Added screenshots. Corrected wordpad-screen.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5 \usepackage{hyperlatex}
6 \usepackage{a4wide}
7 \usepackage{times}
8 \usepackage[latin1]{inputenc}
9 \usepackage[T1]{fontenc}
10 \usepackage{german}
11 \usepackage{graphicx}
12 \usepackage{alltt}
13 \usepackage{moreverb}
14 \usepackage{fancyhdr}
15 \W\usepackage{rhxpanel}
16 \W\usepackage{sequential}
17
18
19 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
20
21
22 % Hyperref should be among the last packages loaded
23 \usepackage{hyperref}
24
25 % Macros specific to this package
26 \input{macros.tex}
27 \newcommand{\manualversion}{\manualversionEinsteiger}
28 \newcommand{\manualdate}{\manualdateEinsteiger}
29 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
30
31
32 \T\fancyhead{} % clear all fields
33 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \manualversion \manualinprogress \\ 
34     \itshape\nouppercase{\leftmark}}
35 \T\fancyhead[RO,LE]{\thepage}
36 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
37
38
39 % Title stuff 
40 \htmltitle{Gpg4win Kompendium}
41 %\htmladdress{Gpg4win Project, \today}
42 \title{
43 \IncludeImage[width=8cm]{gpg4win-logo}
44 \\
45 Das Gpg4win Kompendium}
46
47 \author{\htmlonly{\xml{p}\small
48 \xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
49 Zu \xlink{Gpg4win für Durchblicker}{durchblicker.html}\xml{br}
50 Zu \xlink{Englische Version dieses Handbuchs}{novices.html}\xml{br}
51 Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
52 }%
53 Eine Veröffentlichung des Gpg4win Projekts\\
54   \small Basierend auf einem Original von 
55 \T\\
56   \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
57 \T\\
58   \small Dr. Francis Wray und Ute Bahn.
59 \T\\ \
60   \small Überarbeitet von
61 \T\\
62   \small Werner Koch}
63 \date{Version \manualversion\ vom \manualdate\ \manualinprogress}
64
65
66 \begin{document}
67 \thispagestyle{empty}
68 \pagestyle{fancy}
69 \T\parindent0cm
70 \T\parskip\medskipamount
71
72
73 \maketitle
74
75
76 \section*{Impressum}
77 \noindent
78 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
79 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
80 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
81 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
82 werden.}\\
83 Copyright \copyright{} 2005 g10 Code GmbH\\
84 Permission is granted to copy, distribute and/or modify this document
85 under the terms of the GNU Free Documentation License, Version 1.2 or
86 any later version published by the Free Software Foundation; with no
87 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
88 copy of the license is included in the section entitled "`GNU Free
89 Documentation License"'.
90
91 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
92 oben stehenden Hinweises.]}\\
93 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
94 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
95 Documentation License, Version 1.2 oder einer späteren, von der Free
96 Software Foundation veröffentlichten Version.  Es gibt keine
97 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
98 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
99 License"' findet sich im Anhang mit dem gleichnamigen Titel.
100 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
101 http://www.gnu.org/licenses/translations.html.
102
103 %%\htmlonly{Die aktuelle PDF Version dieses Dokuments finden sie unter
104 %%\xlink{\EinsteigerPDFURL}{\EinsteigerPDFURL}.}
105
106 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
107 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
108 sondern für jedermann.
109
110
111
112 \clearpage %% End of original page 4.
113
114 \tableofcontents
115
116 %%\clearpage
117 %% Orginal page  6
118 %% We don't use these foreword anymore because Mr. Müller is not
119 %% anymore minister of economic and technology.  We might want to ask
120 %% for a new foreword by the current head of that ministr
121 %%
122
123 \clearpage
124 %% Orginal page 7
125 \chapter*{Über dieses Handbuch}
126 \T\addcontentsline{toc}{chapter}{Über dieses Handbuch}
127
128
129 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
130
131 \begin{itemize}
132
133 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
134     Schnelleinstieg in Gpg4win.
135
136 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
137     Das Hintergrundwissen für Gpg4win.
138
139 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
140   Entschlüsselung so oft üben können, wie Sie wollen.
141 \end{itemize}
142
143
144 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
145 und knapp durch die Installation
146 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
147 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
148 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
149 etwa eine halbe Stunde Zeit nehmen.
150
151 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
152 liefert Hintergrundwissen, das Ihnen die
153 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
154 seltener benutzten Fähigkeiten erläutert.
155
156 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
157 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
158 der angegebenen Reihenfolge lesen.
159
160
161 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
162 Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
163 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
164 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
165 Gebrauch der Software vertraut gemacht haben.
166
167 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
168 läuft dort noch immer. "`Gpg4win für Einsteiger"' verwendet diesen
169 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
170 für den Betrieb von Adele.
171
172
173
174
175
176 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
177 % Part I
178
179 \clearpage
180 \part{Einsteiger}
181 \label{part:Einsteiger}
182 \addtocontents{toc}{\protect\vspace{0.3cm}}
183
184 %% Orginal page 8
185 \chapter{Was ist Gpg4win?}
186
187 \textbf{Das Projekt Gpg4win (GNU Privacy Guard for Windows) ist eine vom
188 Bundesamt für Sicherheit in der Informationstechnik beauftragte
189 \Email{}-Verschlüsselungssoftware. Gpg4win bezeichnet ein Gesamtpaket,
190 welches die folgenden Programme umfasst:}
191
192 \begin{description}
193     \item[GnuPG:] GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
194     \item[Kleopatra:] Die zentrale Zertifkatsverwaltung von Gpg4win.
195         Unterstützt OpenPGP und X.509\linebreak (S/MIME) und bietet
196         eine einheitliche Benutzerführung für alle
197         Krypto-Opertationen.
198     \item[GpgOL:] GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
199         Outlook 2003, die verwendet wird um Nachrichten mit OpenPGP
200         oder S/MIME zu verschlüsseln.
201     \item[GpgEX:] GPG Shell Extension (GpgEX) ist eine Erweiterung für
202         den Windows Explorer, die es ermöglicht, Dateien über das
203         Kontextmenü zu verschlüsseln.
204     \item[GPA:] Der GNU Privacy Assistent (GPA) ist ein Programm zum
205         Verwalten von Schlüsseln welches für mehrere Plattformen
206         verfügbar ist.
207     \item[Claws Mail:] Claws Mail ist ein vollständiges
208         \Email{}-Programm mit sehr guter Unterstützug für GnuPG.
209 GnuPG-Bedienung.
210 \end{description}
211
212
213 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
214 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln. GnuPG
215 kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
216 von GnuPG eingesetzte Verschlüsselungstechnologie ist sehr
217 sicher und kann nach dem heutigen
218 Stand von Forschung und Technik nicht gebrochen werden.
219
220 GnuPG ist Freie Software\footnote{oft ungenau auch als Open Source
221 Software bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
222 nach Belieben kommerziell oder privat zu nutzen.  Jedermann darf den
223 Quellcode, also die eigentliche Programmierung des Programms, genau
224 untersuchen und auch selbst Änderungen durchführen und diese
225 weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
226 ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
227 durchführen da hierdurch die Sicherheit der Software beeinträchtigt
228 werden kann.}
229
230 Für eine Sicherheits-Software ist diese garantierte Transparenz des
231 Quellcodes eine unverzichtbare Grundlage. Nur so läßt sich die
232 Vertrauenswürdigkeit eines Programmes prüfen.
233
234 GnuPG basiert auf dem internationalen Standard OpenPGP (RFC 2440), ist
235 vollständig kompatibel zu PGP und benutzt die gleiche Infrastruktur
236 (Schlüsselserver etc.). Seit Version 2 von GnuPG wird auch der
237 kryptographische Standard S/MIME (CMS/RFC 3852 bzw. X.509)
238 unterstützt.
239
240 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
241 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
242 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
243 mehr dem Stand der Technik.
244
245 Weitere Informationen zu GnuPG und den Projekten der Bundesregierung
246 zum Schutz des Internets finden Sie auf der Website
247 \W\xlink{www.bsi-fuer-buerger.de}{http://www.bsi-fuer-buerger.de}
248 \T\href{http://www.bsi-fuer-buerger.de}{www.bsi-fuer-buerger.de}
249 des Bundesamtes für Sicherheit in der Informationstechnik.
250
251
252 \clearpage
253 %% Original page 6
254 \chapter{Warum überhaupt verschlüsseln?}
255 \label{ch:why}
256
257 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
258 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
259 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
260 Verschlüsselung nunmehr für jedermann frei und kostenlos
261 zugänglich\ldots
262
263 \begin{center}
264 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
265 \end{center}
266
267 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
268 um rund um den Globus miteinander zu kommunizieren und uns zu
269 informieren. Aber Rechte und Freiheiten, die in anderen
270 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
271 den neuen Technologien erst sichern. Das Internet ist so schnell und
272 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
273 noch nicht so recht nachgekommen sind.
274
275
276 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
277 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
278 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
279 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
280 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
281 Postkarte, die auch der Briefträger oder andere lesen können.
282
283
284 \clearpage
285 %% Original page 7
286
287 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
288 man selbst und niemand sonst.
289
290 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
291 \Email{} ist immer offen wie eine Postkarte, und der elektronische
292 "`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
293 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
294 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
295 zu verteilen, sondern auch, sie zu kontrollieren.
296
297 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
298 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
299 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
300 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
301 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
302 schon im großen Stil mit Ihrer und meiner \Email{}
303 geschieht.\footnote{Hier sei nur an das \xlink{Echelon
304     System}{\EchelonUrl} erinnert%
305 \T; siehe \href{\EchelonUrl}{\EchelonUrl}%
306 .}.
307
308 Denn: der Umschlag fehlt.
309
310 \begin{center}
311 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
312 \end{center}
313
314 \clearpage
315 %% Original page 8
316
317 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
318 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
319 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
320 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
321 für wichtig und schützenswert halten oder nicht.
322
323 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
324 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
325 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen -- Sie müssen ja auch
326 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
327
328 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
329 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
330 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
331 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
332 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
333 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
334 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
335 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
336 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
337 praktikable und sichere Software angesehen.
338
339 Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer Hand,
340 denn Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
341 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
342 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
343 und die wir im Folgenden besprechen:
344
345
346 \clearpage
347 %% Orginal page 9
348 \chapter{Sie installieren Gpg4win}
349
350 Sollte bereits eine GnuPG basierte Anwendung, wie z.B. Kleopatra, 
351 GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
352 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
353 wie Sie Ihre vorhandenen Schlüssel übernehmen können.
354
355 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
356
357 Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs
358 und melden Sie sich als Administrator an.  Öffnen Sie
359 Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM- Icon mit
360 dem Titel "`Gpg4win"'. Wenn sich das CD-ROM-Icon geöffnet hat, klicken
361 Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
362
363 Haben Sie Gpg4win aus dem Internet heruntergeladen, so klicken Sie
364 bitte auf diese neu abgespeicherte Datei, die den Namen
365 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
366 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
367 einer vertrauenswürdigen Seite erhalten haben.
368
369 Die weitere Installation ist dann identisch:
370
371 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
372 mit \Button{Ja}.
373
374 Es begrüßt Sie dieser Screen:
375
376 \T\enlargethispage{2\baselineskip}
377 % screenshot:  Welcome Seite Installer
378 \begin{center}
379 \IncludeImage{sc-inst-welcome}
380 \end{center}
381
382 Beenden Sie alle möglicherweise auf Ihrem Rechner laufenden Programme,
383 und klicken Sie dann auf \Button{Weiter}.
384
385 \clearpage
386 %% Orginal page 10
387
388 Auf der Seite mit dem Lizenzabkommen, können Sie Informationen zu den
389 Lizenzen dieser Software lesen. 
390
391 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
392 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
393 zu lesen.  
394
395 Geben Sie allerdings diese Software weiter oder wollen Sie sie
396 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
397 machen.  
398
399 % Screenshot Lizenzseite des Installers
400 \begin{center}
401 \IncludeImage{sc-inst-license}
402 \end{center}
403
404
405 Klicken Sie auf \Button{Weiter}.
406
407
408 \clearpage
409 %% New page (not in original document)
410
411 Auf der Seite mit der Komponentenauswahl können
412 Sie entscheiden, welche Programme Sie installieren
413 möchten.
414
415 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
416 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
417 Entscheidung hilft.
418
419 Die Anzeige des benötigen Speichers auf der Festplatte
420 hilft Ihnen vielleicht ebenfalls weiter.
421
422 % sreenshot Auswahl zu installierender Komponenten
423 \begin{center}
424 \IncludeImage{sc-inst-components}
425 \end{center}
426
427 Sinnvoll ist es, mindestens GnuPG, Kleopatra und die Handbücher
428 zu installieren. Den Rest können Sie bei Bedarf auch später installieren.
429
430 Klicken Sie auf \Button{Weiter}.
431
432
433 \clearpage
434 %% Original page 11
435
436 In der nun folgenden Dateiauswahl können Sie einen Ordner auf Ihrem PC
437 aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
438 Normalfall den voreingestellten Ordner\\
439 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
440 übernehmen.
441
442 % screenshot: Auswahl des Installationsverzeichnis.
443 \begin{center}
444 \IncludeImage{sc-inst-directory}
445 \end{center}
446
447 Klicken Sie anschließend auf \Button{Weiter}.
448
449 \clearpage
450
451 Auf der folgenden Seite können Sie festlegen, welche Verknüpfungen
452 installiert werden.  Voreingestellt ist lediglich eine Verknüpfung mit
453 dem Startmenü.  Bitte beachten Sie, daß sie diese Verknüpfungen auch
454 jederzeit später mit den Bordmitteln von Windows verändern können.
455
456 % screenshot: Auswahl des Links
457 \begin{center}
458 \IncludeImage{sc-inst-options}
459 \end{center}
460
461 Klicken Sie anschließend auf \Button{Weiter}.
462
463 \clearpage
464 %% Original page 12
465
466 Falls Sie auf der vorhergehenden Seite eine Verknüpfung mit dem
467 Startmenü ausgewählt haben (dies ist die Voreinstellung), so wird
468 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
469 Startmenüs auswählen können.
470
471 % screenshot:  Startmenu auswählen
472 \begin{center}
473 \IncludeImage{sc-inst-startmenu}
474 \end{center}
475
476 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
477 klicken dann auf \Button{Installieren}.
