 .}.
1770
1771 Denn: der Umschlag fehlt.
1772
1773 \begin{center}
1774 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
1775 \end{center}
1776
1777 \clearpage
1778 %% Original page 8
1779
1780 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
1781 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
1782 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
1783 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
1784 für wichtig und schützenswert halten oder nicht.
1785
1786 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
1787 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
1788 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen --- Sie müssen ja auch
1789 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
1790
1791 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
1792 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
1793 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
1794 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
1795 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
1796 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
1797 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
1798 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
1799 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
1800 praktikable und sichere Software angesehen.
1801
1802 Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer Hand,
1803 denn Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
1804 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
1805 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
1806 und die wir im Folgenden besprechen:
1807
1808
1809 \clearpage
1810 %% Original page 9
1811 \chapter{Wie funktioniert Gpg4win?}
1812 \label{ch:FunctionOfGpg4win}
1813
1814 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
1815 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
1816 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
1817
1818 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
1819 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
1820 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
1821 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
1822 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
1823
1824 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
1825 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
1826 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
1827 knacken ist.
1828
1829
1830 \clearpage
1831 %% Original page 10
1832 \textbf{Der Herr der Schlüsselringe}
1833
1834 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
1835 ein --- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
1836 nur einmal gibt und den man ganz sicher aufbewahrt.
1837
1838 \begin{center}
1839 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
1840 \end{center}
1841
1842 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
1843 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
1844 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
1845 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
1846 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
1847
1848
1849 \clearpage
1850 %% Original page 11
1851
1852 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
1853 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
1854 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
1855 dazu auch sehr fehleranfällig.
1856
1857 \begin{center}
1858 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
1859 \end{center}
1860
1861 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
1862 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
1863 und dass sowohl der Absender als auch der Empfänger diesen geheimen
1864 Schlüssel kennen.
1865
1866 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
1867 solchen System ein Geheimnis --­ eine verschlüsselte Nachricht ---
1868 mitteilen kann, muss man schon vorher ein anderes Geheimnis --­ den
1869 Schlüssel ­-- mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
1870 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
1871 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
1872 Dritten abgefangen werden darf.
1873
1874
1875
1876 \clearpage
1877 %% Original page 12
1878
1879 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel --- mit einem
1880 weiteren Schlüssel ("`key"'), der vollkommen frei und öffentlich
1881 ("`public"') zugänglich ist.
1882
1883 Man spricht daher auch von
1884 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
1885
1886 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
1887 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
1888 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
1889 Weitergegeben wird nur der öffentliche Schlüssel ­-- und den kennt
1890 sowieso jeder.
1891
1892 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
1893 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
1894 eine komplexe mathematische Formel untrennbar miteinander verbunden.
1895 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
1896 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
1897 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir, wie das
1898 funktioniert.
1899
1900 % Note: The texts on the signs are empty in the current revision.
1901 % However, I used the original images and wiped out the texts ``Open
1902 % Source"' and ``gratis"' - need to replace with something better.
1903 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
1904 \begin{center}
1905 \IncludeImage[width=0.4\textwidth]{verleihnix}
1906 \end{center}
1907
1908
1909 \clearpage
1910 %% Original page 13
1911 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
1912
1913 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
1914 (secret oder private key), muss geheim gehalten werden.
1915
1916 Der \textbf{öffentliche Schlüssel} (public key) soll so
1917 öffentlich wie möglich gemacht werden.
1918
1919 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
1920
1921 \bigskip
1922
1923 der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten
1924
1925 \begin{center}
1926 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
1927 \end{center}
1928
1929 der öffentliche Schlüsselteil \textbf{verschlüsselt}.
1930
1931
1932 \clearpage
1933 %% Original page 14
1934
1935 \textbf{Der öffentliche Safe}
1936
1937 In einem kleinen Gedankenspiel
1938 wird die Methode des Public-Key Verschlüsselungssystems
1939 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher:
1940
1941 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
1942
1943 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
1944 auf, über den Sie geheime Nachrichten übermitteln wollen.
1945
1946 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
1947 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
1948 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
1949 Nachrichten zunächst einmal gut gesichert.
1950
1951 \begin{center}
1952 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
1953 \end{center}
1954
1955 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
1956 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
1957 und eine Geheimnachricht deponieren zu können.
1958
1959
1960 \clearpage
1961 %% Original page 15
1962 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
1963 Wege übergeben.
1964
1965 \begin{center}
1966 \IncludeImage[width=0.9\textwidth]{secret-key-exchange}
1967 \end{center}
1968
1969 \clearpage
1970 %% Original page 16
1971 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
1972 öffnen und die geheime Nachricht lesen.
1973
1974 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
1975 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
1976 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
1977 die Botschaft selbst.
1978
1979 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
1980 gleich die geheime Mitteilung übergeben\ldots
1981
1982
1983 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} weltweit müssten alle
1984 \Email{}teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
1985 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
1986 könnten.
1987
1988 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
1989
1990 \begin{center}
1991 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
1992 \end{center}
1993
1994 \clearpage
1995 %% Original page 17
1996 \textbf{Jetzt die Public-Key Methode:}
1997
1998 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
1999 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2000 --- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2001 --- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2002
2003 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick.
2004
2005 \begin{center}
2006 \IncludeImage[width=0.9\textwidth]{pk-safe-open}
2007 \end{center}
2008
2009 Dieser Schlüssel gehört Ihnen, und --- Sie ahnen es: es ist Ihr
2010 öffentlicher Schlüssel.
2011
2012 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2013 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2014 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2015 frei zugänglich.
2016
2017 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2018 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2019 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2020 Botschaft nachträglich zu verändern.
2021
2022 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2023
2024 Aufschließen kann man den Briefkasten nur mit einem einzigen
2025 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2026
2027 \clearpage
2028 %% Original page 18
2029
2030 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} jedermann
2031 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2032 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2033 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2034 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2035
2036 Spielen wir das Gedankenspiel noch einmal anders herum:
2037
2038 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2039 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2040 verfügbaren Schlüssel.
2041
2042 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2043 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2044 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2045 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2046 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2047 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2048 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2049 und die Nachricht lesen.
2050
2051 \begin{center}
2052 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2053 \end{center}
2054
2055
2056 \clearpage
2057 %% Original page 19 
2058 \textbf{Was ist nun eigentlich gewonnen:} es gibt immer noch einen
2059 geheimen Schlüssel!?
2060
2061 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2062 allerdings ein gewaltiger:
2063
2064 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2065 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2066 Übergabe entfällt, sie verbietet sich sogar.
2067
2068 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2069 ausgetauscht werden --- weder eine geheime Vereinbarung noch ein
2070 geheimes Codewort.
2071
2072 Das ist ­-- im wahrsten Sinne des Wortes --- der Knackpunkt: alle
2073 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2074 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2075 bringen kann.
2076
2077 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2078 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2079 Schlüsselbund.
2080
2081
2082 \clearpage
2083 %% Original page 20
2084 \chapter{Die Passphrase}
2085 \label{ch:passphrase}
2086
2087 Wie Sie oben gesehen haben, ist der private Schlüssel eine der
2088 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2089 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2090 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2091 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2092
2093 Es ist deswegen eminent wichtig, diesen private Schlüssel sicher
2094 abzuspeichern. Dies geschieht auf zweierlei Weise:
2095
2096 \begin{center}
2097 \IncludeImage[width=0.4\textwidth]{think-passphrase}
2098 \end{center}
2099
2100 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2101 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2102 weder zum schreiben noch zum lesen.  Es ist deswegen unbedingt zu
2103 vermeiden, den Schlüssel in einem öffentlichen Ordner
2104 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2105 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2106 ("`Homedir"') von GnuPG
2107 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2108 befinden; für einen Benutzer mit
2109 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2110 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2111 sein.  Der geheime Schlüssel befindet sich dort in eine Datei mit dem
2112 Namen \verb=secring.gpg=.
2113
2114 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2115 der Administrator des Rechners immer auf alle Dateien zugreifen ---
2116 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2117 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2118 Trojanersoftware) kompromittiert werden. 
2119
2120 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2121 Passphrase.
2122
2123 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2124 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2125 haben und niemals aufschreiben müssen.
2126
2127 Trotzdem darf er nicht erraten werden können. Das klingt vielleicht
2128 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2129 mit deren Hilfe man sich einen völlig individuellen, leicht zu
2130 merkenden und nur sehr schwer zu erratende Passphrase ausdenken
2131 kann.
2132
2133
2134 \clearpage
2135 %% Original page 21
2136 Eine gute Passphrase kann so entstehen:
2137
2138 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: Ein blindes Huhn
2139 findet auch einmal ein Korn
2140
2141 Aus diesem Satz nehmen Sie zum Beispiel jeden dritten Buchstaben:
2142
2143 \verb-nieuf dahn lnr-
2144
2145 %%% FIXME: Das ist eine schlechte Memotechnik --- Neu schreiben.
2146
2147 Diesen Buchstabensalat kann man sich zunächst nicht unbedingt gut
2148 merken, aber man kann ihn eigentlich nie vergessen, solange man den
2149 ursprünglichen Satz im Kopf hat. Im Laufe der Zeit und je öfter man
2150 ihn benutzt, prägt sich so eine Passphrase ins Gedächtnis. Erraten
2151 kann ihn niemand.
2152
2153
2154 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2155 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2156 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2157 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2158 Sie wichtigen Liedes.
2159
2160
2161 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2162 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2163 "`ß"', "`\$"' usw.
2164
2165 Aber Vorsicht --- falls Sie Ihren geheimen Schlüssel im Ausland an
2166 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2167 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2168 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2169 Tastatur finden.
2170
2171
2172 %% Original page  22
2173 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2174 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2175 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz
2176
2177 In München steht ein Hofbräuhaus
2178
2179 könnten man beispielsweise diese Passphrase machen:
2180
2181 \verb-inMinschen stet 1h0f breuhome-
2182
2183 denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
2184 sich aber doch merken können, wie z.B.:
2185
2186 Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.
2187
2188 Eine Passphrase in dieser Länge ist ein sicherer Schutz für den
2189 geheimen Schlüssel.
2190
2191
2192 Es darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
2193 z.B. so:
2194
2195 Es blAut nEBen TaschengeLd auch im WiNter.
2196
2197 Kürzer, aber nicht mehr so leicht merken. Wenn Sie eine noch kürzere
2198 Passphrase verwenden, indem Sie hier und da Sonderzeichen benutzen,
2199 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
2200 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
2201 noch größer.
2202
2203 Ein extremes Beispiel für einen möglichst kurzen, aber dennoch sehr
2204 sichere Passphrase ist dieses hier:
2205
2206 \verb-R!Qw"s,UIb *7\$-
2207
2208 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
2209 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
2210 für die Erinnerung hat.
2211
2212 %% Original page 23
2213 Eine schlechte Passphrase
2214 ist blitzschnell geknackt,
2215 wenn er:
2216
2217 \begin{itemize}
2218 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
2219   \Email{}-Account oder Ihr Handy
2220
2221 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
2222   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
2223
2224 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
2225   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
2226   diese Daten herankommen.
2227
2228 \item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
2229   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
2230   Cracker routinemäßig und blitzschnell eine Passphrase.
2231
2232 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
2233   Denken Sie sich eine längere Passphrase aus.
2234
2235 \end{itemize}
2236
2237 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie auf gar
2238 keinen Fall eines der oben angeführten Beispiele.  Denn es liegt auf
2239 der Hand, dass jemand, der sich ernsthaft darum bemüht, Ihre
2240 Passphrase herauszubekommen, zuerst ausprobieren würde, ob Sie
2241 nicht eines dieser Beispiele genommen haben, falls er auch diese
2242 Informationen gelesen hat.
2243
2244 Seien Sie kreativ. Denken Sie sich jetzt eine Passphrase aus.
2245 Unvergesslich und unknackbar.
2246
2247 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre 
2248 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
2249
2250
2251
2252
2253 \clearpage
2254 %% Original page 24
2255 \chapter{Schlüssel im Detail}
2256 \label{KeyDetails}
2257 Der Schlüssel, den Sie erzeugt
2258 haben, besitzt einige
2259 Kennzeichen:
2260 \begin{itemize}
2261 \item die Benutzerkennung
2262 \item die Schlüsselkennung
2263 \item das Verfallsdatum
2264 \item das Benutzervertrauen
2265 \item das Schlüsselvertrauen
2266 \end{itemize}
2267
2268 \textbf{Die Benutzerkennung} besteht aus dem Namen und der
2269 \Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
2270 haben, also z.B. \newline
2271 \verb=-Heinrich Heine <heinrichh@gpg4win.de>=.
2272
2273 \textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
2274 Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
2275 auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
2276 liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
2277
2278 \textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
2279 gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
2280 "`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
2281 Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
2282 Beispiel, um sie an externe Mitarbeiter auszugeben.
2283
2284 \textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
2285 Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
2286 korrekt zu signieren.  Es kann über die Schaltfläche "`Ändern"'
2287 editiert werden.
