b88456a0fb640cb6ba4d986057b72680a65c064f
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5 \usepackage{hyperlatex}
6 \usepackage{a4wide}
7 \usepackage{times}
8 \usepackage[latin1]{inputenc}
9 \usepackage[T1]{fontenc}
10 \usepackage{german}
11 \usepackage{graphicx}
12 \usepackage{alltt}
13 \usepackage{moreverb}
14 \usepackage{fancyhdr}
15 \W\usepackage{rhxpanel}
16 \W\usepackage{sequential}
17
18
19 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
20
21
22 % Hyperref should be among the last packages loaded
23 \usepackage{hyperref}
24
25 % Macros specific to this package
26 \input{macros.tex}
27 \newcommand{\manualversion}{\manualversionEinsteiger}
28 \newcommand{\manualdate}{\manualdateEinsteiger}
29 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
30
31
32 \T\fancyhead{} % clear all fields
33 \T\fancyhead[LO,RE]{Das Gpg4win Kompendium \manualversion \manualinprogress \\ 
34     \itshape\nouppercase{\leftmark}}
35 \T\fancyhead[RO,LE]{\thepage}
36 \T\fancyfoot[C]{\includegraphics[width=1cm]{gpg4win-logo}}
37
38
39 % Title stuff 
40 \htmltitle{Gpg4win Kompendium}
41 %\htmladdress{Gpg4win Project, \today}
42 \title{
43 \IncludeImage[width=8cm]{gpg4win-logo}
44 \\
45 Das Gpg4win Kompendium}
46
47 \author{\htmlonly{\xml{p}\small
48 \xlink{Downloadübersicht aller PDF Versionen}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
49 Zu \xlink{Gpg4win für Durchblicker}{durchblicker.html}\xml{br}
50 Zu \xlink{Englische Version dieses Handbuchs}{novices.html}\xml{br}
51 Zur \xlink{Gpg4win Homepage}{http://www.gpg4win.de/}\xml{p}
52 }%
53 Eine Veröffentlichung des Gpg4win Projekts\\
54   \small Basierend auf einem Original von 
55 \T\\
56   \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
57 \T\\
58   \small Dr. Francis Wray und Ute Bahn.
59 \T\\ \
60   \small Überarbeitet von
61 \T\\
62   \small Werner Koch}
63 \date{Version \manualversion\ vom \manualdate\ \manualinprogress}
64
65
66 \begin{document}
67 \thispagestyle{empty}
68 \pagestyle{fancy}
69 \T\parindent0cm
70 \T\parskip\medskipamount
71
72
73 \maketitle
74
75
76 \section*{Impressum}
77 \noindent
78 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
79 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
80 verändert wird, soll in keiner Form der Eindruck eines Zusammenhanges
81 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
82 werden.}\\
83 Copyright \copyright{} 2005 g10 Code GmbH\\
84 Permission is granted to copy, distribute and/or modify this document
85 under the terms of the GNU Free Documentation License, Version 1.2 or
86 any later version published by the Free Software Foundation; with no
87 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
88 copy of the license is included in the section entitled "`GNU Free
89 Documentation License"'.
90
91 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
92 oben stehenden Hinweises.]}\\
93 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
94 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
95 Documentation License, Version 1.2 oder einer späteren, von der Free
96 Software Foundation veröffentlichten Version.  Es gibt keine
97 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
98 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
99 License"' findet sich im Anhang mit dem gleichnamigen Titel.
100 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
101 http://www.gnu.org/licenses/translations.html.
102
103 %%\htmlonly{Die aktuelle PDF Version dieses Dokuments finden sie unter
104 %%\xlink{\EinsteigerPDFURL}{\EinsteigerPDFURL}.}
105
106 Wie das Kryptographieprogramm Gpg4win selbst, wurde diese Dokument
107 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
108 sondern für jedermann.
109
110
111
112 \clearpage %% End of original page 4.
113
114 \tableofcontents
115
116 %%\clearpage
117 %% Orginal page  6
118 %% We don't use these foreword anymore because Mr. Müller is not
119 %% anymore minister of economic and technology.  We might want to ask
120 %% for a new foreword by the current head of that ministr
121 %%
122
123 \clearpage
124 %% Orginal page 7
125 \chapter*{Über dieses Handbuch}
126 \T\addcontentsline{toc}{chapter}{Über dieses Handbuch}
127
128
129 Das Gpg4win-Anleitungs- und Übungsmaterial besteht aus drei Teilen:
130
131 \begin{itemize}
132
133 \item \textbf{Teil~\ref{part:Einsteiger} für Einsteiger}: Der
134     Schnelleinstieg in Gpg4win.
135
136 \item \textbf{Teil~\ref{part:Fortgeschrittene} für Fortgeschrittene}:
137     Das Hintergrundwissen für Gpg4win.
138
139 \item \textbf{Der Übungsroboter Adele,} mit dem Sie die \Email{}-Ver- und
140   Entschlüsselung so oft üben können, wie Sie wollen.
141 \end{itemize}
142
143
144 \textbf{Teil~\ref{part:Einsteiger} für "`Einsteiger"'} führt Sie kurz
145 und knapp durch die Installation
146 und die alltägliche Benutzung der Gpg4win-Software. Der Zeitbedarf
147 für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
148 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
149 etwa eine halbe Stunde Zeit nehmen.
150
151 \textbf{Teil~\ref{part:Fortgeschrittene} für "`Fortgeschrittene"'}
152 liefert Hintergrundwissen, das Ihnen die
153 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
154 seltener benutzten Fähigkeiten erläutert.
155
156 Beide Handbuchteile können unabhängig voneinander benutzt werden. Zu
157 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
158 der angegebenen Reihenfolge lesen.
159
160
161 \textbf{Der Übungsroboter Adele} steht Ihnen im Internet zur
162 Verfügung. Adele empfängt und sendet verschlüsselte \Email{}s und
163 entschlüsselt sie auch. Sie können also mit Adele einen kompletten
164 Verschlüsselungsdialog so lange üben, bis Sie sich völlig mit dem
165 Gebrauch der Software vertraut gemacht haben.
166
167 Adele ist im Rahmen des alten GnuPP Projektes entstanden und
168 läuft dort noch immer. "`Gpg4win für Einsteiger"' verwendet diesen
169 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
170 für den Betrieb von Adele.
171
172
173
174
175
176 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
177 % Part I
178
179 \clearpage
180 \part{Einsteiger}
181 \label{part:Einsteiger}
182 \addtocontents{toc}{\protect\vspace{0.3cm}}
183
184 %% Orginal page 8
185 \chapter{Was ist Gpg4win?}
186
187 \textbf{Das Projekt Gpg4win (GNU Privacy Guard for Windows) ist eine vom
188 Bundesamt für Sicherheit in der Informationstechnik beauftragte
189 \Email{}-Verschlüsselungssoftware. Gpg4win bezeichnet ein Gesamtpaket,
190 welches die folgenden Programme umfasst:}
191
192 \begin{description}
193     \item[GnuPG:] GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
194     \item[Kleopatra:] Die zentrale Zertifkatsverwaltung von Gpg4win.
195         Unterstützt OpenPGP und X.509\linebreak (S/MIME) und bietet
196         eine einheitliche Benutzerführung für alle
197         Krypto-Opertationen.
198     \item[GpgOL:] GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
199         Outlook 2003, die verwendet wird um Nachrichten mit OpenPGP
200         oder S/MIME zu verschlüsseln.
201     \item[GpgEX:] GPG Shell Extension (GpgEX) ist eine Erweiterung für
202         den Windows Explorer, die es ermöglicht, Dateien über das
203         Kontextmenü zu verschlüsseln.
204     \item[GPA:] Der GNU Privacy Assistent (GPA) ist ein Programm zum
205         Verwalten von Schlüsseln welches für mehrere Plattformen
206         verfügbar ist.
207     \item[Claws Mail:] Claws Mail ist ein vollständiges
208         \Email{}-Programm mit sehr guter Unterstützug für GnuPG.
209 GnuPG-Bedienung.
210 \end{description}
211
212
213 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
214 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln. GnuPG
215 kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
216 von GnuPG eingesetzte Verschlüsselungstechnologie ist sehr
217 sicher und kann nach dem heutigen
218 Stand von Forschung und Technik nicht gebrochen werden.
219
220 GnuPG ist \textbf{Freie Software}\footnote{oft ungenau auch als Open Source
221 Software bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
222 nach Belieben kommerziell oder privat zu nutzen.  Jedermann darf den
223 Quellcode, also die eigentliche Programmierung des Programms, genau
224 untersuchen und auch selbst Änderungen durchführen und diese
225 weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
226 ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
227 durchführen, da hierdurch die Sicherheit der Software beeinträchtigt
228 werden kann.}
229
230 Für eine Sicherheits-Software ist diese garantierte Transparenz des
231 Quellcodes eine unverzichtbare Grundlage. Nur so läßt sich die
232 Vertrauenswürdigkeit eines Programmes prüfen.
233
234 GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC 2440), ist
235 vollständig kompatibel zu PGP und benutzt die gleiche Infrastruktur
236 (Schlüsselserver etc.). Seit Version 2 von GnuPG wird auch der
237 kryptographische Standard \textbf{S/MIME} (CMS/RFC 3852 bzw. X.509)
238 unterstützt.
239
240 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
241 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
242 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
243 mehr dem Stand der Technik.
244
245 Weitere Informationen zu GnuPG und den Projekten der Bundesregierung
246 zum Schutz des Internets finden Sie auf der Website
247 \W\xlink{www.bsi-fuer-buerger.de}{http://www.bsi-fuer-buerger.de}
248 \T\href{http://www.bsi-fuer-buerger.de}{www.bsi-fuer-buerger.de}
249 des Bundesamtes für Sicherheit in der Informationstechnik.
250
251
252 \clearpage
253 %% Original page 6
254 \chapter{Warum überhaupt verschlüsseln?}
255 \label{ch:why}
256
257 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
258 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
259 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
260 Verschlüsselung nunmehr für jedermann frei und kostenlos
261 zugänglich\ldots
262
263 \begin{center}
264 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
265 \end{center}
266
267 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
268 um rund um den Globus miteinander zu kommunizieren und uns zu
269 informieren. Aber Rechte und Freiheiten, die in anderen
270 Kommunikationsformen längst selbstverständlich sind, müssen wir uns in
271 den neuen Technologien erst sichern. Das Internet ist so schnell und
272 massiv über uns hereingebrochen, dass wir mit der Wahrung unserer Rechte
273 noch nicht so recht nachgekommen sind.
274
275
276 Beim altmodischen Briefschreiben haben wir die Inhalte unserer
277 Mitteilungen ganz selbstverständlich mit einem Briefumschlag
278 geschützt. Der Umschlag schützt die Nachrichten vor fremden Blicken,
279 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
280 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
281 Postkarte, die auch der Briefträger oder andere lesen können.
282
283
284 \clearpage
285 %% Original page 7
286
287 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmt
288 man selbst und niemand sonst.
289
290 Diese Entscheidungsfreiheit haben wir bei \Email{} nicht. Eine normale
291 \Email{} ist immer offen wie eine Postkarte, und der elektronische
292 "`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
293 ist sogar noch schlimmer: die Computertechnik bietet nicht nur die
294 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
295 zu verteilen, sondern auch, sie zu kontrollieren.
296
297 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
298 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
299 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
300 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
301 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
302 schon im großen Stil mit Ihrer und meiner \Email{}
303 geschieht\footnote{Hier sei nur an das \xlink{Echelon
304     System}{\EchelonUrl} erinnert%
305 \T; siehe \href{\EchelonUrl}{\EchelonUrl}%
306 .}.
307
308 Denn: Der Umschlag fehlt.
309
310 \begin{center}
311 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
312 \end{center}
313
314 \clearpage
315 %% Original page 8
316
317 Was wir Ihnen hier vorschlagen, ist ein Umschlag für Ihre
318 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
319 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
320 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
321 für wichtig und schützenswert halten oder nicht.
322
323 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
324 im Grundgesetz, und dieses Recht können Sie mit Hilfe der Software
325 Gpg4win wahrnehmen. Sie müssen sie nicht benutzen -- Sie müssen ja auch
326 keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
327
328 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
329 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
330 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
331 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
332 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
333 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
334 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
335 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
336 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
337 praktikable und sichere Software angesehen.
338
339 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
340 Hand.}
341
342 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
343 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
344 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
345 um Gpg4win richtig zu nutzen. In diesem Handbuch werden wir
346 Ihnen dieses Vorgehen Schritt für Schritt erläutern...
347
348
349 \clearpage
350 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
351 \label{ch:openpgpsmime}
352
353 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
354 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
355 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
356 \Email{}-Veschlüsselung mit Freier Software, wie zum Beispiel Gpg4win.
357
358 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung
359 sind zwei Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
360 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
361 hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.
362
363 \subsubsection{Die Gemeinsamkeit: Das Public-Key-Verfahren}
364 Konzeptionell steckt hinter OpenPGP und S/MIME das gleiche System zur Geheimhaltung,
365 und zwar das Public-Key-Verfahren. Was heisst das?
366
367 Nehmen wir an, die \Email{} oder die Datei sei in einer Truhe verschlossen.
368 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
369 Public-Key-Verfahren zum Verschlüsseln/Entschlüsseln \textbf{ein Schlüsselpaar}.
370 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (das
371 \textbf{"`Zertifikat"'}) und einen Schlüssel zum Entschlüsseln (der 
372 \textbf{"`Geheimer Schlüssel"'}).
373
374 Klingt zwar komisch, wenn man an echte Schlösser denkt, aber bei
375 Software löst diese Idee das Problem, dass ich meinen Schlüssel
376 für jeden Empfänger aus der Hand geben müsste.
377 Denn normalerweise muss ein Schlüssel zum Verschlüsseln/Abschließen auch
378 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste ich Ihnen,
379 wenn ich etwas für Sie in der Truhe verschließe, die Truhe \textbf{und}
380 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
381 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
382 großes Problem.
383
384 Beim Public-Key-Verfahren verschließe ich mit Ihrem \textbf{"`Zertifikat"'}
385 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{"`Geheimen Schlüssel"'} auf.
386 Ich muss also nur die Truhe zu Ihnen transportieren lassen.
387 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
388 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
389 würde.
390
391 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
392 OpenPGP und S/MIME aber zum Beispiel bei der Schlüsselerzeugung
393 (Näheres erfahren wir später in Kapitel~\ref{ch:CreateKeyPair}).
394
395 \textbf{Falls Sie sich jetzt fragen, wie das Public-Key-Verfahren so
396 funktionieren kann, lesen Sie einmal
397 Kapitel~\ref{ch:FunctionOfGpg4win}.}
398 \textbf{Wenn Sie sich dann noch fragen, warum das Gpg4win so sicher ist,
399 sind vermutlich die Kapitel~\ref{ch:themath} und
400 \ref{ch:secretGnupg} genau das richtige für Sie!}
401 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
402 Geheimnisse verstehen. Viel Spaß beim Entdecken.
403
404 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
405
406 \clearpage
407 \subsubsection{Der Unterschied: Die Authentifizierung}
408
409 Der wesentlichste Unterschied zwischen OpenPGP und S/MIME liegt
410 im Bereich der Authentifizierung.
411
412 Um die Authentizität des Absenders festzustellen, ist bei
413 \textbf{S/MIME}
414 ein Zertifikat notwendig, welches die Authentizität des Schlüssel-Besitzers
415 unzweifelhaft beglaubigt.
416 Das heisst, dass ich meinen öffentlichen Schlüssel von einer dazu
417 berechtigten Organisation zertifizieren lassen muss, bevor er dadurch wirklich nutzbar wird.
418 Diese Organisation wurde wiederum von einer höher stehenden Organisation zertifiziert
419 usw. bis man zu einem Wurzel-Zertifikat kommt. Vertaut man nun diesem Wurzel-Zertifkat,
420 so vertaut man automatisch allen darunter liegenden Zertfizierungen. Das nennt
421 man \textbf{hierarchisches Vertrauenskonzept}. Zumeist ist die Kette nur 3 Elemente
422 lang: Wurzel, Zertifizierungsstelle (auch CA für Certificate Authority genannt), Anwender.
423 Wurzel zertifiziert CA, CA zertifiziert Anwender.
424
425 Im Gegensatz dazu erlaubt \textbf{OpenPGP} neben dieser baumartigen Zertifizierung
426 zusätzlich auch eine direkte "`peer-to-peer"' Zertifizierung (Anwender A zertfiziert
427 Anwender B, B zertifiziert A und C usw.) und macht damit
428 aus einem Zertifizierungs-Baum ein Zertifizierungs-Netz, das sogenannte
429 \textbf{Web-of-Trust}. Im Fall der direkten Authentifizierung bei OpenPGP haben Sie
430 also die Möglichkeit, \textit{ohne} die Zertifizierung von einer höheren Stelle verschlüsselte Daten und
431 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der \Email{}-Adresse
432 und dem dazugehörigen Zertifikat ihres Kommunikationspartners vertrauen.
433
434 \textbf{Nähere Informationen zu Authentifizierungswegen, wie zum Beispiel
435 dem Web-of-Trust oder den Zertifizierunsstellen, erhalten Sie später in Kapitel~\ref{ch:trust}.}
436
437 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
438
439 \clearpage
440 \subsubsection{Fassen wir kurz zusammen...}
441
442 Was bedeutet das für Sie?
443 \begin{itemize}
444 \item Sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
445     bieten.
446 \item Beide Verfahren sind \textbf{nicht kompatibel} miteinander. Sie
447     bieten zwei separate Wege bei der Authentifizierung Ihrer geheimen Kommunikation.
448     Man sagt, sie sind nicht interoperabel.
449 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
450 \textbf{ parallele } Nutzung beider Systeme.
451 \end{itemize}
452
453 Falls Ihnen all das etwas zuviel Informationen waren, machen Sie sich keine
454 Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis
455 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
456 mit S/MIME detailliert erklärt.
457
458 Die beiden nachfolgenden Symbole weisen Sie in diesem Compendium
459 auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer
460 schnell überblicken, welche Besonderheiten bei welchem Konzept zu
461 beachten sind.
462
463 \begin{center}
464 \IncludeImage[width=3cm]{openpgp-icon}
465 \hspace{1cm}
466 \IncludeImage[width=3cm]{smime-icon}
467 \end{center}
468
469
470
471 \clearpage
472 %% Orginal page 9
473 \chapter{Sie installieren Gpg4win}
474
475 Beginnen wir nun mit der Installation von Gpg4win. Beachten Sie, dass
476 Sie dafür Administrator-Rechte auf Ihrem Windows-System benötigen.
477
478 Sollte bereits eine GnuPG basierte Anwendung, wie z.B. Kleopatra, 
479 GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem System installiert sein, so lesen
480 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
481 wie Sie Ihre vorhandenen Schlüssel und Zertifikate übernehmen können.
482
483 Falls Sie Gpg4win aus dem Internet heruntergeladen haben:
484 \vspace{-0.28cm}
485 \begin{quote}
486 Klicken Sie
487 bitte auf diese neu abgespeicherte Datei, die den Namen\linebreak
488 \texttt{gpg4win-\PackageVersion{}.exe} (oder höhere Versionnummer)
489 haben sollte.  Achten Sie unbedingt darauf, dass Sie die Datei von
490 einer vertrauenswürdigen Seite erhalten haben.
491 \end{quote}
492
493 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
494 \vspace{-0.28cm}
495 \begin{quote}
496     Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs.
497  Öffnen Sie Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM-Icon mit
498 dem Titel "`Gpg4win"'. Anschließen klicken Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
499 \end{quote}
500
501 Die weitere Installation ist dann identisch:\\
502 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
503 mit \Button{Ja}.
504
505 Es begrüßt Sie dieser Screen:
506 \enlargethispage{2\baselineskip}
507 % screenshot:  Welcome Seite Installer
508 \begin{center}
509 \IncludeImage{sc-inst-welcome}
510 \end{center}
511
512 Beenden Sie alle auf Ihrem Rechner laufenden Programme, und klicken Sie dann auf \Button{Weiter}.
513
514 \clearpage
515 %% Orginal page 10
516
517 Auf der Seite mit dem \textbf{Lizenzabkommen}, können Sie Informationen zu den
518 Lizenzen dieser Software lesen. 
519
520 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
521 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
522 zu lesen.  