478
479 \clearpage
480
481 Während der nun folgenden Installation sehen Sie einen
482 Fortschrittsbalken und Informationen, welche Datei momentan
483 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen} drücken
484 um ein Protokoll der Installation sichtbar zu machen.
485
486 % Screenshot: Ready page Installer
487 \begin{center}
488 \IncludeImage{sc-inst-ready}
489 \end{center}
490
491 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
492 \Button{Weiter}.
493
494 \clearpage
495 %% Original page 13
496
497 Die letzte Seite des Installationsvorgangs wird nun angezeigt:
498
499 % Screenshot: Finish page Installer
500 \begin{center}
501 \IncludeImage{sc-inst-finished} 
502 \end{center}
503
504 Klicken Sie auf \Button{Fertig stellen}.
505
506 \clearpage
507
508 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
509 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
510
511 % Screenshot: Finish page Installer with reboot
512 \begin{center}
513 \IncludeImage{sc-inst-finished2}
514 \end{center}
515
516 Sie können hier auswählen, ob Windows sofort neu gestartet werden
517 soll oder später manuell. 
518
519 Klicken Sie hier auch auf \Button{Fertig stellen}.
520
521
522 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
523 % Outlook ausschaltet.
524
525 \clearpage
526 %% Original page 14
527
528 \textbf{Das war's schon!}
529
530 Sie haben Gpg4win installiert und können es gleich zum ersten Mal
531 starten.
532
533 Vorher sollten Sie aber im Handbuch "`Gpg4win für Durchblicker"'
534 (PDF-Datei) die Kapitel 3 und 4 lesen. Wir erklären dort den genialen
535 Trick, mit dem Gpg4win Ihre \Email{}s sicher und bequem verschlüsselt.
536 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
537 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
538 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
539 vor sich geht.
540
541 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
542
543 Weiter geben wir Ihnen dort einige Tipps, mit denen Sie sich einen sicheren
544 und trotzdem leicht zu merkenden Passphrase ausdenken können.
545
546 \textbf{Bevor Sie weiterlesen und im Kapitel~\ref{ch:CreateKeyPair} mit
547 der Schlüsselpaarerzeugung beginnen, ist es wichtig zu verstehen, wie
548 Gpg4win funktioniert und warum die Passphrase dabei so bedeutend ist.
549 Lesen Sie dazu bitte jetzt die Kapitel~\ref{ch:FunctionOfGpg4win} und
550 \ref{ch:passphrase}.}
551
552 \textbf{Für Informationen zur automatischen Installation von Gpg4win (wie sie
553 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
554 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
555 weiter.}
556
557 \clearpage
558 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
559 \label{ch:openpgpsmime}
560
561 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
562 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
563 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
564 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
565
566 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Daten-Übertragung
567 sind 2 Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
568 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
569 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
570
571 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
572 und zwar das Public-Key-Verfahren. Was heisst das?
573
574 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
575 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
576 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
577 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
578 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
579 \textbf{"`Geheimer Schlüssel"'}).
580
581 Klingt zwar komisch wann man an echte Schlösser denkt, aber bei
582 Software löst diese Idee das Problem, dass ich meinen Schlüssel
583 für jeden Empfänger aus der Hand geben müsste.
584 Denn normalerweise muss der Schlüssel zum Verschlüsseln/Abschließen auch
585 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also muss ich Ihnen,
586 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
587 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
588 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
589 grosses Problem.
590
591 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
592 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
593 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
594 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
595 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
596 würde.
597
598 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
599 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung (vgl.
600 Kapitel~\ref{ch:CreateKeyPair}).
601
602 \textbf{Falls Sie sich fragen, wie das Public-Key-Verfahren so funktionieren kann, und
603 warum das sicher ist, lesen Sie jetzt die Kapitel~\ref{ch:themath} und
604 \ref{ch:secretGnupg}.}
605
606 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
607 Geheimnisse verstehen. Viel Spaß beim Entdecken.
608
609 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
610
611 Der wesentlichste \textbf{Unterschied zwischen OpenPGP und S/MIME} liegt
612 im Bereich der Authentifizierung.
613 Um die Authentizität des Absenders festzustellen, ist bei S/MIME
614 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
615 unzweifelhaft beglaubigt.
616 Das heisst, dass ich meinen Schlüssel von einer dazu
617 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
618 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
619 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
620 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
621 man hierarchisches Vertrauenskonzept. Zumeist ist die Kette nur 3 Elemente
622 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
623 Wurzel zertifiziert CA, CA zertifiziert Anwender.
624
625 Im Gegensatz dazu erlaubt OpenPGP neben dieser baumartigen Zertifizierung
626 zusätzlich auch eine direkte "`\textbf{peer-to-peer}"' Zertifizierung (Anwender A zertfiziert
627 Anwender B, B zertifiziert A und C usw.) und macht damit
628 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
629 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
630 also die Möglichkeit, ohne eine Zertifizierung einer höheren Stelle verschlüsselte Daten und
631 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
632 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
633
634 \textbf{Nähere Informationen zu Authentifizierungswegen wie zum Beispiel
635 Web-of-Trust finden Sie im Kapitel~\ref{ch:FunctionOfGpg4win}.}
636 %TODO#: Verweis korrekt? Nichts über web-of-trust. Verweis kam oben
637 %schon einmal.
638
639
640 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
641 ~\\
642 Zusammengefasst bedeutet das für Sie:
643 \begin{itemize}
644 \item sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
645  bieten,
646 \item aber Sie sind \textbf{nicht kompatibel} miteinander, so dass die geheime
647         Kommunikation und die Authentifizierung nicht interoperabel sind.
648 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
649 \textbf{ parallele } Nutzung beider Systeme.
650 \end{itemize}
651
652 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
653 Sorgen, in den folgenden Kapiteln wird jeder Schritt von der Installation bis
654 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
655 mit S/MIME detailliert erklärt. Außerdem weisen Sie besondere Symbole für OpenPGP und S/MIME auf
656 Erklärungen zu den verschiedenen Konzepten hin, so dass immer sofort ersichtlich ist,
657 zu welchem Konzept welche Erklärung gehört.
658
659 \begin{center}
660 \IncludeImage{openpgp-icon}
661 \IncludeImage{smime-icon}
662 \end{center}
663
664 \clearpage
665 %% Original page 15
666 \chapter{Sie erzeugen Ihr Schlüsselpaar}
667 \label{ch:CreateKeyPair}
668
669 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
670 (Kapitel \ref{ch:themath}, Seite \pageref{ch:themath})
671 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
672 entsteht (Kapitel \ref{ch:passphrase}, Seite \pageref{ch:passphrase}),
673 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
674
675 Ein Schlüsselpaar besteht, wie wir im letzten Kapitel gelernt haben,
676 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
677 Das gilt sowohl für OpenPGP wie auch für S/MIME (X.509).
678
679 ~\\
680 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
681 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
682
683 Genau das können Sie tun - und zwar für OpenPGP:
684
685 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
686 Sie können den gesamten Ablauf der Schlüsselerzeugung,
687 Verschlüsselung und Entschlüsselung durchspielen,
688 so oft Sie wollen, bis Sie ganz sicher sind.
689
690 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
691 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
692 Problem mehr sein.
693
694 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
695
696 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
697 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
698 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
699 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
700 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
701
702
703 \clearpage
704 %% Original page 16
705 \textbf{Los geht's!}
706 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
707
708 % TODO screenshot Startmenu with Kleopatra highlighted
709 \begin{center}
710 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
711 \end{center}
712
713 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
714 Zertifikatsverwaltung:
715
716 % TODO screenshot: Kleopatra main window
717 \begin{center}
718 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
719 \end{center}
720
721 Zu Beginn ist diese Übersicht leer, da wir noch keine 
722 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
723 nachholen:
724
725 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
726 Im folgenden Dialog entscheiden Sie sich für ein Format,
727 für das anschließend ein Zertifikat erstellt werden soll.
728 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
729 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
730 Seite \pageref{ch:openpgpsmime}.
731
732 \label{chooseCertificateFormat}
733 % TODO screenshot: Kleopatra - New certificate - Choose format
734 \begin{center}
735 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
736 \end{center}
737
738 %% Original page 17
739
740 Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
741 gliedert sich an dieser Stelle in zwei Abschnitte: 
742 \textbf{OpenPGP-Schlüsselpaar erstellen}  und 
743 \textbf{X.509-Schlüsselpaar erstellen}.
744 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
745 Sie sich oben entschieden haben.
746
747
748
749
750
751 %% OpenPGP %%
752 %% Original page 18
753 \section*{OpenPGP-Schlüsselpaar erstellen}
754
755 Klicken Sie im obigen Auswahldialog auf 
756 %TODO:german
757 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
758
759 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
760
761 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
762 \Email{}-Adresse an.
763
764 % TODO screenshot: New Certificate - Personal details
765 \begin{center}
766 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
767 \end{center}
768
769
770 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
771 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
772 \Email{}-Adresse eingeben, z.B. "`Heinrich Heine"' und "`\verb-heinrichh@gpg4win.de-"'.
773
774 Optional können Sie einen Kommentar zum Schlüssel eingeben.
775 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
776 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
777 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
778 Name und die \Email{}-Adresse später öffentlich sichtbar.
779
780 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
781 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
782 über die Details informieren.
783
784 \clearpage
785 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
786 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
787 (voreingestellten) Experten-Einstellungen interessieren, können Sie
788 diese über die Option
789 % TODO:german
790 \textit{Show all details} einsehen.
791
792 % TODO screenshot: New Certificate - Review Parameters
793 \begin{center}
794 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
795 \end{center}
796
797 Sofern alles korrekt ist, klicken Sie anschließend auf 
798 %TODO:german
799 \Button{Create Key}. 
800
801
802 \clearpage
803 %% Original page 19
804 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
805
806 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
807 Passphrase einzugeben:
808
809 %TODO screenshot: New certificate - pinentry
810 \begin{center}
811 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
812 \end{center}
813
814 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
815 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
816 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
817 Sicherheit Ihrer Passphrase ernst!
818
819 Sie sollten nun eine geheime, einfach zu merkende und schwer
820 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
821
822 %TODO#: ist derzeit nich so:
823 %Falls die Passphrase nicht sicher genug sein sollte, werden Sie
824 %darauf hingewiesen.
825
826 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
827 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
828
829 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
830 Ihre Eingabe jeweils mit \Button{OK}.\\
831
832
833 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
834 % TODO screenshot: New Certificate - Create Key
835 \begin{center}
836 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
837 \end{center}
838
839 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
840 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
841 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
842 %TODO# ggf. noch mehr erläutern!
843
844 \clearpage
845 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
846 erhalten Sie folgenden Dialog:
847
848 %TODO screenshot: New certificate - key successfully created
849 \begin{center}
850 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
851 \end{center}
852
853 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
854 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
855 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
856 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
857 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
858 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
859 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
860
861 Sie brauchen sich die
862 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
863 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
864
865 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
866 drei Möglichkeiten durchführen:
867 \begin{description}
868     \item[Erstellen Sie eine Sicherungskopie Ihres
869         OpenPGP-Schlüsselpaares.]
870         %TODO#: Paar od. geheimer Schluessel? Dateiformat?
871     
872     ~\\Klicken Sie dazu auf den Button
873     %TODO:german
874     \Button{Make a Backup Of Your Certificate...}
875
876     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
877     exportiert werden soll:
878
879     % TODO screenshot: New certificate - export key
880     \begin{center}
881     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
882     \end{center}
883
884     Klicken Sie anschließend auf
885     \Button{OK}. 
886
887     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
888     abgespeichert haben, so sollten Sie
889     baldmöglichst diese Datei auf einen anderen Datenträger (USB
890     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
891     löschen. Bewahren Sie diesen Datenträger sicher auf. 
892
893     Sie können eine Sicherungskopie auch jederzeit später anlegen;
894     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
895     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} 
896
897     \item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
898     ~\\Klicken Sie auf den Button 
899     %TODO:german
900     \Button{Send Certificate By EMail}.
901
902     Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
903     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
904     selbstversändlich \textit{nicht} versendet.
905     Geben Sie eine Empfänger-\Email{}-Adresse an und
906     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
907
908     %TODO# Wird hier nur der öffentliche Schlüssel versendet?
909
910     % ggf TODO screenshot: New certificate - send openpgp key per email
911    \begin{center}
912    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
913    \end{center}
914
915
916     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
917     ~\\Klicken Sie auf 
918     %TODO:german
919     \Button{Upload Certificate To Directory Service...}
920     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
921     Verzeichnisdienst in Kleopatra konfiguriert haben.
922
923     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
924     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
925
926     %TODO#: Mehr Erläuterungen nötig?  
927
928 \end{description}
929
930 ~\\
931 Beenden Sie anschließend den Kleopatra-Assistenten mit
932 %TODO:german
933 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
934 abzuschließen.
935
936 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
937 auf Seite~\pageref{finishKeyPairGeneration}. Von da an
938 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
939
940
941
942 %% X.509 %%
943 %% Original page 21
944 \clearpage
945 \section*{X.509-Schlüsselpaar erstellen \margin{\IncludeImage[width=1.5cm]{smime-icon}} }
946
947 Klicken Sie im Zertifikatsformat-Auswahldialog von
948 Seite~\pageref{chooseCertificateFormat} auf
949 %TODO:german
950 \Button{Create a personal X.509 key pair and certification request}.
951 %TODO# ggf "vgl. Abb"
952
953
954
955 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
956 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
957 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
958
959 % TODO screenshot: New X.509 Certificate - Personal details
960 \begin{center}
961 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
962 \end{center}
963
964
965 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
966 machen Sie beliebige Angaben für Name, Organisation und
967 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
968 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
969 "`\verb-heinrichh@gpg4win.de-"'.
970
971 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
972 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
973 über die Details informieren.
974
975 \clearpage
976 Es werden nun noch einmal alle Eingaben und Einstellungen zur
977 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
978 (voreingestellten) Experten-Einstellungen interessieren, können Sie
979 diese über die Option
980 % TODO:german
981 \textit{Show all details} einsehen.