2288
2289 \textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
2290 das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
2291 eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
2292 volles "`Schlüsselvertrauen"'.
2293
2294 Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
2295 unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
2296 erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
2297 und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
2298
2299
2300 \clearpage
2301 %% Original page 25
2302 \chapter{Die Schlüsselserver}
2303 \label{ch:keyserver}
2304
2305 Um verschlüsselt mit anderen zu kommunizieren, müssen die Partner ihre
2306 Schlüssel veröffentlichen und austauschen. Dazu ist --- Sie erinnern
2307 sich an Kapitel 1 --- keine Geheimniskrämerei notwendig, denn Ihr
2308 öffentlicher Schlüsselteil ist ja ganz und gar "`ungeheim"'.
2309
2310 Im Internetzeitalter ist eine möglichst große Verbreitung Ihres
2311 öffentlichen Schlüssels überhaupt kein Problem. Sie können ihn z.B.
2312 über internationale Keyserver oder per \Email{} publizieren --- diese
2313 beiden Möglichkeiten haben wir Ihnen im "`Einsteiger-Handbuch"'
2314 vorgeschlagen. Es gibt aber noch andere:
2315
2316 \begin{itemize}
2317 \item Verbreitung des Schlüssels über die eigene Homepage
2318
2319 \item als Dateianhang an einer \Email{}
2320
2321 \item last but not least: persönlich per USB-Stick oder Diskette
2322 \end{itemize}
2323
2324
2325 \clearpage
2326 %% Original page 26
2327
2328 Am praktischsten ist sicher die Veröffentlichung über die Keyserver,
2329 die von allen Programmen nach dem OpenPGP-Standard benutzt werden
2330 können. Diese Möglichkeit haben wir bereits im Handbuch
2331 "`Gpg4win für Einsteiger"' Kapitel 6 ("`Sie veröffentlichen Ihren
2332 Schlüssel per Keyserver"') vorgestellt. Es genügt, den
2333 Schlüssel an irgendeinen der Keyserver zu senden, denn fast alle
2334 synchronsieren sich weltweit miteinander.
2335
2336 \textsc{Vorsicht: Obwohl es noch keine Hinweise gibt, dass Spammer
2337   Adressen wirklich von den Keyservern sammeln, so ist dies jedoch
2338   technisch möglich.  Falls Sie keinen wirksamen Spamfilter benutzen,
2339   sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
2340   Keyserver absehen.}
2341
2342 Ein Keyserver ist in Gpg4win stets voreingestellt. Ein Mausklick genügt,
2343 und Ihr Schlüssel ist unterwegs rund um die Welt.  Es kann ein,
2344 zwei Tage dauern, bis er wirklich überall verfügbar ist, aber dann
2345 haben Sie einen globalen Schlüssel!  Die Schlüsselserver sind
2346 dezentral organisiert, aktuelle Statistiken über ihre Zahl oder die
2347 Anzahl der dort liegenden Schlüssel gibt es nicht.
2348
2349 \begin{center}
2350 \IncludeImage[width=0.3\textwidth]{keyserver-world}
2351 \end{center}
2352
2353 Dieses verteilte Netz von Keyservern sorgt für eine bessere
2354 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
2355 Schlüssel löschen um so die Kommunikation unmöglich zu machen
2356 ("`Denial of Service"'-Angriff).
2357
2358 %% Keyserver.net sind proprietar und funktionieren überhaupt nicht.
2359 %% Nur weil PRZ den Hersteller berät, sollte man nicht glauben, dass sie
2360 %% funktionieren.
2361
2362 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
2363 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
2364 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
2365 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
2366
2367 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
2368 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
2369 umgehen können.
2370
2371 Hier eine Auswahl von gut funktionierenden Keyservern:
2372 \begin{itemize}
2373 \item hkp://blackhole.pca.dfn.de
2374 \item hkp://pks.gpg.cz
2375 \item hkp://pgp.cns.ualberta.ca
2376 \item hkp://minsky.surfnet.nl
2377 \item hkp://keyserver.ubuntu.com
2378 \item hkp://keyserver.pramberger.at
2379 \item http://gpg-keyserver.de
2380 \item http://keyserver.pramberger.at
2381 \end{itemize}   
2382 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
2383 besten die Keyserver, deren Namen mit \verb-http://- beginnen.
2384
2385 Die Keyserver unter den Adressen
2386 \begin{itemize}
2387 \item hkp://keys.gnupg.net
2388 \item hkp://subkeys.pgp.net
2389 \end{itemize}
2390 sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
2391 dann zufällig ein konkreter Server ausgewählt.
2392
2393 Achtung: Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
2394 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
2395 werden.
2396
2397
2398
2399 \clearpage
2400 %% Original page 27
2401 %%% FIXME: needs a rework
2402 Genauso einfach wie Sie einen Schlüssel hochladen, können Sie auf den
2403 Keyservern nach einem öffentlichen
2404 Schlüssel suchen.  Geben Sie in das Suchfeld den Namen des
2405 Schlüsselbesitzers ein oder seine \Email{}-Adresse.  Als Ergebnis sehen
2406 Sie etwa eine solche Ausgabe:
2407
2408 pub 1024/1CE0C630
2409 2006/01/01 ... usw.
2410
2411 und evtl. noch
2412
2413 sig 1CE0C630 ... usw.
2414 sig 5B0358A2 ... usw.
2415
2416 Alle drei Eintragungen sind Bestandteil des Schlüssels.
2417
2418 % screenshot with the frontpage of keyserver.net - no reason to put it
2419 % here. In particular not keyserver.net.
2420
2421 Sie benötigen aber nur den ersten Teil: das ist der öffentliche
2422 Schlüssel. Der zweite Teil ist die sogenannte Selbstzertifizierung,
2423 der dritte eine Bestätigung der Identität des Schlüsselinhabers.
2424
2425
2426 \clearpage
2427 %% Original page 28
2428 %%% FIXME: needs a rework
2429 Klicken Sie nun den Link des ersten Schlüsselteils (pub usw.)  an:
2430
2431 Sie sehen den Ihnen schon bekannten Textblock, der den eigentlichen
2432 öffentlichen Schlüssel bildet.
2433
2434 Im "`Schnelleinstieg"', Kapitel 7 ("`Sie entschlüsseln eine \Email{}"')
2435 und 8 ("`Sie befestigen einen Schlüssel am Schlüsselbund"')
2436 zeigen wir Ihnen, wie man
2437 diesen Schlüssel importiert, d.h. am eigenen Gpg4win Schlüsselbund
2438 befestigt, und damit eine \Email{} an den Besitzer verschlüsselt.
2439
2440 Diese Suche nach einem Schlüssel funktioniert auch direkt aus Gpg4win:
2441 Sie können einfach die \Email{}-Adresse des Schlüsselbesitzers eingeben,
2442 oder auch die Schlüsselkennung, falls Ihnen diese bekannt ist. Klicken
2443 Sie dazu auf "`Import"', und dort auf "`Schlüssel vom Key-Server
2444 empfangen"'.
2445
2446
2447 % screenshot: GPA import from keyserver
2448
2449 Gpg4win sucht dann den Schlüssel, importiert ihn und zeigt ihn im
2450 Schlüsselverwaltungs-Fenster an.
2451
2452
2453 \clearpage
2454 %% Original page 29
2455 \chapter{Der Schlüssel als Dateianhang}
2456 \label{ch:attachment}
2457
2458 Im Einsteiger Handbuch Kapitel 5 ("`Sie veröffentlichen Ihren Schlüssel
2459 per \Email{}"') haben Sie gesehen, wie einfach man
2460 seinen öffentlichen Schlüssel per \Email{} verschicken kann. Wir haben
2461 dabei den Schlüssel in einen Ordner exportiert, geöffnet und in die
2462 Zwischenablage kopiert.  Von dort aus wurde der Schlüssel in ein
2463 \Email{}-Programm kopiert und schließlich versandt. Noch einfacher geht
2464 es, wenn man den Schlüssel --­ genau wie im vorherigen Beispiel ­--
2465 exportiert und dann direkt als \Email{}-Anhang verschickt.
2466
2467 Dazu klicken Sie auf im GNU Privacy Assistant auf \Button{Export} in
2468 der Iconleiste und dann in dem sich öffnenden Dialog auf
2469 \Button{Exportieren~in~Datei}. Wählen Sie mit \Button{Durchsuchen...}
2470 einen geeigneten Ordner auf Ihrem PC, z.B.
2471 \Filename{C:\back{}Eigene Dateien\back{}} und speichern Sie
2472 den Schlüssel dort z.B. als \Filename{mein-key.asc}.
2473
2474 Nun ziehen Sie den exportierten Schlüssel als Dateianhang in das
2475 entsprechende Fenster Ihres \Email{}programms, genauso wie jede andere
2476 Datei, und senden sie ihn an den Empfänger.
2477
2478 % screenshot: GPA key export
2479
2480 \clearpage
2481 %% Original page 30
2482 \chapter{PlugIns für \Email{}-Programme}
2483 \label{ch:plugins}
2484
2485 Im "`Einsteiger-Handbuch"' haben wir im Kapitel 7 ("`Sie entschlüsseln
2486 eine \Email{}"') erwähnt, dass es PlugIns für bestimmte \Email{}-Programme
2487 gibt, die die Ver- und Entschlüsselung erleichtern. Die im
2488 Schnelleinstieg vorgestellte Methode mit dem Frontend WinPT
2489 funktioniert einfach und schnell, und zwar mit jedem beliebigen
2490 \Email{}- und Text-Programm. Trotzdem ist für viele \Email{}-Anwender ein
2491 spezieller Programmzusatz in ihrem Lieblings-\Email{}er ein Vorteil.
2492
2493 Plugins für GnuPG gibt es im Moment für folgende Windows-Mailprogramme:
2494
2495 \begin{description}
2496 \item[Thunderbird] mit Plugin \textbf{Enigmail},
2497 \item[Outlook 2003] mit Plugin \textbf{GPGol}, welches in Gpg4win
2498   enthalten ist.  Läuft nur unter Windows; Outlook sollte nur dann
2499   verwendet werden wenn andere organisatorische Vorgaben es
2500   bedingen.
2501 \item[Claws Mail], welches in Gpg4win enthalten.  Hier sind im
2502   Konfigurationsmenü die Plugins für "`PGP/Mime"' und "`PGP inline"'
2503   zu laden, bei einer Installation über Gpg4win ist das bereits
2504   geschehen.
2505 %\item[PostMe] nur Windows.
2506 %% FIXME Postme und mail: Prüfen ob noch verfügbar
2507 %\item[Eudora] Das Plugin wird in Gpg4win enthalten sein, falls
2508 %  einige rechtliche Fragen zufriedenstellend geklärt werden.
2509 \end{description}
2510
2511 Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
2512 anderen Unix Varianten laufen, über komfortablen und integrierten
2513 GnuPG Support.
2514
2515 Da sämtliche Komponenten des Gpg4win Pakets als Freie Software
2516 entstehen, ist die Entwicklung stark im Fluss.
2517
2518 Aktuelle Informationen über die Komponenten finden Sie unter www.gpg4win.de.
2519
2520 Informationen zu den Themen IT-Sicherheit, Gpg4win, GnuPG und anderer Software finden
2521 Sie auf der Website www.bsi-fuer-buerger.de und www.bsi.de des Bundesamtes für
2522 Sicherheit in der Informationstechnik.
2523
2524 \clearpage
2525 %% Original page 31
2526 \chapter{Die Schlüsselprüfung}
2527 \label{ch:trust}
2528
2529 Woher wissen Sie eigentlich, dass der fremde öffentliche Schlüssel
2530 wirklich vom Absender stammt? Und umgekehrt --- warum sollte Ihr
2531 Korrespondenzpartner glauben, dass der öffentliche Schlüssel, den Sie
2532 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
2533 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
2534
2535 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2536 erhält, Ihre sämtliche Guthaben auf ein Nummernkonto auf den Bahamas
2537 zu überweisen, wird sie sich hoffentlich weigern --- \Email{}-Adresse
2538 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2539 Identität des Absenders.
2540
2541 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2542 die Sache mit der Identität schnell geregelt: Sie prüfen den
2543 Fingerabdruck des anderen Schlüssels.
2544
2545 Jeder öffentliche Schlüssel trägt eine einmalige Kennzeichnung, die
2546 ihn zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
2547 einen Menschen.  Deshalb bezeichnet man diese Kennzeichnung eben als
2548 "`Fingerprint"'.
2549
2550 \clearpage
2551
2552 Wenn Sie einen Schlüssel im GNU Privacy Assistant anklicken, sehen Sie
2553 im unteren Teil des Fensters u.a. den Fingerprint:
2554
2555 % screenshot:  GPA key listing with fingerprint
2556 \begin{center}
2557 \IncludeImage[width=0.9\textwidth]{sc-gpa-two-keys}
2558 \end{center}
2559
2560 Der Fingerprint von Adeles Schlüssel ist also:
2561 \begin{verbatim}
2562 DD87 8C06 E8C2 BEDD D4A4  40D3 E573 3469 92AB 3FF7
2563 \end{verbatim}
2564
2565
2566
2567 \clearpage
2568 %% Original page 32
2569
2570 Wie gesagt --- der Fingerprint identifiziert den Schlüssel und seinen
2571 Besitzer eindeutig.
2572
2573 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
2574 von ihm den Fingerprint seines Schlüssels vorlesen.  Wenn die Angaben
2575 mit dem Ihnen vorliegenden Schlüssel übereinstimmen, haben Sie
2576 eindeutig den richtigen Schlüssel.