523
524 Geben Sie allerdings diese Software weiter oder wollen Sie sie
525 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
526 machen.  
527
528 % Screenshot Lizenzseite des Installers
529 \begin{center}
530 \IncludeImage{sc-inst-license}
531 \end{center}
532
533
534 Klicken Sie auf \Button{Weiter}.
535
536
537 \clearpage
538 %% New page (not in original document)
539
540 Auf der Seite mit der \textbf{Komponentenauswahl} können
541 Sie entscheiden, welche Programme Sie installieren
542 möchten.
543
544 Wenn Sie mit der Maus über die Auswahl laufen, dann erscheint
545 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
546 Entscheidung hilft.
547
548 Die Anzeige des benötigen Speichers auf der Festplatte
549 hilft Ihnen vielleicht ebenfalls weiter.
550
551 % sreenshot Auswahl zu installierender Komponenten
552 \begin{center}
553 \IncludeImage{sc-inst-components}
554 \end{center}
555
556 Sinnvoll ist es, mindestens GnuPG, Kleopatra und das Gpg4win-Compendium
557 zu installieren. Den Rest können Sie bei Bedarf auch später installieren.
558
559 Klicken Sie auf \Button{Weiter}.
560
561
562 \clearpage
563 %% Original page 11
564
565 In der nun folgenden \textbf{Verzeichnisauswahl} können Sie eine Ordner auf Ihrem PC
566 aussuchen, in dem Gpg4win installiert wird. Sie sollten hier im
567 Normalfall den voreingestellten Ordner\\
568 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}\\
569 übernehmen.
570
571 % screenshot: Auswahl des Installationsverzeichnis.
572 \begin{center}
573 \IncludeImage{sc-inst-directory}
574 \end{center}
575
576 Klicken Sie anschließend auf \Button{Weiter}.
577
578 \clearpage
579
580 Auf der folgenden Seite können Sie festlegen, welche
581 \textbf{Verknüpfungen} installiert werden.  Voreingestellt ist
582 lediglich eine Verknüpfung mit dem Startmenü.  Bitte beachten Sie, daß
583 sie diese Verknüpfungen auch jederzeit später mit den Bordmitteln von
584 Windows verändern können.
585
586 % screenshot: Auswahl des Links
587 \begin{center}
588 \IncludeImage{sc-inst-options}
589 \end{center}
590
591 Klicken Sie anschließend auf \Button{Weiter}.
592
593 \clearpage
594 %% Original page 12
595
596 Falls Sie auf der vorhergehenden Seite eine \textbf{Verknüpfung mit dem
597 Startmenü} ausgewählt haben (dies ist die Voreinstellung), so wird
598 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
599 Startmenüs auswählen können.
600
601 % screenshot:  Startmenu auswählen
602 \begin{center}
603 \IncludeImage{sc-inst-startmenu}
604 \end{center}
605
606 Am einfachsten übernehmen Sie die vorgeschlagene Einstellung und
607 klicken dann auf \Button{Installieren}.
608
609 \clearpage
610
611 Während der nun folgenden \textbf{Installation} sehen Sie einen
612 Fortschrittsbalken und Informationen, welche Datei momentan
613 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen} drücken
614 um ein Protokoll der Installation sichtbar zu machen.
615
616 % Screenshot: Ready page Installer
617 \begin{center}
618 \IncludeImage{sc-inst-ready}
619 \end{center}
620
621 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
622 \Button{Weiter}.
623
624 \clearpage
625 %% Original page 13
626
627 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
628
629 % Screenshot: Finish page Installer
630 \begin{center}
631 \IncludeImage{sc-inst-finished} 
632 \end{center}
633
634 Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie die
635 Option auf dieser Seite.
636
637 Klicken Sie schließlich auf \Button{Fertig stellen}.
638
639 \clearpage
640
641 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
642 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
643
644 % Screenshot: Finish page Installer with reboot
645 \begin{center}
646 \IncludeImage{sc-inst-finished2}
647 \end{center}
648
649 Sie können hier auswählen, ob Windows sofort neu gestartet werden
650 soll oder später manuell. 
651
652 Klicken Sie hier auch auf \Button{Fertig stellen}.
653
654
655 % FIXME:  Wir müssen erklären wie man Word als Standard Editor in
656 % Outlook ausschaltet.
657
658 \clearpage
659 %% Original page 14
660
661 \textbf{Das war's schon!}
662
663 Sie haben Gpg4win erfolgreich installiert und können es gleich zum ersten Mal
664 starten.
665
666 Vorher sollten Sie aber Kapitel~\ref{ch:FunctionOfGpg4win} lesen.
667 Wir erklären dort den genialen Trick, mit dem Gpg4win Ihre \Email{}s
668 sicher und bequem verschlüsselt.
669 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
670 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
671 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
672 vor sich geht.
673
674 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
675
676 Weiter geben wir Ihnen in Kapitel~\ref{ch:passphrase} einige Tipps,
677 mit denen Sie sich einen sicheren
678 und trotzdem leicht zu merkenden Passphrase ausdenken können.
679
680 Für Informationen zur \textbf{automatischen Installation} von Gpg4win (wie sie
681 zum Beispiel für Soft\-ware\-verteilungs-Systeme interessant ist), 
682 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
683 weiter.
684
685
686 \clearpage
687 %% Original page 15
688 \chapter{Sie erzeugen Ihr Schlüsselpaar}
689 \label{ch:CreateKeyPair}
690
691 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
692 (Kapitel \ref{ch:themath})
693 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
694 entsteht (Kapitel \ref{ch:passphrase}),
695 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
696
697 Ein Schlüsselpaar besteht, wie wir im Kapitel~\ref{ch:openpgpsmime} gelernt haben,
698 aus einem \textbf{Zertifikat} und einem  \textbf{geheimen Schlüssel}.
699 Das gilt sowohl für OpenPGP wie auch für S/MIME (X.509).
700
701 ~\\
702 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
703 Schlüsselpaarerzeugung ein paar Mal üben können$\ldots$}
704
705 Genau das können Sie tun - und zwar für OpenPGP:
706
707 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
708 Sie können den gesamten Ablauf der Schlüsselerzeugung,
709 Verschlüsselung und Entschlüsselung durchspielen,
710 so oft Sie wollen, bis Sie ganz sicher sind.
711
712 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
713 und die "`heisse Phase"' der OpenPGP-Schlüsselerzeugung wird danach kein
714 Problem mehr sein.
715
716 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
717
718 Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt
719 stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win
720 verwendet werden kann. Mit Hilfe von Adele können Sie Ihr
721 OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und
722 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
723
724
725 \clearpage
726 %% Original page 16
727 \textbf{Los geht's!}
728 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
729
730 % TODO screenshot Startmenu with Kleopatra highlighted
731 \begin{center}
732 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
733 \end{center}
734
735 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
736 Zertifikatsverwaltung:
737
738 % TODO screenshot: Kleopatra main window
739 \begin{center}
740 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
741 \end{center}
742
743 Zu Beginn ist diese Übersicht leer, da wir noch keine 
744 Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt
745 nachholen:
746
747 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. \\
748 Im folgenden Dialog entscheiden Sie sich für ein Format,
749 für das anschließend ein Zertifikat erstellt werden soll.
750 Sie haben die Wahl: \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
751 Zu den Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime} auf
752 Seite \pageref{ch:openpgpsmime}.
753
754 \label{chooseCertificateFormat}
755 % TODO screenshot: Kleopatra - New certificate - Choose format
756 \begin{center}
757 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
758 \end{center}
759
760 %% Original page 17
761
762 Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
763 gliedert sich an dieser Stelle in zwei Abschnitte: 
764 \textbf{OpenPGP-Schlüsselpaar erstellen}  und 
765 \textbf{X.509-Schlüsselpaar erstellen}.
766 Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat 
767 Sie sich oben entschieden haben.
768
769
770
771
772
773 %% OpenPGP %%
774 %% Original page 18
775 \section*{OpenPGP-Schlüsselpaar erstellen}
776
777 Klicken Sie im obigen Auswahldialog auf 
778 %TODO:german
779 \Button{Create a personal OpenPGP key pair}. %TODO vgl. Abb
780
781 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
782
783 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
784 \Email{}-Adresse an.
785
786 % TODO screenshot: New Certificate - Personal details
787 \begin{center}
788 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
789 \end{center}
790
791
792 Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
793 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
794 \Email{}-Adresse eingeben, z.B.:\\ \verb-Heinrich Heine- und \verb-heinrichh@gpg4win.de-.
795
796 Optional können Sie einen Kommentar zum Schlüssel eingeben.
797 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
798 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
799 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
800 Name und die \Email{}-Adresse später öffentlich sichtbar.
801
802 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
803 Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
804 über die Details informieren.
805
806 \clearpage
807 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
808 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
809 (voreingestellten) Experten-Einstellungen interessieren, können Sie
810 diese über die Option
811 % TODO:german
812 \textit{Show all details} einsehen.
813
814 % TODO screenshot: New Certificate - Review Parameters
815 \begin{center}
816 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
817 \end{center}
818
819 Sofern alles korrekt ist, klicken Sie anschließend auf 
820 %TODO:german
821 \Button{Create Key}. 
822
823
824 \clearpage
825 %% Original page 19
826 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
827
828 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
829 Passphrase einzugeben:
830
831 %TODO screenshot: New certificate - pinentry
832 \begin{center}
833 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
834 \end{center}
835
836 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
837 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
838 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
839 Sicherheit Ihrer Passphrase ernst!
840
841 Sie sollten nun eine geheime, einfach zu merkende und schwer
842 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
843
844 %TODO#: ist derzeit nich so:
845 %Falls die Passphrase nicht sicher genug sein sollte, werden Sie
846 %darauf hingewiesen.
847
848 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
849 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
850
851 Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie
852 Ihre Eingabe jeweils mit \Button{OK}.\\
853
854
855 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
856 % TODO screenshot: New Certificate - Create Key
857 \begin{center}
858 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
859 \end{center}
860
861 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
862 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
863 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
864
865 \clearpage
866 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
867 erhalten Sie folgenden Dialog:
868
869 %TODO screenshot: New certificate - key successfully created
870 \begin{center}
871 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
872 \end{center}
873
874 Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu
875 generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte
876 Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt
877 einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so,
878 dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn
879 diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten
880 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
881
882 Sie brauchen sich die
883 Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von
884 Kleopatra können Sie sich diese jederzeit später anzeigen lassen.
885
886 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
887 drei Möglichkeiten durchführen:
888 \begin{description}
889     \item[Erstellen Sie eine Sicherungskopie Ihres
890         OpenPGP-Schlüsselpaares.]
891         %TODO#: Paar od. geheimer Schluessel? Dateiformat?
892     
893     ~\\Klicken Sie dazu auf den Button
894     %TODO:german
895     \Button{Make a Backup Of Your Certificate...}
896
897     Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel
898     exportiert werden soll:
899
900     % TODO screenshot: New certificate - export key
901     \begin{center}
902     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
903     \end{center}
904
905     Klicken Sie anschließend auf
906     \Button{OK}. 
907
908     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
909     abgespeichert haben, so sollten Sie
910     baldmöglichst diese Datei auf einen anderen Datenträger (USB
911     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei
912     löschen. Bewahren Sie diesen Datenträger sicher auf. 
913
914     Sie können eine Sicherungskopie auch jederzeit später anlegen;
915     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
916     \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren...} 
917
918     \item[Versenden Sie Ihr erstelltes Zertifikat per \Email{}.]
919     ~\\Klicken Sie auf den Button 
920     %TODO:german
921     \Button{Send Certificate By EMail}.
922
923     Es wird eine neue \Email{} erstellt -- mit Ihrem neuen
924     Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird
925     selbstversändlich \textit{nicht} versendet.
926     Geben Sie eine Empfänger-\Email{}-Adresse an und
927     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
928
929     %TODO# Wird hier nur der öffentliche Schlüssel versendet?
930
931     % ggf TODO screenshot: New certificate - send openpgp key per email
932    \begin{center}
933    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewOpenpgpCertificate_de}
934    \end{center}
935
936
937     \item[Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.]
938     ~\\Klicken Sie auf 
939     %TODO:german
940     \Button{Upload Certificate To Directory Service...}
941     und folgen Sie den Anweisungen. Sie müssen dafür vorher ein
942     Verzeichnisdienst in Kleopatra konfiguriert haben.
943
944     Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver
945     veröffentlichen, erfahren Sie in Kaptel~\ref{ch:keyserver}.
946
947     %TODO#: Mehr Erläuterungen nötig?  
948
949 \end{description}
950
951 ~\\
952 Beenden Sie anschließend den Kleopatra-Assistenten mit
953 %TODO:german
954 \Button{Finish}, um die Erstellung Ihres OpenPGP-Schlüsselpaars
955 abzuschließen.
956
957 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen}
958 auf Seite~\pageref{finishKeyPairGeneration}. Von da an
959 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
960
961
962
963 %% X.509 %%
964 %% Original page 21
965 \clearpage
966 \section*{X.509-Schlüsselpaar erstellen \margin{\IncludeImage[width=1.5cm]{smime-icon}} }
967
968 Klicken Sie im Zertifikatsformat-Auswahldialog von
969 Seite~\pageref{chooseCertificateFormat} auf
970 %TODO:german
971 \Button{Create a personal X.509 key pair and certification request}.
972 %TODO# ggf "vgl. Abb"
973
974
975
976 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
977 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
978 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
979
980 % TODO screenshot: New X.509 Certificate - Personal details
981 \begin{center}
982 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
983 \end{center}
984
985
986 Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal \textbf{testen} wollen, dann
987 machen Sie beliebige Angaben für Name, Organisation und
988 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
989 ein, z.B. \texttt{CN=Heinrich Heine, O=Test, C=DE} und
990 \verb-heinrichh@gpg4win.de-.
991
992 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
993 Sie können Sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
994 über die Details informieren.
995
996 \clearpage
997 Es werden nun noch einmal alle Eingaben und Einstellungen zur
998 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
999 (voreingestellten) Experten-Einstellungen interessieren, können Sie
1000 diese über die Option
1001 % TODO:german
1002 \textit{Show all details} einsehen.
1003
1004 % TODO screenshot: New Certificate - Review Parameters
1005 \begin{center}
1006 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1007 \end{center}
1008
1009 Sofern alles korrekt ist, klicken Sie anschließend auf 
1010 %TODO:german
1011 \Button{Create Key}. 
1012
1013
1014 \clearpage
1015 %% Original page 19
1016 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
1017
1018 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
1019 Passphrase einzugeben:
1020
1021 %TODO screenshot: New certificate - pinentry
1022 \begin{center}
1023 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1024 \end{center}
1025
1026 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase}, geben
1027 wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer
1028 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1029 Sicherheit Ihrer Passphrase ernst!
1030
1031 Sie sollten nun eine geheime, einfach zu merkende und schwer
1032 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1033
1034 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
1035 ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.
1036
1037 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1038 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1039
1040 Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie
1041 Ihre Eingabe jeweils mit \Button{OK}.\\
1042
1043
1044 Nun wird Ihr X.509-Schlüsselpaar angelegt: 
1045 % TODO screenshot: New Certificate - Create Key
1046 \begin{center}
1047 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
1048 \end{center}
1049
1050 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1051 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1052 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1053
1054 \clearpage
1055 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1056 erhalten Sie folgenden Dialog:
1057
1058 %TODO screenshot: New certificate - key successfully created
1059 \begin{center}
1060 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1061 \end{center}
1062
1063
1064 Als nächstes \textit{können} Sie eine (oder mehrere) der folgenden
1065 drei Möglichkeiten durchführen:
1066 \begin{description}
1067     \item[Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.] 
1068     ~\\Klicken Sie dazu auf den Button 
1069     %TODO:german
1070     \Button{Save Request To File...}
1071
1072     Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage
1073     gespeichert werden soll. Als Dateiendung wählen Sie
1074     \textit{*.p10} und
1075     bestätigen Sie Ihre Eingabe. Sie könnne diese Datei dann später
1076     auf verschiedene Weise an eine Zertifizierungsstelle geben.
1077
1078     \item[Versenden Sie die Zertifizierungs-Anfrage per \Email{}.]
1079     ~\\Klicken Sie auf den Button 
1080     %TODO:german
1081     \Button{Send Certificate By EMail}.
1082
1083     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
1084     Zertifizierungs-Anfrage im Anhang.
1085     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
1086     Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den
1087     vorbereiteten Text dieser \Email{}.
1088
1089     % ggf TODO screenshot: New certificate - send openpgp key per email
1090    \begin{center}
1091    \IncludeImage[width=0.6\textwidth]{sc-ol-sendNewX509Certificate_de}
1092    \end{center}
1093
1094     Sobald der Request von der CA bestätigt wurde, erhalten Sie von
1095     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
1096     X.509-Zertifikat.
1097 \end{description}
1098
1099 \clearpage
1100 Beenden Sie anschließend den Kleopatra-Assistenten mit 
1101 %TODO:german
1102 \Button{Finish}.
1103
1104 Weiter geht's mit dem Abschnitt \textit{Schlüsselpaar-Erstellung abgeschlossen} 
1105 auf der nächsten Seite. Von nun an
1106 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1107
1108
1109 \clearpage
1110 %% Original page 23
1111
1112 \section*{Schlüsselpaar-Erstellung abgeschlossen}
1113 \label{finishKeyPairGeneration}
1114
1115 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen.  
1116 Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.}
1117
1118 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
1119 Das soeben erzeugte OpenPGP-/X.509-Schlüs\-selpaar finden Sie in der
1120 Zertifikatsverwaltung unter dem Reiter \textit{Meine Zertifikate} 
1121 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
1122
1123 %TODO screenshot: Kleopatra with new openpgp certificate
1124 \begin{center}
1125 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1126 \end{center}
1127
1128 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1129 nachlesen zu können:
1130
1131 %TODO screenshot: details of openpgp certificate
1132 \begin{center}
1133 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1134 \end{center}
1135
1136 Was bedeuten die einzelnen Zertifikatsdetails? 
1137
1138 Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein 
1139 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich 
1140 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
1141
1142 Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel,
1143 der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.
1144 %TODO# DSA erklären
1145
1146 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
1147 Kapitel~\ref{KeyDetails}. 
1148 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1149 Informationen benötigen.}
1150
1151
1152
1153 \clearpage
1154 %% Original page 24
1155
1156 \chapter{Sie veröffentlichen Ihr Zertifikat}
1157
1158 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1159 beim Ver- und Entschlüsseln stets nur mit dem "`ungeheimen"'
1160 Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr
1161 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
1162 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
1163
1164 Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen 
1165 Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
1166
1167 Denn:
1168
1169 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
1170 das Zertifikat des anderen besitzen und benutzen. Natürlich
1171 braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen
1172 kann, wie zum Beispiel Gpg4win.}
1173
1174 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1175 müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
1176
1177 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
1178 will, muss er Ihr Zertifikat haben und zum Verschlüsseln
1179 benutzen.
1180
1181 Deshalb werden Sie nun Ihr Zertifikat öffentlich
1182 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1183 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1184 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat
1185 beispielsweise ...
1186
1187 \begin{itemize}
1188     \item ... direkt per \textbf{\Email{}} an bestimmte
1189     Korrespondenzpartner (vgl. Abschnitt~\ref{publishPerEmail}).
1190     \item ... auf einem \textbf{OpenPGP-Schlüsselserver};
1191     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{publishPerKeyserver}).
1192     \item ... über die eigene Homepage.
1193     \item ... persönlich, z.B. per USB-Stick.
1194 \end{itemize}
1195
1196 Die ersten beiden Varianten werden wir uns auf den folgenden Seiten
1197 näher anschauen.
1198
1199 %% Original page 25
1200 \clearpage
1201 \section{Veröffentlichen per \Email{}}
1202 \label{publishPerEmail}
1203
1204 Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1205 Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per
1206 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1207 Abschnitt.