982
983 % TODO screenshot: New Certificate - Review Parameters
984 \begin{center}
985 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
986 \end{center}
987
988 Sofern alles korrekt ist, klicken Sie anschließend auf 
989 %TODO:german
990 \Button{Create Key}. 
991
992
993 \clearpage
994 %% Original page 19
995 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
996
997 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
998 Passphrase einzugeben:
999
1000 %TODO screenshot: New certificate - pinentry
1001 \begin{center}
1002 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1003 \end{center}
1004
1005 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
1006 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
1007 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1008 Sicherheit Ihrer Passphrase ernst!
1009
1010 Sie sollten nun eine geheime, einfach zu merkende und schwer
1011 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1012
1013 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
1014 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
1015
1016 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1017 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1018
1019 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
1020 Ihre Eingabe jeweils mit \Button{OK}.\\
1021
1022
1023 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
1024 % TODO screenshot: New Certificate - Create Key
1025 \begin{center}
1026 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
1027 \end{center}
1028
1029 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1030 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1031 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1032 %TODO# ggf. noch mehr erläutern!
1033
1034 \clearpage
1035 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1036 erhalten Sie folgenden Dialog:
1037
1038 %TODO screenshot: New certificate - key successfully created
1039 \begin{center}
1040 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1041 \end{center}
1042
1043
1044 Als nächstes \textit{können} Sie einen (oder mehrere) der folgenden
1045 drei Möglichkeiten durchführen:
1046 \begin{description}
1047     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
1048     ~\\Klicken Sie dazu auf den Button 
1049     %TODO:german
1050     \Button{Save Request To File...}
1051
1052     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
1053     gespeichert werden soll. Als Dateiendung wählen Sie *.p10 und
1054     bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
1055     auf verschiedene Weise an eine Zertifizierungsstelle geben.
1056
1057     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
1058     ~\\Klicken Sie auf den Button 
1059     %TODO:german
1060     \Button{Send Certificate By EMail}.
1061
1062     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
1063     Zertifizierungs-Anfrage im Anhang.
1064     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
1065     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
1066     vorbereiteten Text dieser \Email{}.
1067
1068     % ggf TODO screenshot: New certificate - send openpgp key per email
1069    \begin{center}
1070    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
1071    \end{center}
1072     
1073     %TODO#:korrekt?
1074     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
1075     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
1076     X.509-Zertifikat.
1077 \end{description}
1078
1079 \clearpage
1080 Beenden Sie anschließend den Kleopatra-Assistenten mit 
1081 %TODO:german
1082 \Button{Finish}.
1083
1084 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
1085 auf der nächsten Seite. Von nun an
1086 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1087
1088
1089 \clearpage
1090 %% Original page 23
1091
1092 \section*{Schlüsselpaar-Erstellung abgeschlossen}
1093 \label{finishKeyPairGeneration}
1094
1095 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
1096 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
1097
1098 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
1099 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
1100 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
1101 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
1102
1103 %TODO screenshot: Kleopatra with new openpgp certificate
1104 \begin{center}
1105 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1106 \end{center}
1107
1108 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1109 nachlesen zu können:
1110
1111 %TODO screenshot: details of openpgp certificate
1112 \begin{center}
1113 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1114 \end{center}
1115
1116 Was bedeuten die einzelnen Zertifikatsdetails? 
1117
1118 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
1119 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
1120 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
1121
1122 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
1123 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
1124 %TODO# DSA erklären
1125
1126 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
1127 Kapitel~\ref{KeyDetails}. 
1128 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1129 Informationen benötigen.}
1130
1131
1132
1133 \clearpage
1134 %% Original page 24
1135
1136 \chapter{Sie veröffentlichen Ihr Zertifikat}
1137
1138 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1139 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
1140 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
1141 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
1142 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
1143
1144 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
1145 Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
1146
1147 Denn:
1148
1149 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
1150 das Zertifikat des anderen besitzen und benutzen. Natürlich
1151 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
1152 kann, wie zum Beispiel Gpg4win.}
1153
1154 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1155 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
1156
1157 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
1158 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1159 benutzen.
1160
1161 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1162 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1163 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1164 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
1165 beispielsweise ...
1166
1167 \begin{itemize}
1168     \item ... direkt per \textbf{\Email{}} an bestimmte
1169     Korrespondenzpartner (vgl. Abschnitt~\ref{publishPerEmail}).
1170     \item ... auf einem \textbf{OpenPGP-Schlüsselserver};
1171     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{publishPerKeyserver}).
1172     \item ... über die eigene Homepage.
1173     \item ... persönlich, z.B. per USB-Stick.
1174 \end{itemize}
1175
1176 Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
1177 näher anschauen.
1178
1179 %% Original page 25
1180 \clearpage
1181 \section{Veröffentlichen per \Email{}}
1182 \label{publishPerEmail}
1183
1184 Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1185 Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
1186 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1187 Abschnitt.
1188
1189 ~\\
1190 Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
1191 Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
1192 Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
1193 X.509-Zertifikaten finden Sie auf
1194 Seite~\pageref{publischPerEmailx509}.}
1195 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1196
1197 \textbf{Adele}
1198 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1199 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1200 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1201 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1202 vorgestellt:
1203
1204 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1205 \begin{center}
1206 \IncludeImage{adele01}
1207 \end{center}
1208
1209 Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
1210 diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
1211 eine \Email{} an Sie und sendet sie zurück.
1212
1213 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1214 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1215 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1216
1217 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1218 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1219 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1220 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1221 Adressat wahrscheinlich ziemlich übel nehmen würde.
1222
1223 Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
1224 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1225
1226
1227 \clearpage
1228 %% Original page 26
1229
1230
1231
1232 \subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
1233
1234 Selektieren Sie in Kleopatra das zu exportierende Zertifikat
1235 (durch Klicken auf die entsprechende Zeile in der Liste der
1236 Zertifikate) und klicken Sie dann auf
1237 \Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
1238 Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
1239 speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
1240 z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1241
1242 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1243 dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
1244 -- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
1245 Schlüssel exportieren.
1246
1247
1248 %% Original page 27
1249 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
1250 Windows Explorer und wählen denselben Ordern aus, den Sie beim
1251 Exportieren angegeben haben.
1252
1253 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1254 Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
1255 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1256 und Zahlenblock:
1257
1258 % screenshot: Editor mit ascii armored key
1259 \begin{center}
1260 \IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
1261 \end{center}
1262
1263
1264 \clearpage
1265 %% Original page 28
1266
1267 \subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
1268 versenden}
1269
1270 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1271 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1272 anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
1273 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1274 Schlüssel eigentlich besteht.
1275
1276 \textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
1277 Schlüssel von
1278
1279 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1280 bis\\
1281 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1282
1283 und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
1284 Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
1285 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1286
1287 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1288 Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
1289 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
1290 Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
1291 reine Textnachrichten gesendet werden und keine HTML formatierte
1292 Nachrichten.
1293
1294 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1295 "`Copy \& Paste"'.
1296
1297 \textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1298 schreiben in die Betreffzeile z.B.: \textit{Mein OpenPGP-Zertifikat}.
1299
1300 So etwa sollte Ihre \Email{} nun aussehen:
1301
1302 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1303 \begin{center}
1304 \IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1305 \end{center}
1306
1307 \T\enlargethispage{2\baselineskip}
1308 Schicken Sie die \Email{} an Adele ab.
1309
1310 Nur zur Vorsicht: Natürlich
1311 sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1312 Beispieladresse als Absender haben, sondern \textit{Ihre eigene
1313   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1314 bekommen$\ldots$
1315
1316
1317 \clearpage
1318 %% Original page 29
1319 \subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
1320 versenden}
1321
1322 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1323 OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1324 versenden. Das ist oftmals das
1325 einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
1326 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1327 transparenter und leichter nachzuvollziehen ist.
1328
1329 Schreiben wir Adele nun noch einmal eine neue Mail mit der
1330 Zertifikatsdatei im Anhang:
1331
1332 Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1333 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1334 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster). 
1335 Ergänzen Sie den Empfänger
1336 (\verb-adele@gnupp.de-) und einen Betreff, z.B.
1337 \textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
1338
1339 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1340 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1341 als zu diesem Übungszweck programmiert worden.
1342
1343 Ihre fertige \Email{} sollte dann etwa so aussehen:
1344
1345 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1346 \begin{center}
1347 \IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1348 \end{center}
1349
1350 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1351
1352 \clearpage
1353 \subsubsection{Fassen wir kurz zusammen...}
1354
1355 Sie haben Ihr OpenPGP-Zertifikat in
1356 Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
1357 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1358 komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
1359 wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
1360
1361 Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
1362 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1363 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1364 Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
1365 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1366 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1367 (z.B. Kleopatra) importieren kann.
1368 %TODO: ggf Verweis auf Zertifikats-Import
1369
1370 ~\\Nachdem \label{publischPerEmailx509}
1371 Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
1372 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1373 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1374 Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1375 Kapitel~\ref{ch:openpgpsmime}).
1376
1377 Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
1378 Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1379 \textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
1380
1381 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1382 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1383 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1384 aussuchen oder Sie schreiben testweise an sich selber.
1385
1386 Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
1387 die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
1388 Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
1389 eine Datei abspeichern wollen. Ersteres empfiehlt sich immer dann,
1390 wenn Sie nicht genau wissen, ob Ihr Korrespondenzpartner Ihr
1391 Wurzelzertifikat schon besitzt.
1392
1393
1394 \clearpage
1395 %% Original page 30
1396 \section{Veröffentlichen per Schlüsselserver}
1397 \label{publishPerKeyserver}
1398
1399 \textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
1400 Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
1401 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1402
1403 Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
1404 internationalen Schlüsselserver bietet sich eigentlich
1405 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1406 \Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
1407 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1408 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1409 Korrespondenzpartner.
1410
1411
1412 \textsc{Vorsicht: Die Veröffentlichung Ihrer \Email{}-Adresse
1413 auf einem Keyserver birgt leider das Risiko, dass Ihnen
1414 auch ungebetene Personen \Email{}s schreiben können und die
1415 SPAM-Menge für Ihre \Email{}-Adresse dadurch zunehmen kann.
1416 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1417 Falls Sie keinen wirksamen Spamfilter benutzen,
1418 sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1419 Keyserver absehen.}
1420
1421 ~\\
1422 \textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
1423 Menü auf
1424 %TODO:german
1425 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
1426
1427 Sofern Sie noch keinen Schlüsselserver
1428 definiert haben, bekommen Sie eine Warnmeldung:
1429
1430 % screenshot: GPA export key to keyserver
1431 \begin{center}
1432 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1433 \end{center}
1434
1435 Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
1436 \texttt{keys.gnupg.net} bereits voreingestellt.
1437 Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
1438 diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
1439 verbundenen Keyserver weitergereicht.
1440 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
1441 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1442
1443 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1444 Übungsschlüssel bitte nicht ab.  Er ist wertlos und kann nicht
1445 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1446 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1447 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1448
1449 \clearpage
1450 \subsubsection{Fassen wir kurz zusammen...}
1451 Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
1452 Schlüsselserver im Internet veröffentlichen.
1453
1454 \textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
1455   Schlüsselservern suchen und finden, beschreiben wir im
1456   Kapitel~\ref{ch:keyserver}.
1457   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1458   Funktion benötigen.}
1459
1460
1461
1462 \clearpage
1463 %% Original page 31
1464 \chapter{Sie entschlüsseln eine \Email{}}
1465 \label{ch:decrypt}
1466
1467 Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
1468 und wollen diese nun entschlüsseln? 
1469 Alles was Sie dazu brauchen ist Gpg4win, Ihr Schlüsselpaar und
1470 natürlich ganz wichtig: Ihre Passphrase.
1471
1472 In diesem Kapitel erklären wir Ihnen Schritt für Schritt, wie Sie Ihre
1473 \Email{}s in Microsoft Outlook mit Gpg4win entschlüsseln.
1474
1475 ~\\
1476 Wir üben jetzt diesen Vorgang einmal mit Adele und Ihrem
1477 OpenPGP-Zertifikat!\\
1478 \textit{Achtung: Die folgenden Übungen gelten nur für OpenPGP!
1479 Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
1480 Ende dieses Kapitels.} %TODO:Seitenzahl
1481 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
1482
1483
1484 Im Abschnitt~\ref{publishPerEmail} haben Sie Adele Ihr
1485 OpenPGP-Zertifikat -- also Ihr öffentlicher Schlüssel -- geschickt.
1486 Mit Hilfe dieses Zertifikats verschüsselt Adele nun eine
1487 \Email{} und sendet sie an Sie zurück. Nach kurzer Zeit sollen Sie
1488 Adeles Antwort erhalten.
1489
1490
1491 % cartoon: Adele typing and sending a mail
1492 \begin{center}
1493 \IncludeImage{adele02}
1494 \end{center}
1495
1496
1497 \clearpage
1498 %% Orginal page 32
1499 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
1500
1501 Für die meisten Mailprogramme gibt es spezielle Erweiterungen
1502 (sogenannte Plugins), mit denen die Ver- und Entschlüsselung direkt im
1503 jeweiligen Mailprogramm erledigt werden kann. --
1504 \textbf{GpgOL} ist ein solches Plugin für MS Outlook, dass wir in
1505 diesem Abschnitt nutzen wollen, um die \Email{} von Adele zu
1506 entschlüsseln.
1507
1508 Hinweise zu weiteren Software-Lösungen finden Sie im Kapitel~\ref{ch:plugins}.
1509 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1510
1511 ~\\
1512 Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
1513
1514 Kleopatra verwaltet alle Ihre eigenen Zertifikate und die Ihrer
1515 Korrespondenzpartner. Somit eignet sich Kleopatra gut zur Überprüfung
1516 der \Email{}. Kleopatra erkennt eine verschlüsselte \Email{} von
1517 Adele. Diese \Email{} hat Adele mit Ihrem OpenPGP-Zertifikat verschlüsselt. Um die
1518 Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (zum
1519 Schlüsselpaar gehörigen) Passphrase. Geben Sie diese in den
1520 aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
1521 einen Statusdialog. Mit \Button{Details einblenden} können Sie sich
1522 weitere Informationen der \Email{}-Überprüfung anzeigen lassen:
1523
1524 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1525 \begin{center}
1526 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1527 \end{center}
1528
1529 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
1530 entschlüsselte \Email{} zu lesen.