2577
2578 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2579 Schlüssels treffen oder auf jedem anderen Wege mit ihm kommunizieren,
2580 solange Sie ganz sicher sind, dass Schlüssel und Eigentümer zusammen
2581 gehören.  Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
2582 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
2583 den Anruf ersparen.
2584
2585 %%% FIXME Muss neu geschrieben werden von HIER...
2586
2587 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2588 öffentlichen Schlüssel überzeugt haben, sollten Sie ihn signieren.
2589 Damit teilen Sie anderen Gpg4win-Benutzern mit, dass Sie diesen Schlüssel
2590 für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
2591 diesen Schlüssel und erhöhen das allgemeine Vertrauen in seine
2592 Echtheit.
2593
2594 Klicken Sie dazu den betreffenden Schlüssel an und wählen Sie dann
2595 "`Signieren"' aus der GPA-Menüleiste. Klicken Sie im nun folgenden
2596 Hinweis nur dann auf \Button{Ja}, wenn Sie hundertprozentig sicher sind, den
2597 richtigen Schlüssel zu signieren.
2598
2599 %% Original page 33
2600
2601 Geben Sie nun Ihre Passphrase ein und klicken Sie auf \Button{OK}.
2602 Damit haben Sie mit Ihrem geheimen Schlüssel die Echtheit des
2603 Schlüssels bestätigt.
2604
2605 Da --- wie Sie wissen --- geheimer und öffentlicher Schlüssel
2606 untrennbar zusammengehören, kann jedermann mit Hilfe Ihres
2607 öffentlichen Schlüssels überprüfen, dass diese Signatur von Ihnen
2608 stammt und dass der Schlüssel nicht verändert wurde, also authentisch
2609 ist.  Damit ist für einen Dritten --- wenn auch indirekt --- ein
2610 gewisses Vertrauen in die Echtheit und Gültigkeit des signierten
2611 Schlüssels gegeben.
2612
2613 \clearpage
2614 %% Original page 34
2615
2616 \textbf{Das Netz des Vertrauens}
2617
2618 So entsteht --- auch über den Kreis von
2619 Gpg4win-Benutzern Ihrer täglichen Korrespondenz hinaus --- ein "`Netz
2620 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
2621 angewiesen sind, einen Schlüssel direkt zu prüfen.
2622
2623 \begin{center}
2624 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
2625 \end{center}
2626
2627 Natürlich steigt das Vertrauen in die Gültigkeit eines Schlüssels,
2628 wenn mehrere Leute ihn signieren. Ihr eigener öffentlicher Schlüssel
2629 wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
2630 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieser
2631 öffentliche Schlüssel wirklich Ihnen und niemandem sonst gehört.
2632
2633 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2634 Beglaubigungs-Infra\-struktur.
2635
2636 Eine einzige Möglichkeit ist denkbar, mit dem man diese
2637 Schlüsselprüfung aushebeln kann: jemand schiebt Ihnen einen falschen
2638 öffentlichen Schlüssel unter. Also einen Schlüssel, der vorgibt, von X
2639 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
2640 solcher gefälschter Schlüssel signiert wird, hat das "`Netz des
2641 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
2642 vergewissern, ob ein öffentlicher Schlüssel, wirklich zu der Person
2643 gehört, der er zu gehören vorgibt.
2644
2645 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
2646 Schlüssel ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
2647 nicht die Lösung sein\ldots
2648
2649
2650 \clearpage
2651 %% Original page 35
2652 \textbf{Zertifizierungsinstanzen}
2653
2654 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2655 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
2656 Personalausweis eines Unbekannten durch einen Anruf beim
2657 Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende
2658 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
2659
2660 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
2661 Verschlüsselung. In Deutschland bietet unter anderem z.B. die
2662 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
2663 wie viele Universitäten.
2664
2665 Wenn man also einen öffentlichen Schlüssel erhält, dem eine
2666 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
2667 sich darauf verlassen.
2668
2669 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2670 anderen Verschlüsselungssystemen vorgesehen, allerdings sind sie
2671 hierarchisch strukturiert: es gibt eine "`Oberste
2672 Beglaubigungsinstanz"', die "`Unterinstanzen"' mit dem Recht zur
2673 Beglaubigung besitzt.
2674
2675 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
2676 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2677 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
2678 übergeordneten Stelle erhalten hat.
2679
2680
2681 %% Original page 36
2682
2683 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
2684 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
2685 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
2686 beruhende "`Web of Trust"' der GnuPG- und PGP-Modelle. Der Kern der
2687 Beglaubigung selbst ist allerdings völlig identisch: wenn man in
2688 Gpg4win zusätzlich eine hierarchische Zertifizierungsstruktur einbauen
2689 würde, dann würde auch Gpg4win dem strengen Signaturgesetz der
2690 Bundesrepublik entsprechen.
2691
2692 Wenn Sie sich weiter für dieses Thema interessieren (das zum Zeitpunkt
2693 der Arbeit an dieser Gpg4win-Ausgabe gerade in Bewegung ist), dann
2694 können Sie sich an der Quelle informieren: die Website "`\xlink{Sicherheit im
2695 Internet}{http://www.sicherheit-im-internet.de}"' des Bundesministeriums für Wirtschaft und Technologie
2696 \T(\href{http://www.sicherheit-im-internet.de}{www.sicherheit-im-internet.de})
2697 hält Sie über dieses und viele andere
2698 Themen aktuell auf dem Laufenden.
2699
2700 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
2701 der Beglaubigungsinfrastrukturen bietet das 
2702 \xlink{Original GnuPG Handbuch}{http://www.gnupg.org/gph/de/manual},
2703 das Sie ebenfalls im Internet finden
2704 \T(\href{http://www.gnupg.org/gph/de/manual}{www.gnupg.org/gph/de/manual})%
2705 .
2706
2707 %%% .. bis hier FIXME
2708
2709 \clearpage
2710 %% Original page 37
2711 \chapter{\Email{}s signieren}
2712 \label{ch:sign}
2713
2714 Ganz am Anfang dieses Handbuchs haben wir die \Email{}-Kommunikation mit
2715 dem Versenden einer Postkarte verglichen. Erst die Verschlüsselung
2716 macht daraus einen Brief mit verschlossenem Umschlag, den nicht mehr
2717 jedermann lesen kann.
2718
2719 Gpg4win bietet zusätzlich zur kompletten Verschlüsselung einer \Email{}
2720 noch eine weitere Möglichkeit:
2721 \begin{itemize}
2722 \item man kann seine \Email{} signieren, mit anderen Worten die \Email{}
2723   mit einer elektronischen Unterschrift versehen. Der Text ist dann zwar noch
2724   für jeden lesbar, aber der Empfänger kann sicher sein, dass die
2725   \Email{} unterwegs nicht manipuliert oder verändert wurde.
2726 \end{itemize}
2727
2728 Außerdem garantiert die Signatur dem Empfänger, dass die Nachricht
2729 auch tatsächlich vom Absender stammt. Und: wenn man mit jemandem
2730 korrespondiert, dessen öffentlichen Schlüssel man ­-- aus welchem
2731 Grund auch immer --- nicht hat, kann man so die Nachricht wenigstens
2732 mit dem eigenen privaten Schlüssel "`versiegeln"'.
2733
2734 Verwechseln Sie diese elektronische Signatur nicht mit den
2735 \Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
2736 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
2737
2738 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
2739 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
2740 Manipulationen und bestätigt den Absender.
2741
2742 Übrigens ist diese elektronische Unterschrift auch nicht mit der
2743 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
2744 Signaturgesetz vom 22.\,Mai 2001 in Kraft getreten ist. Für die
2745 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
2746 genau denselben Zweck.
2747
2748
2749 \clearpage
2750 %% Original page 38
2751 \section{Signieren mit dem Geheimschlüssel}
2752
2753 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2754 Verschlüsselung: Wie im "`Einsteiger-Handbuch"' im Kapitel 9, "`Sie
2755 verschlüsseln eine \Email{}"', besprochen, schreiben Sie Ihre Nachricht
2756 und kopieren sie mit dem Menübefehl "`Kopieren"' oder mit dem
2757 Tastaturkürzel Strg+C in die Zwischenablage (Clipboard) Ihres
2758 Rechners.
2759
2760 Sie können nun entscheiden ob Sie eine völlig unverschlüsselte, eine
2761 signierte oder eine komplett verschlüsselte Mail versenden wollen ­--
2762 je nachdem, wie wichtig und schutzbedürftig der Inhalt ist.
2763
2764 Dann öffnen Sie WinPT mit der rechten Maustaste aus der Windows-Taskbar
2765 und wählen im erscheinenden WinPT Menü
2766 \Menu{Zwischenablage$\rightarrow$Signieren} aus.  Anders als beim
2767 Verschlüsseln öffnet sich daraufhin ein Fenster mit Ihrem eigenen
2768 Schlüssel. Denn:
2769
2770 \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2771
2772 Logisch, denn nur Ihr eigener Schlüssel bestätigt Ihre Identität. Der
2773 Korrespondenzpartner kann nun mit Ihrem öffentlichen Schlüssel, den er
2774 bereits hat oder sich besorgen kann, Ihre Identität überprüfen.  Denn
2775 nur Ihr Geheimschlüssel passt ja zu Ihrem öffentlichen Schlüssel.
2776
2777 Klicken Sie also auf Ihren eigenen Schlüssel und bestätigen Sie mit
2778 \Button{OK}. Im folgenden Fenster geben Sie Ihre geheime
2779 Passphrase ein und bestätigen Sie wieder mit \Button{OK}. Ein
2780 kurzer Hinweis erscheint sobald der Text signiert ist. Jetzt müssen
2781 Sie Ihren signierten Text nur noch in Ihr \Email{}- oder Textprogramm
2782 einfügen (Im WindowsMenü "`Einfügen"' oder einfach Strg+V).
2783
2784 % screenshot: WinPT signing - enter passphrase
2785 \begin{center}
2786 \IncludeImage{sc-winpt-sign-passwd}
2787 \end{center}
2788
2789 \clearpage
2790 %% Original page 39
2791 Ihre Nachricht ist nun am Anfang und Ende von einer Signatur
2792 eingerahmt:
2793
2794 \begin{verbatim}
2795 -----BEGIN PGP SIGNED MESSAGE-----
2796 Hash: SHA1
2797
2798 Werte Adele,
2799
2800 Wenn ich in deine Augen seh,
2801 So schwindet all mein Leid und Weh;
2802 Doch wenn ich küsse deinen Mund,
2803 So werd ich ganz und gar gesund.
2804
2805     Harry
2806 -----BEGIN PGP SIGNATURE-----
2807 Version: GnuPG v1.4.3-cvs (MingW32)
2808
2809 iD8DBQFD36LVVyUTMs2Gh/YRAn2sAJ4wH2h8g+rFyxXQSsuYzZWzYMKTdgCeK0sK
2810 CEL3//4INzHUNA/eqR3XMi0=
2811 =tiQ5
2812 -----END PGP SIGNATURE-----
2813 \end{verbatim}
2814
2815 Wenn Frau Adele diese \Email{}
2816 erhält, kann sie sicher sein,
2817 \begin{enumerate}
2818 \item dass die Nachricht von Herrn Heine stammt
2819 \item dass sie nicht verändert wurde
2820 \end{enumerate}
2821
2822 Hätte zum Beispiel jemand das "`gesund"' in dem obigen Beispiel zu
2823 "`krank"' verändert, wäre die Signatur "`gebrochen"', dass heißt, die
2824 \Email{} wäre mit dem Vermerk "`Bad signature"' oder "`Überprüfung
2825 fehlgeschlagen"' beim Empfänger versehen, sobald die Signatur
2826 überprüft wird.
2827
2828 \clearpage
2829 %% Original page 40
2830 \section{Andere Gründe für eine gebrochene Signatur}
2831
2832 Es gibt aber noch zwei weitere Gründe, die zu einem Bruch der Signatur
2833 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2834 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2835 muss aber nicht zwangsläufig bedeuten, dass Ihre \Email{} manipuliert
2836 wurde.
2837
2838 \begin{enumerate}
2839 \item aufgrund der technischen Gegebenheiten ist es nicht
2840   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2841   über das Internet verändert wurde.
2842 \item das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2843   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2844   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2845   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2846   "`HTML-Mails"' und "`Word Wrap"'.