1208
1209 ~\\
1210 Üben Sie jetzt diesen Vorgang einmal mit Ihrem OpenPGP-Zertifikat!
1211 Adele soll uns dabei behilflich sein. \textit{Achtung: Die folgenden
1212 Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von
1213 X.509-Zertifikaten finden Sie auf
1214 Seite~\pageref{publischPerEmailx509}.}
1215 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1216
1217 \textbf{Adele}
1218 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1219 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1220 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1221 (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so
1222 vorgestellt:
1223
1224 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1225 \begin{center}
1226 \IncludeImage{adele01}
1227 \end{center}
1228
1229 Adele schicken Sie zunächst Ihr OpenPGP-Zertifikat. Wenn Adele
1230 diesen öffentlichen Schlüssel empfangen hat, verschlüsselt sie damit
1231 eine \Email{} an Sie und sendet sie zurück.
1232
1233 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1234 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1235 legt Adele ihren eigenen öffentlichen Schlüssel bei.
1236
1237 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1238 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1239 wie die Ihrer echten Korrespondenzpartner.  Andererseits können Sie
1240 mit Adele so oft üben, wie Sie wollen ­-- was Ihnen ein menschlicher
1241 Adressat wahrscheinlich ziemlich übel nehmen würde.
1242
1243 Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per
1244 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1245
1246
1247 \clearpage
1248 %% Original page 26
1249
1250
1251
1252 \subsubsection{Exportieren Ihres OpenPGP-Zertifikats}
1253
1254 Selektieren Sie in Kleopatra das zu exportierende Zertifikat
1255 (durch Klicken auf die entsprechende Zeile in der Liste der
1256 Zertifikate) und klicken Sie dann auf
1257 \Menu{Datei$\rightarrow$Zertifikate exportieren~...} im Menü.
1258 Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und
1259 speichern Sie das Zertifikat im Dateityp \textit{*.asc} ab --
1260 z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1261
1262 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1263 dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren
1264 -- und \textit{nicht} aus Versehen Ihren zugehörigen geheimen
1265 Schlüssel exportieren.
1266
1267
1268 %% Original page 27
1269 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren
1270 Windows Explorer und wählen denselben Ordern aus, den Sie beim
1271 Exportieren angegeben haben.
1272
1273 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1274 Texteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im
1275 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1276 und Zahlenblock:
1277
1278 % screenshot: Editor mit ascii armored key
1279 \begin{center}
1280 \IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
1281 \end{center}
1282
1283
1284 \clearpage
1285 %% Original page 28
1286
1287 \subsubsection{Variante 1: OpenPGP-Zertifikat als \Email{}-Text
1288 versenden}
1289
1290 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1291 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1292 anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal
1293 zu Gesicht und wissen, was sich dahinter verbirgt und woraus der
1294 Schlüssel eigentlich besteht.
1295
1296 \textbf{Markieren} Sie nun im Texteditor den gesamten öffentlichen
1297 Schlüssel von
1298
1299 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1300 bis\\
1301 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1302
1303 und \textbf{kopieren} Sie ihn mit dem Menübefehl oder mit dem
1304 Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher
1305 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1306
1307 Nun starten Sie Ihr Mailprogramm ­-- es spielt keine Rolle, welches
1308 Sie benutzen ­-- und fügen Ihr Zertifikat in eine leere \Email{} ein.
1309 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows Strg+V.
1310 Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass
1311 reine Textnachrichten gesendet werden und keine HTML formatierte
1312 Nachrichten.
1313
1314 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie sicher als
1315 "`Copy \& Paste"'.
1316
1317 \textbf{Adressieren} Sie nun diese \Email{} an \verb-adele@gnupp.de- und
1318 schreiben in die Betreffzeile z.B.: \textit{Mein OpenPGP-Zertifikat}.
1319
1320 So etwa sollte Ihre \Email{} nun aussehen:
1321
1322 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1323 \begin{center}
1324 \IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1325 \end{center}
1326
1327 \T\enlargethispage{2\baselineskip}
1328 Schicken Sie die \Email{} an Adele ab.
1329
1330 Nur zur Vorsicht: Natürlich
1331 sollten Ihre \Email{}s \textit{nicht} \verb-heinrichh@gpg4win.de- oder ein andere
1332 Beispieladresse als Absender haben, sondern \textit{Ihre eigene
1333   \Email{}-Adresse}. Denn sonst werden Sie nie Antwort von Adele
1334 bekommen$\ldots$
1335
1336
1337 \clearpage
1338 %% Original page 29
1339 \subsubsection{Variante 2: OpenPGP-Zertifikat als \Email{}-Anhang
1340 versenden}
1341
1342 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1343 OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1344 versenden. Das ist oftmals das
1345 einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben
1346 die "`Copy \& Paste"'-Methode zuerst vorgestellt, weil sie
1347 transparenter und leichter nachzuvollziehen ist.
1348
1349 Schreiben wir Adele nun noch einmal eine neue Mail mit der
1350 Zertifikatsdatei im Anhang:
1351
1352 Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1353 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1354 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster). 
1355 Ergänzen Sie den Empfänger
1356 (\verb-adele@gnupp.de-) und einen Betreff, z.B.
1357 \textit{Mein OpenPGP-Zertifikat - als Dateianhang}.
1358
1359 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1360 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1361 als zu diesem Übungszweck programmiert worden.
1362
1363 Ihre fertige \Email{} sollte dann etwa so aussehen:
1364
1365 %TODO (zertifikat statt schlüssel) screenshot:  Eines composer Windows.
1366 \begin{center}
1367 \IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1368 \end{center}
1369
1370 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1371
1372 \clearpage
1373 \subsubsection{Fassen wir kurz zusammen...}
1374
1375 Sie haben Ihr OpenPGP-Zertifikat in
1376 Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den
1377 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1378 komplette Datei als \Email{}-Anhang eingefügt. Beide \Email{}s haben
1379 wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
1380
1381 Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte
1382 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1383 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1384 Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und
1385 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1386 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1387 (z.B. Kleopatra) importieren kann.
1388 %TODO: ggf Verweis auf Zertifikats-Import
1389
1390 ~\\Nachdem \label{publischPerEmailx509}
1391 Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per
1392 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1393 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1394 Gleiche für \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1395 Kapitel~\ref{ch:openpgpsmime}).
1396
1397 Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren
1398 Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1399 \textit{*.pem} ab und versenden die Datei als \Email{}-Anhang.
1400
1401 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1402 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1403 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1404 aussuchen oder Sie schreiben testweise an sich selber.
1405
1406 Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie
1407 die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel --
1408 Zertifizierungsstelle -- Ihr Zertifikat) oder \textit{nur} Ihr Zertifikat in
1409 eine Datei abspeichern wollen. Ersteres empfiehlt sich immer dann,
1410 wenn Sie nicht genau wissen, ob Ihr Korrespondenzpartner Ihr
1411 Wurzelzertifikat schon besitzt. Klicken Sie dazu in Kleopatra alle Kettenelemente mit
1412 gedrückter Shift-Taste an und exportieren Sie diese markierten
1413 Elemente nach oben beschriebener Regel.
1414
1415
1416 \clearpage
1417 %% Original page 30
1418 \section{Veröffentlichen per Schlüsselserver}
1419 \label{publishPerKeyserver}
1420
1421 \textbf{Wichtig: Die Veröffentlichung Ihres Zertifikats auf einem
1422 Schlüsselserver (Keyserver) ist nur für OpenPGP-Zertifikate möglich!}
1423 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1424
1425 Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem
1426 internationalen Schlüsselserver bietet sich eigentlich
1427 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1428 \Email{}s austauschen. Ihr Zertifikat ist dann für jedermann
1429 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1430 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1431 Korrespondenzpartner.
1432
1433
1434 \textsc{Vorsicht: Die Veröffentlichung Ihrer \Email{}-Adresse
1435 auf einem Keyserver birgt leider das Risiko, dass Ihnen
1436 auch ungebetene Personen \Email{}s schreiben können und die
1437 SPAM-Menge für Ihre \Email{}-Adresse dadurch zunehmen kann.
1438 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1439 Falls Sie keinen wirksamen Spamfilter benutzen,
1440 sollten Sie u.U.\ von der Veröffentlichung Ihres Schlüssels auf einem
1441 Keyserver absehen.}
1442
1443 ~\\
1444 \textbf{Und so geht's:} Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken im
1445 Menü auf
1446 %TODO:german
1447 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
1448
1449 Sofern Sie noch keinen Schlüsselserver
1450 definiert haben, bekommen Sie eine Warnmeldung:
1451
1452 % screenshot: GPA export key to keyserver
1453 \begin{center}
1454 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1455 \end{center}
1456
1457 Wie Sie an der Meldung erkennen können, ist der öffentliche Schlüsselserver
1458 \texttt{keys.gnupg.net} bereits voreingestellt.
1459 Klicken Sie auf \Button{Fortsetzen}, um Ihren ausgewählten Schlüssel an
1460 diesen Server zu schicken. Von dort aus wird Ihr Schlüssel an alle, weltweit
1461 verbundenen Keyserver weitergereicht.
1462 Jedermann kann Ihren Schlüssel dann von einen dieser Keyserver
1463 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1464
1465 Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den
1466 Übungsschlüssel bitte nicht ab.  Er ist wertlos und kann nicht
1467 mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele
1468 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1469 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1470
1471 \clearpage
1472 \subsubsection{Fassen wir kurz zusammen...}
1473 Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem
1474 Schlüsselserver im Internet veröffentlichen.
1475
1476 \textbf{Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf
1477   Schlüsselservern suchen und importieren, beschreiben wir im
1478   Kapitel~\ref{ch:keyserver}.
1479   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1480   Funktion benötigen.}
1481
1482
1483
1484 \clearpage
1485 %% Original page 31
1486 \chapter{Sie entschlüsseln eine \Email{}}
1487 \label{ch:decrypt}
1488
1489 Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
1490 und wollen diese nun entschlüsseln? 
1491 Alles was Sie dazu brauchen ist Gpg4win, Ihr Schlüsselpaar und
1492 natürlich ganz wichtig: Ihre Passphrase.
1493
1494 In diesem Kapitel erklären wir Ihnen Schritt für Schritt, wie Sie Ihre
1495 \Email{}s in Microsoft Outlook mit Gpg4win entschlüsseln.
1496
1497 ~\\
1498 Wir üben jetzt diesen Vorgang einmal mit Adele und Ihrem
1499 OpenPGP-Zertifikat!\\
1500 \textit{Achtung: Die folgenden Übungen gelten nur für OpenPGP!
1501 Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
1502 Ende dieses Kapitels.} %TODO:Seitenzahl
1503 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
1504
1505
1506 Im Abschnitt~\ref{publishPerEmail} haben Sie Adele Ihr
1507 OpenPGP-Zertifikat geschickt.
1508 Mit Hilfe dieses Zertifikats verschüsselt Adele nun eine
1509 \Email{} und sendet sie an Sie zurück. Nach kurzer Zeit sollen Sie
1510 Adeles Antwort erhalten.
1511
1512
1513 % cartoon: Adele typing and sending a mail
1514 \begin{center}
1515 \IncludeImage{adele02}
1516 \end{center}
1517
1518
1519 \clearpage
1520 %% Orginal page 32
1521 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
1522
1523 Für die meisten Mailprogramme gibt es spezielle Erweiterungen
1524 (sogenannte Plugins), mit denen die Ver- und Entschlüsselung direkt im
1525 jeweiligen Mailprogramm erledigt werden kann. --
1526 \textbf{GpgOL} ist ein solches Plugin für MS Outlook, dass wir in
1527 diesem Abschnitt nutzen wollen, um die \Email{} von Adele zu
1528 entschlüsseln.
1529
1530 Hinweise zu weiteren Software-Lösungen finden Sie im Kapitel~\ref{ch:plugins}.
1531 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1532
1533 ~\\
1534 Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
1535
1536 Kleopatra verwaltet alle Ihre eigenen Zertifikate und die Ihrer
1537 Korrespondenzpartner. Somit eignet sich Kleopatra gut zur Überprüfung
1538 der \Email{}. Kleopatra erkennt eine verschlüsselte \Email{} von
1539 Adele. Diese \Email{} hat Adele mit \textit{Ihrem} OpenPGP-Zertifikat verschlüsselt. 
1540
1541 Um die
1542 Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (zum
1543 Schlüsselpaar gehörigen) Passphrase. Geben Sie diese in den
1544 aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
1545 einen Statusdialog. Mit \Button{Details einblenden} können Sie sich
1546 weitere Informationen der \Email{}-Überprüfung anzeigen lassen:
1547
1548 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1549 \begin{center}
1550 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1551 \end{center}
1552
1553 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
1554 entschlüsselte \Email{} zu lesen.
1555
1556 Möchten Sie den Prüfdialog nach dem Lesen der Mail noch einmal manuell aufrufen,
1557 so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
1558 Enschlüsseln/Prüfen}.
1559
1560 Doch nun wollen wir das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
1561
1562
1563
1564 %So sollte Adeles Antwort-\Email{} etwa aussehen:
1565 %
1566 %\begin{verbatim}
1567 %From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1568 %Subject: Re: Mein OpenPGP-Zertifikat
1569 %To: heinrichh@gpg4win.de
1570 %Date: Thu, 08 Jul 2008 09:17:28 +0100
1571 %
1572 %-----BEGIN PGP MESSAGE-----
1573 %Version: GnuPG v1.4.1 (GNU/Linux)
1574 %
1575 %hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1576 %QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1577 %NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1578 %
1579 %...
1580 %
1581 %ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1582 %A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1583 %bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1584 %=VCHb
1585 %-----END PGP MESSAGE-----
1586 %\end{verbatim}
1587
1588 %\textit{(Aus Gründen der Übersichtlichkeit haben wir den Verschlüsselungsblock
1589 %stark gekürzt.)}
1590
1591
1592 %\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
1593
1594
1595
1596
1597 \clearpage
1598 %% Original page 36
1599 \subsubsection{Die entschlüsselte Nachricht}
1600
1601 Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
1602   von der Softwareversion von Adele kann dies auch etwas
1603   unterschiedlich aussehen.}:
1604 %TODO: lieber ein OL-Screenshot der mail.
1605
1606 \begin{verbatim}
1607 Hallo Heinrich Heine,
1608
1609 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1610
1611 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1612 57251332CD8687F6 und der Bezeichnung
1613 `Heinrich Heine <heinrichh@duesseldorf.de>'
1614 wurde von mir empfangen.
1615
1616 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1617 dem freundlichen E-Mail-Roboter.
1618
1619 Viele Grüße,
1620 adele@gnupp.de
1621 \end{verbatim}
1622
1623 Der Textblock, der darauf folgt, ist das Zertifikat von Adele.
1624
1625 Wir werden im nächsten Kapitel dieses Zertifikat importieren und
1626 an Ihrem Schlüsselbund befestigen. Importierte Zertifikate können
1627 Sie jederzeit zum
1628 Verschlüsseln von Nachrichten an Ihren Korrespondenzpartner benutzen
1629 oder dessen signierte Mails überprüfen.
1630
1631 \clearpage
1632 \subsubsection{Fassen wir kurz zusammen...}
1633
1634 \begin{enumerate}
1635 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1636   Schlüssel entschlüsselt.
1637
1638 \item Der Korrespondenzpartner hat sein eigenes Zertifikat
1639     beigelegt, damit Sie ihm verschlüsselt antworten können.
1640 \end{enumerate}
1641
1642 ~\\Nachdem \label{publischPerEmailx509}
1643 Sie gelernt haben, wie Sie \Email{}s mit Ihrem OpenPGP-Zertifikat
1644 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1645 entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte 
1646 \textbf{S/MIME}-\Email{}s entschlüsseln.
1647
1648 Die Antwort lautet auch hier: Genauso wie bei OpenPGP!
1649 Der Unterschied zu OpenPGP ist lediglich, dass S/MIME \textit{nicht}
1650 von Adele unterstützt wird und somit die obige Übung nur für OpenPGP
1651 gilt.
1652
1653 Zum entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie
1654 die Nachricht in Outlook und geben im aufgehenden Dialog Ihre Passphrase ein. 
1655 Sie bekommen einen ähnlichen
1656 Statusdialog wie bei OpgenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
1657 entschlüsselte S/MIME-\Email{}.
1658
1659
1660
1661
1662 \clearpage
1663 %% Original page 37
1664 \chapter{Sie importieren ein Zertifikat}
1665 \label{ch:keyring}
1666
1667 Ihr Korrespondenzpartner muss nicht jedes Mal sein Zertifikat 
1668 mitschicken, wenn er Ihnen signiert schreibt.
1669 Sie bewahren seinen öffentlichen Schlüssel einfach an 
1670 Ihrem GnuPG-"`Schlüsselbund"' (oder besser: "`Zertifikatsbund"') auf.
1671
1672
1673 \subsubsection{Zertifikat abspeichern}
1674
1675 Bevor Sie ein Zertifikat in Kleopatra importieren,
1676 müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
1677 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
1678 \Email{} bekommen haben, gehen Sie wie folgt vor:
1679
1680 \begin{itemize}
1681     \item Liegt das Zertifikat einer \Email{} als \textbf{Dateianhang} bei, speichern
1682 Sie es (wie Sie es in Ihrem Mailprogramm gewohnt sind)
1683 auf einem Ort Ihrer Festplatte ab.
1684
1685
1686 \item Sollte das Zertifikat als \textbf{Textblock} innerhalb Ihrer \Email{}
1687 übermittelt worden sein, so müssen Sie zunächst das vollständige
1688 Zertifikat markieren: 
1689
1690 Bei OpenPGP-Zertifikaten markieren Sie den Bereich von
1691
1692 \verb+-----BEGIN PGP PUBLIC KEY BLOCK-----+\\
1693 bis\\
1694 \verb+-----END PGP PUBLIC KEY BLOCK-----+
1695
1696 so wie Sie es im Abschnitt~\ref{publishPerEmail} schon getan haben.
1697
1698 Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
1699 Texteditor ein und speichern Sie das Zertifikat ab. Als Dateiendung
1700 sollten Sie für OpenPGP-Zertifikate \textit{*.asc} und für X.509-Zertifikate 
1701 z.B. \textit{*.pem} wählen.
1702
1703 \end{itemize}
1704
1705 %% Original page 38/39
1706 \clearpage
1707 \subsubsection{Zertifikat in Kleopatra importieren}
1708
1709 Ob Sie nun das Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
1710 haben, ist egal: In beiden Fällen importieren Sie dieses
1711 abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung
1712 \textbf{Kleopatra}.
1713
1714
1715 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
1716
1717 Klicken Sie im Menü auf
1718 \Menu{Datei$\rightarrow$Zertifikat importieren...},
1719 suchen das eben abgespeicherte Zertifikat aus und laden es.
1720 Sie erhalten einen Infodialog mit dem Ergebnis des Importvorgangs:
1721
1722 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
1723 \begin{center}
1724 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
1725 \end{center}
1726
1727 %TODO: Insgesamt bearbeitet, Importiert, Unverändert, ...
1728
1729 Das erfolgreich importierte Zertifikat wird nun in Kleopatra angezeigt
1730 -- und zwar unter einem separatem Reiter "`Importierte
1731 Zertifikate von \textit{<Pfad-zur-Zertifikatsdatei>}"':
1732
1733 %TODO screenshot Kleopatra with new certificate
1734 \begin{center}
1735 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1736 \end{center}
1737
1738 Schließen Sie diesen Reiter mit dem rot-weißen Schließen-Button am
1739 Rechten Fensterrand.
1740
1741 Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
1742 das von Ihnen importierte Zertifikat sehen.
1743
1744 Damit haben Sie ein fremdes Zertifikat­-- in diesem Beispiel das
1745 OpenPGP-Zertifikat von Adele -- importiert und an Ihrem Schlüsselbund
1746 befestigt. Sie können dieses Zertifikat jederzeit benutzen, um
1747 verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
1748 senden und Signaturen zu prüfen.
1749
1750 \clearpage
1751 \subsubsection{Bevor wir weitermachen, eine wichtige
1752 Frage:}
1753 Woher wissen Sie eigentlich, dass das fremde
1754 OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
1755 unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
1756 gar nichts.