1531
1532 Möchten Sie den Prüfdialog nach dem Lesen der Mail noch einmal manuell aufrufen,
1533 so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
1534 Enschlüsseln/Prüfen}.
1535
1536 Doch nun wollen wir das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
1537
1538
1539
1540 %So sollte Adeles Antwort-\Email{} etwa aussehen:
1541 %
1542 %\begin{verbatim}
1543 %From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1544 %Subject: Re: Mein OpenPGP-Zertifikat
1545 %To: heinrichh@gpg4win.de
1546 %Date: Thu, 08 Jul 2008 09:17:28 +0100
1547 %
1548 %-----BEGIN PGP MESSAGE-----
1549 %Version: GnuPG v1.4.1 (GNU/Linux)
1550 %
1551 %hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1552 %QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1553 %NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1554 %
1555 %...
1556 %
1557 %ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1558 %A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1559 %bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1560 %=VCHb
1561 %-----END PGP MESSAGE-----
1562 %\end{verbatim}
1563
1564 %\textit{(Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1565 %stark gekürzt.)}
1566
1567
1568 %\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
1569
1570
1571
1572
1573 \clearpage
1574 %% Original page 36
1575 \subsubsection{Die entschlüsselte Nachricht}
1576
1577 Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
1578   von der Softwareversion von Adele kann dies auch etwas
1579   unterschiedlich aussehen.}:
1580 %TODO: lieber ein OL-Screenshot der mail.
1581
1582 \begin{verbatim}
1583 Hallo Heinrich Heine,
1584
1585 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1586
1587 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1588 57251332CD8687F6 und der Bezeichnung
1589 `Heinrich Heine <heinrichh@duesseldorf.de>'
1590 wurde von mir empfangen.
1591
1592 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1593 dem freundlichen E-Mail-Roboter.
1594
1595 Viele Grüße,
1596 adele@gnupp.de
1597 \end{verbatim}
1598
1599 Der Textblock, der darauf folgt, ist der öffentliche Schlüssel von
1600 Adele.
1601
1602 Wir werden anschließend diesen öffentlichen Schlüssel importieren und
1603 an Ihrem Schlüsselbund befestigen. So können Sie ihn jederzeit zum
1604 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1605 oder dessen signierte Mails überprüfen.
1606
1607 \clearpage
1608 \subsubsection{Fassen wir kurz zusammen...}
1609
1610 \begin{enumerate}
1611 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1612   Schlüssel entschlüsselt.
1613
1614 \item Der Korrespondenzpartner hat seinen eigenen öffentlichen
1615   Schlüssel beigelegt, damit Sie ihm verschlüsselt antworten können.
1616 \end{enumerate}
1617
1618 ~\\Nachdem \label{publischPerEmailx509}
1619 Sie gelernt haben, wie Sie \Email{}s mit Ihrem OpenPGP-Zertifikat
1620 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1621 entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte 
1622 \textbf{S/MIME}-\Email{}s entschlüsseln.
1623
1624 Die Antwort lautet auch hier: Genauso wie bei OpenPGP! Sie öffnen in
1625 MS Outlook eine S/MIME-verschlüsselte \Email{} und geben im aufgehenden
1626 Dialog Ihre Passphrase ein. Sie bekommen einen ähnlichen Statusdialog
1627 wie bei OpgenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
1628 entschlüsselte S/MIME-\Email{}.
1629
1630
1631
1632
1633 \clearpage
1634 %% Original page 37
1635 \chapter{Sie importieren ein Zertifikat}
1636 \label{ch:keyring}
1637
1638 Ihr Korrespondenzpartner muss nicht jedes Mal sein Zertifikat 
1639 mitschicken, wenn er Ihnen signiert schreibt.
1640 Sie bewahren seinen öffentlichen Schlüssel einfach an 
1641 Ihrem GnuPG-"`Schlüsselbund"' (oder besser: "`Zertifikatsbund"') auf.
1642
1643
1644 \subsubsection{Zertifikat abspeichern}
1645
1646 Bevor Sie ein Zertifikat in Kleopatra importieren,
1647 müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
1648 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
1649 \Email{} bekommen haben, gehen Sie wie folgt vor:
1650
1651 \begin{itemize}
1652     \item Liegt das Zertifikat einer \Email{} als \textbf{Dateianhang} bei, speichern
1653 Sie es (wie Sie es in Ihrem Mailprogramm gewohnt sind)
1654 auf einem Ort Ihrer Festplatte ab.
1655
1656
1657 \item Sollte das Zertifikat als \textbf{Textblock} innerhalb Ihrer \Email{}
1658 übermittelt worden sein, so müssen Sie zunächst das vollständige
1659 Zertifikat markieren: 
1660
1661 Bei OpenPGP-Zertifikaten markieren Sie den Bereich von
1662
1663 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1664 bis\\
1665 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1666
1667 so wie Sie es im Abschnitt~\ref{publishPerEmail} schon getan haben.
1668
1669 Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
1670 Texteditor ein und speichern Sie das Zertifikat ab. Als Dateiendung
1671 sollten Sie für OpenPGP-Zertifikate \textit{*.asc} und für X.509-Zertifikate 
1672 z.B. \textit{*.pem} wählen.
1673
1674 \end{itemize}
1675
1676 %% Original page 38/39
1677 \clearpage
1678 \subsubsection{Zertifikat in Kleopatra importieren}
1679
1680 Ob Sie nun das Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
1681 haben, ist egal: In beiden Fällen importieren Sie dieses
1682 abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung
1683 \textbf{Kleopatra}.
1684
1685
1686 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
1687
1688 Klicken Sie im Menü auf
1689 \Menu{Datei$\rightarrow$Zertifikat importieren...},
1690 suchen das eben abgespeicherte Zertifikat aus und laden es.
1691 Sie erhalten einen Infodialog mit dem Ergebnis des Importvorgangs:
1692
1693 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1694 \begin{center}
1695 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1696 \end{center}
1697
1698 %TODO: Insgesamt bearbeitet, Importiert, Unverändert, ...
1699
1700 Das erfolgreich importierte Zertifikat wird nun in Kleopatra angezeigt
1701 -- und zwar unter einem separatem Reiter "`Importierte
1702 Zertifikate von \textit{<Pfad-zur-Zertifikatsdatei>}"':
1703
1704 %TODO screenshot Kleopatra with new certificate
1705 \begin{center}
1706 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1707 \end{center}
1708
1709 Schließen Sie diesen Reiter mit dem rot-weißen Schließen-Button am
1710 Rechten Fensterrand.
1711
1712 Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
1713 das von Ihnen importierte Zertifikat sehen.
1714
1715 Damit haben Sie ein fremdes Zertifikat­-- in diesem Beispiel das
1716 OpenPGP-Zertifikat von Adele -- importiert und an Ihrem Schlüsselbund
1717 befestigt. Sie können dieses Zertifikat jederzeit benutzen, um
1718 verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
1719 senden und Signaturen zu prüfen.
1720
1721 \clearpage
1722 \subsubsection{Bevor wir weitermachen, eine wichtige
1723 Frage:}
1724 Woher wissen Sie eigentlich, dass das fremde
1725 OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
1726 unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
1727 gar nichts.
1728
1729 Wie können Sie also sichergehen, dass ein Zertifikat auch wirklich
1730 seinem Absender gehört?
1731
1732 \textbf{Die Kernfrage der Zertifikatsprüfung erläutern wir im
1733 Kapitel~\ref{ch:trust}. Lesen Sie bitte jetzt dort weiter, bevor
1734 Sie danach an dieser Stelle fortfahren.}
1735
1736
1737
1738 \clearpage
1739 %% Original page 42
1740 \chapter{Sie verschlüsseln eine \Email{}}
1741 \label{ch:encrypt}
1742
1743 Jetzt wird es noch einmal spannend: Wir versenden eine verschlüsselte \Email{}!
1744
1745 Sie brauchen dazu Outlook, Kleopatra und natürlich ein Zertifikat
1746 Ihres Korrespondenzpartners.
1747
1748 Die Schritte zum Verschlüsseln unterscheiden sich für OpenPGP und
1749 S/MIME, so dass wir das Vorgehen auf den nächsten Seiten in getrennten
1750 Abschnitten behandeln.
1751
1752 Erstellen Sie zunächst in Outlook eine neue \Email, die Sie nun
1753 verschlüsselt versenden möchten.
1754
1755 \clearpage
1756 %% Original page 45
1757 \section{Mit OpenPGP verschlüsseln}
1758
1759 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1760 Sie können zum Üben dieses Vorgangs wieder Adele nutzen.
1761 Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
1762 \verb-adele@gnupp.de-.
1763 Wenn Sie einen ebenso geduldigen menschlichen Korrespondenzpartner
1764 haben, dann adressieren Sie Ihre \Email{} eben an diesen.
1765
1766 Schreiben Sie eine Nachricht -- es ist egal, was: Adele kann nicht wirklich lesen$\ldots$
1767
1768 Bestimmen Sie OpenPGP als Zertifikatstyp: Klicken Sie dazu im Menü des geöffneten 
1769 Outlook-Nachrichtenfensters auf \Menu{Extras$\rightarrow$GnuPG Protokoll$\rightarrow$PGP/MIME}.
1770
1771 Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht verschlüsselt senden wollen:
1772 Wählen Sie \Menu{Extras$\rightarrow$Nachrichten mit GnuPG verschlüsseln}. 
1773 Die Schaltfläche mit dem gelb/roten Icon in der
1774 Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
1775 Schaltfläche klicken):
1776
1777 % TODO screenshot: OL composer with Adele's address and body text
1778 \begin{center}
1779 \IncludeImage[width=0.9\textwidth]{sc-ol-send-enc-msg1}
1780 \end{center}
1781 Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
1782 erneuter Klick auf die o.g. Schaltfläche.
1783
1784 Klicken Sie nun auf \Button{Senden}.
1785
1786 \clearpage
1787 Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das Zertifikat des
1788 Empfängers angeben. Kleopatra wählt -- abhängig von der
1789 Empfänger-\Email{}-Adresse -- in der Regel das passende Zertifikat
1790 aus.
1791
1792 % TODO screenshot: kleopatra encryption dialog - certificate selection
1793 % (with Adele + my own certificate)
1794 \begin{center}
1795 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
1796 \end{center}
1797
1798 Sollten zu einer \Email{}-Adresse mehrere Zertifikate existieren
1799 oder Sie bewusst ein anderes Zertifikat auswählen wollen, klicken Sie
1800 auf den \Button{...}-Button neben der Drop-Down-Liste.
1801
1802 Sie bekommen ein Kleopatra-Dialog, der Ihnen alle OpenPGP-Zertifikate
1803 auflistet, die in Ihrer Zertifikatsverwaltung existieren (und von
1804 Ihnen importiert wurden).
1805 In unserem Beispiel sind das Adeles OpenPGP-Zertifikat und 
1806 Ihr eigenes OpenPGP-Zertifikat.
1807
1808 % TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
1809 \begin{center}
1810 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
1811 \end{center}
1812
1813 Wählen Sie Adeles OpenPGP-Zertifikat aus, denn damit muss Ihre Nachricht ja
1814 verschlüsselt werden.
1815
1816 Sie erinnern sich an den Grundsatz:
1817
1818 \begin{quote}
1819     \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
1820   müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.}
1821 \end{quote}
1822
1823
1824 Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun
1825 verschlüsselt.
1826
1827 \clearpage
1828 Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
1829 Sie eine Meldung, die Ihnen dies bestätigt:
1830
1831 % TODO screenshot: kleopatra encryption successfully
1832 \begin{center}
1833 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
1834 \end{center}
1835
1836 \textbf{Herzlichen Glückwunsch!  Sie haben Ihre erste \Email{}
1837 verschlüsselt!}
1838
1839 \clearpage
1840 \section{Mit S/MIME verschlüsseln}
1841 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1842
1843
1844 \clearpage
1845 Sofern Sie diese Auswahl auf der Voreinstellung \textit{automatisch} lassen, haben Sie
1846 später noch die Möglichkeit zwischen PGP/MIME und S/MIME zu wählen.
1847
1848 Haben Sie ein bevorzugtes GnuPG-Protokoll? Dann können Sie unter den
1849 den GpgOL-Optionen
1850 (\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}) 
1851 PGP/MIME oder S/MIME als Voreinstellung definieren.
1852 Nach der Installation von Gpg4win ist PGP/MIME hier aktiviert und
1853 S/MIME deaktiviert.
1854
1855
1856 \clearpage
1857 %% Original page 37 & 40
1858 \chapter{Sie signieren eine \Email{}}
1859 \label{ch:sign}
1860
1861 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
1862 Echtheit eines OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
1863 geheimen OpenPGP-Schlüssel signieren können.
1864
1865 In diesem Kapitel wollen wir uns damit beschäftigen,
1866 wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
1867 \textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
1868 einer elektronischen Unterschrift (eine Art elektronisches Siegel) versehen.
1869
1870 Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
1871 feststellen, ob die \Email{} unterwegs manipuliert oder verändert
1872 wurde.
1873
1874 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
1875 tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
1876 korrespondieren, dessen öffentlichen Schlüssel Sie nicht haben~(aus welchem
1877 Grund auch immer), können Sie so die Nachricht wenigstens
1878 mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
1879
1880 \textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht mit den
1881 \Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
1882 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
1883
1884 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
1885 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
1886 Manipulationen und bestätigt den Absender.
1887
1888 Übrigens ist diese elektronische Unterschrift auch nicht mit der
1889 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
1890 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
1891 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
1892 genau denselben Zweck.
1893
1894 % cartoon:  Müller mit Schlüssel
1895 \begin{center}
1896 \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
1897 \end{center}
1898
1899
1900
1901
1902
1903 \clearpage
1904 %% Original page 38
1905 \section{Signieren}
1906
1907 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
1908 Verschlüsselung: Wie im Kapitel~\ref{ch:encrypt}) besprochen,
1909 schreiben Sie Ihre Nachricht und ..%TODO
1910
1911 Sie können nun entscheiden ob Sie eine völlig unverschlüsselte, eine
1912 signierte oder eine komplett verschlüsselte Mail versenden wollen ­--
1913 je nachdem, wie wichtig und schutzbedürftig der Inhalt ist.