2847
2848   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2849   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2850   niemand sie willentlich verändert hat.  Bei Outlook Express
2851   beispielsweise muss diese Option unter "`Extras / Optionen / Senden /
2852   NurText-Einstellungen / Textkodierung mit Keine"' aktiviert sein,
2853   wie es auch standardmäßig voreingestellt ist.
2854 \end{enumerate}
2855    
2856 Häufig ist sind falsche Einstellungen am \Email{}-Programm der Grund für
2857 eine gebrochene Signatur.  In beiden Fällen sollte man die \Email{}
2858 erneut anfordern.
2859
2860
2861 \clearpage
2862 %% Original page 41
2863 \section{Dateien signieren}
2864
2865 Nicht nur \Email{}s, auch Dateien --­ z.B. ein PDF-Dokument --- kann
2866 man signieren, bevor man sie per \Email{} verschickt oder per Diskette
2867 weitergibt. Auch dabei kommt es nicht vorrangig auf die Geheimhaltung,
2868 sondern auf die Unverändertheit der Datei an.  
2869
2870 Diese Funktion können Sie bequem mit GPGee aus dem Kontextmenü des
2871 Explorers ausführen.  Dazu öffnen Sie dessen Menü mit der rechten
2872 Maustaste:
2873
2874 % screenshot GPGee contextmenu
2875 \begin{center}
2876 \IncludeImage{sc-gpgee-ctxmenu}
2877 \end{center}
2878
2879 Dort wählen Sie \Menu{signieren} aus, woraufhin das folgende Fenster
2880 erscheint:
2881
2882 \begin{center}
2883 \IncludeImage{sc-gpgee-signmenu}
2884 \end{center}
2885
2886 Sie sehen in der Mitte eine Möglichkeit den Signaturschlüssel
2887 auszuwählen --- nutzen Sie dies, falls Sie mit einem anderen als
2888 Ihrem Standardschlüssel signieren möchten.
2889
2890 Die drei Rahmen im unter Teil steuern die Signatur/Verschlüsselungs-Funktion;
2891 die Vorgaben sind in
2892 den meisten Fällen richtig.  Die linke untere Box, steuert die
2893 Verschlüsselung.  Da Sie lediglich signieren möchten ist hier
2894 "`Keine"' ausgewählt.
2895
2896 In der mittleren Box können Sie die Art der Signatur wählen. Sie
2897 verwenden hier am besten eine "`abgetrennte"' Signatur; dies bedeutet,
2898 dass die zu signierende Datei unverändert bleibt und eine zweite Datei
2899 mit der eigentlichen Signatur erzeugt wird.  Um die Signatur später zu
2900 überprüfen sind dann beide Dateien notwendig.
2901
2902 In der rechten Box finden Sie noch weitere Optionen.  "`Textausgabe"'
2903 ist dort vorgegeben.  Dies erzeugt eine abgetrennte Signaturdatei mit
2904 einem Dateinamen der auf "`.asc"' endet und die direkt mit jedem
2905 Texteditor lesbar ist --- sie würden dort den Buchstaben- und
2906 Ziffernsalat sehen, den Sie bereits kennen.  Wenn diese Option nicht
2907 ausgewählt ist, so wird eine Datei mit der Endung "`.sig"' erzeugt,
2908 die dann nicht direkt lesbar ist (binäre Datei).  Was Sie hier
2909 benutzen ist eigentlich gleichgültig; Gpg4win kommt mit beiden Arten
2910 klar.
2911
2912 Zum Überprüfen der Unverändertheit und der Authentizität
2913 müssen die Original- und die signierte Datei im selben
2914 Verzeichnis liegen.  Man öffnet die signierte Datei --- also die mit der
2915 Endung "`.sig"' oder "`.asc"' --- wieder aus dem Kontextmenü des Explorers
2916 mit \Menu{GPGee$\rightarrow$Überprüfen/Entschlüsseln }.
2917
2918 Daraufhin erhalten Sie eine Ausgabe, ob die Signatur gültig ist ---
2919 also die Datei nicht verändert wurde.  Selbst wenn nur ein Zeichen
2920 hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
2921 ungültig angezeigt.
2922
2923 \clearpage
2924 %% Original page 42
2925 \section{Verschlüsseln und signieren}
2926
2927 Normalerweise verschlüsselt man eine Nachricht mit dem öffentlichen
2928 Schlüssel des Korrespondenzpartners, der ihn mit seinem privaten
2929 Schlüssel entschlüsselt.
2930
2931 Die umgekehrte Möglichkeit ­-- man würde mit dem privaten Schlüssel
2932 verschlüsseln ---, ist technisch nicht möglich und macht keinen Sinn,
2933 weil alle Welt den dazugehörigen öffentlichen Schlüssel kennt und die
2934 Nachricht damit entschlüsseln könnte.
2935
2936 Es gibt aber ein anderes Verfahren um mit Ihrem geheimen Schlüssel
2937 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2938 beschrieben haben.  Solch eine digitale Signatur bestätigt eindeutig
2939 die Urheberschaft --­ denn wenn jemand Ihren öffentlichen Schlüssel
2940 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2941 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2942 kodiert worden sein.  Und zu dem dürfen ja nur Sie selbst Zugang
2943 haben.
2944
2945 Wenn man ganz sicher gehen will, kann man beide Möglichkeiten
2946 kombinieren, also die \Email{} verschlüsseln und signieren:
2947
2948 \begin{enumerate}
2949 \item Man signiert die Botschaft mit seinem eigenen geheimen
2950   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2951 \item dann verschlüsselt man den Text mit dem öffentlichen Schlüssel
2952   des Korrespondenzpartners.
2953 \end{enumerate}
2954
2955 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2956
2957 \begin{enumerate}
2958 \item einen Innenumschlag der mit einem Siegel verschlossen ist (die
2959   Signatur mit dem eigenen privaten Schlüssel) und
2960 \item einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2961   öffentlichen Schlüssel des Korrespondenzpartners).
2962 \end{enumerate}
2963
2964 Der Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
2965 geheimen Schlüssel.  Hiermit ist die Geheimhaltung gewährleistet, denn
2966 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
2967 Hülle öffnet er mit Ihrem öffentlichen Schlüssel und hat den Beweis
2968 Ihrer Urheberschaft, denn wenn Ihr öffentlicher Schlüssel passt, kann
2969 er nur mit Ihrem Geheimschlüssel kodiert worden sein.
2970
2971 Sehr trickreich und ­-- wenn man ein wenig darüber nachdenkt --­ auch
2972 ganz einfach.
2973
2974 \clearpage
2975 %% Original page 43
2976
2977 \chapter{Dateianhänge verschlüsseln}
2978
2979 Was tun, wenn Sie zusammen mit Ihrer \Email{} eine Datei versenden und
2980 diese ebenfalls verschlüsseln wollen? Die Verschlüsselung, wie wir sie
2981 in Kapitel 9 von "`Gpg4win für Einsteiger"' erklärt haben, erfasst nur
2982 den Text der \Email{}, nicht aber eine gleichzeitig versandte,
2983 angehängte Datei. 
2984
2985 Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
2986 dann in verschlüsseltem Zustand an die \Email{} an.
2987
2988 Und zwar so:
2989
2990 Klicken Sie die Datei mit der rechten Maustaste an und wählen Sie aus
2991 dem Menü \linebreak \Menu{GPGee$\rightarrow$Verschlüsseln (PK)}.  Sie
2992 sehen daraufhin das Fenster welches Sie schon im Kapitel "`Dateien
2993 signieren"' kennengelernt haben.
2994
2995 Hier ist nun in der unteren linken Box "`Public-Key"' markiert.  Sie
2996 müssen jetzt im oberen Fenster auswählen, an welche Empfänger sie
2997 verschlüsseln wollen,  kreuzen Sie einfach die entsprechenden Schlüsseln an.
2998
2999 Möchten Sie diese Datei (und damit auch den Dateianhang) auch noch
3000 signieren, so können Sie dies in der mittleren unteren Box auswählen
3001 ("`Angehängt"').
3002
3003 Die Datei wird verschlüsselt und mit der Endung \verb-.gpg- im
3004 gleichen Ordner abgelegt wie die Originaldatei. Nun kann die
3005 verschlüsselte Datei wie jede andere als Attachment an eine \Email{}
3006 angehängt werden.
3007
3008 Viele Mailprogramme unterstützten das PGP/MIME Format, welches
3009 automatisch die Mail samt Anhängen verschlüsselt --- in diesem Fall
3010 sollte das hier beschrieben Verfahren nicht angewandt werden.  Einige
3011 anderer Mailprogramme verfügen über eine Option die das oben
3012 beschrieben Verfahren automatisch durchführen.
3013
3014
3015 \clearpage
3016 \chapter{Dateien: Verschlüsselung und Signaturen}
3017
3018 Dieser Abschnitt ist noch nicht ausformuliert.
3019 Er wird die Anwendung von GpgEX beschreiben.
3020
3021
3022 \clearpage
3023 %% Original page 45
3024 \chapter{Im- und Export eines geheimen Schlüssels}
3025
3026 Im "`Schnellstart"'-Handbuch haben wir in den Kapiteln 5, 6 und 8 den
3027 Im- und Export eines öffentlichen Schlüssels besprochen. Wir haben
3028 Ihren eigenen öffentlichen Schlüssel exportiert, um ihn zu
3029 veröffentlichen, und wir haben den öffentlichen Schlüssel Ihres
3030 Korrespondenzpartners importiert und "`am Schlüsselbund"' befestigt.
3031
3032 Dabei ging es stets um den öffentlichen Schlüssel. Es gibt aber auch
3033 hin und wieder die Notwendigkeit, einen geheimen Schlüssel zu im- oder
3034 exportieren. Wenn Sie zum Beispiel einen bereits vorhandenen
3035 PGP-Schlüssel mit Gpg4win weiterbenutzen wollen, müssen Sie ihn
3036 importieren.  Oder wenn Sie Gpg4win von einem anderen Rechner aus
3037 benutzen wollen, muss ebenfalls zunächst der gesamte Schlüssel dorthin
3038 transferiert werden --­ der öffentliche und der private Schlüssel.
3039
3040 %\clearpage
3041 %% Original page 46
3042
3043 Wir gehen im folgenden von der zur Zeit aktuellen PGP-Version 7 aus, in allen
3044 anderen ist der Vorgang ähnlich.
3045
3046 Zunächst speichern Sie beiden PGP-Schlüsselteile ab. Dazu müssen Sie
3047 in "`PGPkeys"' Ihren Schlüssel anklicken und "`Keys / Export"'
3048 anwählen. Auf dem Dateiauswahldialog "`Export Key to File"' sehen Sie
3049 unten links eine Checkbox "`Include Private Keys"', den Sie anklicken
3050 und mit einem Häkchen versehen müssen. PGP speichert beide
3051 Schlüsselteile in eine Datei ab, die Sie entsprechend benennen, zum
3052 Beispiel \Filename{geheimer-key.asc}.  
3053
3054 Öffnen Sie nun GPA oder WinPT und importieren sie einfach diese Datei.
3055 Es werden dann sowohl der geheime als auch der öffentliche Schlüssel
3056 importiert; sie sind dann sofort sichtbar. \textbf{Löschen Sie danach
3057   unbedingt die Datei \Filename{geheimer-key.asc} wieder und entfernen
3058   Sie diesen auch aus dem "`Papierkorb"'.}  Damit haben Sie einen
3059 PGP-Schlüssel erfolgreich in Gpg4win importiert und können ihn dort
3060 genau wie einen normalen GnuPG-Schlüssel benutzen.
3061
3062 Es kann in einigen Fällen vorkommen, dass Sie einen importierten
3063 Schlüssel nicht direkt benutzen können.  Dies äußert sich darin, dass
3064 Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
3065 wird.  Das kommt daher, dass einige Versionen von PGP intern den
3066 IDEA Algorithmus verwenden.  Dieser kann von GnuPG aus rechtlichen
3067 Gründen nicht unterstützt werden.  Um das Problem zu beheben,
3068 ändern Sie in PGP einfach die Passphrase und
3069 exportieren/importieren Sie den Schlüssel erneut.  Sollte dies auch
3070 nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3071 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
3072 --- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
3073 \textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
3074   eine echte Passphrase zu setzen.}
3075
3076 \clearpage
3077 %% Original page 47
3078 \section{Export eines GnuPG-Schlüssels}
3079
3080 Immer wenn Sie einen GnuPG-Schlüssel auf einen anderen Rechner
3081 transferieren oder auf einer anderen Festplattenpartition bzw. einer
3082 Sicherungsdiskette speichern wollen, müssen Sie mit WinPT oder GPA ein Backup erstellen.
3083 Dies entspricht dem Backup, welches Sie bei der Schlüsselerzeugung
3084 auch schon durchgeführt haben.  Da Ihr Schlüssel inzwischen weitere
3085 Schlüsselunterschriften haben kann, sollte Sie es erneut durchführen.
3086
3087 Klicken Sie in der GPA-Schlüsselverwaltung den Schlüssel an, den Sie sichern
3088 wollen und wählen
3089 Sie dann den Menüpunkt \Menu{Schlüssel$\rightarrow$Sicherheitskopie anlegen}.
3090
3091 % screenshot: GPA, Backup erzeugen
3092 \begin{center}
3093 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup}
3094 \end{center}
3095
3096 Bestätigen Sie den Dateinamen oder wählen Sie einen anderen und GPA
3097 wird eine Sicherheitskopie bestehend aus dem geheimen und öffentlichen
3098 Schlüssel anlegen. Danach werden Sie noch daran erinnert, dass Sie
3099 diese Datei sehr sorgfältig zu handhaben ist:
3100
3101 % screenshot: GPA, Backup Hinweis
3102 \begin{center}
3103 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup-warn}
3104 \end{center}
3105
3106
3107 Beim Import, also zum Beispiel auf einem anderen Rechner, importieren
3108 Sie einfach diese Sicherheitskopie in WinPT oder GPA.
3109 Gpg4win wird dann sowohl den
3110 geheimen als auch den öffentlichen Schlüssel aus dieser Datei
3111 importieren.