1757
1758 Wie können Sie also sichergehen, dass ein Zertifikat auch wirklich
1759 seinem Absender gehört?
1760
1761 \textbf{Die Kernfrage der Zertifikatsprüfung erläutern wir im
1762 Kapitel~\ref{ch:trust}. Lesen Sie bitte jetzt dort weiter, bevor
1763 Sie danach an dieser Stelle fortfahren.}
1764
1765
1766
1767 \clearpage
1768 %% Original page 42
1769 \chapter{Sie verschlüsseln eine \Email{}}
1770 \label{ch:encrypt}
1771
1772 Jetzt wird es noch einmal spannend: Wir versenden eine verschlüsselte \Email{}!
1773
1774 Sie brauchen dazu Outlook, Kleopatra und natürlich ein Zertifikat
1775 Ihres Korrespondenzpartners.
1776
1777 ~\\
1778 Erstellen Sie zunächst in Outlook eine neue \Email und adressieren Sie diese an Ihren
1779 Korrespondenzpartner.
1780
1781 %% Original page 45
1782
1783
1784 \textit{Hinweis nur für OpenPGP:}\\Sie können zum Üben dieses Vorgangs
1785 mit OpenPGP wieder Adele nutzen. S/MIME wird von Adele nicht
1786 unterstützt! \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1787 Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
1788 \verb-adele@gnupp.de-. Der Inhalt der Nachricht ist egal -- Adele kann
1789 nicht wirklich lesen...
1790
1791 \clearpage
1792 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
1793 \label{encryptProtocol}
1794 Bestimmen Sie nun das Protokoll -- PGP/MIME oder S/MIME --
1795 mit der Sie Ihre Nachricht verschlüsseln wollen. Die hängt davon ab,
1796 in welchem Format das Zertifikat Ihres Korrespondenzpartners bei Ihnen
1797 vorliegt.
1798 Klicken Sie dazu im Menü \Menu{Extras$\rightarrow$GnuPG Protokoll} des geöffneten
1799 Outlook-Nachrichtenfensters auf:
1800 \textit{PGP/MIME}, \textit{S/MIME} oder \textit{automatisch}.
1801
1802 Sofern Sie diese Auswahl auf der Voreinstellung \textit{automatisch} lassen, haben Sie
1803 später im Verschlüsselungsprozess noch die Möglichkeit zwischen PGP/MIME und S/MIME zu wählen.
1804
1805 Haben Sie ein bevorzugtes GnuPG-Protokoll? Dann können Sie unter den
1806 den GpgOL-Optionen
1807 (\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL}) 
1808 PGP/MIME oder S/MIME als Voreinstellung definieren.
1809
1810 ~\\
1811 \textbf{Wichtiger Hinweis nur für S/MIME:}\\
1812 Nach der Installation von Gpg4win ist die
1813 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
1814 S/MIME-Funktionalität in GpgOl deaktiviert. Wenn Sie S/MIME nutzen
1815 möchten, sollten Sie zuvor unter
1816 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
1817 \textit{S/MIME Unterstützung einschalten} aktivieren:
1818
1819 % TODO screenshot: OL composer with Adele's address and body text
1820 \begin{center}
1821 \IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
1822 \end{center}
1823
1824
1825 \clearpage
1826 \subsubsection{Verschlüsselung aktivieren}
1827 Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht auch wirklich
1828 verschlüsselt versenden wollen:
1829 Wählen Sie \Menu{Extras$\rightarrow$Nachricht mit GnuPG verschlüsseln}.
1830 Die Schaltfläche mit dem Schloss-Icon in der
1831 Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
1832 Schaltfläche klicken).
1833
1834 Ihre Outlook-Nachrichtenfenster sollte nun etwas so aussehen
1835 (exemplarisch wurde hier OpenPGP als Verschlüsselungstechnik gewählt):
1836
1837 % TODO screenshot: OL composer with Adele's address and body text
1838 \begin{center}
1839 \IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
1840 \end{center}
1841 Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
1842 erneuter Klick auf die o.g. Schaltfläche.
1843
1844 Klicken Sie nun auf \Button{Senden}.
1845
1846 \clearpage
1847 \subsubsection{Zertifikatsauswahl}
1848 Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das Zertifikat des
1849 Empfängers angeben. Kleopatra wählt -- abhängig von der
1850 Empfänger-\Email{}-Adresse -- in der Regel das passende Zertifikat
1851 automatisch aus.
1852
1853 % TODO screenshot: kleopatra encryption dialog - certificate selection
1854 % (with Adele + my own certificate)
1855 \begin{center}
1856 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
1857 \end{center}
1858
1859 Im Normalfall können Sie dieses vorausgewähte Zertifikat mit
1860 \Button{Weiter} bestätigen.
1861
1862 \clearpage
1863 Sollte es jedoch nicht das richtige Zertifikat sein -- z.B. weil zu der \Email{}-Adresse 
1864 mehrere Zertifikate existieren oder Sie bewusst ein anderes Zertifikat
1865 auswählen wollen -- klicken Sie
1866 auf den \Button{...}-Button neben der Drop-Down-Liste.
1867
1868 Sie bekommen einen Kleopatra-Dialog mit einer Auflistung aller Zertifikate des
1869 gewählten Zertifikatstyps, die in Ihrer Zertifikatsverwaltung
1870 existieren (also von Ihnen bis dahin importiert wurden).
1871 Exemplarisch sehen Sie hier eine Auswahl von verfügbaren
1872 OpenPGP-Zertifikaten:
1873
1874 % TODO screenshot: kleopatra encryption dialog 2 - openpgp certificate list
1875 \begin{center}
1876 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
1877 \end{center}
1878
1879 Wählen Sie das korrekte Zertifikat Ihres Korrespondenzpartners aus, denn damit muss Ihre Nachricht ja
1880 verschlüsselt werden.
1881
1882 Sie erinnern sich an den Grundsatz:
1883 \begin{quote}
1884     \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
1885   müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.}
1886 \end{quote}
1887
1888 Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun verschlüsselt.
1889
1890 \clearpage
1891 \subsubsection{Verschlüsselung abschließen}
1892 Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
1893 Sie eine Meldung, die Ihnen dies bestätigt:
1894
1895 % TODO screenshot: kleopatra encryption successfully
1896 \begin{center}
1897 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
1898 \end{center}
1899
1900 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
1901 verschlüsselt!}
1902
1903
1904
1905
1906 %% Original page 37 & 40
1907 \chapter{Sie signieren eine \Email{}}
1908 \label{ch:sign}
1909
1910 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
1911 Echtheit eines OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
1912 geheimen OpenPGP-Schlüssel signieren können.
1913
1914 In diesem Kapitel wollen wir uns damit beschäftigen,
1915 wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
1916 \textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
1917 einer elektronischen Unterschrift (eine Art elektronisches Siegel) versehen.
1918
1919 Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
1920 feststellen, ob die \Email{} unterwegs manipuliert oder verändert
1921 wurde.
1922
1923 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
1924 tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
1925 korrespondieren, dessen Zertifikat Sie nicht haben~(aus welchem
1926 Grund auch immer), können Sie so die Nachricht wenigstens
1927 mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
1928
1929 \textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht mit den
1930 \Email{}-"`Signaturen"', die man unter eine \Email{} setzt und die zum
1931 Beispiel Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
1932 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
1933 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
1934 Manipulationen und bestätigt den Absender.
1935
1936 Übrigens ist die elektronische Unterschrift auch nicht mit der
1937 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
1938 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
1939 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
1940 genau denselben Zweck.
1941
1942 % cartoon:  Müller mit Schlüssel
1943 \begin{center}
1944 \IncludeImage[width=0.4\textwidth]{man-with-signed-key}
1945 \end{center}
1946
1947
1948
1949 \clearpage
1950 %% Original page 38
1951 \section{Signieren}
1952
1953 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
1954 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
1955 \Email{} verfasst haben, gehen wir -- analog zur Verschlüsselung --
1956 folgende Schritte durch:
1957
1958 \begin{itemize}
1959     \item Protokoll bestimmen -- PGP/MIME oder S/MIME
1960     \item Signierung aktivieren
1961     \item Zertifikatsauswahl
1962     \item Signierung abschließen
1963 \end{itemize}
1964
1965 Auf den nächsten Seiten beschreiben wir diese Schritte im Detail.
1966
1967 \clearpage
1968 \subsubsection{Protokoll bestimmen -- PGP/MIME oder S/MIME}
1969 Genauso wie beim Verschlüsseln von \Email{}s müssen Sie vorher das
1970 Protokoll bestimmen, nach welchem Verfahren signiert bzw.
1971 verschlüsselt werden soll.
1972
1973 Nutzen Sie dazu das Menü
1974 \Menu{Extras$\rightarrow$GnuPG Protokoll} im
1975 Outlook-Nachrichtenfenster und wählen Sie \textit{PGP/MIME},
1976 \textit{S/MIME} oder \textit{automatisch}. -- Die Erklärungen und
1977 Hinweise vom Verschlüsseln (siehe Seite~\pageref{encryptProtocol}) gelten auch
1978 für das Signieren.
1979
1980
1981 \subsubsection{Signierung aktivieren}
1982 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass 
1983 Ihre Nachricht signiert versendet werden soll:
1984
1985 Dazu aktivieren Sie den Menüeintrag \Menu{Extras$\rightarrow$Nachricht
1986 mit GnuPG signieren}. Die Schaltfläche mit dem unterschreibenden Stift
1987 wird aktiviert.
1988
1989 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen (als
1990 Protokoll wurde hier exemplarisch OpenPGP gewählt):
1991 % TODO screenshot: OL composer with Adele's address and body text
1992 \begin{center}
1993 \IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
1994 \end{center}
1995
1996 Wie beim Verschlüsseln können Sie natürlich auch die Signieroption
1997 jederzeit mit einem erneuten Klick auf die Schlatfläche wieder deaktivieren.
1998
1999 Klicken Sie nun auf \Button{Senden}.
2000
2001 \clearpage
2002 \subsubsection{Zertifikatsauswahl}
2003 Daraufhin öffnet Kleopatra ein Fenster, in dem -- anders als beim
2004 Verschlüsseln -- Ihre \textit{eigenen} Zertifikate angezeigt werden.
2005
2006
2007 % TODO screenshot: kleopatra sign dialog - certificate selection
2008 \begin{center}
2009 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
2010 \end{center}
2011
2012 Denn:
2013 \begin{quote}
2014     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2015 \end{quote}
2016 Logisch, denn nur Ihr eigener geheimer Schlüssel bestätigt Ihre
2017 Identität. Der Korrespondenzpartner kann dann mit Ihrem Zertifikat, das
2018 er bereits hat oder sich besorgen kann, Ihre Identität überprüfen.
2019 Denn nur Ihr geheimer Schlüssel passt zu Ihrem Zertifikat.
2020
2021
2022 Im Normalfall können Sie im obigen Dialog Ihr vorausgewähtes Zertifikat mit
2023 \Button{Weiter} bestätigen. Beim ersten Durchlauf des Signierprozesses müssen
2024 Sie jedoch zunächst Kleopatra Ihr bevorzugtes Zertifikat für OpenPGP
2025 bzw. S/MIME mitteilen.
2026
2027 Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges
2028 Zertifikat angezeigt sein -- z.B. weil Sie mehrere Zertifikate
2029 besitzen -- klicken Sie auf \Button{Signaturzertifikate ändern ...}.
2030
2031
2032 \clearpage
2033 Sie bekommen einen Auswahl-Dialog mit einer Auflistung aller Ihrer
2034 eigenen Zertifikate, die in Ihrer Zertifikatsverwaltung existieren.
2035 Nachfolgend der Dialog, gefüllt mit Beispielzertifikaten für OpenPGP
2036 und S/MIME:
2037 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2038 \begin{center}
2039 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
2040 \end{center}
2041
2042 Wählen Sie Ihr korrektes Zertifikat aus, mit dem Sie Ihre Nachricht
2043 signieren wollen.
2044
2045 Klicken Sie anschließend auf \Button{OK}. Ihr ausgewähltes Zertifikat
2046 wird in den letzten "`\Email{} signieren"'-Dialog übernommen.
2047
2048 Bestätigen Sie Ihr Zertifikat mit \Button{Weiter}.
2049
2050
2051 \clearpage
2052 \subsubsection{Signierung abschließen}
2053 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2054 aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
2055
2056 % TODO screenshot: kleopatra sign dialog 2 - choose certificate
2057 \begin{center}
2058 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2059 \end{center}
2060
2061 Dies ist notwendig, weil Sie mit Ihrem eignen geheimen Schlüssel
2062 signieren. Bestätigen Sie Ihre Eingabe mit \Button{OK}.
2063
2064 Ihre Nachricht wird nun signiert und versandt.
2065 Nach erfolgreicher Signierung Ihrer Nachricht, erhalten
2066 Sie folgenden Dialog:
2067
2068 % TODO screenshot: kleopatra sign successful
2069 \begin{center}
2070 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
2071 \end{center}
2072
2073 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2074 signiert!}
2075
2076
2077 \clearpage
2078 \subsubsection{Fassen wir kurz zusammen...}
2079 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2080 \textbf{signieren}.
2081
2082 Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine
2083 \Email{} mit dem Zertifikat Ihres Korrespondenzpartners
2084 \textbf{verschlüsseln}.
2085
2086 Damit beherschen Sie nun die beiden wichtigsten Techniken für einen
2087 sicheren \Email{}-Versand.
2088
2089 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2090 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden wollen
2091 -- je nachdem, wie wichtig und schutzbedürftig der
2092 Inhalt Ihrer \Email{} ist:
2093
2094 \begin{itemize}
2095     \item unverschlüsselt
2096     \item verschlüsselt
2097     \item signiert
2098     \item signiert und verschlüsselt \textit{(Mehr dazu im
2099         Abschnitt~\ref{encsig}, S.~\pageref{encsig})}
2100 \end{itemize}
2101
2102 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2103 S/MIME realisieren.
2104
2105
2106
2107 \clearpage
2108 \section{Signatur mit GpgOL überprüfen}
2109 %% Original page 41
2110 Angenommen Sie erhalten eine signierte \Email{} Ihres
2111 Korrespondenzpartners.
2112
2113 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2114 Alles was Sie dazu brauchen, ist das OpenPGP- oder X.509-Zertifikat
2115 Ihres Korrespondenzpartners.
2116 Dessen Zertifikat sollten Sie vor der Überprüfung bereits
2117 in Ihre Kleopatra Zertifikatsverwaltung importiert haben
2118 (vgl. Kapitel~\ref{ch:keyring}).
2119
2120 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu überprüfen,
2121 gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
2122 (vgl. Kapitel~\ref{ch:decrypt}):
2123
2124 Starten Sie Outlook und öffnen Sie die signierte \Email{}.
2125
2126 GpgOL überprüft nun automatisch die Signatur und meldet das Ergebnis
2127 in einem Statusdialog:
2128
2129 %TODO screenshot: Kleopatra - successfully encrypt/verify dialog
2130 \begin{center}
2131 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
2132 \end{center}
2133
2134 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2135 signierte \Email{} zu lesen.
2136
2137 Möchten Sie die Überprüfung noch einmal manuell aufrufen,
2138 so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2139 Enschlüsseln/Prüfen}.
2140
2141 Sollte die Signaturprüfung fehlt schlagen,
2142 % TODO: ggf. Screenshot mit neg. Meldung.
2143 wurde die Nachricht bei der Übertragung verändert.
2144 Aufgrund der technischen Gegebenheiten im Internet ist es
2145 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2146 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2147 jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
2148
2149 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten,
2150 erfahren Sie im Abschnitt~\ref{brokenSignature}.
2151
2152
2153 \clearpage
2154 \subsubsection{Übrigens...}
2155 Wenn Sie kein Gpg4win installiert haben und eine signierte
2156 \Email{} öffnen, lässt sich die Signatur natürlich nicht überprüfen.
2157 Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
2158 ist die Signatur.
2159
2160 Exemplarisch für OpenPGP zeigen wir Ihnen, wie dann so eine
2161 OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussieht:
2162
2163 Die \Email{} beginnt mit:
2164 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2165
2166 \begin{verbatim}
2167 -----BEGIN PGP SIGNED MESSAGE-----
2168 Hash: SHA1
2169 \end{verbatim} 
2170
2171 und endet unter der \Email{}-Nachricht mit:
2172
2173 \begin{verbatim}
2174 -----BEGIN PGP SIGNATURE-----
2175 Version: GnuPG v1.4.2 (MingW32)
2176
2177 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
2178 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
2179 =O6lY
2180 -----END PGP SIGNATURE-----
2181 \end{verbatim}
2182
2183 \textit{Dies ist ein Beispiel -- Abwandlungen sind natürlich möglich.}
2184
2185
2186 \clearpage
2187 %% Original page 40
2188 \section{Gründe für eine gebrochene Signatur}
2189 \label{brokenSignature}
2190
2191
2192 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur
2193 führen können. Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2194 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2195 dass Ihre \Email{} manipuliert sein könnte; d.h. jemand hat vielleicht
2196 den Inhalt oder den Betreff der \Email{} verändert.
2197
2198 Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, 
2199 dass Ihre \Email{} manipuliert wurde:
2200
2201 \begin{enumerate}
2202 \item Aufgrund der technischen Gegebenheiten ist es nicht
2203   auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2204   über das Internet verändert wurde.
2205 \item Das \Email{}-Programm des Absenders oder Empfängers kann falsch eingestellt sein.
2206   Wenn man eine signierte \Email{} verschickt, sollte man unbedingt
2207   darauf achten, dass im \Email{}-Programm alle Optionen ausgeschaltet
2208   sind, die \Email{} schon beim Versand verändern. Dazu zählt
2209   "`HTML-Mails"' und "`Word Wrap"'.
2210
2211   "`Word Wrap"' bezeichnet den Umbruch von Zeilen in der \Email{}. Beides
2212   verändert natürlich die \Email{} und "`bricht"' die Signatur, obwohl
2213   niemand sie willentlich verändert hat.  Bei Outlook 2003
2214   beispielsweise muss diese Option unter
2215   \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das Nachrichtenformat
2216   auf \textit{Nur Text} eingestellt sein.
2217 \end{enumerate}
2218
2219 Häufig sind falsche Einstellungen am \Email{}-Programm der Grund für
2220 eine gebrochene Signatur. 
2221
2222 \textbf{In jedem Fall sollten Sie die \Email{} erneut beim Absender anfordern!}
2223
2224
2225
2226 \clearpage
2227 %% Original page 42
2228 \section{Verschlüsseln und signieren}
2229 \label{encsig}
2230
2231 Normalerweise verschlüsseln Sie eine Nachricht mit dem Zertifikat 
2232 Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
2233 \Email{} entschlüsselt.
2234
2235 Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
2236 verschlüsseln --, ist technisch nicht möglich und macht keinen Sinn,
2237 weil alle Welt das dazugehörigen (öffentliche) Zertifikat kennt und die
2238 Nachricht damit entschlüsseln könnte.
2239
2240 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2241 eine Datei zu erzeugen: Die Signatur, wie wir sie oben bereits
2242 beschrieben haben. Solch eine digitale Signatur bestätigt eindeutig
2243 die Urheberschaft -- denn wenn jemand Ihr Zertifikat
2244 auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung
2245 ist "`gültig"', so kann diese Datei nur von Ihrem privaten Schlüssel
2246 kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
2247 haben.
2248
2249 Wenn Sie ganz sicher gehen wollen, können Sie beide Möglichkeiten
2250 kombinieren, also die \Email{} verschlüsseln und signieren:
2251
2252 \begin{enumerate}
2253     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
2254   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2255 \item Dann \textbf{verschlüsseln} Sie den Text mit dem Zertifikat
2256   des Korrespondenzpartners.
2257 \end{enumerate}
2258
2259 Damit hat die Botschaft sozusagen zwei Briefumschläge:
2260
2261 \begin{enumerate}
2262 \item Einen Innenumschlag, der mit einem Siegel verschlossen ist (die
2263   Signatur mit Ihrem eigenen geheimen Schlüssel).
2264 \item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2265   Zertifikat des Korrespondenzpartners).