1914
1915
1916 Anders als beim Verschlüsseln öffnet sich daraufhin ein Fenster 
1917 mit Ihrem \textit{eigenen} Zertifikat. Denn:
1918
1919 \begin{quote}
1920     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
1921 \end{quote}
1922
1923 Logisch, denn nur Ihr eigener geheimer Schlüssel bestätigt Ihre
1924 Identität. Der Korrespondenzpartner kann nun mit Ihrem Zertifikat, das
1925 er bereits hat oder sich besorgen kann, Ihre Identität überprüfen.
1926 Denn nur Ihr geheimer Schlüssel passt ja zu Ihrem Zertifikat.
1927
1928 %TODO: Buttons prüfen
1929 Klicken Sie also auf Ihr eigenes Zertifikat, mit dem Sie die
1930 \Email{} signieren wollen und bestätigen Sie mit \Button{OK}. 
1931 Im folgenden Fenster geben Sie Ihre geheime
1932 Passphrase ein und bestätigen Sie wieder mit \Button{OK}. Ein
1933 kurzer Hinweis erscheint sobald der Text signiert ist.
1934
1935
1936 % screenshot: WinPT signing - enter passphrase
1937 \begin{center}
1938 \IncludeImage{sc-winpt-sign-passwd}
1939 \end{center}
1940
1941
1942 %\clearpage
1943 %% Original page 39
1944 Ihre Nachricht ist nun erfolgreich signiert.
1945
1946
1947 %\begin{verbatim}
1948 %-----BEGIN PGP SIGNED MESSAGE-----
1949 %Hash: SHA1
1950 %
1951 %Werte Adele,
1952 %
1953 %Wenn ich in deine Augen seh,
1954 %So schwindet all mein Leid und Weh;
1955 %Doch wenn ich küsse deinen Mund,
1956 %So werd ich ganz und gar gesund.
1957 %
1958 %    Harry
1959 %-----BEGIN PGP SIGNATURE-----
1960 %Version: GnuPG v1.4.3-cvs (MingW32)
1961 %
1962 %iD8DBQFD36LVVyUTMs2Gh/YRAn2sAJ4wH2h8g+rFyxXQSsuYzZWzYMKTdgCeK0sK
1963 %CEL3//4INzHUNA/eqR3XMi0=
1964 %=tiQ5
1965 %-----END PGP SIGNATURE-----
1966 %\end{verbatim}
1967
1968 %Wenn Frau Adele diese \Email{}
1969 %erhält, kann sie sicher sein,
1970 %\begin{enumerate}
1971 %\item dass die Nachricht von Herrn Heine stammt
1972 %\item dass sie nicht verändert wurde
1973 %\end{enumerate}
1974 %
1975 %Hätte zum Beispiel jemand das "`gesund"' in dem obigen Beispiel zu
1976 %"`krank"' verändert, wäre die Signatur "`gebrochen"', dass heißt, die
1977 %\Email{} wäre mit dem Vermerk "`Bad signature"' oder "`Überprüfung
1978 %fehlgeschlagen"' beim Empfänger versehen, sobald die Signatur
1979 %überprüft wird.
1980
1981
1982 \clearpage
1983 \section{Signatur mit GpgOL überprüfen}
1984 %% Original page 41
1985
1986 Die Überprüfung einer solchen elektronischen Signatur ist sehr einfach.
1987 Alles was Sie dazu brauchen, ist das OpenPGP- oder X.509-Zertifikat
1988 Ihres Korrespondenzpartners, dessen Signatur Sie überprüfen möchten.
1989 Dessen Zertifikat sollten Sie vor der Überprüfung bereits
1990 in Ihre Kleopatra Zertifikatsverwaltung importiert haben
1991 (vgl. Kapitel~\ref{ch:keyring}).
1992
1993 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu überprüfen,
1994 gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
1995 (vgl. Kapitel~\ref{ch:decrypt}):
1996
1997 Starten Sie Outlook und öffnen Sie die signierte \Email{}.
1998
1999 GpgOL überprüft nun automatisch die Signatur und meldet das Ergebnis
2000 in einem Statusdialog:
2001
2002 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
2003 \begin{center}
2004 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
2005 \end{center}
2006
2007 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
2008 signierte \Email{} zu lesen.
2009
2010 Möchten Sie die Überprüfung noch einmal manuell aufrufen,
2011 so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2012 Enschlüsseln/Prüfen}.
2013
2014 Sollte die Signaturprüfung fehlt schlagen,
2015 % TODO: ggf. Screenshot mit neg. Meldung.
2016 wurde die Nachricht bei der Übertragung verändert.
2017 Aufgrund der technischen Gegebenheiten im Internet ist es
2018 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2019 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2020 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
2021
2022 Wie Sie in einem solchen Fall vorgehen sollten,
2023 erfahren Sie im Abschnitt~\ref{brokenSignature}.
2024
2025
2026 \clearpage
2027 \subsubsection{Übrigens...}
2028 Wenn Sie kein Gpg4win installiert haben und eine signierte
2029 \Email{} öffnen, lässt sich die Signatur natürlich nicht überprüfen.
2030 Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
2031 ist die Signatur.
2032
2033 Exemplarisch für OpenPGP zeigen wir Ihnen, wie dann so eine
2034 OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussieht:
2035
2036 Die \Email{} beginnt mit:
2037 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2038
2039 \begin{verbatim}
2040 -----BEGIN PGP SIGNED MESSAGE-----
2041 Hash: SHA1
2042 \end{verbatim} 
2043
2044 und endet unter der \Email{}-Nachricht mit:
2045
2046 \begin{verbatim}
2047 -----BEGIN PGP SIGNATURE-----
2048 Version: GnuPG v1.4.2 (MingW32)
2049
2050 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
2051 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
2052 =O6lY
2053 -----END PGP SIGNATURE-----
2054 \end{verbatim}
2055
2056 \textit{Dies ist ein Beispiel -- Abwandlungen sind natürlich möglich.}
2057
2058
2059 \clearpage
2060 %% Original page 40
2061 \section{Gründe für eine gebrochene Signatur}
2062 \label{brokenSignature}
2063
2064
2065 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur
2066 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2067 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2068 dass Ihre \Email{} manipuliert sein könnte; d.h. jemand hat vielleicht
2069 den Inhalt oder den Betreff der \Email{} verändert.
2070
2071 Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, 
2072 dass Ihre \Email{} manipuliert wurde:
2073
2074 \begin{enumerate}
2075 \item Aufgrund der technischen Gegebenheiten ist es nicht
2076   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2077   über das Internet verändert wurde.
2078 \item Das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2079   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2080   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2081   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2082   "`HTML-Mails"' und "`Word Wrap"'.
2083
2084   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2085   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2086   niemand sie willentlich verändert hat.  Bei Outlook Express
2087   beispielsweise muss diese Option unter
2088   \Menu{Extras$\rightarrow$Optionen$\rightarrow$Senden$\rightarrow$NurText-Einstellungen$\rightarrow$Textkodierung
2089   mit Keine} aktiviert sein, wie es auch standardmäßig voreingestellt ist.
2090 \end{enumerate}
2091
2092 Häufig sind falsche Einstellungen am \Email{}-Programm der Grund für
2093 eine gebrochene Signatur. 
2094
2095 \textbf{In jedem Fall sollten Sie die \Email{} erneut beim Absender anfordern!}
2096
2097
2098
2099 \clearpage
2100 %% Original page 42
2101 \section{Verschlüsseln und signieren}
2102
2103 Normalerweise verschlüsseln Sie eine Nachricht mit dem Zertifikat 
2104 Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
2105 \Email{} entschlüsselt.
2106
2107 Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
2108 verschlüsseln --, ist technisch nicht möglich und macht keinen Sinn,
2109 weil alle Welt das dazugehörigen (öffentliche) Zertifikat kennt und die
2110 Nachricht damit entschlüsseln könnte.
2111
2112 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2113 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2114 beschrieben haben. Solch eine digitale Signatur bestätigt eindeutig
2115 die Urheberschaft -- denn wenn jemand Ihr Zertifikat
2116 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2117 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2118 kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
2119 haben.
2120
2121 Wenn Sie ganz sicher gehen will, können Sie beide Möglichkeiten
2122 kombinieren, also die \Email{} verschlüsseln und signieren:
2123
2124 \begin{enumerate}
2125     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
2126   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2127 \item Dann \textbf{verschlüsseln} Sie den Text mit dem Zertifikat
2128   des Korrespondenzpartners.
2129 \end{enumerate}
2130
2131 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2132
2133 \begin{enumerate}
2134 \item Einen Innenumschlag, der mit einem Siegel verschlossen ist (die
2135   Signatur mit Ihrem eigenen geheimen Schlüssel).
2136 \item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2137   Zertifikat des Korrespondenzpartners).
2138 \end{enumerate}
2139
2140 Ihr Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
2141 geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
2142 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
2143 Hülle öffnet er mit Ihrem Zertifikat und hat den Beweis Ihrer
2144 Urheberschaft, denn wenn Ihr Zertifikat passt, kann er nur mit Ihrem
2145 Geheimschlüssel kodiert worden sein.
2146
2147 Sehr trickreich und­-- wenn man ein wenig darüber nachdenkt -- auch
2148 ganz einfach.
2149
2150
2151
2152 \clearpage
2153 %% Original page 47
2154 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren}
2155
2156 Eine Einstellung müssen Sie noch vornehmen, damit Sie Ihre \Email{}s
2157 verschlüsselt aufbewahren können.  Natürlich können Sie einfach eine
2158 Klartextversion Ihrer Texte aufbewahren, aber das wäre eigentlich
2159 nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
2160 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
2161 Also sollte immer eine verschlüsselte Kopie der \Email{} aufbewahrt
2162 werden.
2163
2164 Sie ahnen das Problem: zum Entschlüsseln der archivierten \Email{}s
2165 braucht man den geheimen Schlüssel des Empfängers ­-- und den haben
2166 Sie nicht und werden Sie nie haben$\ldots$
2167
2168 Also was tun?
2169
2170 Ganz einfach: Sie verschlüsseln zusätzlich auch an sich selbst.
2171
2172 Die Nachricht wird für den eigentlichen Empfänger (z.B. Adele), als
2173 auch mit Ihren eigenen öffenlichen Schlüssel verschlüsselt.  So können
2174 Sie den Text auch später noch einfach mit Ihrem eigenen
2175 Geheimschlüssel wieder lesbar machen.
2176
2177 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen ­-- Sie
2178 können ja auch mehrere haben --­ müssen Sie dem Programm dies
2179 mitteilen.
2180
2181 \clearpage
2182 %% Original page 48
2183 Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie WinPT und
2184 dort das Menü \Menu{Einstellungen $\rightarrow$ GPG}.
2185
2186 % screenshot: Winpt configuration dialog
2187 \begin{center}
2188 \IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
2189 \end{center}
2190
2191 In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
2192 "`Encrypt to this key"' Ihren Schlüssel ein bzw. die
2193 dazugehörige \Email{}-Adresse.
2194
2195 Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
2196 die GnuPG direkt unterstützen.
2197
2198
2199 \clearpage
2200 %% Original page 49
2201 \textbf{Fassen wir kurz zusammen:}
2202
2203 \begin{enumerate}
2204 \item Sie haben mit dem öffentlichen Schlüssel Ihres Partners eine
2205   \Email{} verschlüsselt und ihm damit geantwortet.
2206 \item Sie haben WinPT mitgeteilt, dass Archivkopien Ihrer \Email{}s auch
2207   zusätzlich mit Ihrem eigenen Schlüssel verschlüsselt werden sollen.
2208 \end{enumerate}
2209
2210 \textbf{Das war's! Willkommen in der Welt der freien und sicheren
2211 \Email{}-Verschlüsselung!}
2212
2213 \textbf{\OtherBook{} Lesen Sie nun die Kapitel 10 bis 12 im Handbuch "`\xlink{Gpg4win
2214 für Durchblicker}{durchblicker.html}"'.  Sie erfahren dort unter anderem, wie man \Email{}s
2215 signiert und einen bereits vorhandenen Geheimschlüssel in GnuPG
2216 importiert und verwendet.}
2217
2218 \textbf{\OtherBook{} Ab Kapitel 13 des Handbuchs "`\xlink{Gpg4win für
2219 Durchblicker}{durchblicker.html}"' 
2220 können Sie weiterhin in zwei spannenden Kapiteln lesen, auf welchen
2221 Verfahren die Sicherheit von GnuPG beruht.}
2222
2223 Und Sie können lesen, wie die geheimnisvolle Mathematik hinter GnuPG
2224 im Detail funktioniert.
2225
2226 Genau wie das Kryptographiesystem Gpg4win wurden diese Texte nicht nur
2227 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
2228 sondern
2229
2230 \textbf{für jedermann.}
2231
2232
2233
2234
2235
2236
2237
2238 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2239 % Part II
2240
2241 % page break in toc
2242 \addtocontents{toc}{\protect\newpage}
2243
2244 \clearpage
2245 \part{Fortgeschrittene}
2246 \label{part:Fortgeschrittene}
2247 \addtocontents{toc}{\protect\vspace{0.3cm}}
2248
2249
2250 \clearpage
2251 %% Original page 9
2252 \chapter{Wie funktioniert Gpg4win?}
2253 \label{ch:FunctionOfGpg4win}
2254
2255 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
2256 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
2257 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
2258
2259 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
2260 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
2261 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
2262 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
2263 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
2264
2265 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
2266 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
2267 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
2268 knacken ist.
2269
2270
2271 \clearpage
2272 %% Original page 10
2273 \textbf{Der Herr der Schlüsselringe}
2274
2275 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
2276 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
2277 nur einmal gibt und den man ganz sicher aufbewahrt.
2278
2279 \begin{center}
2280 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
2281 \end{center}
2282
2283 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
2284 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
2285 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
2286 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
2287 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
2288
2289
2290 \clearpage
2291 %% Original page 11
2292
2293 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
2294 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
2295 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
2296 dazu auch sehr fehleranfällig.