3112
3113 Damit haben Sie erfolgreich einen GnuPG-Schlüssel exportiert und
3114 wieder importiert.
3115
3116 \clearpage
3117 \chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
3118
3119 Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
3120 in denen viele Anwender auf einem System arbeiten,
3121 ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
3122 für Gpg4win einzurichten.
3123
3124 Einige typische systemweite Einrichtungen sind:
3125
3126 \begin{itemize}
3127 \item Vertrauenswürdige Wurzel-Zertifikate
3128
3129         Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3130         Wurzelzertifikate suchen und installieren sowie Vertrauenswürdigkeit
3131         prüfen und setzen muss, ist eine systemweite Vorbelegung der
3132         wichtigsten Wurzel-Zertifikate sinnvoll.
3133
3134         Dafür sind folgende Schritte durchzuführen:
3135         \begin{enumerate}
3136         \item Die Wurzel-Zertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
3137                 beschrieben.
3138         \item Die vertrauenswürdigen Wurzeln definieren wie unter Abschnitt \ref{systemtrustedrootcerts}
3139                 beschrieben.
3140         \end{enumerate}
3141
3142 \item Direkt verfügbare CA-Zertifkate
3143
3144         Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
3145         (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
3146         eine systemweite Vorbelegung der wichtigesten CA-Zertifkate sinnvoll.
3147
3148         Folgen Sie dazu der Beschreibung unter Abschnitt \ref{extracertsdirmngr}
3149
3150 \item Proxy für Verzeichnisdienst-Suche
3151
3152         Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
3153         Systeme nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.
3154
3155         Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
3156         LDAP-Abfragen, so führen Sie folgende Schritte durch:
3157
3158         \begin{enumerate}
3159         \item Stellen Sie Verzeichnisdienst-Suchen auf Ihren Proxy wie unter Abschnitt \ref{ldapservers} ein.
3160         \item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
3161                 wie beispielsweise \verb@http-proxy http://proxy.mydomain.example:8080@ (ggf. analog
3162                 für LDAP) als Administrator in die Datei\newline
3163                 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3164                 eintragen.
3165         \end{enumerate}
3166 \end{itemize}
3167
3168 \clearpage
3169 \chapter{Bekannte Probleme und was man tun kann}
3170
3171 \section{GpgOL Menüs und Dialog nicht mehr in Outlook zu finden}
3172
3173 Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
3174 die Menüs und Dialog die von GpgOL zu Outlook hinzugefügt
3175 werden nicht mehr zu finden sind.
3176
3177 Das ist dann der Fall wenn ein technisches Problem auftrat
3178 und Outlook aus diesem Grund das GpgOL Element deaktiviert.
3179
3180 Reaktivieren Sie GpgOL über das Menü
3181 ,,Hilfe-> Info-> Deaktivierte Elemente''.
3182
3183 \section{Systemdienst ,,DirMngr'' läuft nicht}
3184
3185 ,,DirMngr'' ist ein über Gpg4win installierter Dienst der
3186 die Zugriffe auf Verzeichnisdienste
3187 (z.B. LDAP) verwaltet. Eine der häufigsten Aufgaben ist das Laden
3188 von Sperrlisten für S/MIME Zertifikate.
3189
3190 Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
3191 Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3192 ,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
3193 ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
3194 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3195 werden da möglicherweise ein kompromittiertes Zertifkat genutzt wird.
3196
3197 Abhilfe: Neustart des ,,DirMngr'' durch den Systemadministrator.
3198 Dies erfolgt über Systemsteuerung -> Verwaltung -> Dienste:
3199 In der Liste finden Sie ,,DirMngr'' -
3200 über das Kontextmenü kann der Dienst neu gestartet werden.
3201
3202 \clearpage
3203 \chapter{Wo finde ich die Dateien und Einstellungen von Gpg4win?}
3204
3205 \section{Persönliche Einstellungen der Anwender}
3206
3207 Die persönlichen Einstellungen für jeden Anwender befinden sich
3208 im Verzeichnis \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
3209 Verzeichnis \newline
3210 \Filename{C:\back{}Dokumente und Einstellungen\back{}name\back{}Anwendungsdaten\back{}gnupg}.
3211
3212 Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt.
3213 Im Explorer müssen Sie über das Menü ,,Extras-> Ordneroptionen''
3214 dann im Reiter ,,Ansicht'' für ,,Versteckte Dateien und Ordner''
3215 auf ,,Alle Dateien und Ordner anzeigen'' umstellen.
3216
3217 In diesem Ordner befinden sich sämtliche persönlichen GnuPG Daten,
3218 also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und
3219 Programmkonfigurationen.
3220 \\
3221
3222 \section{Zwischengespeicherte Sperrlisten}
3223
3224 Der systemweite Dienst ,,DirMngr'' prüft unter anderem ob
3225 ein Zertifkate gesperrt und daher nicht verwendet werden darf.
3226 Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate
3227 (,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
3228 zwischengespeichert.
3229
3230 Abgelegt werden diese Sperrlisten unter\newline
3231 \Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\newline
3232 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3233
3234 Hierbei handelt es sich um einen sogenannten ,,geschützten'' Bereich
3235 und kann daher nur mit dem Explorer eingesehen werden, wenn für die
3236 Ansicht eingestellt ist, dass auch geschützte Dateien angezeigt werden sollen.
3237
3238 In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
3239
3240 \section{Vertrauenswürdige Wurzeln von DirMngr \label{trustedrootcertsdirmngr}}
3241
3242 Für eine vollständige Prüfung von Zertifkats-Gültigkeiten
3243 muss auch den Wurzel-Zertifkaten vertraut werden, in deren
3244 Zertifizierungskette die Sperrlisten unterschrieben wurden.
3245
3246 Die Liste der Wurzel-Zertifkate denen DirMngr bei den
3247 Prüfungen vertrauen soll liegt unter\newline
3248 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3249
3250 Für systemweite Vorgaben sollten hier die Wurzel-Zertifkate abgelegt werden
3251 denen alle Anwender vertrauen können.
3252
3253 \section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
3254
3255 Um wie oeben beschrieben die Zertifizierungskette zu
3256 prüfen sind auch die Zertifkate der Zertifizierungsstellen
3257 (Certificate Authorities, CAs) zu prüfen.
3258
3259 Für eine direkte Verfügbarkeit können sie in diesem Verzeichnis abgelegt
3260 werden:\newline
3261 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3262
3263 Zertifkate die nicht hier oder bei den Anwendern vorliegen müssen
3264 entweder automatisch von LDAP-Servern geladen werden oder, falls so nicht
3265 verfügbar, per Hand importiert werden.
3266
3267 Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
3268 wichtigsten CA-Zertifkate abzulegen.
3269
3270 \section{Konfiguration zur Verwendung externer LDAP Verrzeichnisdienste \label{ldapservers}}
3271
3272 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende Zertifkate
3273 oder Sperrlisten auf externen Verzeichnisdiensten gesucht werden.
3274
3275 Der Systemdienst ,,DirMngr'' verwendet dafür die Liste der Dienste die
3276 in der Datei\newline
3277 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}ldapservers.conf}\newline
3278 angegeben sind.
3279
3280 Sind im internen Netz die Zugänge zu externen LDAP-Servern gesperrt, so
3281 kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung
3282 konfigurieren, wie folgende Zeile im Beispiel illustriert:
3283
3284 \verb#proxy.mydomain.example:389:::O=myorg,C=de#
3285
3286 Die genaue Syntax für die Einträge lautet übrigens:
3287
3288 \verb#HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN#
3289
3290 \section{Systemweite vertrauenswürdige Wurzel-Zertifikate \label{systemtrustedrootcerts}}
3291
3292 Die systemweit als vertrauenswürdig vorbelegten Zertifkate werden
3293 in der Datei\newline
3294 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}gnupg\back{}trustlist.txt}\newline
3295 definiert.
3296
3297 \clearpage
3298 \chapter{Fehler in den Gpg4win Programmen aufspüren}
3299
3300 Es kann vorkommen, dass eines der Gpg4win Programme
3301 nicht wie erwartet zu funktionieren scheint.
3302
3303 Nicht selten ist dabei eine Besonderheit der
3304 Arbeitsumgebung, so dass die Software-Entwickler
3305 das beobachtete Problem gar nicht selbst nachvollziehen können.
3306
3307 Um die Software-Entwickler bei der Problemsuche zu
3308 unterstützen oder auch um mal selbst in die technischen
3309 Detail-Abläufe reinzuschnuppern bieten die Gpg4win Programme
3310 Unterstützung an.
3311
3312 In der Regel muss diese Unterstützun aber erst einmal
3313 eingeschaltet werden. Eine der wichtigesten Hilfsmittel sind
3314 Logbücher. Dort werden detaillierte Informationen zu den
3315 technischen Vorgängen vermerkt. Ein Software-Entwickler kann
3316 ein Problem und die mögliche Lösung oft leicht ablesen,
3317 auch wenn es auf den ersten Blick sehr unverständlich
3318 und viel zu umfangreich wirken mag.
3319
3320 Wenn Sie einen Fehler-Bericht an die Software-Entwickler
3321 senden wollen, so finden Sie auf dieser Web-Seite einige Hinweise:
3322
3323 http://www.gpg4win.de/reporting-bugs-de.html
3324
3325 Als dort erwähnte ,,Debug-Informationen''
3326 sind Logbücher besonders wertvoll
3327 und sollten mitgeschickt werden.
3328
3329 Im folgenden werden verschieden Möglichkeiten beschrieben
3330 wie Programm-Ablauf-Informationen (darum handelt es sich
3331 letztlich bei den Logbüchern) eingeschaltet werden können.
3332
3333 \section{Logbuch von Kleopatra einschalten}
3334
3335 Das Logbuch von Kleopatra besteht aus vielen Dateien,
3336 daher ist der erste Schritt ein Verzeichnis für
3337 das Logbuch zu erstellen. Denkbar ist z.B.
3338 \Filename{C:\back{}TEMP\back{}kleologdir}.
3339
3340 Bitte beachten Sie hierbei, dass es hier um Einstellungen
3341 des Anwenders, nicht des Systemadministrators geht.
3342 Die Einstellungen müssen also für jeden Anwender der ein
3343 Logbuch erstellen möchte separat vorgenommen werden und dabei
3344 insbesondere aufgepasst werden, dass unterschiedliche \Filename{kleologdir}
3345 Verzeichnisse verwendet werden.
3346
3347 Der Pfad zu diesem Verzeichnis muss nun in der Umgebungsvariable
3348 ,,KLEOPATRA\_LOGDIR'' vermerkt werden:
3349
3350 Öffnen Sie dazu die Systemsteuerung, wählen dort ,,System'', dann
3351 den Reiter ,,Erweitert'' und schließlich den Knopf \Button{Umgebungsvariablen}.
3352
3353 Fügen Sie dort nun folgende neue Benutzervariable ein:
3354
3355 Name: KLEOPATRA\_LOGDIR
3356
3357 Wert: \Filename{C:\back{}TEMP\back{}kleologdir}
3358
3359 Beachten Sie, dass das angegebene Verzeichnis existieren muss. Sie können es
3360 auch nachträglich erstellen.
3361
3362 Um die Log-Funktion wirksam werden zu lassen, muss Kleopatra beendet
3363 und neu gestartet werden. Spätestens jetzt muss das Log-Verzeichnis erstellt worden
3364 sein.
3365
3366 Während Kleopatra nun verwendet wird, zeichnet es viele Daten in die
3367 Datei \Filename{kleo-log} (Haupt-Logbuch) sowie möglicherweise viele Dateien
3368 \Filename{pipe-input-ZEITSTEMPEL-ZUFALLSZEICHEN}.
3369
3370 Möglicherweise reichen diese Informationen einem Software-Entwickler nicht
3371 um den Fehler zu erkennen, er wird Sie dann bitten die Umgebungsvariable
3372 ,,KLEOPATRA\_LOGOPTIONS'' auf den Wert ,,all'' zu setzen wie Sie schon
3373 die andere Variable oben gesetzt haben.