2266 \end{enumerate}
2267
2268 Ihr Briefpartner öffnet die äußere, starke Hülle mit seinem eigenen
2269 geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
2270 nur dieser Schlüssel kann den Text dekodieren. Die innere, versiegelte
2271 Hülle öffnet er mit Ihrem Zertifikat und hat den Beweis Ihrer
2272 Urheberschaft, denn wenn Ihr Zertifikat passt, kann er nur mit Ihrem
2273 Geheimschlüssel kodiert worden sein.
2274
2275 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2276 ganz einfach.
2277
2278
2279
2280 \clearpage
2281 %% Original page 47
2282 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren}
2283
2284 Eine Einstellung müssen Sie nun noch vornehmen: Es geht um Ihre
2285 \Email{}s, die Sie verschlüsselt versendetet haben.
2286
2287 Wie können Sie diese wichtigen Nachrichten sicher archivieren?
2288 Natürlich können Sie einfach eine Klartextversion Ihrer Texte aufbewahren,
2289 aber das wäre eigentlich nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
2290 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
2291 Sie sollten also stets Ihre verschlüsselt gesendeten \Email{}s auch
2292 \textit{verschlüsselt} aufbewahren!
2293
2294 Sie ahnen das Problem: zum Entschlüsseln Ihrer archivierten
2295 (versendeten) \Email{}s braucht Sie aber den geheimen Schlüssel des
2296 Empfängers -- und den haben Sie nicht und werden Sie nie haben$\ldots$
2297
2298 Also was tun?
2299
2300 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2301 selbst!}
2302
2303 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2304 (z.B. Adele) verschlüsselt und ein weiteres Mal auch für Sie, mit
2305 Hilfe Ihres eigenen Zertifikats. So können Sie die \Email{} auch später noch einfach
2306 mit Ihrem eigenen geheimen Schlüssel wieder lesbar machen.
2307
2308 Da Gpg4win nicht wissen kann, welchen Schlüssel Sie benutzen (Sie
2309 können ja auch mehrere haben) müssen Sie dem Programm dies
2310 mitteilen. 
2311
2312 Wie? -- Das erfahren Sie auf der nächsten Seite.
2313
2314 \clearpage
2315 %% Original page 48
2316 %TODO#: Encrypt to this key - Wo in den Einstellungen?
2317 Um diese Option zu nutzen, genügt ein Mausklick: Öffnen Sie Kleopatra und
2318 dort das Menü \Menu{TODO}.
2319
2320 % screenshot: Winpt configuration dialog
2321 %\begin{center}
2322 %\IncludeImage[width=0.7\textwidth]{sc-winpt-enctoself}
2323 %\end{center}
2324
2325 %In dem Einstellungsfenster, das sich nun öffnet, tragen Sie unter
2326 %"`Encrypt to this key"' Ihren Schlüssel ein bzw. die
2327 %dazugehörige \Email{}-Adresse.
2328
2329 Eine entsprechende Option finden Sie auch bei allen \Email{}programmen,
2330 die GnuPG direkt unterstützen.
2331
2332
2333 \clearpage
2334 %% Original page 49
2335 \subsubsection{Fassen wir kurz zusammen...}
2336
2337 \begin{enumerate}
2338 \item Sie haben mit dem Zertifikat Ihres Korrespondenzpartners eine
2339   \Email{} verschlüsselt und ihm damit geantwortet.
2340 \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten \Email{}s auch
2341   zusätzlich mit Ihrem eigenen Zertifikat, so dass die Nachrichten für
2342   Sie lesbar bleiben.
2343 \end{enumerate}
2344
2345 \vspace{2cm}
2346 \textbf{Das war's! Zum Ende dieses ersten Teils des Compendiums werden
2347 Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win besitzen.}
2348
2349 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
2350
2351 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
2352 funktioniert, empfehlen wir Ihnen sich nun mit dem zweiten,
2353 fortgeschrittenen Teil von Gpg4win zu beschäftigten. Wir versprechen
2354 Ihnen, Sie werden viele spannende Dinge darin entdecken!
2355
2356 Genau wie das Kryptographiesystem Gpg4win wurden dieses Compendium nicht nur
2357 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
2358 sondern \textbf{für jedermann.}
2359
2360
2361
2362
2363
2364
2365
2366 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2367 % Part II
2368
2369 % page break in toc
2370 \addtocontents{toc}{\protect\newpage}
2371
2372 \clearpage
2373 \part{Fortgeschrittene}
2374 \label{part:Fortgeschrittene}
2375 \addtocontents{toc}{\protect\vspace{0.3cm}}
2376
2377
2378 \clearpage
2379 %% Original page 9
2380 \chapter{Wie funktioniert Gpg4win?}
2381 \label{ch:FunctionOfGpg4win}
2382
2383 Das Besondere an Gpg4win und der zugrundeliegenden Public-Key Methode
2384 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
2385 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
2386
2387 Die Benutzung von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen
2388 ziemlich kompliziert. Wir werden in diesem Kapitel erklären, wie Gpg4win
2389 funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
2390 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
2391 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
2392
2393 Ganz am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
2394 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
2395 Public-Key Kryptographie lüften und entdecken, warum Gpg4win nicht zu
2396 knacken ist.
2397
2398
2399 \clearpage
2400 %% Original page 10
2401 \subsubsection{Der Herr der Schlüsselringe}
2402
2403 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
2404 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
2405 nur einmal gibt und den man ganz sicher aufbewahrt.
2406
2407 \begin{center}
2408 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
2409 \end{center}
2410
2411 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
2412 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
2413 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
2414 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
2415 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
2416
2417
2418 \clearpage
2419 %% Original page 11
2420
2421 Geheime Schlüssel sind in der Kryptographie ein alter Hut: schon immer
2422 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
2423 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
2424 dazu auch sehr fehleranfällig.
2425
2426 \begin{center}
2427 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
2428 \end{center}
2429
2430 Das Grundproblem bei der "`normalen"' geheimen Nachrichtenübermittlung
2431 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
2432 und dass sowohl der Absender als auch der Empfänger diesen geheimen
2433 Schlüssel kennen.
2434
2435 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einem
2436 solchen System ein Geheimnis (eine verschlüsselte Nachricht)
2437 mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
2438 Schlüssel) mitgeteilt haben.  Und da liegt der Hase im Pfeffer: man
2439 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
2440 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
2441 Dritten abgefangen werden darf.
2442
2443
2444
2445 \clearpage
2446 %% Original page 12
2447
2448 Gpg4win dagegen arbeitet ­-- außer mit dem Geheimschlüssel -- mit einem
2449 weiteren Schlüssel ("`key"'), der vollkommen frei und öffentlich
2450 ("`public"') zugänglich ist.
2451
2452 Man spricht daher auch von
2453 Gpg4win als einem "`Public-Key"' Verschlüsselungssystem.
2454
2455 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: es
2456 muss kein Geheimschlüssel mehr ausgetauscht werden. Im Gegenteil: der
2457 Geheimschlüssel darf auf keinen Fall ausgetauscht werden!
2458 Weitergegeben wird nur der öffentliche Schlüssel (das Zertifikat)­-- und den kennt
2459 sowieso jeder.
2460
2461 Mit Gpg4win benutzen Sie also ein Schlüsselpaar ­-- eine geheime und
2462 eine zweite öffentliche Schlüsselhälfte.  Beide Hälften sind durch
2463 eine komplexe mathematische Formel untrennbar miteinander verbunden.
2464 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
2465 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
2466 den Code zu knacken. In Kapitel \ref{ch:themath} erklären wir, wie das
2467 funktioniert.
2468
2469 % Note: The texts on the signs are empty in the current revision.
2470 % However, I used the original images and wiped out the texts ``Open
2471 % Source"' and ``gratis"' - need to replace with something better.
2472 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
2473 \begin{center}
2474 \IncludeImage[width=0.4\textwidth]{verleihnix}
2475 \end{center}
2476
2477
2478 \clearpage
2479 %% Original page 13
2480 Das Gpg4win-Prinzip ist wie gesagt recht einfach:
2481
2482 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2483 (secret oder private key), muss geheim gehalten werden.
2484
2485 Der \textbf{öffentliche Schlüssel}, auch \textbf{Zertifikat} genannt
2486 (public key), soll so
2487 öffentlich wie möglich gemacht werden.
2488
2489 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2490
2491 \bigskip
2492
2493 \begin{quote}
2494     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
2495 \end{quote}
2496
2497 \begin{center}
2498 \IncludeImage[width=0.9\textwidth]{key-with-shadow-bit}
2499 \end{center}
2500
2501 \begin{quote}
2502     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
2503 \end{quote}
2504
2505
2506 \clearpage
2507 %% Original page 14
2508
2509 \subsubsection{Der öffentliche Safe}
2510
2511 In einem kleinen Gedankenspiel
2512 wird die Methode des Public-Key Verschlüsselungssystems
2513 und ihr Unterschied zur "`nicht-public-key"' Methode deutlicher...
2514
2515 \bigskip
2516
2517 \textbf{Die "`nicht-Public-Key Methode"' geht so:}
2518
2519 Stellen Sie sich vor, Sie stellen einen Briefkasten vor Ihrem Haus
2520 auf, über den Sie geheime Nachrichten übermitteln wollen.
2521
2522 Der Briefkasten ist mit einem Schloss verschlossen, zu dem es nur
2523 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2524 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2525 Nachrichten zunächst einmal gut gesichert.
2526
2527 \begin{center}
2528 \IncludeImage[width=0.9\textwidth]{letter-into-safe}
2529 \end{center}
2530
2531 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2532 Schlüssel wie Sie haben, um den Briefkasten damit auf- und zuschließen
2533 und eine Geheimnachricht deponieren zu können.
2534
2535
2536 \clearpage
2537 %% Original page 15
2538 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2539 Wege übergeben.
2540
2541 \bigskip
2542 \bigskip
2543
2544 \begin{center}
2545 \IncludeImage[width=0.7\textwidth]{secret-key-exchange}
2546 \end{center}
2547
2548 \clearpage
2549 %% Original page 16
2550 Erst wenn der andere den Geheimschlüssel hat, kann er den Briefkasten
2551 öffnen und die geheime Nachricht lesen.
2552
2553 Alles dreht sich also um diesen Schlüssel: wenn ein Dritter ihn kennt,
2554 ist es sofort aus mit den Geheimbotschaften. Sie und Ihr
2555 Korrespondenzpartner müssen ihn also genauso geheim austauschen wie
2556 die Botschaft selbst.
2557
2558 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2559 gleich die geheime Mitteilung übergeben\ldots
2560
2561
2562 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
2563 \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2564 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2565 könnten.
2566
2567 Vergessen wir diese Möglichkeit am besten sofort wieder\ldots
2568
2569 \begin{center}
2570 \IncludeImage[width=0.9\textwidth]{letter-out-of-safe}
2571 \end{center}
2572
2573 \clearpage
2574 %% Original page 17
2575 \textbf{Jetzt die Public-Key Methode:}
2576
2577 Sie installieren wieder einen Briefkasten vor Ihrem Haus.  Aber:
2578 dieser Briefkasten ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2579 -- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2580 -- ein Schlüssel, mit dem jedermann den Briefkasten zuschließen kann.
2581
2582 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
2583
2584 \begin{center}
2585 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
2586 \end{center}
2587
2588 Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: es ist Ihr
2589 öffentlicher Schlüssel.
2590
2591 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2592 sie in den Briefkasten und schließt mit Ihrem öffentlichen Schlüssel
2593 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2594 frei zugänglich.
2595
2596 Kein anderer kann den Briefkasten nun öffnen und die Nachricht lesen.
2597 Selbst derjenige, der die Nachricht in dem Briefkasten eingeschlossen
2598 hat, kann ihn nicht wieder aufschließen, zum Beispiel um die
2599 Botschaft nachträglich zu verändern.
2600
2601 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2602
2603 Aufschließen kann man den Briefkasten nur mit einem einzigen
2604 Schlüssel: Ihrem eigenen geheimen oder privaten Schlüsselteil.
2605
2606 \clearpage
2607 %% Original page 18
2608
2609 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
2610 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2611 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2612 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2613 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2614
2615 Spielen wir das Gedankenspiel noch einmal anders herum:
2616
2617 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2618 benutzen Sie dessen Briefkasten mit seinem öffentlichen, frei
2619 verfügbaren Schlüssel.
2620
2621 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2622 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2623 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2624 Nachricht hinterlegt und den Briefkasten des Empfängers mit seinem
2625 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2626 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2627 Empfänger kann den Briefkasten mit seinem privaten Schlüssel öffnen
2628 und die Nachricht lesen.
2629
2630 \begin{center}
2631 \IncludeImage[width=0.9\textwidth]{pk-safe-opened-with-sk}
2632 \end{center}
2633
2634
2635 \clearpage
2636 %% Original page 19 
2637 \textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
2638 geheimen Schlüssel!?
2639
2640 Der Unterschied gegenüber der "`nicht-Public-Key Methode"' ist
2641 allerdings ein gewaltiger:
2642
2643 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2644 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2645 Übergabe entfällt, sie verbietet sich sogar.
2646
2647 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2648 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
2649 geheimes Codewort.
2650
2651 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: alle
2652 "`alten"' Verschlüsselungsverfahren können geknackt werden, weil ein
2653 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2654 bringen kann.
2655
2656 Dieses Risiko entfällt, weil der Geheimschlüssel nicht ausgetauscht
2657 wird und sich nur an einem einzigen Ort befindet: Ihrem eigenen
2658 Schlüsselbund.
2659
2660
2661 \clearpage
2662 %% Original page 20
2663 \chapter{Die Passphrase}
2664 \label{ch:passphrase}
2665
2666 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
2667 wichtigsten Komponenten im Public-Key Verschlüsselungssystem. Man muss
2668 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2669 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2670 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' Systems.
2671
2672 Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
2673 abzuspeichern. Dies geschieht auf zweierlei Weise:
2674
2675 \begin{center}
2676 \IncludeImage[width=0.3\textwidth]{think-passphrase}
2677 \end{center}
2678
2679 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2680 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2681 weder zum schreiben noch zum lesen.  Es ist deswegen unbedingt zu
2682 vermeiden, den Schlüssel in einem öffentlichen Ordner
2683 (z.B. \verb=c:\Temp= oder \verb=c:\WINNT=) abzulegen.  Gpg4win
2684 speichert den Schlüssel deswegen im sogenannten "`Heimverzeichnis"'
2685 ("`Homedir"') von GnuPG
2686 ab.  Dies kann sich je nach System an unterschiedlichen Orten
2687 befinden; für einen Benutzer mit
2688 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2689 \verb=C:\Dokumente und Einstellungen\harry\Anwendungsdaten\gnupg= \newline
2690 sein.  Der geheime Schlüssel befindet sich dort in eine Datei mit dem
2691 Namen \verb=secring.gpg=.
2692
2693 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2694 der Administrator des Rechners immer auf alle Dateien zugreifen --
2695 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2696 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2697 Trojanersoftware) kompromittiert werden. 
2698
2699 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2700 Passphrase.
2701
2702 Die Passphrase sollte aus einem Satz und nicht nur aus einem Wort
2703 bestehen. Sie müssen diese Passphrase wirklich "`im Kopf"'
2704 haben und niemals aufschreiben müssen.
2705
2706 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
2707 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2708 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
2709 merkende und nur sehr schwer zu erratende Passphrase ausdenken
2710 können.
2711
2712
2713 \clearpage
2714 %% Original page 21
2715 Eine \textbf{gute Passphrase} kann so entstehen:
2716
2717 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
2718
2719 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
2720
2721 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
2722
2723 $\qquad$\verb-nieufdahnlnr- 
2724 \texttt{\scriptsize{(Ei\textbf{n}
2725 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
2726 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
2727 Ko\textbf{r}n.)}}
2728
2729
2730 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
2731 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
2732 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
2733 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächnis. Erraten
2734 kann diese Passphrase niemand.
2735
2736
2737 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
2738 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
2739 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
2740 gemacht hat. Oder eine Ferienerinnerung, oder der Titel eines für
2741 Sie wichtigen Liedes.
2742
2743
2744 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
2745 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
2746 "`ß"', "`\$"' usw.
2747
2748 Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
2749 einem fremden Rechner benutzen wollen, bedenken Sie, dass
2750 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
2751 Beispielsweise werden Sie kein "`ä"' auf einer englischen
2752 Tastatur finden.
2753
2754
2755 %% Original page  22
2756 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
2757 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
2758 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
2759
2760 $\qquad$\verb-In München steht ein Hofbräuhaus.-
2761
2762 könnten man beispielsweise diese Passphrase machen:
2763
2764 $\qquad$\verb-inMinschen stet 1h0f breuhome-
2765
2766 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
2767 sich aber doch merken können, wie z.B.:
2768
2769 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter.-
2770
2771 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
2772 geheimen Schlüssel.
2773
2774 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
2775 z.B. so:
2776
2777 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
2778
2779 Das ist nun kürzer, aber nicht mehr so leicht zu merken. 
2780 Wenn Sie eine noch kürzere Passphrase verwenden, 
2781 indem Sie hier und da Sonderzeichen benutzen,
2782 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
2783 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
2784 noch größer.
2785
2786 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
2787 sichere Passphrase ist dieses hier:
2788
2789 $\qquad$\verb-R!Qw"s,UIb *7\$-
2790
2791 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
2792 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
2793 für die Erinnerung hat.
2794
2795 \clearpage
2796 %% Original page 23
2797 Eine \textbf{schlechte Passphrase} ist blitzschnell geknackt, wenn sie:
2798
2799 \begin{itemize}
2800 \item schon für einen anderen Zweck benutzt wird; z.B. für einen
2801   \Email{}-Account oder Ihr Handy
2802
2803 \item aus einem Wörterbuch stammt. Cracker lassen in Minutenschnelle
2804   komplette Wörter\-bücher elektronisch über eine Passphrase laufen.
2805
2806 \item aus einem Geburtsdatum oder einem Namen besteht.  Wer sich die
2807   Mühe macht, Ihre \Email{} zu entziffern, kann auch ganz leicht an
2808   diese Daten herankommen.
2809
2810 \item ein landläufiges Zitat ist wie "`das wird böse enden"' oder "`to
2811   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
2812   Cracker routinemäßig und blitzschnell eine Passphrase.
2813
2814 \item aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
2815   Denken Sie sich eine längere Passphrase aus.
2816
2817 \end{itemize}
2818
2819 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
2820 \textit{auf gar keinen Fall} eines der oben angeführten Beispiele.  Denn es liegt auf
2821 der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
2822 Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
2823 nicht eines dieser Beispiele genommen haben -- sofern er auch diese
2824 Informationen gelesen hat.
2825
2826 \bigskip
2827
2828 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
2829 Unvergesslich und unknackbar.
2830
2831 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
2832 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
2833
2834
2835
2836
2837 \clearpage
2838 %% Original page 24
2839 \chapter{Schlüssel im Detail}
2840 \label{KeyDetails}
2841 Der Schlüssel, den Sie erzeugt
2842 haben, besitzt einige
2843 Kennzeichen:
2844 \begin{itemize}
2845 \item die Benutzerkennung
2846 \item die Schlüsselkennung
2847 \item das Verfallsdatum
2848 \item das Benutzervertrauen
2849 \item das Schlüsselvertrauen
2850 \end{itemize}
2851
2852 \textbf{Die Benutzerkennung} besteht aus dem Namen und der
2853 \Email{}-Adresse, die Sie während der Schlüsselerzeugung eingegeben
2854 haben, also z.B. \newline
2855 \verb=-Heinrich Heine <heinrichh@gpg4win.de>=.
2856
2857 \textbf{Die Schlüsselkennung} verwendet die Software intern um mehrere
2858 Schlüssel voneinander zu unterscheiden. Mit dieser Kennung kann man
2859 auch nach öffentlichen Schlüsseln suchen, die auf den Keyservern
2860 liegen. Was Keyserver sind, erfahren Sie im folgenden Kapitel.