2297
2298 \begin{center}
2299 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
2300 \end{center}
2301
2302 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
2303 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
2304 und dass sowohl der Absender als auch der Empfänger diesen geheimen
2305 Schlüssel kennen.
2306
2307 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
2308 solchen System ein Geheimnis --­ eine verschlüsselte Nachricht --
2309 mitteilen kann, muss man schon vorher ein anderes Geheimnis --­ den
2310 Schlüssel ­-- mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
2311 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
2312 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
2313 Dritten abgefangen werden darf.
2314
2315
2316
2317 \clearpage
2318 %% Original page 12
2319
2320 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel -- mit einem
2321 weiteren Schlüssel ("`key"'), der vollkommen frei und öffentlich
2322 ("`public"') zugänglich ist.
2323
2324 Man spricht daher auch von
2325 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
2326
2327 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
2328 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
2329 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
2330 Weitergegeben wird nur der öffentliche Schlüssel ­-- und den kennt
2331 sowieso jeder.
2332
2333 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
2334 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
2335 eine komplexe mathematische Formel untrennbar miteinander verbunden.
2336 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
2337 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
2338 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir, wie das
2339 funktioniert.
2340
2341 % Note: The texts on the signs are empty in the current revision.
2342 % However, I used the original images and wiped out the texts ``Open
2343 % Source"' and ``gratis"' - need to replace with something better.
2344 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
2345 \begin{center}
2346 \IncludeImage[width=0.4\textwidth]{verleihnix}
2347 \end{center}
2348
2349
2350 \clearpage
2351 %% Original page 13
2352 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
2353
2354 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2355 (secret oder private key), muss geheim gehalten werden.
2356
2357 Der \textbf{öffentliche Schlüssel} (public key) soll so
2358 öffentlich wie möglich gemacht werden.
2359
2360 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2361
2362 \bigskip
2363
2364 der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten
2365
2366 \begin{center}
2367 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
2368 \end{center}
2369
2370 der öffentliche Schlüsselteil \textbf{verschlüsselt}.
2371
2372
2373 \clearpage
2374 %% Original page 14
2375
2376 \textbf{Der öffentliche Safe}
2377
2378 In einem kleinen Gedankenspiel
2379 wird die Methode des Public-Key Verschlüsselungssystems
2380 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher:
2381
2382 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
2383
2384 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
2385 auf, über den Sie geheime Nachrichten übermitteln wollen.
2386
2387 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
2388 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2389 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2390 Nachrichten zunächst einmal gut gesichert.
2391
2392 \begin{center}
2393 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
2394 \end{center}
2395
2396 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2397 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
2398 und eine Geheimnachricht deponieren zu können.
2399
2400
2401 \clearpage
2402 %% Original page 15
2403 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2404 Wege übergeben.
2405
2406 \begin{center}
2407 \IncludeImage[width=0.9\textwidth]{secret-key-exchange}
2408 \end{center}
2409
2410 \clearpage
2411 %% Original page 16
2412 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
2413 öffnen und die geheime Nachricht lesen.
2414
2415 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
2416 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
2417 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
2418 die Botschaft selbst.
2419
2420 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2421 gleich die geheime Mitteilung übergeben\ldots
2422
2423
2424 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} weltweit müssten alle
2425 \Email{}teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2426 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2427 könnten.
2428
2429 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
2430
2431 \begin{center}
2432 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
2433 \end{center}
2434
2435 \clearpage
2436 %% Original page 17
2437 \textbf{Jetzt die Public-Key Methode:}
2438
2439 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
2440 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2441 -- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2442 -- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2443
2444 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick.
2445
2446 \begin{center}
2447 \IncludeImage[width=0.9\textwidth]{pk-safe-open}
2448 \end{center}
2449
2450 Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: es ist Ihr
2451 öffentlicher Schlüssel.
2452
2453 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2454 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2455 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2456 frei zugänglich.
2457
2458 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2459 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2460 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2461 Botschaft nachträglich zu verändern.
2462
2463 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2464
2465 Aufschließen kann man den Briefkasten nur mit einem einzigen
2466 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2467
2468 \clearpage
2469 %% Original page 18
2470
2471 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} jedermann
2472 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2473 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2474 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2475 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2476
2477 Spielen wir das Gedankenspiel noch einmal anders herum:
2478
2479 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2480 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2481 verfügbaren Schlüssel.
2482
2483 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2484 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2485 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2486 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2487 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2488 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2489 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2490 und die Nachricht lesen.
2491
2492 \begin{center}
2493 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2494 \end{center}
2495
2496
2497 \clearpage
2498 %% Original page 19 
2499 \textbf{Was ist nun eigentlich gewonnen:} es gibt immer noch einen
2500 geheimen Schlüssel!?
2501
2502 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2503 allerdings ein gewaltiger:
2504
2505 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2506 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2507 Übergabe entfällt, sie verbietet sich sogar.
2508
2509 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2510 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
2511 geheimes Codewort.
2512
2513 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: alle
2514 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2515 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2516 bringen kann.
2517
2518 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2519 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2520 Schlüsselbund.
2521
2522
2523 \clearpage
2524 %% Original page 20
2525 \chapter{Die Passphrase}
2526 \label{ch:passphrase}
2527
2528 Wie Sie oben gesehen haben, ist der private Schlüssel eine der
2529 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2530 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2531 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2532 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2533
2534 Es ist deswegen eminent wichtig, diesen private Schlüssel sicher
2535 abzuspeichern. Dies geschieht auf zweierlei Weise:
2536
2537 \begin{center}
2538 \IncludeImage[width=0.4\textwidth]{think-passphrase}
2539 \end{center}
2540
2541 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2542 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2543 weder zum schreiben noch zum lesen.  Es ist deswegen unbedingt zu
2544 vermeiden, den Schlüssel in einem öffentlichen Ordner
2545 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2546 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2547 ("`Homedir"') von GnuPG
2548 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2549 befinden; für einen Benutzer mit
2550 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2551 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2552 sein.  Der geheime Schlüssel befindet sich dort in eine Datei mit dem
2553 Namen \verb=secring.gpg=.
2554
2555 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2556 der Administrator des Rechners immer auf alle Dateien zugreifen --
2557 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2558 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2559 Trojanersoftware) kompromittiert werden. 
2560
2561 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2562 Passphrase.
2563
2564 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2565 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2566 haben und niemals aufschreiben müssen.
2567
2568 Trotzdem darf er nicht erraten werden können. Das klingt vielleicht
2569 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2570 mit deren Hilfe man sich einen völlig individuellen, leicht zu
2571 merkenden und nur sehr schwer zu erratende Passphrase ausdenken
2572 kann.
2573
2574
2575 \clearpage
2576 %% Original page 21
2577 Eine gute Passphrase kann so entstehen:
2578
2579 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: Ein blindes Huhn
2580 findet auch einmal ein Korn
2581
2582 Aus diesem Satz nehmen Sie zum Beispiel jeden dritten Buchstaben:
2583
2584 \verb-nieuf dahn lnr-
2585
2586 %%% FIXME: Das ist eine schlechte Memotechnik --- Neu schreiben.
2587
2588 Diesen Buchstabensalat kann man sich zunächst nicht unbedingt gut
2589 merken, aber man kann ihn eigentlich nie vergessen, solange man den
2590 ursprünglichen Satz im Kopf hat. Im Laufe der Zeit und je öfter man
2591 ihn benutzt, prägt sich so eine Passphrase ins Gedächtnis. Erraten
2592 kann ihn niemand.
2593
2594
2595 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2596 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2597 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2598 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2599 Sie wichtigen Liedes.
2600
2601
2602 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2603 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2604 "`ß"', "`\$"' usw.
2605
2606 Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
2607 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2608 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2609 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2610 Tastatur finden.
2611
2612
2613 %% Original page  22
2614 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2615 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2616 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz
2617
2618 In München steht ein Hofbräuhaus
2619
2620 könnten man beispielsweise diese Passphrase machen:
2621
2622 \verb-inMinschen stet 1h0f breuhome-
2623
2624 denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
2625 sich aber doch merken können, wie z.B.:
2626
2627 Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.
2628
2629 Eine Passphrase in dieser Länge ist ein sicherer Schutz für den
2630 geheimen Schlüssel.
2631
2632
2633 Es darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
2634 z.B. so:
2635
2636 Es blAut nEBen TaschengeLd auch im WiNter.
2637
2638 Kürzer, aber nicht mehr so leicht merken. Wenn Sie eine noch kürzere
2639 Passphrase verwenden, indem Sie hier und da Sonderzeichen benutzen,
2640 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
2641 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
2642 noch größer.
2643
2644 Ein extremes Beispiel für einen möglichst kurzen, aber dennoch sehr
2645 sichere Passphrase ist dieses hier:
2646
2647 \verb-R!Qw"s,UIb *7\$-
2648
2649 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
2650 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
2651 für die Erinnerung hat.
2652
2653 %% Original page 23
2654 Eine schlechte Passphrase
2655 ist blitzschnell geknackt,
2656 wenn er:
2657
2658 \begin{itemize}
2659 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
2660   \Email{}-Account oder Ihr Handy
2661
2662 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
2663   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
2664
2665 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
2666   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
2667   diese Daten herankommen.
2668
2669 \item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
2670   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
2671   Cracker routinemäßig und blitzschnell eine Passphrase.
2672
2673 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
2674   Denken Sie sich eine längere Passphrase aus.
2675
2676 \end{itemize}
2677
2678 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie auf gar
2679 keinen Fall eines der oben angeführten Beispiele.  Denn es liegt auf
2680 der Hand, dass jemand, der sich ernsthaft darum bemüht, Ihre
2681 Passphrase herauszubekommen, zuerst ausprobieren würde, ob Sie
2682 nicht eines dieser Beispiele genommen haben, falls er auch diese
2683 Informationen gelesen hat.
2684
2685 Seien Sie kreativ. Denken Sie sich jetzt eine Passphrase aus.
2686 Unvergesslich und unknackbar.
2687
2688 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre 
2689 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
2690
2691
2692
2693
2694 \clearpage
2695 %% Original page 24
2696 \chapter{Schlüssel im Detail}
2697 \label{KeyDetails}
2698 Der Schlüssel, den Sie erzeugt
2699 haben, besitzt einige
2700 Kennzeichen:
2701 \begin{itemize}
2702 \item die Benutzerkennung
2703 \item die Schlüsselkennung
2704 \item das Verfallsdatum
2705 \item das Benutzervertrauen
2706 \item das Schlüsselvertrauen
2707 \end{itemize}
2708
2709 \textbf{Die Benutzerkennung} besteht aus dem Namen und der
2710 \Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
2711 haben, also z.B. \newline
2712 \verb=-Heinrich Heine <heinrichh@gpg4win.de>=.
2713
2714 \textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
2715 Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
2716 auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
2717 liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
2718
2719 \textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
2720 gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
2721 "`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
2722 Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
2723 Beispiel, um sie an externe Mitarbeiter auszugeben.
2724
2725 \textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
2726 Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
2727 korrekt zu signieren.  Es kann über die Schaltfläche "`Ändern"'
2728 editiert werden.
2729
2730 \textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
2731 das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
2732 eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
2733 volles "`Schlüsselvertrauen"'.
2734
2735 Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
2736 unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
2737 erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
2738 und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
2739
2740
2741 \clearpage
2742 %% Original page 25
2743 \chapter{Die OpenPGP-Schlüsselserver}
2744 \label{ch:keyserver}
2745
2746 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
2747 OpenPGP-Zertifikats haben wir Ihnen bereits im
2748 Abschnitt~\ref{publishPerKeyserver} einführend erläutert. Dieses
2749 Kapitel beschäftigt sich mit den Details von Schlüsselservern.
2750
2751 %% Original page 26
2752
2753 Schlüsselserver können von allen Programmen benutzt werden, die den
2754 OpenPGP-Standard unterstützen.
2755
2756 In Kleopatra ist ein Keyserver bereits voreingestellt:
2757 \texttt{hkp://keys.gnupg.net}.
2758 Ein Mausklick unter
2759 %TODO:german
2760 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
2761 genügt, und Ihr Schlüssel ist unterwegs rund um die Welt.
2762 Es genügt, den Schlüssel an irgendeinen der verfügbaren
2763 Keyserver zu senden, denn fast alle synchronsieren sich weltweit
2764 miteinander.
2765 Es kann ein, zwei Tage dauern, bis Ihr Zertifikat wirklich überall
2766 verfügbar ist, aber dann haben Sie einen globales Zertifikat!
2767
2768 \begin{center}
2769 \IncludeImage[width=0.3\textwidth]{keyserver-world}
2770 \end{center}
2771
2772 Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
2773 über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
2774 nicht.  Dieses verteilte Netz von Keyservern sorgt für eine bessere
2775 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
2776 Schlüssel löschen um so die Kommunikation unmöglich zu machen
2777 ("`Denial of Service"'-Angriff).
2778
2779 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
2780 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
2781 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
2782 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
2783
2784 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
2785 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
2786 umgehen können.
2787
2788
2789 \clearpage
2790 \subsubsection{Adressen einiger Schlüsselserver}
2791
2792 Hier eine Auswahl von gut funktionierenden Schlüsselservern:
2793 \begin{itemize}
2794 \item hkp://blackhole.pca.dfn.de
2795 \item hkp://pks.gpg.cz
2796 \item hkp://pgp.cns.ualberta.ca
2797 \item hkp://minsky.surfnet.nl
2798 \item hkp://keyserver.ubuntu.com
2799 \item hkp://keyserver.pramberger.at
2800 \item http://gpg-keyserver.de
2801 \item http://keyserver.pramberger.at
2802 \end{itemize}   
2803 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
2804 besten die Keyserver, deren URL mit \verb-http://- beginnen.
2805
2806 Die Keyserver unter den Adressen
2807 \begin{itemize}
2808 \item hkp://keys.gnupg.net
2809 \item hkp://subkeys.pgp.net
2810 \end{itemize}
2811 sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
2812 dann zufällig ein konkreter Server ausgewählt.
2813
2814 \textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
2815 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
2816 werden.
2817
2818
2819
2820 \clearpage
2821 \subsubsection{Zertifikate auf Schlüsselservern suchen}
2822 %% Original page 27
2823
2824 Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen,
2825 können Sie auch nach Zertifikaten suchen.
2826
2827 Klicken Sie dazu in Kleopatra auf 
2828 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
2829 erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
2830 Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
2831 können:
2832
2833 %screenshot: Kleopatra certification search dialog
2834 \begin{center}
2835 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
2836 \end{center}
2837
2838 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
2839 auf den Button \Button{Details}.