3374
3375 Möglicherweise werden die Logbuch-Dateien sehr schnell sehr groß.
3376 Sie sollten diese Logbuch-Aufzeichnung nur einschalten und dann
3377 ein bestimmtes Fehlverhalten durchspielen. Anschliessend schalten
3378 Sie die Aufzeichnung wieder aus indem Sie die Umgebungsvariable
3379 löschen oder den Namen leicht variieren (für späteres leichtes
3380 reaktivieren). Vergessen Sie nicht, die Logbücher zu löschen falls
3381 sie umfangreich geworden sind oder es sehr viele Dateien sind. Am besten immer
3382 bevor Sie eine neue Aufzeichnung machen.
3383
3384 \section{Logbuch von GpgOL einschalten}
3385
3386 Für das Einschalten des Logbuches von GpgOL müssen Sie ihrem normalen
3387 Benutzerkonto (also nicht als Administrator) den Registrierungs-Editor
3388 starten. Das kann man z.B. machen in dem man
3389 in einer Eingabeaufforderung das Kommando \verb:regedit: ausführt.
3390
3391 Wählen Sie nun das GpgOL Verzeichnis
3392 (\verb:HKEY_CURRENT_USER\Software\GNU\GpgOL:)
3393 im auf der linken Seite dargestellten
3394 Verzeichnisbaum. Existiert dieser Registry-Pfad noch nicht, so
3395 legen Sie ihn zunächst an.
3396
3397 Auf der rechten Seite wählen Sie nun über die rechte Maustaste den
3398 Menüeintrag ,,Neu/Zeichenfolge''.
3399 Bennennen Sie den neuen Eintrag ,,enableDebug'' und setzte Sie dessen Wert
3400 auf ,,1''.
3401
3402 Man erhält umso mehr interne Programmablaufinformationen
3403 je größere man den Wert von ,,enableDebug'' wählt.
3404 Es ist empfehlenswert
3405 mit ,,1'' zu beginnen und nur höhere Werte einzusetzen, falls
3406 es eine tiefere Programmablaufanalyse erfordern sollte.
3407
3408 Erstellen Sie nun eine weitere Zeichnfolge mit dem Namen ,,logFile''
3409 und als Wert ein Dateiname in die das Logbuch geschrieben werden soll,
3410 beispielsweise
3411 \Filename{C:\back{}TEMP\back{}gpgollog.txt}.
3412 Evtl. existierte dieser Eintrag schon ohne Angabe eines Dateinamens,
3413 in diesem Fall reicht ein Doppel-Click auf den Eintrag um den Wert
3414 dann zu ändern.
3415
3416 Bedenken Sie, dass diese Datei ggf. im weiteren Verlauf sehr
3417 umfangreich werden kann. Stelle Sie ,,enableDebug'' auf ,,0'' wenn
3418 Sie kein Logbuch mehr benötigen.
3419
3420 \section{Logbuch von DirMngr einschalten}
3421
3422 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher
3423 ist das Einschalten des Logbuches nur mit Administator-Rechten
3424 möglich.
3425
3426 Um das Logbuch einzuschalten, tragen Sie folgende zwei Zeilen in
3427 die Datei\newline
3428 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3429 ein:
3430
3431 \begin{verbatim}
3432 debug-all
3433 log-file C:\TEMP\dirmngr.log
3434 \end{verbatim}
3435
3436 Starten Sie dann den Dienst neu, so dass er die geänderte Konfiguration
3437 einliesst.
3438
3439 \section{Logbuch von GPG für S/MIME, GPG Agent oder Smartcard Daemon einschalten}
3440
3441 Für die Programme GPG für S/MIME (Kommandozeilen-Name GpgSM), GPG Agent (gpg-agent) und
3442 Smarcard Daemon (scdaemon) können Anwender persönliche Konfigurationen vornehmen.
3443 Dazu gehört auch das Einstellen einer Protokolldatei für den Programmablauf.
3444
3445 Eingeschaltet wird das jeweilige Logbuch in dem über das Kleopatra Menü
3446 ,,Einstellungen/GnuPG Backend einrichten...'' zum jeweiligen Programm
3447 die beiden Einstellungen ,,Schreibe im Servermodus Logs in DATEI'' z.B. auf
3448 ,,\Filename{C:\back{}TEMP\back{}gpgsm.log}'' und ,,Die Debugstufe auf NAME setzten''
3449 auf ,,guru'' setzen. Letzteres ist die höchtste Stufe und erzeugt entsprechend große
3450 Dateien. Daher sollten Sie die Logbücher wieder ausschalten wenn Sie nicht mehr benötigt werden
3451 (Debugstufe ,,none'').
3452
3453 \clearpage
3454 %% Original page 49
3455 \chapter{Warum Gpg4win nicht zu knacken ist~$\ldots$}
3456 \label{ch:themath}
3457
3458 $\ldots$ jedenfalls nicht mit heute bekannten Methoden und sofern die
3459 Implementierung der Programme frei von Fehlern ist. 
3460
3461 In der Realität sind genau solche Fehler in den Programmen, Fehler im
3462 Betriebssystem oder nicht zuletzt Fehler in der Benutzung der letzte Weg um
3463 doch noch an die geheimen Informationen zu gelangen --- Auch deshalb sollte
3464 Sie diese Handbücher bis hierhin gelesen haben.
3465
3466 In jedem Beispiel dieses Handbuchs haben Sie gesehen, dass zwischen dem
3467 geheimen und dem öffentlichen Schlüsselteil eine geheimnisvolle
3468 Verbindung besteht. Nur wenn beide zueinander passen, kann man
3469 Geheimbotschaften entschlüsseln.
3470
3471 Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
3472 unbedingt kennen ­-- Gpg4win funktioniert für Sie auch so. Man kann diese komplexe
3473 mathematische Methode aber auch als Normalsterblicher und
3474 Nichtmathematiker verstehen. Sie müssen eigentlich nur einfache
3475 Additionen ($2 + 3$) und Multiplikationen ($5 * 7$) beherrschen.
3476 Allerdings in einer ganzen anderen Rechenmethode als der, die Sie im
3477 Alltag benutzen.  Es gehört sowohl zur Sicherheitsphilosophie der
3478 Kryptographie wie auch zum Prinzip der Freien Software, dass es keine
3479 geheimnisvollen Methoden und Algorithmen gibt. Letztendlich versteht
3480 man auch erst dann wirklich, warum GnuPG (die eigentliche Maschinerie
3481 hinter Gpg4win) sicher ist.
3482
3483 Hier beginnt also sozusagen die Kür nach dem Pflichtteil:
3484
3485
3486 \clearpage
3487 %% Original page 50
3488 \chapter{GnuPG und das Geheimnis der großen Zahlen}
3489 \label{ch:secretGnupg}
3490
3491 {\Large Kryptographie für Nicht-Mathematiker}
3492
3493 Es ist schon versucht worden, den RSA Algorithmus, auf dem GnuPG
3494 basiert\footnote{Wir verwenden hier RSA als Beispiel da dieser
3495   einfacher zu verstehen ist als der Elgamal Algorithmus der als
3496   Voreinstellung von GnuPG benutzt wird.}, zu "`knacken"', also einen
3497 privaten Schlüssel zu berechnen, wenn man lediglich den
3498 öffentlichen Schlüssel kennt.  Diese Berechnung ist aber noch nie für
3499 Schlüssellängen (1024 Bit und mehr), die in GnuPG verwendet werden,
3500 gelungen.  Es ist theoretisch zwar möglich, aber praktisch
3501 undurchführbar da selbst bei genügend vorhandener Zeit (viele Jahre)
3502 und Abertausenden von vernetzten Rechnern niemals genügen Speicher zur
3503 Verfügung stehen wird, um den letzten Schritt dieser Berechnung
3504 durchführen zu können.
3505
3506 Es kann allerdings durchaus möglich sein, dass eines Tage eine geniale
3507 Idee die Mathematik revolutioniert und eine schnelle Lösung des mathematischen
3508 Problems, welches hinter RSA steckt, liefert.  Dies wird aber wohl
3509 kaum von heute auf morgen geschehen.
3510 Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht von Zeit zu Zeit
3511 Prognosen und Einschätzungen, welche Schlüssellängen noch wieviele
3512 Jahre für absolute Geheimhaltung benutzt werden sollen.  GnuPG
3513 überschreitet mit seinen Standardeinstellungen noch weit diese
3514 Mindestanforderungen.  Wie im vorigen Kapitel schon angerissen, ist die
3515 Mathematik der mit Abstand sicherste Teil an der ganzen praktisch
3516 angewandten Kryptographie.
3517
3518
3519
3520 \clearpage
3521 %% Original page  52
3522
3523 Im Folgenden erfahren Sie, wie diese mathematische Methode funktioniert. Nicht
3524 in allen Einzelheiten ­-- das würde den Rahmen dieser Anleitung bei
3525 weitem sprengen ---, aber doch so, dass Sie bei etwas Mitrechnen selbst
3526 mathematisch korrekt ver- und entschlüsseln können und dabei das
3527 "`Geheimnis der großen Zahlen"' entdecken.
3528
3529 Man kann diese komplexe mathematische Methode auch als
3530 Normalsterblicher und Nichtmathematiker verstehen. Sie müssen nur
3531 einfache Additionen und Multiplikationen beherrschen. Wie gesagt: hier
3532 beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
3533 Sache als im Pflichtprogramm.  Letztendlich versteht man dann aber,
3534 warum GnuPG sicher ist.
3535
3536 Eine Begriffsklärung vorneweg:
3537
3538 ein \emph{Algorithmus} ist eine mathematische Prozedur zur Veränderung oder
3539 Transformation von Daten oder Informationen.
3540
3541 \emph{Arithmetik} ist die Methode, nach der wir Zahlen addieren und
3542 multiplizieren.
3543
3544
3545 Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
3546 RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
3547   Patentgründen der Elgamal Algorithmus, beruhend auf dem schwieriger
3548   zu erklärenden Problem des diskreten Logarithmus, als Standard
3549   verwendet wird.}.  RSA steht für die Nachnamen von Ron Rivest, Ami
3550 Shamir und Ben Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
3551 haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
3552 Rechnen mit Restklassen oder "`Modulo-Arithmetik"' heißt.
3553
3554 %% Original page 53
3555 \section{Das Rechnen mit Restklassen}
3556
3557 Wenn man mit Restklassen rechnet, so bedeutet dies, dass man
3558 nur mit dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
3559 bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird,
3560 nennt man den "`Modul"' oder die "`Modulzahl"'. Wenn wir
3561 beispielsweise mit dem Teiler oder der Modulzahl 5 rechnen,
3562 sagen wir auch, "`wir rechnen modulo 5"'.
3563
3564 Wie das Rechnen mit Restklassen --- auch Modulo-Arithmetik oder
3565 Kongruenzrechnung genannt --- funktioniert, kann man sich gut
3566 klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:
3567
3568 \begin{center}
3569 \IncludeImage[width=0.25\textwidth]{clock-face}
3570 \end{center}
3571
3572 Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (der Teiler
3573 ist also 12) --- eine Uhr mit einem normalen Zifferblatt, allerdings
3574 mit einer 0 anstelle der 12. Wir können damit Modulo-Arithmetik
3575 betreiben, indem wir einfach den gedachten Zeiger bewegen.
3576
3577 Um beispielsweise $3 + 2$ zu rechnen, beginnen wir bei der Ziffer 2
3578 und drehen den Zeiger um 3 Striche weiter (oder wir starten bei der 3
3579 und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft)
3580 Das Ergebnis ist 5.
3581
3582 Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
3583 der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt.  Um 5 mit 7 zu
3584 multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
3585 weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
3586 Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
3587 (also $7 * 5$) durch 12 geteilt wird.
3588
3589 \clearpage
3590 %% Original page 54
3591
3592 Beim Rechnen mit Restklassen addieren und teilen wir Zahlen also nach
3593 den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
3594 immer nur den Rest nach der Teilung. Um anzuzeigen, dass wir nach den
3595 Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
3596 Arithmetik rechnen, schreibt man den Modul (Sie wissen schon --- den
3597 Teiler) dazu. Man sagt dann zum Beispiel "`4 modulo 5"',
3598 schreibt aber kurz "`$4 \bmod 5$"'. 