2861
2862 \textbf{Das Verfallsdatum} ist normalerweise auf "`kein Verfallsdatum"'
2863 gesetzt. Sie können das ändern, indem Sie auf die Schaltfläche
2864 "`Ändern"' klicken und ein neues Ablaufdatum eintragen. Damit können
2865 Sie Schlüssel nur für eine begrenzte Zeit gültig erklären, zum
2866 Beispiel, um sie an externe Mitarbeiter auszugeben.
2867
2868 \textbf{Das Benutzervertrauen} beschreibt das Maß an Zuversicht, das
2869 Sie subjektiv in den Besitzer des Schlüssel setzen, andere Schlüssel
2870 korrekt zu signieren.  Es kann über die Schaltfläche "`Ändern"'
2871 editiert werden.
2872
2873 \textbf{Das Schlüsselvertrauen} schließlich bezeichnet das Vertrauen,
2874 das man gegenüber dem Schlüssels hat. Wenn man sich von der Echtheit
2875 eines Schlüssels überzeugt und ihn dann auch signiert hat, erhält er
2876 volles "`Schlüsselvertrauen"'.
2877
2878 Diese Angaben sind für die tagtägliche Benutzung des Programms nicht
2879 unbedingt wichtig. Sie werden relevant, wenn Sie neue Schlüssel
2880 erhalten oder ändern. Wir besprechen die Punkte "`Benutzervertrauen"'
2881 und "`Schlüsselvertrauen"' in Kapitel \ref{ch:trust}.
2882
2883
2884 \clearpage
2885 %% Original page 25
2886 \chapter{Die OpenPGP-Schlüsselserver}
2887 \label{ch:keyserver}
2888
2889 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres
2890 OpenPGP-Zertifikats haben wir Ihnen bereits im
2891 Abschnitt~\ref{publishPerKeyserver} einführend erläutert. Dieses
2892 Kapitel beschäftigt sich mit den Details von Schlüsselservern.
2893 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2894
2895 %% Original page 26
2896
2897 Schlüsselserver können von allen Programmen benutzt werden, die den
2898 OpenPGP-Standard unterstützen.
2899
2900 In Kleopatra ist ein Keyserver bereits voreingestellt:
2901 \texttt{hkp://keys.gnupg.net}.
2902 Ein Mausklick unter
2903 %TODO:german
2904 \Menu{Datei$\rightarrow$Export Certificate to Server...}.
2905 genügt, und Ihr öffentlicher Schlüssel ist unterwegs rund um die Welt.
2906 Es genügt, den Schlüssel an irgendeinen der verfügbaren
2907 Keyserver zu senden, denn fast alle synchronsieren sich weltweit
2908 miteinander.
2909 Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
2910 verfügbar ist, aber dann haben Sie einen globales Zertifikat!
2911
2912 \begin{center}
2913 \IncludeImage[width=0.3\textwidth]{keyserver-world}
2914 \end{center}
2915
2916 Die Schlüsselserver sind dezentral organisiert, aktuelle Statistiken
2917 über ihre Zahl oder die Anzahl der dort liegenden Schlüssel gibt es
2918 nicht.  Dieses verteilte Netz von Keyservern sorgt für eine bessere
2919 Verfügbarkeit und verhindert dass einzelne Systemandministratoren
2920 Schlüssel löschen um so die Kommunikation unmöglich zu machen
2921 ("`Denial of Service"'-Angriff).
2922
2923 %%%Das OpenPGP-Netz http://www.keyserver.net/ ist zum Beispiel der
2924 %%%Sammelpunkt für ein ganzes Netz dieser Server, oft benutzt werden
2925 %%%ebenfalls http://germany.  keyserver.net/en/ oder der Keyserver des
2926 %%%Deutschen Forschungsnetzes DFN http://www.dfn.pca.de/pgpkserv/. 
2927
2928 Wir raten dazu, nur moderne Keyserver zu verwendet (auf denen die SKS
2929 Software läuft), da nur diese mit den neueren Merkmalen von OpenPGP
2930 umgehen können.
2931
2932
2933 \clearpage
2934 \subsubsection{Adressen einiger Schlüsselserver}
2935
2936 Hier eine Auswahl von gut funktionierenden Schlüsselservern:
2937 \begin{itemize}
2938 \item hkp://blackhole.pca.dfn.de
2939 \item hkp://pks.gpg.cz
2940 \item hkp://pgp.cns.ualberta.ca
2941 \item hkp://minsky.surfnet.nl
2942 \item hkp://keyserver.ubuntu.com
2943 \item hkp://keyserver.pramberger.at
2944 \item http://gpg-keyserver.de
2945 \item http://keyserver.pramberger.at
2946 \end{itemize}   
2947 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
2948 besten die Keyserver, deren URL mit \verb-http://- beginnen.
2949
2950 Die Keyserver unter den Adressen
2951 \begin{itemize}
2952 \item hkp://keys.gnupg.net
2953 \item hkp://subkeys.pgp.net
2954 \end{itemize}
2955 sind ein Sammelpunkt für ein ganzes Netz dieser Server, es wird
2956 dann zufällig ein konkreter Server ausgewählt.
2957
2958 \textbf{Achtung:} Der Keyserver \verb=ldap://keyserver.pgp.com= synchronisiert
2959 sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt
2960 werden.
2961
2962
2963
2964 \clearpage
2965 \subsubsection{Zertifikate auf Schlüsselservern suchen}
2966 %% Original page 27
2967
2968 Genauso einfach wie Sie ein Zertifikat auf Schlüsselserver hochladen,
2969 können Sie auch nach Zertifikaten suchen.
2970
2971 Klicken Sie dazu in Kleopatra auf 
2972 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}. Sie
2973 erhalten ein Zertifikatssuchdialog, in dessen Suchfeld Sie den
2974 Namen des Zertifikatsbesitzers oder seine \Email{}-Adresse eingeben
2975 können:
2976
2977 %screenshot: Kleopatra certification search dialog
2978 \begin{center}
2979 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
2980 \end{center}
2981
2982 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
2983 auf den Button \Button{Details}.
2984
2985 \subsubsection{Zertifikate vom Schlüsselservern importieren}
2986 %% Original page 28
2987 Möchten Sie eines der gefundenen Zertifikate in Ihre lokale
2988 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
2989 Zertifikat aus der Liste der Suchergebnisse und
2990 klicken Sie auf \Button{Importieren}!
2991
2992 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
2993 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
2994 \Button{OK}. 
2995
2996 War der Import erfolgreich, finden Sie das ausgewählte Zertifikat in
2997 der Kleopatra-Zertifikatsverwaltung.
2998
2999
3000
3001 \clearpage
3002 %% Original page 30
3003 \chapter{Plugins für \Email{}-Programme}
3004 \label{ch:plugins}
3005
3006 Im Kapitel~\ref{ch:decrypt} haben wir erwähnt, dass es Plugins für bestimmte
3007 \Email{}-Programme gibt, die die Ver- und Entschlüsselung erleichtern.
3008 Es ist ein großer Vorteil, wenn Sie die ganze
3009 GnuPG-\Email{}-Verschlüsselungstechnik in Ihrem
3010 bevorzugten \Email{}-Programm nutzen können.
3011
3012 Plugins für GnuPG gibt es im Moment für folgende Windows-Mailprogramme:
3013
3014 \begin{description}
3015 \item[Thunderbird] mit Plugin \textbf{Enigmail},
3016 \item[Outlook 2003] mit Plugin \textbf{GpgOL}, welches in Gpg4win
3017   enthalten ist. Läuft nur unter Windows. Outlook sollte nur dann
3018   verwendet werden wenn andere organisatorische Vorgaben es
3019   bedingen.
3020 \item[Claws Mail] ist ebenfalls in Gpg4win enthalten.  Hier sind im
3021   Konfigurationsmenü die Plugins für "`PGP/Mime"' und "`PGP inline"'
3022   zu laden, bei einer Installation über Gpg4win ist das bereits
3023   geschehen.
3024 %\item[PostMe] nur Windows.
3025 %% FIXME Postme und mail: Prüfen ob noch verfügbar
3026 %\item[Eudora] Das Plugin wird in Gpg4win enthalten sein, falls
3027 %  einige rechtliche Fragen zufriedenstellend geklärt werden.
3028 \end{description}
3029
3030 Desweiteren verfügen praktisch alle Mailprogramme, die unter GNU/Linux oder
3031 anderen Unix Varianten laufen, über eine komfortable und integrierte
3032 GnuPG-Unterstützung.
3033
3034 Da sämtliche Komponenten des Gpg4win-Pakets als Freie Software
3035 entstehen, ist die Entwicklung stark im Fluss.
3036
3037 Aktuelle Informationen über die Komponenten finden Sie unter
3038 \W\xlink{www.gpg4win.de}{http://www.gpg4win.de}
3039 \T\href{http://www.gpg4win.de}{www.gpg4win.de}
3040 .
3041
3042 Informationen zu den Themen IT-Sicherheit, Gpg4win, GnuPG und anderer Software finden
3043 Sie auf der Website
3044 \W\xlink{www.bsi-fuer-buerger.de}{http://www.bsi-fuer-buerger.de}
3045 \T\href{http://www.bsi-fuer-buerger.de}{www.bsi-fuer-buerger.de}
3046 und
3047 \W\xlink{www.bsi.de}{http://www.bsi.de}
3048 \T\href{http://www.bsi.de}{www.bsi.de}
3049 des Bundesamtes für Sicherheit in der Informationstechnik.
3050
3051
3052
3053 \clearpage
3054 %% Original page 31
3055 \chapter{Die Zertifikatsprüfung}
3056 \label{ch:trust}
3057
3058 Woher wissen Sie eigentlich, dass das fremde Zertifikat
3059 wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
3060 Korrespondenzpartner glauben, dass das Zertifikat, das Sie
3061 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
3062 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts.
3063
3064 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
3065 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
3066 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
3067 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
3068 Identität des Absenders.
3069
3070 \clearpage
3071 \subsubsection{Der Fingerabdruck}
3072 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
3073 die Sache mit der Identität schnell geregelt: Sie prüfen den
3074 Fingerabdruck des anderen Zertifikats.
3075
3076 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
3077 es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
3078 eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
3079 "`Fingerprint"'.
3080
3081 Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
3082 lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
3083 dessen 40-stelligen Fingerabdruck:
3084
3085 %TODO: mit Adeles Zertifikat
3086 % screenshot:  GPA key listing with fingerprint
3087 \begin{center}
3088 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
3089 \end{center}
3090
3091 Der Fingerprint von Adeles OpenPGP-Zertifikat ist also:\\
3092 %TODO
3093 \verb+DD87 8C06 E8C2 BEDD D4A4 40D3 E573 3469 92AB 3FF7+
3094
3095
3096
3097 %% Original page 32
3098 ~\\
3099 Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
3100 Besitzer eindeutig.
3101
3102 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
3103 von ihm den Fingerprint seines Zertifikats vorlesen. Wenn die Angaben
3104 mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
3105 eindeutig das richtige Zertifikat.
3106
3107 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
3108 Zertifikats treffen oder auf jedem anderen Wege mit ihm kommunizieren,
3109 solange Sie ganz sicher sind, dass Zertifikat und Eigentümer zusammen
3110 gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt;
3111 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
3112 den Anruf ersparen.
3113
3114
3115 \clearpage
3116 \subsubsection{OpenPGP-Zertifikat signieren}
3117
3118 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
3119 Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
3120 dieses Zertifikat zu signieren.
3121
3122
3123 \textit{Beachten Sie: \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3124 Signieren von Zertifikaten ist nur mit OpenPGP
3125 möglich. X.509 bietet dieses Verfahren nicht!}
3126
3127 Durch das Signieren eines (fremden) Zertifikats teilen Sie anderen
3128 (Gpg4win-)Benutzern mit, dass Sie dieses
3129 Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
3130 dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
3131 Echtheit.
3132
3133 \textbf{Wie funktioniert das Signieren nun genau?}\\
3134 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, dass Sie für echt
3135 halten und signieren möchten. Wählen Sie anschließend im Menü:
3136 %TODO:german
3137 \Menu{Zertifikate$\rightarrow$Certify
3138 Certificate...}
3139
3140 Im nachfolgenden Dialog wählen Sie nun noch einmal das zu signierende
3141 OpenPGP-Zertifikat aus:
3142
3143 % TODO screenshot: Kleopatra certify certificate 1
3144 \begin{center}
3145 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate1_de}
3146 \end{center}
3147 Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
3148
3149 \clearpage
3150 Im nächsten Schritt wählen Sie \textit{Ihr} OpenPGP-Zertifikat aus, mit dem Sie das
3151 (im letzten Schritt ausgewählte) Zertifikat signieren wollen:
3152 % TODO screenshot: Kleopatra certify certificate 2
3153 \begin{center}
3154 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate2_de}
3155 \end{center}
3156
3157 %TODO:german
3158 Entscheiden Sie hier, ob die Signierung nur für Sie lokal 
3159 \Button{Certify only for myself} oder für alle sichtbar
3160 \Button{Certify for everyone to see} werden soll. Bei
3161 letzterer Variante haben Sie die Option, das signierte Zertifikat
3162 anschließend auf einen Keyserver hochzuladen.
3163
3164 Bestätigen Sie Ihre Auswahl mit \Button{Certify}.
3165
3166 %TODO#:Passphrase eingeben!
3167
3168 %\clearpage
3169 Bei erfolgreicher Signierung erhalten Sie folgendes Fenster:
3170 % TODO screenshot: Kleopatra certify certificate 3
3171 \begin{center}
3172 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certifyCertificate3_de}
3173 \end{center}
3174
3175
3176 %TODO#: Wie kann man Signierung überprüfen? -> Zertifikatsdetails...
3177
3178 \clearpage
3179 %% Original page 33/34
3180
3181 \subsubsection{Das Netz des Vertrauens}
3182
3183 So entsteht -- auch über den Kreis von
3184 Gpg4win-Benutzern und Ihrer täglichen Korrespondenz hinaus -- ein "`Netz
3185 des Vertrauens"', bei dem Sie nicht mehr zwangsläufig darauf
3186 angewiesen sind, ein OpenPGP-Zertifikat direkt zu prüfen.
3187 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3188
3189 \begin{center}
3190 \IncludeImage[width=0.9\textwidth]{key-with-sigs}
3191 \end{center}
3192
3193 Natürlich steigt das Vertrauen in die Gültigkeit eines Zertifikats,
3194 wenn mehrere Leute ihn signieren. Ihr eigenes OpenPGP-Zertifikat
3195 wird im Laufe der Zeit die Signatur vieler anderer GnuPG-Benutzer
3196 tragen. Damit können immer mehr Menschen darauf vertrauen, dass dieses
3197 Zertifikat wirklich Ihnen und niemandem sonst gehört.
3198
3199 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
3200 Beglaubigungs-Infra\-struktur.
3201
3202 Eine einzige Möglichkeit ist denkbar, mit dem man diese Zertifikatsprüfung 
3203 aushebeln kann: Jemand schiebt Ihnen einen falsches
3204 Zertifikat unter. Also einen öffentlicher OpenPGP-Schlüssel, der vorgibt, von X
3205 zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde.  Wenn ein
3206 solches gefälschtes Zertifikat signiert wird, hat das "`Netz des
3207 Vertrauens"' natürlich ein Loch. Deshalb ist es so wichtig, sich zu
3208 vergewissern, ob ein Zertifikat, wirklich zu der Person
3209 gehört, der er zu gehören vorgibt.
3210
3211 Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die
3212 Zertifikate ihrer Kunden echt sind? Alle anzurufen, kann hier sicher
3213 nicht die Lösung sein\ldots
3214
3215
3216 \clearpage
3217 %% Original page 35
3218 \subsubsection{Zertifizierungsinstanzen}
3219
3220 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
3221 vertrauen können.  Sie überprüfen ja auch nicht persönlich den
3222 Personalausweis eines Unbekannten durch einen Anruf beim Ein\-wohner\-melde\-amt,
3223 sondern vertrauen darauf, dass die ausstellende
3224 Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
3225
3226 Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key
3227 Verschlüsselung für OpenPGP. In Deutschland bietet unter anderem z.B. die
3228 Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso
3229 wie viele Universitäten.
3230 \margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3231
3232 Wenn man also ein OpenPGP-Zertifikat erhält, dem eine
3233 Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man
3234 sich darauf verlassen.
3235
3236 ~\\
3237 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
3238 anderen Verschlüsselungssystemen -- wie z.B. S/MIME  --
3239 \margin{\IncludeImage[width=1.5cm]{smime-icon}}
3240 vorgesehen.
3241 Allerdings sind sie hierarchisch strukturiert: Es gibt eine "`Oberste
3242 Beglaubigungsinstanz"', die weitere "`Unterinstanzen"' besitzt mit dem Recht
3243 diese Unterinstanzen zu beglaubigen (vgl. Abschnitt~\ref{ch:openpgpsmime}).
3244
3245 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die
3246 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
3247 berichtigte Institution geben, die die Befugnis dazu wiederum von einer
3248 übergeordneten Stelle erhalten hat.
3249
3250
3251 %% Original page 36
3252
3253 Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses
3254 Modell natürlich wesentlich besser den Bedürfnissen staatlicher und
3255 behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen
3256 beruhende "`Web of Trust"' der GnuPG- und PGP-Modelle. Der Kern der
3257 Beglaubigung selbst ist allerdings völlig identisch: Gpg4win
3258 unterstützt neben dem "`Web of Trust"' (OpenPGP) zusätzlich auch 
3259 eine hierarchische Zertifizierungsstruktur (S/MIME). Demnach
3260 entspricht Gpg4win dem strengen Signaturgesetz der
3261 Bundesrepublik Deutschland.
3262
3263 Wenn Sie sich weiter für dieses Thema interessieren, dann
3264 können Sie sich an der Quelle informieren: die Website 
3265 "`\xlink{Sicherheit im Internet}{http://www.sicherheit-im-internet.de}"' 
3266 des Bundesministeriums für Wirtschaft und Technologie
3267 \T\linebreak(\href{http://www.sicherheit-im-internet.de}{www.sicherheit-im-internet.de})
3268 hält Sie über dieses und viele andere
3269 Themen aktuell auf dem Laufenden.
3270
3271 Eine weitere exzellente, mehr technische Informationsquelle zum Thema
3272 der Beglaubigungsinfrastrukturen bietet das 
3273 \xlink{Original GnuPG Handbuch}{http://www.gnupg.org/gph/de/manual},
3274 das Sie ebenfalls im Internet finden\linebreak
3275 \T(\href{http://www.gnupg.org/gph/de/manual}{www.gnupg.org/gph/de/manual}).
3276
3277
3278
3279 \clearpage
3280 %% Original page 43
3281
3282 \chapter{Dateianhänge verschlüsseln}
3283
3284 Was tun, wenn Sie zusammen mit Ihrer \Email{} eine Datei versenden und
3285 diese ebenfalls verschlüsseln wollen? Die Verschlüsselung, wie wir sie
3286 in Kapitel~\ref{ch:encrypt} erklärt haben, erfasst nur
3287 den Text einer \Email{}, nicht aber eine gleichzeitig versandte,
3288 angehängte Datei. 
3289
3290 Ganz einfach: Sie verschlüsseln den Anhang getrennt und hängen ihn
3291 dann in verschlüsseltem Zustand an die \Email{} an.
3292
3293 Und zwar so:
3294
3295 Klicken Sie die Datei mit der rechten Maustaste an und wählen Sie aus
3296 dem Menü \linebreak \Menu{GPGee$\rightarrow$Verschlüsseln (PK)}.  Sie
3297 sehen daraufhin das Fenster welches Sie schon im Kapitel "`Dateien
3298 signieren"' kennengelernt haben.
3299
3300 Hier ist nun in der unteren linken Box "`Public-Key"' markiert.  Sie
3301 müssen jetzt im oberen Fenster auswählen, an welche Empfänger sie
3302 verschlüsseln wollen,  kreuzen Sie einfach die entsprechenden Schlüsseln an.
3303
3304 Möchten Sie diese Datei (und damit auch den Dateianhang) auch noch
3305 signieren, so können Sie dies in der mittleren unteren Box auswählen
3306 ("`Angehängt"').