2840
2841 \subsubsection{Zertifikate vom Schlüsselservern importieren}
2842 %% Original page 28
2843 Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
2844 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
2845 Zertifikat aus der Liste der Suchergebnisse und
2846 klicken Sie auf \Button{Importieren}!
2847
2848 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
2849 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
2850 \Button{OK}. 
2851
2852 War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
2853 der Kleopatra-Zertifikatsverwaltung.
2854
2855 %Im "`Schnelleinstieg"', Kapitel 7 ("`Sie entschlüsseln eine \Email{}"')
2856 %und 8 ("`Sie befestigen einen Schlüssel am Schlüsselbund"')
2857 %zeigen wir Ihnen, wie man
2858 %diesen Schlüssel importiert, d.h. am eigenen Gpg4win Schlüsselbund
2859 %befestigt, und damit eine \Email{} an den Besitzer verschlüsselt.
2860
2861
2862
2863 \clearpage
2864 %% Original page 30
2865 \chapter{Plugins für \Email{}-Programme}
2866 \label{ch:plugins}
2867
2868 Im "`Einsteiger-Handbuch"' haben wir im Kapitel 7 ("`Sie entschlüsseln
2869 eine \Email{}"') erwähnt, dass es Plugins für bestimmte \Email{}-Programme
2870 gibt, die die Ver- und Entschlüsselung erleichtern. Die im
2871 Schnelleinstieg vorgestellte Methode mit dem Frontend WinPT
2872 funktioniert einfach und schnell, und zwar mit jedem beliebigen
2873 \Email{}- und Text-Programm. Trotzdem ist für viele \Email{}-Anwender ein
2874 spezieller Programmzusatz in ihrem Lieblings-\Email{}er ein Vorteil.
2875
2876 Plugins für GnuPG gibt es im Moment für folgende Windows-Mailprogramme:
2877
2878 \begin{description}
2879 \item[Thunderbird] mit Plugin \textbf{Enigmail},
2880 \item[Outlook 2003] mit Plugin \textbf{GpgOL}, welches in Gpg4win
2881   enthalten ist.  Läuft nur unter Windows; Outlook sollte nur dann
2882   verwendet werden wenn andere organisatorische Vorgaben es
2883   bedingen.
2884 \item[Claws Mail], welches in Gpg4win enthalten.  Hier sind im
2885   Konfigurationsmenü die Plugins für "`PGP/Mime"' und "`PGP inline"'
2886   zu laden, bei einer Installation über Gpg4win ist das bereits
2887   geschehen.
2888 %\item[PostMe] nur Windows.
2889 %% FIXME Postme und mail: Prüfen ob noch verfügbar
2890 %\item[Eudora] Das Plugin wird in Gpg4win enthalten sein, falls
2891 %  einige rechtliche Fragen zufriedenstellend geklärt werden.
2892 \end{description}
2893
2894 Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
2895 anderen Unix Varianten laufen, über komfortablen und integrierten
2896 GnuPG Support.
2897
2898 Da sämtliche Komponenten des Gpg4win Pakets als Freie Software
2899 entstehen, ist die Entwicklung stark im Fluss.
2900
2901 Aktuelle Informationen über die Komponenten finden Sie unter www.gpg4win.de.
2902
2903 Informationen zu den Themen IT-Sicherheit, Gpg4win, GnuPG und anderer Software finden
2904 Sie auf der Website www.bsi-fuer-buerger.de und www.bsi.de des Bundesamtes für
2905 Sicherheit in der Informationstechnik.
2906
2907 \clearpage
2908 %% Original page 31
2909 \chapter{Die Zertifikatsprüfung}
2910 \label{ch:trust}
2911
2912 Woher wissen Sie eigentlich, dass das fremde Zertifikat
2913 wirklich vom Absender stammt? Und umgekehrt -- warum sollte Ihr
2914 Korrespondenzpartner glauben, dass das Zertifikat, das Sie
2915 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
2916 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
2917
2918 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2919 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2920 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2921 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2922 Identität des Absenders.
2923
2924 \clearpage
2925 \subsubsection{Der Fingerabdruck}
2926 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2927 die Sache mit der Identität schnell geregelt: Sie prüfen den
2928 Fingerabdruck des anderen Zertifikats.
2929
2930 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
2931 es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
2932 eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
2933 "`Fingerprint"'.
2934
2935 Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
2936 lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
2937 dessen 40-stelligen Fingerabdruck:
2938
2939 %TODO: mit Adeles Zertifikat
2940 % screenshot:  GPA key listing with fingerprint
2941 \begin{center}
2942 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2943 \end{center}
2944
2945 Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:\\
2946 %TODO
2947 \verb+DD87 8C06 E8C2 BEDD D4A4 40D3 E573 3469 92AB 3FF7+
2948
2949
2950
2951 %% Original page 32
2952 ~\\
2953 Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
2954 Besitzer eindeutig.
2955
2956 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
2957 von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben
2958 mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
2959 eindeutig das richtige Zertifikat.
2960
2961 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2962 Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
2963 solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
2964 gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
2965 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
2966 den Anruf ersparen.
2967
2968
2969 \clearpage
2970 \subsubsection{OpenPGP-Zertifikat signieren}
2971
2972 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2973 Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
2974 dieses Zertifikat zu signieren.
2975
2976
2977 \textit{Beachten Sie: \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2978 Signieren von Zertifikaten ist nur mit OpenPGP
2979 möglich. X.509 bietet dieses Verfahren nicht!}
2980
2981 Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen
2982 (Gpg4win-)Benutzern mit, dass Sie dieses
2983 Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
2984 dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
2985 Echtheit.
2986
2987 \textbf{Wie funktioniert das Signieren nun genau?}\\
2988 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
2989 halten und signieren möchten. Wählen Sie anschließend im Menü:
2990 %TODO:german
2991 \Menu{Zertifikate$\rightarrow$Certify
2992 Certificate...}
2993
2994 Im nachfolgenden Dialog wählen Sie nun noch einmal das zu signierende
2995 OpenPGP-Zertifikat aus:
2996
2997 % TODO screenshot: Kleopatra certify certificate 1
2998 \begin{center}
2999 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
3000 \end{center}
3001 Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
3002
3003 \clearpage
3004 Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
3005 (im letzten Schritt ausgewählte) Zertifikat signieren wollen:
3006 % TODO screenshot: Kleopatra certify certificate 2
3007 \begin{center}
3008 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
3009 \end{center}
3010
3011 %TODO:german
3012 Entscheiden Sie hier, ob die Signierung nur für Sie lokal 
3013 \Button{Certify only for myself} oder für alle sichtbar
3014 \Button{Certify for everyone to see} werden soll. Bei
3015 letzterer Variante haben Sie die Option, das signierte Zertifikat
3016 anschließend auf einen Keyserver hochzuladen.
3017
3018 Bestätigen Sie Ihre Auswahl mit \Button{Certify}.
3019
3020 %TODO#:Passphrase eingeben!
3021
3022 %\clearpage
3023 Bei erfolgreicher Signierung erhalten Sie folgendes Fenster:
3024 % TODO screenshot: Kleopatra certify certificate 3
3025 \begin{center}
3026 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
3027 \end{center}
3028
3029
3030
3031 \clearpage
3032 %% Original page 33/34
3033
3034 \subsubsection{Das Netz des Vertrauens}
3035
3036 So entsteht -- auch über den Kreis von
3037 Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
3038 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
3039 angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
3040 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3041
3042 \begin{center}
3043 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
3044 \end{center}
3045
3046 Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats,
3047 wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat
3048 wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
3049 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
3050 Zertifikat wirklich Ihnen und niemandem sonst gehört.
3051
3052 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
3053 Beglaubigungs-Infra\-struktur.
3054
3055 Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung 
3056 aushebeln kann: jemand schiebt Ihnen einen falsches
3057 Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
3058 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
3059 solches gefälschtes Zertifikat signiert wird, hat das "`Netz des
3060 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
3061 vergewissern, ob ein Zertifikat, wirklich zu der Person
3062 gehört, der er zu gehören vorgibt.
3063
3064 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
3065 Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
3066 nicht die Lösung sein\ldots
3067
3068
3069 \clearpage
3070 %% Original page 35
3071 \subsubsection{Zertifizierungsinstanzen}
3072
3073 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
3074 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
3075 Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
3076 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3077  sondern vertrauen darauf, dass die ausstellende
3078 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
3079
3080 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
3081 Verschlüsselung. In Deutschland bietet unter anderem z.B. die
3082 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
3083 wie viele Universitäten.
3084
3085 Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
3086 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
3087 sich darauf verlassen.
3088
3089 ~\\
3090 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
3091 anderen Verschlüsselungssystemen -- wie z.B. S/MIME  --
3092 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
3093 vorgesehen.
3094 Allerdings sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
3095 Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' besitzt mit dem Recht
3096 diese Unterinstanzen zu beglaubigen (vgl. Abschnitt~\ref{ch:openpgpsmime}).
3097
3098 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
3099 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
3100 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
3101 übergeordneten Stelle erhalten hat.
3102
3103
3104 %% Original page 36
3105
3106 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
3107 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
3108 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
3109 beruhende "`Web of Trust"' der GnuPG- und PGP-Modelle. Der Kern der
3110 Beglaubigung selbst ist allerdings völlig identisch: Gpg4win
3111 unterstützt neben dem "`Web of Trust"' (OpenPGP) zusätzlich auch 
3112 eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach
3113 entspricht Gpg4win dem strengen Signaturgesetz der
3114 Bundesrepublik Deutschland.
3115
3116 Wenn Sie sich weiter für dieses Thema interessieren, dann
3117 können Sie sich an der Quelle informieren: die Website 
3118 "`\xlink{Sicherheit im Internet}{http://www.sicherheit-im-internet.de}"' 
3119 des Bundesministeriums für Wirtschaft und Technologie
3120 \T\linebreak(\href{http://www.sicherheit-im-internet.de}{www.sicherheit-im-internet.de})
3121 hält Sie über dieses und viele andere
3122 Themen aktuell auf dem Laufenden.
3123
3124 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
3125 der Beglaubigungsinfrastrukturen bietet das 
3126 \xlink{Original GnuPG Handbuch}{http://www.gnupg.org/gph/de/manual},
3127 das Sie ebenfalls im Internet finden\linebreak
3128 \T(\href{http://www.gnupg.org/gph/de/manual}{www.gnupg.org/gph/de/manual}).
3129
3130
3131
3132 \clearpage
3133 %% Original page 43
3134
3135 \chapter{Dateianhänge verschlüsseln}
3136
3137 Was tun, wenn Sie zusammen mit Ihrer \Email{} eine Datei versenden und
3138 diese ebenfalls verschlüsseln wollen? Die Verschlüsselung, wie wir sie
3139 in Kapitel 9 von "`Gpg4win für Einsteiger"' erklärt haben, erfasst nur
3140 den Text der \Email{}, nicht aber eine gleichzeitig versandte,
3141 angehängte Datei. 
3142
3143 Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
3144 dann in verschlüsseltem Zustand an die \Email{} an.
3145
3146 Und zwar so:
3147
3148 Klicken Sie die Datei mit der rechten Maustaste an und wählen Sie aus
3149 dem Menü \linebreak \Menu{GPGee$\rightarrow$Verschlüsseln (PK)}.  Sie
3150 sehen daraufhin das Fenster welches Sie schon im Kapitel "`Dateien
3151 signieren"' kennengelernt haben.
3152
3153 Hier ist nun in der unteren linken Box "`Public-Key"' markiert.  Sie
3154 müssen jetzt im oberen Fenster auswählen, an welche Empfänger sie
3155 verschlüsseln wollen,  kreuzen Sie einfach die entsprechenden Schlüsseln an.
3156
3157 Möchten Sie diese Datei (und damit auch den Dateianhang) auch noch
3158 signieren, so können Sie dies in der mittleren unteren Box auswählen
3159 ("`Angehängt"').
3160
3161 Die Datei wird verschlüsselt und mit der Endung \verb-.gpg- im
3162 gleichen Ordner abgelegt wie die Originaldatei. Nun kann die
3163 verschlüsselte Datei wie jede andere als Attachment an eine \Email{}
3164 angehängt werden.
3165
3166 Viele Mailprogramme unterstützten das PGP/MIME Format, welches
3167 automatisch die Mail samt Anhängen verschlüsselt -- in diesem Fall
3168 sollte das hier beschrieben Verfahren nicht angewandt werden.  Einige
3169 anderer Mailprogramme verfügen über eine Option die das oben
3170 beschrieben Verfahren automatisch durchführen.
3171
3172
3173 \clearpage
3174 \chapter{Dateien: Verschlüsselung und Signaturen}
3175
3176 Dieser Abschnitt ist noch nicht ausformuliert.
3177 Er wird die Anwendung von GpgEX beschreiben.
3178
3179 \clearpage
3180 %% Original page 41
3181 \section{Dateien signieren}
3182
3183 Nicht nur \Email{}s, auch Dateien --­ z.B. ein PDF-Dokument -- kann
3184 man signieren, bevor man sie per \Email{} verschickt oder per
3185 USB-Stick weitergibt. Auch dabei kommt es nicht vorrangig auf die
3186 Geheimhaltung, sondern auf die Unverändertheit der Datei an.
3187
3188 Diese Funktion können Sie bequem mit \textbf{GpgEX} aus dem Kontextmenü des
3189 Windows Explorers ausführen. Dazu öffnen Sie dessen Menü mit der rechten
3190 Maustaste:
3191
3192 % TODO screenshot GpgEX contextmenu
3193 \begin{center}
3194 \IncludeImage{sc-gpgee-ctxmenu}
3195 \end{center}
3196
3197 Dort wählen Sie \Menu{signieren} aus, woraufhin das folgende Fenster
3198 erscheint:
3199
3200 %TODO screenshot GpgEX sign/encrypt file
3201 \begin{center}
3202 \IncludeImage{sc-gpgee-signmenu}
3203 \end{center}
3204
3205 Sie sehen in der Mitte eine Möglichkeit den Signaturschlüssel
3206 auszuwählen -- nutzen Sie dies, falls Sie mit einem anderen als
3207 Ihrem Standardschlüssel signieren möchten.
3208
3209 Die drei Rahmen im unter Teil steuern die Signatur/Verschlüsselungs-Funktion;
3210 die Vorgaben sind in
3211 den meisten Fällen richtig.  Die linke untere Box, steuert die
3212 Verschlüsselung.  Da Sie lediglich signieren möchten ist hier
3213 "`Keine"' ausgewählt.