3599
3600 Bei Modulo-5 zum Beispiel hat man dann eine Uhr, auf deren
3601 Zifferblatt es nur die 0, 1, 2, 3 und 4 gibt. Also:
3602
3603 \[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]
3604
3605 Anders ausgedrückt, ist in der Modulo-5 Arithmetik das Ergebnis
3606 aus 4 plus 3 gleich 2. Wir können also auch schreiben:
3607
3608 \[ 9 \bmod 5 + 7 \bmod 5 = 16 \bmod 5 = 1 \bmod 5 \]
3609
3610 Wir sehen auch, dass es egal ist, in welcher Reihenfolge wir
3611 vorgehen, weil wir nämlich auch schreiben können:
3612
3613 \[ 9 \bmod 5 + 7 \bmod5 = 4 \bmod 5 + 2 \bmod 5 = 6 \bmod 5 =
3614    1 \bmod 5                                                   \]
3615
3616 Denn 4 ist dasselbe wie 9, und 2 dasselbe wie 7, da wir uns ja nur für
3617 den jeweiligen Rest nach der Teilung durch 5 interessieren.  Daran
3618 wird deutlich, dass wir bei dieser Art der Arithmetik jederzeit 5 oder
3619 ein Vielfaches von 5, wie 10, 15 und so weiter nehmen können,und das
3620 Ergebnis stets dasselbe ist.
3621
3622
3623 \clearpage
3624 %% Original page 55
3625 Das funktioniert auch beim Multiplizieren (Malnehmen).
3626
3627 Ein Beispiel:
3628
3629 \[ 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod 5  \]
3630
3631 Ebenso können wir schreiben:
3632
3633 \[ 9 \bmod 5 * 7 \bmod 5 = 63 \bmod 5 = 3 \bmod 5 \]
3634
3635 da wir einfach 60, also $5 * 12$, abziehen können.
3636
3637 Man könnte aber auch schreiben:
3638
3639 \[ 9 \bmod 5 * 7 \bmod 5 = 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod
3640 5 \]
3641
3642 denn 4 entspricht 9, und 2 entspricht 7, wenn wir nur den Rest
3643 nach Teilung durch 5 betrachten.
3644
3645 Widerum stellen wir fest, dass es egal ist, wenn wir das Vielfache
3646 von 5 einfach weglassen.
3647
3648 Da dadurch alles einfacher wird, machen wir das, bevor wir
3649 Zahlen addieren oder multiplizieren. Das bedeutet, dass wir uns
3650 lediglich um die Zahlen 0, 1, 2, 3 und 4 kümmern müssen, wenn
3651 wir mit der Modulo-5 Arithmetik rechnen. Denn wir können ja
3652 alles, was durch 5 teilbar ist, weglassen.
3653 Dazu noch drei Beispiele:
3654
3655 \[ 5 \bmod 11 * 3 \bmod 11 = 15 \bmod 11 = 4 \bmod 11 \]
3656 \[ 2 \bmod 7 * 4 \bmod 7 = 1 \bmod 7                  \]
3657 \[ 13 \bmod 17 * 11 \bmod 17 = 7 \bmod 17             \]
3658
3659 Das letzte Beispiel wird klar, wenn man bedenkt, dass in normaler
3660 Arithmetik gerechnet $ 13 * 11 = 143 $ und $ 143 = 8 * 17 + 7 $ ist.
3661
3662
3663 \clearpage
3664 %% Original page 56
3665 \section{RSA-Algorithmus und Rechnen mit Restklassen}
3666
3667 Computer speichern Buchstaben als Zahlen. Alle Buchstaben und Symbole
3668 auf der Computertastatur werden in Wirklichkeit als Zahlen
3669 gespeichert, die zwischen zwischen 0 und 255 liegen.
3670
3671 Wir können also eine Nachricht auch in eine Zahlenfolge umwandeln.
3672 Nach welcher Methode (oder Algorithmus) dies geschieht, wird im
3673 nächsten Abschnitt beschrieben. Darin stellen wir Ihnen die Methode
3674 vor, nach der die Verschlüsselung mit GnuPG funktioniert: den
3675 RSA Algorithmus. Dieser Algorithmus wandelt eine Zahlenfolge (die ja
3676 eine Nachricht darstellen kann) so in eine andere Zahlenfolge um
3677 (Transformation), dass die Nachricht dabei verschlüsselt wird. Wenn
3678 man dabei nach dem richtigen Verfahren vorgeht, wird die Nachricht
3679 sicher kodiert und kann nur noch vom rechtmäßigen Empfänger dekodiert
3680 werden.  Das sind die Grundlagen des RSA Algorithmus:
3681
3682 Sie selbst haben bei der Installation von Gpg4win während der Eingabe
3683 Ihrer Passphrase zwei große Primzahlen erzeugt, ohne es zu
3684 bemerken (dieser werden mit $p$ und $q$ bezeichnet). Nur Sie --­ oder
3685 in der Praxis Ihr Computer --­ kennen diese beiden Primzahlen, und Sie
3686 müssen für ihre Geheimhaltung sorgen.
3687
3688 %% Original page 57
3689 Es werden daraus nun drei weitere Zahlen erzeugt:
3690 \begin{description}
3691 \item [Die erste Zahl] ist das Ergebnis der Multiplikation der beiden
3692   Primzahlen, also ihr Produkt.  Dieses Produkt wird als Modulus und
3693   dem Buchstaben $n$ bezeichnet.  Dies ist der Modul mit dem wir
3694   später immer rechnen werden.
3695
3696 \item [Die zweite Zahl] ist der sogenannte öffentliche Exponent und
3697   eine Zahl an die bestimmte Anforderungen gestellt werden
3698   (teilerfremd zu $(p-1)(q-1)$); sie wird mit $e$ bezeichnet. Häufig
3699   wird hier 3, 41 oder 65537 benutzt.
3700
3701 \item [Die dritte Zahl] wird errechnet aus dem öffentlichem Exponent
3702   (der zweiten Zahl) und den beiden Primzahlen. Diese Zahl ist der
3703   geheime Exponent und wird mit $d$ bezeichnet.  Die komplizierte
3704   Formel zur Berechnung lautet:
3705       \[ d = e^{-1} \bmod (p - 1)(q -1) \]
3706 \end{description}
3707
3708
3709 Die erste und die zweite Zahl werden veröffentlicht ­-- das ist Ihr
3710 öffentlicher Schlüssel.  Beide werden dazu benutzt, Nachrichten zu
3711 verschlüsseln. Die dritte Zahl muss von Ihnen geheimgehalten werden
3712 ­-- es ist Ihr geheimer Schlüssel.  Die beiden Primzahlen werden
3713 danach nicht mehr benötigt.
3714
3715 Wenn eine verschlüsselte Nachricht empfangen wird, kann sie
3716 entschlüsselt werden mit Hilfe der ersten ($n$) und der dritten Zahl
3717 ($d$).  Nur der Empfänger kennt beide Schlüsselteile ­-- seinen
3718 öffentlichen und seinen geheimen Schlüssel. Der Rest der Welt kennt
3719 nur den öffentlichen Schlüssel ($n$ und $e$).
3720
3721 Die Trick des RSA Algorithmus liegt nun darin, dass es unmöglich ist,
3722 aus dem öffentlichen Schlüsselteil ($n$ und $e$) den geheimen
3723 Schlüsselteil ($d$) zu errechnen und damit die Botschaft zu
3724 entschlüsseln --- denn: Nur wer im Besitz von $d$ ist, kann die
3725 Botschaft entschlüsseln.
3726
3727
3728 \clearpage 
3729 %% Original page 58
3730 \section{RSA Verschlüsselung mit kleinen Zahlen}
3731
3732 Wir verwenden hier erst einmal kleine Zahlen, um deutlich
3733 zu machen, wie die Methode funktioniert. In der Praxis verwendet
3734 man jedoch viel größere Primzahlen, die aus ­zig Ziffern bestehen.
3735
3736 Nehmen wir die Primzahlen 7 und 11. Damit verschlüsseln wir
3737 Zahlen ­-- oder Buchstaben, was für den Computer dasselbe ist ---
3738 nach dem RSA Algorithmus.
3739
3740 Und zwar erzeugen wir zunächst den öffentlichen Schlüssel
3741
3742 \begin{description}
3743 \item [Die erste Zahl] ist 77, nämlich das Ergebnis der Multiplikation
3744   der beiden Primzahlen, 7 und 11. 77 dient uns im weiteren Verlauf
3745   als Modulus zur Ver- und Entschlüsselung.
3746
3747 \item [Die zweite Zahl] ist der öffentliche Exponent. Wir wählen hier 13.
3748
3749 \item [Die dritte Zahl] ist der geheime Schlüssel. Sie wird in einem
3750   komplizierten Verfahren errechnet, welches wir jetzt erklären:
3751 \end{description}
3752
3753 zunächst ziehen wir von unseren Primzahlen 7 und 11 jeweils die Zahl 1
3754 ab (also $7 - 1$ und $11 - 1$) und multiplizieren die beiden
3755 resultierenden Zahlen miteinander. In unserem Beispiel ergibt das 60:
3756 $( 7 - 1 ) * ( 11 - 1) = 60$. 60 ist unsere Modulzahl für die
3757 weiterführende Berechnung des geheimen Schlüssels (sie ist aber nicht
3758 mit dem eigentlichen Modulus 77 zu verwechseln).
3759
3760 Wir suchen jetzt eine Zahl, die multipliziert mit dem öffentlichen
3761 Schlüssel die Zahl 1 ergibt, wenn man mit dem Modul 60 rechnet:
3762
3763 \[ 13 \bmod 60 *~?~\bmod 60 = 1 \bmod 60 \]
3764
3765 Die einzige Zahl, die diese Bedingung erfüllt, ist 37, denn
3766
3767 \[ 13 \bmod 60 * 37 \bmod 60 = 481 \bmod 60 = 1 \bmod 60 \]
3768
3769 37 ist die einzige Zahl, die multipliziert mit 13 die Zahl 1 ergibt,
3770 wenn man mit dem Modul 60 rechnet.
3771
3772
3773
3774 \clearpage
3775 %% Original page  59
3776 \subsubsection{Wir verschlüsseln mit dem öffentlichen Schlüssel eine Nachricht}
3777
3778 Nun zerlegen wir die Nachricht in eine Folge von Zahlen zwischen 0 und
3779 76, also 77 Zahlen, denn sowohl Verschlüsselung als auch
3780 Entschlüsselung verwenden den Modul 77 (das Produkt aus den Primzahlen
3781 7 und 11).
3782
3783 Jede einzelne dieser Zahlen wird nun nach der Modulo-77 Arithmetik 13
3784 mal mit sich selbst multipliziert. Sie erinnern sich: die 13 ist ja
3785 unser öffentlicher Schlüssel.
3786
3787 Nehmen wir ein Beispiel mit der Zahl 2: sie wird in die Zahl 30
3788 umgewandelt, weil
3789  $ 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2
3790  = 8192 = 30 \bmod 77 $ sind.
3791
3792  Ein weiteres Beispiel: 75 wird in die Zahl 47 umgewandelt, denn 75
3793  wird 13 mal mit sich selbst multipliziert und durch 77 geteilt, so
3794  dass der Rest 47 entsteht.
3795
3796 Wenn man eine solche Rechnung für alle Zahlen zwischen 0 und 76
3797 durchführt und die Ergebnisse in eine Tabelle einsetzt, sieht diese so
3798 aus:
3799
3800 In der linken Spalte stehen die 10er-Stellen, in der oberen Zeile die
3801 1er-Stellen.
3802
3803 % FIXME: Replace the table by a LaTeX table and use realistc examples
3804 % e.g. from the HAC.
3805 \IncludeImage[width=0.9\textwidth]{table-1}
3806
3807 \clearpage
3808 %% Original page 60
3809 \subsubsection{Wir entschlüsseln eine Nachricht mit dem privaten Schlüssel}
3810
3811 Um das Beispiel mit der 2 von oben umzukehren, also die Nachricht zu
3812 dekodieren, multiplizieren wir 30 (die umgewandelte 2) unter
3813 Verwendung der Modulzahl 77 37 mal mit sich selbst.  Sie erinnern
3814 sich: 37 ist der geheime Schlüssel.
3815
3816 Diese wiederholte Multiplikation ergibt eine Zahl die $2 \bmod 77$
3817 ergibt. Das andere Beispiel: die Zahl $47 \bmod 77$ wird zur Zahl $75
3818 \bmod 77$ dekodiert.
3819
3820 Tabelle 2 zeigt die genaue Zuordnung der 77 Zahlen zwischen 0 und 76.
3821
3822 \IncludeImage[width=0.9\textwidth]{table-2}
3823 %\caption{Tabelle 2: Zahlentransformation modulo77, unter Verwendung
3824 %des geheimen Schlüssels 37}
3825
3826 Um eine Zahl mit Tabelle 2 zu transformieren, gehen wir nach der
3827 gleichen Methode vor wie bei Tabelle 1. Ein Beispiel: 60 wird
3828 transformiert in die Zahl in Zeile 60 und Spalte 0. Also wird 60 zu 25
3829 transformiert.