3307
3308 Die Datei wird verschlüsselt und mit der Endung \verb-.gpg- im
3309 gleichen Ordner abgelegt wie die Originaldatei. Nun kann die
3310 verschlüsselte Datei wie jede andere als Attachment an eine \Email{}
3311 angehängt werden.
3312
3313 Viele Mailprogramme unterstützten das PGP/MIME Format, welches
3314 automatisch die Mail samt Anhängen verschlüsselt -- in diesem Fall
3315 sollte das hier beschrieben Verfahren nicht angewandt werden.  Einige
3316 anderer Mailprogramme verfügen über eine Option die das oben
3317 beschrieben Verfahren automatisch durchführen.
3318
3319
3320 \clearpage
3321 \chapter{Dateien: Verschlüsselung und Signaturen}
3322
3323 In diesem Kapitel wird die Anwendung von GpgEX beschrieben.
3324
3325 \clearpage
3326 %% Original page 41
3327 \section{Dateien signieren}
3328
3329 Nicht nur \Email{}s, auch Dateien --­ z.B. ein PDF-Dokument -- kann
3330 man signieren, bevor man sie per \Email{} verschickt oder per
3331 USB-Stick weitergibt. Auch dabei kommt es nicht vorrangig auf die
3332 Geheimhaltung, sondern auf die Unverändertheit der Datei an.
3333
3334 Diese Funktion können Sie bequem mit \textbf{GpgEX} aus dem Kontextmenü des
3335 Windows Explorers ausführen. Selektieren Sie eine Datei und öffnen Sie 
3336 mit der rechten Maustaste das Kontextmenü:
3337
3338 % TODO screenshot GpgEX contextmenu sign/encrypt
3339 \begin{center}
3340 \IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3341 \end{center}
3342
3343 Dort wählen Sie \Menu{Verschlüsseln und Signieren} aus.
3344
3345 \clearpage
3346 Es erscheint folgendes Fenster:
3347
3348 %TODO screenshot GpgEX sign file, step 1
3349 \begin{center}
3350 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile1_de}
3351 \end{center}
3352
3353 Selektieren Sie die Option \Menu{Nur unterschreiben}.
3354
3355 Der darunter liegende Rahmen \Menu{Verschlüsselungseinstellungen}
3356 wird dadurch ausgegraut, da sie ja lediglich signieren möchten.
3357
3358 Im letzten Abschnitt \Menu{Signatur-Zertifikate} wählen Sie -- sofern nicht
3359 schon vorausgewählt -- Ihr (OpenPGP oder S/MIME) Standardzertifikat aus, mit dem Sie die
3360 Datei signieren möchten.
3361
3362 Klicken Sie nun auf \Button{Weiter}.
3363
3364 \clearpage
3365 Wählen Sie hier noch einmal die Datei aus, die Sie signieren möchten.
3366
3367 %TODO screenshot GpgEX sign/encrypt file, step 2: choose object
3368 \begin{center}
3369 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
3370 \end{center}
3371
3372 Bestätigen Sie Ihre Auswahl mit \Button{Weiter}.
3373
3374 Sie müssen nun Ihre Passphrase in das aufkommende Pinentry-Fenster
3375 eingeben.
3376
3377 \clearpage
3378 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3379
3380 %TODO screenshot GpgEX sign file, step 3: finish
3381 \begin{center}
3382 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signFile3_de}
3383 \end{center}
3384
3385 Sie haben damit Ihre Datei erfolgreich signiert.
3386
3387 Abhängig davon, ob Sie OpenPGP oder S/MIME zum Signieren genutzt
3388 haben, erhalten Sie als Ergebnis eine Datei mit der Endung
3389 \textit{*.sig} (bei OpenPGP) oder \textit{*.p7s} (bei S/MIME).
3390
3391 Beim Signieren einer Datei wird stets eine "`abgetrennte"' Signatur
3392 verwendet. Dies bedeutet, dass Ihre zu signierende Datei unverändert bleibt 
3393 und eine zweite Datei mit der eigentlichen Signatur erzeugt wird.
3394 Um die Signatur später zu überprüfen, sind beide Dateien notwendig.
3395
3396 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3397 wenn Sie Ihre ausgewählte Datei (hier \texttt{<dateiname>.txt}) mit OpenPGP
3398 bzw. S/MIME signieren:
3399
3400 \begin{quote}
3401     \textbf{OpenPGP: \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt.sig}}
3402
3403     \textbf{S/MIME:~~ \texttt{<dateiname>.txt $\rightarrow$ <dateiname>.txt.p7s}}
3404 \end{quote}
3405
3406
3407 \clearpage
3408 \subsubsection{Signatur verifizieren}
3409 Wir wollen nun überprüfen, ob die eben signierte Datei korrekt ist.
3410
3411
3412 Zum Überprüfen der Unverändertheit und der Authentizität
3413 müssen die Signatur-Datei und die unterschriebene Datei (Originaldatei) im selben
3414 Verzeichnis liegen. Selektieren Sie die Signatur-Datei -- also die mit der
3415 Endung \textit{*.sig} oder \textit{*.p7s} -- und wählen Sie aus dem Kontextmenü des Explorers
3416 den Eintrag  \Menu{Entschlüsseln und Verifizieren}:
3417
3418 % TODO screenshot GpgEX contextmenu verifiy/decrypt
3419 \begin{center}
3420 \IncludeImage[width=0.25\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3421 \end{center}
3422
3423 \clearpage
3424 Daraufhin erhalten Sie folgendes Fenster:
3425 % TODO screenshot kleopatra verify file, step 1
3426 \begin{center}
3427 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile1_de}
3428 \end{center}
3429 Kleopatra listet unter \textit{Eingabe-Datei} den vollständigen 
3430 Pfad zur ausgewählten Signatur-Datei auf.
3431
3432 Die Option \Menu{Eingabe-Datei ist eine angehängte Unterschrift} ist
3433 aktiviert, da wir ja unsere Originaldatei
3434 (hier: \textit{unterschriebene Daten}) mit der Eingabe-Datei signiert haben.
3435 Kleopatra findet automatisch die zugehörige unterschriebene
3436 Originaldatei.
3437
3438 Automatisch ist auch der \textit{Ausgabe-Ordner} auf den gleichen
3439 Pfad (wo die beiden oberen Dateien liegen) ausgewählt.
3440
3441 Bestätigen Sie die gegebenen Operationen mit
3442 \Button{Entschlüsseln/überprüfen}.
3443
3444 \clearpage
3445 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3446 Fenster:
3447
3448 % TODO screenshot kleopatra verify file, step 2
3449 \begin{center}
3450 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-verifyFile2_de}
3451 \end{center}
3452
3453 Das Ergebnis zeigt, dass die Signatur gültig ist --
3454 also die Datei nicht verändert wurde.  Selbst wenn nur ein Zeichen
3455 hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als
3456 ungültig angezeigt.
3457
3458
3459 \clearpage
3460 \section{Dateien verschlüsseln und entschlüsseln}
3461
3462 %In der rechten Box finden Sie noch weitere Optionen.  "`Textausgabe"'
3463 %ist dort vorgegeben.  Dies erzeugt eine abgetrennte Signaturdatei mit
3464 %einem Dateinamen der auf "`.asc"' endet und die direkt mit jedem
3465 %Texteditor lesbar ist -- sie würden dort den Buchstaben- und
3466 %Ziffernsalat sehen, den Sie bereits kennen.  Wenn diese Option nicht
3467 %ausgewählt ist, so wird eine Datei mit der Endung "`.sig"' erzeugt,
3468 %die dann nicht direkt lesbar ist (binäre Datei).  Was Sie hier
3469 %benutzen ist eigentlich gleichgültig; Gpg4win kommt mit beiden Arten
3470 %klar.
3471
3472
3473 % TODO screenshot kleopatra encrypt file, step 1
3474 \begin{center}
3475 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile1_de}
3476 \end{center}
3477
3478 \clearpage
3479 % TODO screenshot kleopatra sign/encrypt file, step 2
3480 \begin{center}
3481 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-signEncryptFile2_de}
3482 \end{center}
3483
3484 \clearpage
3485 % TODO screenshot kleopatra encrypt file, step 3
3486 \begin{center}
3487 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile3_de}
3488 \end{center}
3489
3490 \clearpage
3491 % TODO screenshot kleopatra encrypt file, step 4
3492 \begin{center}
3493 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryptFile4_de}
3494 \end{center}
3495
3496
3497 \clearpage
3498 \subsubsection{Datei entschlüsseln}
3499 Wir wollen nun die zuvor verschlüsselte Datei zum Testen einmal entschlüsseln.
3500
3501 % TODO screenshot kleopatra decrypt file, step 1
3502 \begin{center}
3503 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-decryptFile1_de}
3504 \end{center}
3505
3506
3507
3508 \clearpage
3509 %% Original page 45
3510 \chapter{Im- und Export eines geheimen Schlüssels}
3511 \label{ch:ImExport}
3512
3513 Im "`Schnellstart"'-Handbuch haben wir in den Kapiteln 5, 6 und 8 den
3514 Im- und Export eines öffentlichen Schlüssels besprochen. Wir haben
3515 Ihren eigenen öffentlichen Schlüssel exportiert, um ihn zu
3516 veröffentlichen, und wir haben den öffentlichen Schlüssel Ihres
3517 Korrespondenzpartners importiert und "`am Schlüsselbund"' befestigt.
3518
3519 Dabei ging es stets um den öffentlichen Schlüssel. Es gibt aber auch
3520 hin und wieder die Notwendigkeit, einen geheimen Schlüssel zu im- oder
3521 exportieren. Wenn Sie zum Beispiel einen bereits vorhandenen
3522 PGP-Schlüssel mit Gpg4win weiterbenutzen wollen, müssen Sie ihn
3523 importieren.  Oder wenn Sie Gpg4win von einem anderen Rechner aus
3524 benutzen wollen, muss ebenfalls zunächst der gesamte Schlüssel dorthin
3525 transferiert werden --­ der öffentliche und der private Schlüssel.
3526
3527 %\clearpage
3528 %% Original page 46
3529
3530 Wir gehen im folgenden von der zur Zeit aktuellen PGP-Version 7 aus, in allen
3531 anderen ist der Vorgang ähnlich.
3532
3533 Zunächst speichern Sie beiden PGP-Schlüsselteile ab. Dazu müssen Sie
3534 in "`PGPkeys"' Ihren Schlüssel anklicken und "`Keys / Export"'
3535 anwählen. Auf dem Dateiauswahldialog "`Export Key to File"' sehen Sie
3536 unten links eine Checkbox "`Include Private Keys"', den Sie anklicken
3537 und mit einem Häkchen versehen müssen. PGP speichert beide
3538 Schlüsselteile in eine Datei ab, die Sie entsprechend benennen, zum
3539 Beispiel \Filename{geheimer-key.asc}.  
3540
3541 Öffnen Sie nun GPA oder WinPT und importieren sie einfach diese Datei.
3542 Es werden dann sowohl der geheime als auch der öffentliche Schlüssel
3543 importiert; sie sind dann sofort sichtbar. \textbf{Löschen Sie danach
3544   unbedingt die Datei \Filename{geheimer-key.asc} wieder und entfernen
3545   Sie diesen auch aus dem "`Papierkorb"'.}  Damit haben Sie einen
3546 PGP-Schlüssel erfolgreich in Gpg4win importiert und können ihn dort
3547 genau wie einen normalen GnuPG-Schlüssel benutzen.
3548
3549 Es kann in einigen Fällen vorkommen, dass Sie einen importierten
3550 Schlüssel nicht direkt benutzen können.  Dies äußert sich darin, dass
3551 Sie die richtige Passphrase eingeben, dieser aber nicht akzeptiert
3552 wird.  Das kommt daher, dass einige Versionen von PGP intern den
3553 IDEA Algorithmus verwenden.  Dieser kann von GnuPG aus rechtlichen
3554 Gründen nicht unterstützt werden.  Um das Problem zu beheben,
3555 ändern Sie in PGP einfach die Passphrase und
3556 exportieren/importieren Sie den Schlüssel erneut.  Sollte dies auch
3557 nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3558 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie wieder
3559 -- In diesem Fall müssen Sie unbedingt sicherstellen, sowohl die
3560 \textbf{Datei sicher zu löschen als auch in PGP und in Gpg4win danach wieder
3561   eine echte Passphrase zu setzen.}
3562
3563 \clearpage
3564 %% Original page 47
3565 \section{Export eines GnuPG-Schlüssels}
3566
3567 Immer wenn Sie einen GnuPG-Schlüssel auf einen anderen Rechner
3568 transferieren oder auf einer anderen Festplattenpartition bzw. einer
3569 Sicherungsdiskette speichern wollen, müssen Sie mit WinPT oder GPA ein Backup erstellen.
3570 Dies entspricht dem Backup, welches Sie bei der Schlüsselerzeugung
3571 auch schon durchgeführt haben.  Da Ihr Schlüssel inzwischen weitere
3572 Schlüsselunterschriften haben kann, sollte Sie es erneut durchführen.
3573
3574 Klicken Sie in der GPA-Schlüsselverwaltung den Schlüssel an, den Sie sichern
3575 wollen und wählen
3576 Sie dann den Menüpunkt \Menu{Schlüssel$\rightarrow$Sicherheitskopie anlegen}.
3577
3578 % screenshot: GPA, Backup erzeugen
3579 \begin{center}
3580 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup}
3581 \end{center}
3582
3583 Bestätigen Sie den Dateinamen oder wählen Sie einen anderen und GPA
3584 wird eine Sicherheitskopie bestehend aus dem geheimen und öffentlichen
3585 Schlüssel anlegen. Danach werden Sie noch daran erinnert, dass Sie
3586 diese Datei sehr sorgfältig zu handhaben ist:
3587
3588 % screenshot: GPA, Backup Hinweis
3589 \begin{center}
3590 \IncludeImage[width=0.6\textwidth]{sc-gpa-gen-backup-warn}
3591 \end{center}
3592
3593
3594 Beim Import, also zum Beispiel auf einem anderen Rechner, importieren
3595 Sie einfach diese Sicherheitskopie in WinPT oder GPA.
3596 Gpg4win wird dann sowohl den
3597 geheimen als auch den öffentlichen Schlüssel aus dieser Datei
3598 importieren.
3599
3600 Damit haben Sie erfolgreich einen GnuPG-Schlüssel exportiert und
3601 wieder importiert.
3602
3603 \clearpage
3604 \chapter{Systemweite Konfigurationen und Vorbelegungen für S/MIME}
3605
3606 Im Rahmen von Softwareverteilung oder sonstigen Umgebungen
3607 in denen viele Anwender auf einem System arbeiten,
3608 ist es sinnvoll einige systemweite Vorgaben und Vorberlegungen
3609 für Gpg4win einzurichten.
3610
3611 Einige typische systemweite Einrichtungen sind:
3612
3613 \begin{itemize}
3614 \item Vertrauenswürdige Wurzel-Zertifikate
3615
3616         Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3617         Wurzelzertifikate suchen und installieren sowie Vertrauenswürdigkeit
3618         prüfen und setzen muss, ist eine systemweite Vorbelegung der
3619         wichtigsten Wurzel-Zertifikate sinnvoll.
3620
3621         Dafür sind folgende Schritte durchzuführen:
3622         \begin{enumerate}
3623         \item Die Wurzel-Zertifkate ablegen wie unter Abschnitt \ref{trustedrootcertsdirmngr}
3624                 beschrieben.
3625         \item Die vertrauenswürdigen Wurzeln definieren wie unter Abschnitt \ref{systemtrustedrootcerts}
3626                 beschrieben.
3627         \end{enumerate}
3628
3629 \item Direkt verfügbare CA-Zertifkate
3630
3631         Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifkate der Zertifizierungsstellen
3632         (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier
3633         eine systemweite Vorbelegung der wichtigesten CA-Zertifkate sinnvoll.
3634
3635         Folgen Sie dazu der Beschreibung unter Abschnitt \ref{extracertsdirmngr}
3636
3637 \item Proxy für Verzeichnisdienst-Suche
3638
3639         Es kommt vor, dass interne Netzwerke keine direkten Verbindungen der einzelnen
3640         Systeme nach aussen zulassen, sondern einen sogenannten Proxy vorsehen.
3641
3642         Ist dies in Ihrem Netzwerk auch für die bei GnuPG bzw. S/MIME wichtigen
3643         LDAP-Abfragen, so führen Sie folgende Schritte durch:
3644
3645         \begin{enumerate}
3646         \item Stellen Sie Verzeichnisdienst-Suchen auf Ihren Proxy wie unter Abschnitt \ref{ldapservers} ein.
3647         \item Stellen Sie Sperrlisten-Suchen auf Ihren Proxy ein, in dem Sie einen Eintrag
3648                 wie beispielsweise \verb@http-proxy http://proxy.mydomain.example:8080@ (ggf. analog
3649                 für LDAP) als Administrator in die Datei\newline
3650                 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3651                 eintragen.
3652         \end{enumerate}
3653 \end{itemize}
3654
3655 \clearpage
3656 \chapter{Bekannte Probleme und was man tun kann}
3657
3658 \section{GpgOL Menüs und Dialog nicht mehr in Outlook zu finden}
3659
3660 Es kann vorkommen, dass trotz Aktualisierung von Gpg4win
3661 die Menüs und Dialog die von GpgOL zu Outlook hinzugefügt
3662 werden nicht mehr zu finden sind.
3663
3664 Das ist dann der Fall wenn ein technisches Problem auftrat
3665 und Outlook aus diesem Grund das GpgOL Element deaktiviert.
3666
3667 Reaktivieren Sie GpgOL über das Menü
3668 ,,Hilfe-> Info-> Deaktivierte Elemente''.
3669
3670 \section{Systemdienst ,,DirMngr'' läuft nicht}
3671
3672 ,,DirMngr'' ist ein über Gpg4win installierter Dienst der
3673 die Zugriffe auf Verzeichnisdienste
3674 (z.B. LDAP) verwaltet. Eine der häufigsten Aufgaben ist das Laden
3675 von Sperrlisten für S/MIME Zertifikate.
3676
3677 Es kann vorkommen, dass die S/MIME Operationen (Signatur, Prüfung,
3678 Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3679 ,,DirMngr'' nicht verfügbar ist. In der Voreinstellung von Gpg4win
3680 ist es zwingend notwendig, dass ,,DirMngr'' die Sperrliste prüft,
3681 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3682 werden da möglicherweise ein kompromittiertes Zertifkat genutzt wird.
3683
3684 Abhilfe: Neustart des ,,DirMngr'' durch den Systemadministrator.
3685 Dies erfolgt über Systemsteuerung -> Verwaltung -> Dienste:
3686 In der Liste finden Sie ,,DirMngr'' -
3687 über das Kontextmenü kann der Dienst neu gestartet werden.
3688
3689 \clearpage
3690 \chapter{Wo finde ich die Dateien und Einstellungen von Gpg4win?}
3691
3692 \section{Persönliche Einstellungen der Anwender}
3693
3694 Die persönlichen Einstellungen für jeden Anwender befinden sich
3695 im Verzeichnis \Filename{\%APPDATA\%\back{}gnupg}. Oft entspricht das dem
3696 Verzeichnis \newline
3697 \Filename{C:\back{}Dokumente und Einstellungen\back{}name\back{}Anwendungsdaten\back{}gnupg}.
3698
3699 Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt.
3700 Im Explorer müssen Sie über das Menü ,,Extras-> Ordneroptionen''
3701 dann im Reiter ,,Ansicht'' für ,,Versteckte Dateien und Ordner''
3702 auf ,,Alle Dateien und Ordner anzeigen'' umstellen.
3703
3704 In diesem Ordner befinden sich sämtliche persönlichen GnuPG Daten,
3705 also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und
3706 Programmkonfigurationen.
3707 \\
3708
3709 \section{Zwischengespeicherte Sperrlisten}
3710
3711 Der systemweite Dienst ,,DirMngr'' prüft unter anderem ob
3712 ein Zertifkate gesperrt und daher nicht verwendet werden darf.