3214
3215 In der mittleren Box können Sie die Art der Signatur wählen. Sie
3216 verwenden hier am besten eine "`abgetrennte"' Signatur; dies bedeutet,
3217 dass die zu signierende Datei unverändert bleibt und eine zweite Datei
3218 mit der eigentlichen Signatur erzeugt wird.  Um die Signatur später zu
3219 überprüfen sind dann beide Dateien notwendig.
3220
3221 In der rechten Box finden Sie noch weitere Optionen.  "`Textausgabe"'
3222 ist dort vorgegeben.  Dies erzeugt eine abgetrennte Signaturdatei mit
3223 einem Dateinamen der auf "`.asc"' endet und die direkt mit jedem
3224 Texteditor lesbar ist -- sie würden dort den Buchstaben- und
3225 Ziffernsalat sehen, den Sie bereits kennen.  Wenn diese Option nicht
3226 ausgewählt ist, so wird eine Datei mit der Endung "`.sig"' erzeugt,
3227 die dann nicht direkt lesbar ist (binäre Datei).  Was Sie hier
3228 benutzen ist eigentlich gleichgültig; Gpg4win kommt mit beiden Arten
3229 klar.
3230
3231 Zum Überprüfen der Unverändertheit und der Authentizität
3232 müssen die Original- und die signierte Datei im selben
3233 Verzeichnis liegen.  Man öffnet die signierte Datei -- also die mit der
3234 Endung "`.sig"' oder "`.asc"' -- wieder aus dem Kontextmenü des Explorers
3235 mit \Menu{GPGee$\rightarrow$Überprüfen/Entschlüsseln }.
3236
3237 Daraufhin erhalten Sie eine Ausgabe, ob die Signatur gültig ist --
3238 also die Datei nicht verändert wurde.  Selbst wenn nur ein Zeichen
3239 hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
3240 ungültig angezeigt.
3241
3242
3243 \clearpage
3244 %% Original page 45
3245 \chapter{Im- und Export eines geheimen Schlüssels}
3246 \label{ch:ImExport}
3247
3248 Im "`Schnellstart"'-Handbuch haben wir in den Kapiteln 5, 6 und 8 den
3249 Im- und Export eines öffentlichen Schlüssels besprochen. Wir haben
3250 Ihren eigenen öffentlichen Schlüssel exportiert, um ihn zu
3251 veröffentlichen, und wir haben den öffentlichen Schlüssel Ihres
3252 Korrespondenzpartners importiert und "`am Schlüsselbund"' befestigt.
3253
3254 Dabei ging es stets um den öffentlichen Schlüssel. Es gibt aber auch
3255 hin und wieder die Notwendigkeit, einen geheimen Schlüssel zu im- oder
3256 exportieren. Wenn Sie zum Beispiel einen bereits vorhandenen
3257 PGP-Schlüssel mit Gpg4win weiterbenutzen wollen, müssen Sie ihn
3258 importieren.  Oder wenn Sie Gpg4win von einem anderen Rechner aus
3259 benutzen wollen, muss ebenfalls zunächst der gesamte Schlüssel dorthin
3260 transferiert werden --­ der öffentliche und der private Schlüssel.
3261
3262 %\clearpage
3263 %% Original page 46
3264
3265 Wir gehen im folgenden von der zur Zeit aktuellen PGP-Version 7 aus, in allen
3266 anderen ist der Vorgang ähnlich.
3267
3268 Zunächst speichern Sie beiden PGP-Schlüsselteile ab. Dazu müssen Sie
3269 in "`PGPkeys"' Ihren Schlüssel anklicken und "`Keys / Export"'
3270 anwählen. Auf dem Dateiauswahldialog "`Export Key to File"' sehen Sie
3271 unten links eine Checkbox "`Include Private Keys"', den Sie anklicken
3272 und mit einem Häkchen versehen müssen. PGP speichert beide
3273 Schlüsselteile in eine Datei ab, die Sie entsprechend benennen, zum
3274 Beispiel \Filename{geheimer-key.asc}.  
3275
3276 Öffnen Sie nun GPA oder WinPT und importieren sie einfach diese Datei.
3277 Es werden dann sowohl der geheime als auch der öffentliche Schlüssel
3278 importiert; sie sind dann sofort sichtbar. \textbf{Löschen Sie danach
3279   unbedingt die Datei \Filename{geheimer-key.asc} wieder und entfernen
3280   Sie diesen auch aus dem "`Papierkorb"'.}  Damit haben Sie einen
3281 PGP-Schlüssel erfolgreich in Gpg4win importiert und können ihn dort
3282 genau wie einen normalen GnuPG-Schlüssel benutzen.
3283
3284 Es kann in einigen Fällen vorkommen, dass Sie einen importierten
3285 Schlüssel nicht direkt benutzen können.  Dies äußert sich darin, dass
3286 Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
3287 wird.  Das kommt daher, dass einige Versionen von PGP intern den
3288 IDEA Algorithmus verwenden.  Dieser kann von GnuPG aus rechtlichen
3289 Gründen nicht unterstützt werden.  Um das Problem zu beheben,
3290 ändern Sie in PGP einfach die Passphrase und
3291 exportieren/importieren Sie den Schlüssel erneut.  Sollte dies auch
3292 nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3293 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
3294 -- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
3295 \textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
3296   eine echte Passphrase zu setzen.}
3297
3298 \clearpage
3299 %% Original page 47
3300 \section{Export eines GnuPG-Schlüssels}
3301
3302 Immer wenn Sie einen GnuPG-Schlüssel auf einen anderen Rechner
3303 transferieren oder auf einer anderen Festplattenpartition bzw. einer
3304 Sicherungsdiskette speichern wollen, müssen Sie mit WinPT oder GPA ein Backup erstellen.
3305 Dies entspricht dem Backup, welches Sie bei der Schlüsselerzeugung
3306 auch schon durchgeführt haben.  Da Ihr Schlüssel inzwischen weitere
3307 Schlüsselunterschriften haben kann, sollte Sie es erneut durchführen.
3308
3309 Klicken Sie in der GPA-Schlüsselverwaltung den Schlüssel an, den Sie sichern
3310 wollen und wählen
3311 Sie dann den Menüpunkt \Menu{Schlüssel$\rightarrow$Sicherheitskopie anlegen}.
3312
3313 % screenshot: GPA, Backup erzeugen
3314 \begin{center}
3315 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup}
3316 \end{center}
3317
3318 Bestätigen Sie den Dateinamen oder wählen Sie einen anderen und GPA
3319 wird eine Sicherheitskopie bestehend aus dem geheimen und öffentlichen
3320 Schlüssel anlegen. Danach werden Sie noch daran erinnert, dass Sie
3321 diese Datei sehr sorgfältig zu handhaben ist:
3322
3323 % screenshot: GPA, Backup Hinweis
3324 \begin{center}
3325 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup-warn}
3326 \end{center}
3327
3328
3329 Beim Import, also zum Beispiel auf einem anderen Rechner, importieren
3330 Sie einfach diese Sicherheitskopie in WinPT oder GPA.
3331 Gpg4win wird dann sowohl den
3332 geheimen als auch den öffentlichen Schlüssel aus dieser Datei
3333 importieren.
3334
3335 Damit haben Sie erfolgreich einen GnuPG-Schlüssel exportiert und
3336 wieder importiert.
3337
3338 \clearpage
3339 \chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
3340
3341 Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
3342 in denen viele Anwender auf einem System arbeiten,
3343 ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
3344 für Gpg4win einzurichten.
3345
3346 Einige typische systemweite Einrichtungen sind:
3347
3348 \begin{itemize}
3349 \item Vertrauenswürdige Wurzel-Zertifikate
3350
3351         Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3352         Wurzelzertifikate suchen und installieren sowie Vertrauenswürdigkeit
3353         prüfen und setzen muss, ist eine systemweite Vorbelegung der
3354         wichtigsten Wurzel-Zertifikate sinnvoll.
3355
3356         Dafür sind folgende Schritte durchzuführen:
3357         \begin{enumerate}
3358         \item Die Wurzel-Zertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
3359                 beschrieben.
3360         \item Die vertrauenswürdigen Wurzeln definieren wie unter Abschnitt \ref{systemtrustedrootcerts}
3361                 beschrieben.
3362         \end{enumerate}
3363
3364 \item Direkt verfügbare CA-Zertifkate
3365
3366         Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
3367         (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
3368         eine systemweite Vorbelegung der wichtigesten CA-Zertifkate sinnvoll.
3369
3370         Folgen Sie dazu der Beschreibung unter Abschnitt \ref{extracertsdirmngr}
3371
3372 \item Proxy für Verzeichnisdienst-Suche
3373
3374         Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
3375         Systeme nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.
3376
3377         Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
3378         LDAP-Abfragen, so führen Sie folgende Schritte durch:
3379
3380         \begin{enumerate}
3381         \item Stellen Sie Verzeichnisdienst-Suchen auf Ihren Proxy wie unter Abschnitt \ref{ldapservers} ein.
3382         \item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
3383                 wie beispielsweise \verb@http-proxy http://proxy.mydomain.example:8080@ (ggf. analog
3384                 für LDAP) als Administrator in die Datei\newline
3385                 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3386                 eintragen.
3387         \end{enumerate}
3388 \end{itemize}
3389
3390 \clearpage
3391 \chapter{Bekannte Probleme und was man tun kann}
3392
3393 \section{GpgOL Menüs und Dialog nicht mehr in Outlook zu finden}
3394
3395 Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
3396 die Menüs und Dialog die von GpgOL zu Outlook hinzugefügt
3397 werden nicht mehr zu finden sind.
3398
3399 Das ist dann der Fall wenn ein technisches Problem auftrat
3400 und Outlook aus diesem Grund das GpgOL Element deaktiviert.
3401
3402 Reaktivieren Sie GpgOL über das Menü
3403 ,,Hilfe-> Info-> Deaktivierte Elemente''.
3404
3405 \section{Systemdienst ,,DirMngr'' läuft nicht}
3406
3407 ,,DirMngr'' ist ein über Gpg4win installierter Dienst der
3408 die Zugriffe auf Verzeichnisdienste
3409 (z.B. LDAP) verwaltet. Eine der häufigsten Aufgaben ist das Laden
3410 von Sperrlisten für S/MIME Zertifikate.
3411
3412 Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
3413 Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3414 ,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
3415 ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
3416 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3417 werden da möglicherweise ein kompromittiertes Zertifkat genutzt wird.
3418
3419 Abhilfe: Neustart des ,,DirMngr'' durch den Systemadministrator.
3420 Dies erfolgt über Systemsteuerung -> Verwaltung -> Dienste:
3421 In der Liste finden Sie ,,DirMngr'' -
3422 über das Kontextmenü kann der Dienst neu gestartet werden.
3423
3424 \clearpage
3425 \chapter{Wo finde ich die Dateien und Einstellungen von Gpg4win?}
3426
3427 \section{Persönliche Einstellungen der Anwender}
3428
3429 Die persönlichen Einstellungen für jeden Anwender befinden sich
3430 im Verzeichnis \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
3431 Verzeichnis \newline
3432 \Filename{C:\back{}Dokumente und Einstellungen\back{}name\back{}Anwendungsdaten\back{}gnupg}.
3433
3434 Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt.
3435 Im Explorer müssen Sie über das Menü ,,Extras-> Ordneroptionen''
3436 dann im Reiter ,,Ansicht'' für ,,Versteckte Dateien und Ordner''
3437 auf ,,Alle Dateien und Ordner anzeigen'' umstellen.
3438
3439 In diesem Ordner befinden sich sämtliche persönlichen GnuPG Daten,
3440 also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und
3441 Programmkonfigurationen.
3442 \\
3443
3444 \section{Zwischengespeicherte Sperrlisten}
3445
3446 Der systemweite Dienst ,,DirMngr'' prüft unter anderem ob
3447 ein Zertifkate gesperrt und daher nicht verwendet werden darf.
3448 Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate
3449 (,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
3450 zwischengespeichert.
3451
3452 Abgelegt werden diese Sperrlisten unter\newline
3453 \Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\newline
3454 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3455
3456 Hierbei handelt es sich um einen sogenannten ,,geschützten'' Bereich
3457 und kann daher nur mit dem Explorer eingesehen werden, wenn für die
3458 Ansicht eingestellt ist, dass auch geschützte Dateien angezeigt werden sollen.
3459
3460 In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
3461
3462 \section{Vertrauenswürdige Wurzeln von DirMngr \label{trustedrootcertsdirmngr}}
3463
3464 Für eine vollständige Prüfung von Zertifkats-Gültigkeiten
3465 muss auch den Wurzel-Zertifkaten vertraut werden, in deren
3466 Zertifizierungskette die Sperrlisten unterschrieben wurden.
3467
3468 Die Liste der Wurzel-Zertifkate denen DirMngr bei den
3469 Prüfungen vertrauen soll liegt unter\newline
3470 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3471
3472 Für systemweite Vorgaben sollten hier die Wurzel-Zertifkate abgelegt werden
3473 denen alle Anwender vertrauen können.
3474
3475 \section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
3476
3477 Um wie oeben beschrieben die Zertifizierungskette zu
3478 prüfen sind auch die Zertifkate der Zertifizierungsstellen
3479 (Certificate Authorities, CAs) zu prüfen.
3480
3481 Für eine direkte Verfügbarkeit können sie in diesem Verzeichnis abgelegt
3482 werden:\newline
3483 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3484
3485 Zertifkate die nicht hier oder bei den Anwendern vorliegen müssen
3486 entweder automatisch von LDAP-Servern geladen werden oder, falls so nicht
3487 verfügbar, per Hand importiert werden.
3488
3489 Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
3490 wichtigsten CA-Zertifkate abzulegen.
3491
3492 \section{Konfiguration zur Verwendung externer LDAP Verrzeichnisdienste \label{ldapservers}}
3493
3494