3830
3831 Das überrascht nicht, denn wenn wir davon ausgehen, dass wir bei der
3832 Umwandlung von 25 mit Hilfe von Tabelle 1 als Ergebnis 60 erhalten,
3833 dann sollten wir auch bei der Transformation von 60 mit Hilfe von
3834 Tabelle 2 zum Ergebnis 25 gelangen. Dabei haben wir den öffentlichen
3835 Schlüssel, 13, zur Umwandlung bzw.  Kodierung einer Zahl verwendet,
3836 und den geheimen Schlüssel 37, um sie zurückzuwandeln bzw. zu
3837 dekodieren. Sowohl für die Verschlüsselung als auch für die
3838 Entschlüsselung haben wir uns der Modulo-77 Arithmetik bedient.
3839
3840 \clearpage
3841 %% Original page 61
3842 \subsubsection{Zusammenfassung}
3843
3844 Wir haben\ldots
3845 \begin{itemize}
3846 \item durch den Computer zwei zufällige Primzahlen erzeugen lassen;
3847
3848 \item daraus das Produkt und den öffentlichen und den geheimen Subkey
3849   gebildet;
3850
3851 \item gezeigt, wie man mit dem öffentlichen Schlüssel Nachrichten
3852   verschlüsselt;
3853
3854 \item gezeigt, wie man mit dem geheimen Schlüssel Nachrichten
3855   entschlüsselt.
3856 \end{itemize}
3857
3858 Diese beiden Primzahlen können so groß gewählt werden, dass es
3859 unmöglich ist, sie einzig aus dem öffentlich bekannt gemachten Produkt
3860 zu ermitteln. Das begründet die Sicherheit des RSA Algorithmus.
3861
3862 Wir haben gesehen, dass die Rechnerei sogar in diesem einfachen
3863 Beispiel recht kompliziert geworden ist. In diesem Fall hat die
3864 Person, die den Schlüssel öffentlich gemacht hat, die Zahlen 77 und 13
3865 als öffentlichen Schlüssel bekanntgegeben.  Damit kann jedermann dieser
3866 Person mit der oben beschriebenen Methode --­ wie im Beispiel der
3867 Tabelle 1 --­ eine verschlüsselte Zahl oder Zahlenfolge schicken. Der
3868 rechtmäßige Empfänger der verschlüsselten Zahlenfolge kann diese dann
3869 mit Hilfe der Zahl 77 und dem geheimen Schlüssel 37 dekodieren.
3870
3871 %% Original page 62
3872 In diesem einfachen Beispiel ist die Verschlüsselung natürlich nicht
3873 sonderlich sicher. Es ist klar, dass 77 das Produkt aus 7 und 11 ist.
3874
3875 Folglich kann man den Code in diesem einfachen Beispiel leicht
3876 knacken. Der scharfsinnige Leser wird auch bemerkt haben, dass etliche
3877 Zahlen, zum Beispiel die Zahl 11 und ihr Vielfaches (also 22, 33 etc.)
3878 und die benachbarten Zahlen sich in sich selbst umwandeln.
3879
3880 \IncludeImage[width=0.9\textwidth]{table-3}
3881
3882 \clearpage
3883
3884 Das erscheint als ein weiterer Schwachpunkt dieser
3885 Verschlüsselungsmethode: man könnte annehmen, dass die Sicherheit des
3886 Algorithmus dadurch beeinträchtigt würde.  Doch stellen Sie sich nun
3887 vor, das Produkt zweier grosser Primzahlen, die auf absolut
3888 willkürliche Art und Weise gewählt werden, ergäbe
3889
3890 114,381,625,757,888,867,669,235,779,976,146,612,010,\\
3891 218,296,721,242,362,562,561,842,935,706,935,245,733,\\
3892 897,830,597,123,563,958,705,058,989,075,147,599,290,\\
3893 026,879,543,541
3894
3895 %% Original page 63
3896 Hier ist überhaupt nicht mehr ersichtlich, welche die beiden zugrunde
3897 liegenden Primzahlen sind. Folglich ist es sehr schwierig, aufgrund
3898 des öffentlichen Schlüssels den geheimen Schlüssel zu ermitteln.
3899 Selbst den schnellsten Computern der Welt würde es gewaltige Probleme
3900 bereiten, die beiden Primzahlen zu errechnen.
3901
3902 Man muss die Primzahlen also nur groß genug wählen, damit ihre
3903 Berechnung aus dem Produkt so lange dauert, dass alle bekannten
3904 Methoden daran in der Praxis scheitern.  Außerdem nimmt der Anteil der
3905 Zahlen, die in sich selbst transformiert werden --­ wie wir sie oben
3906 in den Tabellen 1 und 2 gefunden haben --- stetig ab, je größer die
3907 Primzahlen werden.  Von Primzahlen in der Grössenordnung, die wir in der
3908 Praxis bei der Verschlüsselung verwenden, ist dieser Teil ist so
3909 klein, dass der RSA Algorithmus davon in keiner Weise beeinträchtigt
3910 wird.
3911
3912 Je größer die Primzahlen, desto sicherer die Verschlüsselung.
3913 Trotzdem kann ein normaler PC ohne weiteres das Produkt aus den beiden
3914 großem Primzahlen bilden. Kein Rechner der Welt dagegen kann aus
3915 diesem Produkt wieder die ursprünglichen Primzahlen herausrechnen --­
3916 jedenfalls nicht in vertretbarer Zeit.
3917
3918
3919 \clearpage
3920 %% Original page 64
3921 \section{Die Darstellung mit verschiedenen Basiszahlen}
3922
3923 Um zu verstehen, wie Nachrichten verschlüsselt werden, sollte man
3924 wissen, wie ein Computer Zahlen speichert und vor allem, wie sie in
3925 unterschiedlichen Zahlenbasen dargestellt werden können.
3926
3927 Dazu machen wir uns zunächst mit den Zahlenpotenzen vertraut.
3928                                  
3929 Zwei hoch eins, das man als $2^1$ darstellt, ist gleich 2;
3930 zwei hoch drei, dargestellt als $2^3$, ist $2 * 2 * 2 = 8$; zwei
3931 hoch zehn, dargestellt als $2^{10}$, ist $2*2*2*2*2*2*2*2*2*2 = 1024$.
3932
3933 Jede Zahl hoch 0 ist gleich 1, zum Beispiel $2^0 = 1$ und $5^0 = 1$.
3934 Verallgemeinert bedeutet dies, dass eine potenzierte Zahl so oft mit
3935 sich selbst multipliziert wird, wie es die Hochzahl (Potenz) angibt.
3936
3937 Das Konzept einer Zahlenbasis veranschaulicht zum Beispiel ein
3938 Kilometerzähler im Auto: das rechte Rad zählt nach jedem
3939 Kilometer eine Stelle weiter und zwar nach der vertrauten Abfolge
3940 der Zahlen
3941
3942 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 0, 1, 2
3943
3944 und so weiter. Jedesmal, wenn das rechte Rad wieder 0 erreicht, zählt
3945 das Rad links davon eine Stelle hoch. Und jedesmal, wenn dieses zweite
3946 Rad die 0 erreicht, erhöht das Rad links davon um eins \ldots und so
3947 weiter.
3948
3949 %% Original page 65
3950
3951 \begin{center}
3952 \IncludeImage[width=0.4\textwidth]{mileage-indicator}
3953 \end{center}
3954
3955 Das rechte Rad zählt die einzelnen Kilometer. Wenn es eine 8
3956 angezeigt, dann sind dies 8 Kilometer. Das Rad links davon zeigt
3957 jeweils die vollen zehn Kilometer an: eine 5 bedeutet 50 Kilometer.
3958 Dann folgen die Hunderter: steht dort 7, dann bedeutet dies 700
3959 Kilometer.
3960
3961 Nach dem gleichen Prinzip stellen wir ja auch unsere normale Zahlen
3962 mit den Ziffern 0 bis 9 dar.
3963
3964 "`578"', zum Beispiel, bedeutet $5 * 100 + 7 * 10 + 8$, und dies
3965 entspricht 578.
3966
3967 Hier haben wir die "`5"' stellvertretend für fünfhundert, "`7"' für
3968 siebzig und "`8"' für acht. In diesem Fall ist die Basis 10, eine für
3969 uns vertraute Basis.
3970
3971 Also steht die rechte Ziffer für die Einer der betreffenden Zahl (d.h.
3972 sie wird mit 1 multipliziert), die Ziffer links davon steht für die
3973 Zehner (d.h. wird mit 10 multipliziert), die nächste Ziffer wiederum
3974 für die Hunderter (d.h. sie wird mit 100 multipliziert) und so weiter.
3975 Da wir Zahlen normalerweise zur Basis 10 darstellen, machen wir uns
3976 nicht die Mühe, die Basis extra anzugeben. Formal würde man dies bei
3977 der Zahl 55 mit der Schreibweise $55_{10}$ anzeigen, wobei die
3978 tiefgestellte Zahl die Basis anzeigt.
3979
3980 Wenn wir nicht zur Basis 10 darstellen, so müssen wir dies mit Hilfe
3981 einer solchen tiefgestellten Basiszahl anzeigen.
3982
3983
3984 %% Original page 66
3985 Angenommen, die Anzeige des Kilometerzählers hätte statt der Ziffern 0
3986 bis 9 nur noch 0 bis 7. Das rechte Rädchen würde nach jedem Kilometer
3987 um eine Ziffer höher zählen, wobei die Zahlenfolge so aussehen würde:
3988
3989 \[ 0, 1, 2, 3, 4, 5, 6, 7, 0, 1, 2, und so weiter. \]
3990
3991 Unser Tacho zur Basis 8 stellt zum Beispiel folgende Zahl dar:
3992
3993 \[ 356 \]
3994
3995 Die 6 auf dem rechte Rädchen zählt einzelne Kilometer, also 6
3996 Kilometer.\\
3997 Die 5 auf dem Rädchen daneben für $5 * 8$, also 40 Kilometer.\\
3998 Die 3 links steht für je 64 Kilometer pro Umdrehung, also hier
3999 $3 * 8 * 8$ Kilometer.
4000
4001 So rechnet man also mit Zahlen zur Basis 8. Ein Beispiel: 728 bedeutet
4002 $7 * 8 + 2$, und das ist gleich "`58"'. Bei dieser Art der Darstellung
4003 steht die "`2"' aus der 72 für 2, aber die "`7"' steht für $7 * 8$.
4004
4005 Größere Zahlen werden schrittweise genauso aufgebaut, so dass
4006 $453_8$ eigentlich $4 * 64 + 5 * 8 + 3$ bedeutet, was 299 ergibt.
4007
4008 Bei $453_8$ steht die "`3"' für 3, die "`5"' für $5 * 8$ und die "`4"'
4009 für $4 * 64$, wobei sich die "`64"' wiederum aus $8 * 8$ herleitet.
4010
4011 Im angeführten Beispiel werden die Ziffern, von rechts nach links
4012 gehend, mit aufsteigenden Potenzen von 8 multipliziert. Die rechte
4013 Ziffer wird mit 8 hoch 0 (das ist 1) multipliziert, die links daneben
4014 mit 8 hoch 1 (das ist 8), die nächste links davon mit
4015 8 hoch 2 (das ist 64) und so weiter.\\
4016 Wenn man Zahlen zur Basis 10 darstellt, gibt es keine höhere Ziffer
4017 als 9 (also 10 minus 1). Wir verfügen also über keine Ziffer, die 10
4018 oder eine größere Zahl darstellt. Um 10 darzustellen, brauchen wir
4019 zwei Ziffern, mit denen wir dann die "`10"' schreiben können.\\
4020 Wir haben also nur die Ziffern 0 bis 9.
4021
4022 So ähnlich ist es, wenn wir mit
4023 der Basiszahl 8 rechnen: dann haben wir nur die Ziffern 0 bis 7.
4024 Wollen wir zu dieser Basis eine höhere Zahl als sieben darstellen,
4025 müssen wir wieder zwei Ziffern verwenden. Zum Beispiel "`9"' schreibt
4026 man als $11_8$, "`73"' schreibt man als $111_8$.
4027
4028
4029 \clearpage
4030 %% Original page 67
4031
4032 Computer speichern Zahlen als eine Folge von Nullen und Einsen.
4033 Man nennt dies Binärsystem oder Rechnen mit der Basiszahl 2,
4034 weil wir nur die Ziffern 0 und 1 verwenden. Stellen Sie sich vor,
4035 wir würden die Kilometer mit einem Tachometer zählen, auf
4036 dessen Rädchen sich nur zwei Ziffern befinden: 0 und 1.
4037 Die Zahl $10101_2$ zum Beispiel bedeutet im Binärsystem
4038
4039 \[ 1 * 16 + 0 * 8 + 1 * 4 + 0 * 2 + 1 = 21 \].
4040
4041 In der Computerei verwendet man auch Gruppen von acht Binärziffern,
4042 das wohlbekannte Byte. Ein Byte kann Werte zwischen 0 - dargestellt
4043 als Byte $00000000_2$ --- und 255 --- dargestellt als Byte
4044 $11111111_2$ --- annehmen. Ein Byte stellt also Zahlen zur Basis 256
4045 dar.
4046
4047 Zwei weitere Beispiele:
4048
4049 \[ 10101010_2 = 170 \] und
4050 \[ 00000101_2 = 5 \].
4051
4052 Da der Computer die Buchstaben, Ziffern und Satzzeichen als Bytes
4053 speichert, schauen wir uns an, welche Rolle dabei die Darstellung zur
4054 Basis 256 spielt.
4055
4056
4057 \clearpage
4058 %% Original page 68