3713 Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate
3714 (,,Trust-Center'') abgeholt und für die Dauer ihrer Gültigkeit
3715 zwischengespeichert.
3716
3717 Abgelegt werden diese Sperrlisten unter\newline
3718 \Filename{C:\back{}Dokumente und Einstellungen\back{}LocalService\back{}Lokale\newline
3719 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3720
3721 Hierbei handelt es sich um einen sogenannten ,,geschützten'' Bereich
3722 und kann daher nur mit dem Explorer eingesehen werden, wenn für die
3723 Ansicht eingestellt ist, dass auch geschützte Dateien angezeigt werden sollen.
3724
3725 In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
3726
3727 \section{Vertrauenswürdige Wurzeln von DirMngr \label{trustedrootcertsdirmngr}}
3728
3729 Für eine vollständige Prüfung von Zertifkats-Gültigkeiten
3730 muss auch den Wurzel-Zertifkaten vertraut werden, in deren
3731 Zertifizierungskette die Sperrlisten unterschrieben wurden.
3732
3733 Die Liste der Wurzel-Zertifkate denen DirMngr bei den
3734 Prüfungen vertrauen soll liegt unter\newline
3735 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3736
3737 Für systemweite Vorgaben sollten hier die Wurzel-Zertifkate abgelegt werden
3738 denen alle Anwender vertrauen können.
3739
3740 \section{Weitere Zertifikate von DirMngr \label{extracertsdirmngr}}
3741
3742 Um wie oeben beschrieben die Zertifizierungskette zu
3743 prüfen sind auch die Zertifkate der Zertifizierungsstellen
3744 (Certificate Authorities, CAs) zu prüfen.
3745
3746 Für eine direkte Verfügbarkeit können sie in diesem Verzeichnis abgelegt
3747 werden:\newline
3748 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3749
3750 Zertifkate die nicht hier oder bei den Anwendern vorliegen müssen
3751 entweder automatisch von LDAP-Servern geladen werden oder, falls so nicht
3752 verfügbar, per Hand importiert werden.
3753
3754 Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die
3755 wichtigsten CA-Zertifkate abzulegen.
3756
3757 \section{Konfiguration zur Verwendung externer LDAP Verrzeichnisdienste \label{ldapservers}}
3758
3759 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende Zertifkate
3760 oder Sperrlisten auf externen Verzeichnisdiensten gesucht werden.
3761
3762 Der Systemdienst ,,DirMngr'' verwendet dafür die Liste der Dienste die
3763 in der Datei\newline
3764 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}ldapservers.conf}\newline
3765 angegeben sind.
3766
3767 Sind im internen Netz die Zugänge zu externen LDAP-Servern gesperrt, so
3768 kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung
3769 konfigurieren, wie folgende Zeile im Beispiel illustriert:
3770
3771 \verb#proxy.mydomain.example:389:::O=myorg,C=de#
3772
3773 Die genaue Syntax für die Einträge lautet übrigens:
3774
3775 \verb#HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN#
3776
3777 \section{Systemweite vertrauenswürdige Wurzel-Zertifikate \label{systemtrustedrootcerts}}
3778
3779 Die systemweit als vertrauenswürdig vorbelegten Zertifkate werden
3780 in der Datei\newline
3781 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}gnupg\back{}trustlist.txt}\newline
3782 definiert.
3783
3784 \clearpage
3785 \chapter{Fehler in den Gpg4win Programmen aufspüren}
3786
3787 Es kann vorkommen, dass eines der Gpg4win Programme
3788 nicht wie erwartet zu funktionieren scheint.
3789
3790 Nicht selten ist dabei eine Besonderheit der
3791 Arbeitsumgebung, so dass die Software-Entwickler
3792 das beobachtete Problem gar nicht selbst nachvollziehen können.
3793
3794 Um die Software-Entwickler bei der Problemsuche zu
3795 unterstützen oder auch um mal selbst in die technischen
3796 Detail-Abläufe reinzuschnuppern bieten die Gpg4win Programme
3797 Unterstützung an.
3798
3799 In der Regel muss diese Unterstützun aber erst einmal
3800 eingeschaltet werden. Eine der wichtigesten Hilfsmittel sind
3801 Logbücher. Dort werden detaillierte Informationen zu den
3802 technischen Vorgängen vermerkt. Ein Software-Entwickler kann
3803 ein Problem und die mögliche Lösung oft leicht ablesen,
3804 auch wenn es auf den ersten Blick sehr unverständlich
3805 und viel zu umfangreich wirken mag.
3806
3807 Wenn Sie einen Fehler-Bericht an die Software-Entwickler
3808 senden wollen, so finden Sie auf dieser Web-Seite einige Hinweise:
3809
3810 http://www.gpg4win.de/reporting-bugs-de.html
3811
3812 Als dort erwähnte ,,Debug-Informationen''
3813 sind Logbücher besonders wertvoll
3814 und sollten mitgeschickt werden.
3815
3816 Im folgenden werden verschieden Möglichkeiten beschrieben
3817 wie Programm-Ablauf-Informationen (darum handelt es sich
3818 letztlich bei den Logbüchern) eingeschaltet werden können.
3819
3820 \section{Logbuch von Kleopatra einschalten}
3821
3822 Das Logbuch von Kleopatra besteht aus vielen Dateien,
3823 daher ist der erste Schritt ein Verzeichnis für
3824 das Logbuch zu erstellen. Denkbar ist z.B.
3825 \Filename{C:\back{}TEMP\back{}kleologdir}.
3826
3827 Bitte beachten Sie hierbei, dass es hier um Einstellungen
3828 des Anwenders, nicht des Systemadministrators geht.
3829 Die Einstellungen müssen also für jeden Anwender der ein
3830 Logbuch erstellen möchte separat vorgenommen werden und dabei
3831 insbesondere aufgepasst werden, dass unterschiedliche \Filename{kleologdir}
3832 Verzeichnisse verwendet werden.
3833
3834 Der Pfad zu diesem Verzeichnis muss nun in der Umgebungsvariable
3835 ,,KLEOPATRA\_LOGDIR'' vermerkt werden:
3836
3837 Öffnen Sie dazu die Systemsteuerung, wählen dort ,,System'', dann
3838 den Reiter ,,Erweitert'' und schließlich den Knopf \Button{Umgebungsvariablen}.
3839
3840 Fügen Sie dort nun folgende neue Benutzervariable ein:
3841
3842 Name: KLEOPATRA\_LOGDIR
3843
3844 Wert: \Filename{C:\back{}TEMP\back{}kleologdir}
3845
3846 Beachten Sie, dass das angegebene Verzeichnis existieren muss. Sie können es
3847 auch nachträglich erstellen.
3848
3849 Um die Log-Funktion wirksam werden zu lassen, muss Kleopatra beendet
3850 und neu gestartet werden. Spätestens jetzt muss das Log-Verzeichnis erstellt worden
3851 sein.
3852
3853 Während Kleopatra nun verwendet wird, zeichnet es viele Daten in die
3854 Datei \Filename{kleo-log} (Haupt-Logbuch) sowie möglicherweise viele Dateien
3855 \Filename{pipe-input-ZEITSTEMPEL-ZUFALLSZEICHEN}.
3856
3857 Möglicherweise reichen diese Informationen einem Software-Entwickler nicht
3858 um den Fehler zu erkennen, er wird Sie dann bitten die Umgebungsvariable
3859 ,,KLEOPATRA\_LOGOPTIONS'' auf den Wert ,,all'' zu setzen wie Sie schon
3860 die andere Variable oben gesetzt haben.
3861
3862 Möglicherweise werden die Logbuch-Dateien sehr schnell sehr groß.
3863 Sie sollten diese Logbuch-Aufzeichnung nur einschalten und dann
3864 ein bestimmtes Fehlverhalten durchspielen. Anschliessend schalten
3865 Sie die Aufzeichnung wieder aus indem Sie die Umgebungsvariable
3866 löschen oder den Namen leicht variieren (für späteres leichtes
3867 reaktivieren). Vergessen Sie nicht, die Logbücher zu löschen falls
3868 sie umfangreich geworden sind oder es sehr viele Dateien sind. Am besten immer
3869 bevor Sie eine neue Aufzeichnung machen.
3870
3871 \section{Logbuch von GpgOL einschalten}
3872
3873 Für das Einschalten des Logbuches von GpgOL müssen Sie ihrem normalen
3874 Benutzerkonto (also nicht als Administrator) den Registrierungs-Editor
3875 starten. Das kann man z.B. machen in dem man
3876 in einer Eingabeaufforderung das Kommando \verb:regedit: ausführt.
3877
3878 Wählen Sie nun das GpgOL Verzeichnis
3879 (\verb:HKEY_CURRENT_USER\Software\GNU\GpgOL:)
3880 im auf der linken Seite dargestellten
3881 Verzeichnisbaum. Existiert dieser Registry-Pfad noch nicht, so
3882 legen Sie ihn zunächst an.
3883
3884 Auf der rechten Seite wählen Sie nun über die rechte Maustaste den
3885 Menüeintrag ,,Neu/Zeichenfolge''.
3886 Bennennen Sie den neuen Eintrag ,,enableDebug'' und setzte Sie dessen Wert
3887 auf ,,1''.
3888
3889 Man erhält umso mehr interne Programmablaufinformationen
3890 je größere man den Wert von ,,enableDebug'' wählt.
3891 Es ist empfehlenswert
3892 mit ,,1'' zu beginnen und nur höhere Werte einzusetzen, falls
3893 es eine tiefere Programmablaufanalyse erfordern sollte.
3894
3895 Erstellen Sie nun eine weitere Zeichnfolge mit dem Namen ,,logFile''
3896 und als Wert ein Dateiname in die das Logbuch geschrieben werden soll,
3897 beispielsweise
3898 \Filename{C:\back{}TEMP\back{}gpgollog.txt}.
3899 Evtl. existierte dieser Eintrag schon ohne Angabe eines Dateinamens,
3900 in diesem Fall reicht ein Doppel-Click auf den Eintrag um den Wert
3901 dann zu ändern.
3902
3903 Bedenken Sie, dass diese Datei ggf. im weiteren Verlauf sehr
3904 umfangreich werden kann. Stelle Sie ,,enableDebug'' auf ,,0'' wenn
3905 Sie kein Logbuch mehr benötigen.
3906
3907 \section{Logbuch von DirMngr einschalten}
3908
3909 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher
3910 ist das Einschalten des Logbuches nur mit Administator-Rechten
3911 möglich.
3912
3913 Um das Logbuch einzuschalten, tragen Sie folgende zwei Zeilen in
3914 die Datei\newline
3915 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}etc\back{}dirmngr\back{}dirmngr.conf}\newline
3916 ein:
3917
3918 \begin{verbatim}
3919 debug-all
3920 log-file C:\TEMP\dirmngr.log
3921 \end{verbatim}
3922
3923 Starten Sie dann den Dienst neu, so dass er die geänderte Konfiguration
3924 einliesst.
3925
3926 \section{Logbuch von GPG für S/MIME, GPG Agent oder Smartcard Daemon einschalten}
3927
3928 Für die Programme GPG für S/MIME (Kommandozeilen-Name GpgSM), GPG Agent (gpg-agent) und
3929 Smarcard Daemon (scdaemon) können Anwender persönliche Konfigurationen vornehmen.
3930 Dazu gehört auch das Einstellen einer Protokolldatei für den Programmablauf.
3931
3932 Eingeschaltet wird das jeweilige Logbuch in dem über das Kleopatra Menü
3933 ,,Einstellungen/GnuPG Backend einrichten...'' zum jeweiligen Programm
3934 die beiden Einstellungen ,,Schreibe im Servermodus Logs in DATEI'' z.B. auf
3935 ,,\Filename{C:\back{}TEMP\back{}gpgsm.log}'' und ,,Die Debugstufe auf NAME setzten''
3936 auf ,,guru'' setzen. Letzteres ist die höchtste Stufe und erzeugt entsprechend große
3937 Dateien. Daher sollten Sie die Logbücher wieder ausschalten wenn Sie nicht mehr benötigt werden
3938 (Debugstufe ,,none'').
3939
3940 \clearpage
3941 %% Original page 49
3942 \chapter{Warum Gpg4win nicht zu knacken ist~$\ldots$}
3943 \label{ch:themath}
3944
3945 $\ldots$ jedenfalls nicht mit heute bekannten Methoden und sofern die
3946 Implementierung der Programme frei von Fehlern ist. 
3947
3948 In der Realität sind genau solche Fehler in den Programmen, Fehler im
3949 Betriebssystem oder nicht zuletzt Fehler in der Benutzung der letzte Weg um
3950 doch noch an die geheimen Informationen zu gelangen -- Auch deshalb sollte
3951 Sie diese Handbücher bis hierhin gelesen haben.
3952
3953 In jedem Beispiel dieses Handbuchs haben Sie gesehen, dass zwischen dem
3954 geheimen und dem öffentlichen Schlüsselteil eine geheimnisvolle
3955 Verbindung besteht. Nur wenn beide zueinander passen, kann man
3956 Geheimbotschaften entschlüsseln.
3957
3958 Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
3959 unbedingt kennen ­-- Gpg4win funktioniert für Sie auch so. Man kann diese komplexe
3960 mathematische Methode aber auch als Normalsterblicher und
3961 Nichtmathematiker verstehen. Sie müssen eigentlich nur einfache
3962 Additionen ($2 + 3$) und Multiplikationen ($5 * 7$) beherrschen.
3963 Allerdings in einer ganzen anderen Rechenmethode als der, die Sie im
3964 Alltag benutzen.  Es gehört sowohl zur Sicherheitsphilosophie der
3965 Kryptographie wie auch zum Prinzip der Freien Software, dass es keine
3966 geheimnisvollen Methoden und Algorithmen gibt. Letztendlich versteht
3967 man auch erst dann wirklich, warum GnuPG (die eigentliche Maschinerie
3968 hinter Gpg4win) sicher ist.
3969
3970 Hier beginnt also sozusagen die Kür nach dem Pflichtteil:
3971
3972
3973 \clearpage
3974 %% Original page 50
3975 \chapter{GnuPG und das Geheimnis der großen Zahlen}
3976 \label{ch:secretGnupg}
3977
3978 {\Large Kryptographie für Nicht-Mathematiker}
3979
3980 Es ist schon versucht worden, den RSA Algorithmus, auf dem GnuPG
3981 basiert\footnote{Wir verwenden hier RSA als Beispiel da dieser
3982   einfacher zu verstehen ist als der Elgamal Algorithmus der als
3983   Voreinstellung von GnuPG benutzt wird.}, zu "`knacken"', also einen
3984 privaten Schlüssel zu berechnen, wenn man lediglich den
3985 öffentlichen Schlüssel kennt.  Diese Berechnung ist aber noch nie für
3986 Schlüssellängen (1024 Bit und mehr), die in GnuPG verwendet werden,
3987 gelungen.  Es ist theoretisch zwar möglich, aber praktisch
3988 undurchführbar da selbst bei genügend vorhandener Zeit (viele Jahre)
3989 und Abertausenden von vernetzten Rechnern niemals genügen Speicher zur
3990 Verfügung stehen wird, um den letzten Schritt dieser Berechnung
3991 durchführen zu können.
3992
3993 Es kann allerdings durchaus möglich sein, dass eines Tage eine geniale
3994 Idee die Mathematik revolutioniert und eine schnelle Lösung des mathematischen
3995 Problems, welches hinter RSA steckt, liefert.  Dies wird aber wohl
3996 kaum von heute auf morgen geschehen.
3997 Das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht von Zeit zu Zeit
3998 Prognosen und Einschätzungen, welche Schlüssellängen noch wieviele
3999 Jahre für absolute Geheimhaltung benutzt werden sollen.  GnuPG
4000 überschreitet mit seinen Standardeinstellungen noch weit diese
4001 Mindestanforderungen.  Wie im vorigen Kapitel schon angerissen, ist die
4002 Mathematik der mit Abstand sicherste Teil an der ganzen praktisch
4003 angewandten Kryptographie.
4004
4005
4006
4007 \clearpage
4008 %% Original page  52
4009
4010 Im Folgenden erfahren Sie, wie diese mathematische Methode funktioniert. Nicht
4011 in allen Einzelheiten ­-- das würde den Rahmen dieser Anleitung bei
4012 weitem sprengen --, aber doch so, dass Sie bei etwas Mitrechnen selbst
4013 mathematisch korrekt ver- und entschlüsseln können und dabei das
4014 "`Geheimnis der großen Zahlen"' entdecken.
4015
4016 Man kann diese komplexe mathematische Methode auch als
4017 Normalsterblicher und Nichtmathematiker verstehen. Sie müssen nur
4018 einfache Additionen und Multiplikationen beherrschen. Wie gesagt: hier
4019 beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
4020 Sache als im Pflichtprogramm.  Letztendlich versteht man dann aber,
4021 warum GnuPG sicher ist.
4022
4023 Eine Begriffsklärung vorneweg:
4024
4025 ein \emph{Algorithmus} ist eine mathematische Prozedur zur Veränderung oder
4026 Transformation von Daten oder Informationen.
4027
4028 \emph{Arithmetik} ist die Methode, nach der wir Zahlen addieren und
4029 multiplizieren.
4030
4031
4032 Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
4033 RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
4034   Patentgründen der Elgamal Algorithmus, beruhend auf dem schwieriger
4035   zu erklärenden Problem des diskreten Logarithmus, als Standard
4036   verwendet wird.}.  RSA steht für die Nachnamen von Ron Rivest, Ami
4037 Shamir und Ben Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
4038 haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
4039 Rechnen mit Restklassen oder "`Modulo-Arithmetik"' heißt.
4040
4041 %% Original page 53
4042 \section{Das Rechnen mit Restklassen}
4043
4044 Wenn man mit Restklassen rechnet, so bedeutet dies, dass man
4045 nur mit dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
4046 bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird,
4047 nennt man den "`Modul"' oder die "`Modulzahl"'. Wenn wir
4048 beispielsweise mit dem Teiler oder der Modulzahl 5 rechnen,
4049 sagen wir auch, "`wir rechnen modulo 5"'.
4050
4051 Wie das Rechnen mit Restklassen -- auch Modulo-Arithmetik oder
4052 Kongruenzrechnung genannt -- funktioniert, kann man sich gut
4053 klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:
4054
4055 \begin{center}
4056 \IncludeImage[width=0.25\textwidth]{clock-face}
4057 \end{center}
4058
4059 Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (der Teiler
4060 ist also 12) -- eine Uhr mit einem normalen Zifferblatt, allerdings
4061 mit einer 0 anstelle der 12. Wir können damit Modulo-Arithmetik
4062 betreiben, indem wir einfach den gedachten Zeiger bewegen.
4063
4064 Um beispielsweise $3 + 2$ zu rechnen, beginnen wir bei der Ziffer 2
4065 und drehen den Zeiger um 3 Striche weiter (oder wir starten bei der 3
4066 und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft)
4067 Das Ergebnis ist 5.
4068
4069 Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
4070 der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt.  Um 5 mit 7 zu
4071 multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
4072 weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
4073 Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
4074 (also $7 * 5$) durch 12 geteilt wird.
4075
4076 \clearpage
4077 %% Original page 54
4078
4079 Beim Rechnen mit Restklassen addieren und teilen wir Zahlen also nach
4080 den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
4081 immer nur den Rest nach der Teilung. Um anzuzeigen, dass wir nach den
4082 Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
4083 Arithmetik rechnen, schreibt man den Modul (Sie wissen schon -- den
4084 Teiler) dazu. Man sagt dann zum Beispiel "`4 modulo 5"',
4085 schreibt aber kurz "`$4 \bmod 5$"'. 
4086
4087 Bei Modulo-5 zum Beispiel hat man dann eine Uhr, auf deren
4088 Zifferblatt es nur die 0, 1, 2, 3 und 4 gibt. Also:
4089
4090 \[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]
4091
4092 Anders ausgedrückt, ist in der Modulo-5 Arithmetik das Ergebnis
4093 aus 4 plus 3 gleich 2. Wir können also auch schreiben:
4094
4095 \[ 9 \bmod 5 + 7 \bmod 5 = 16 \bmod 5 = 1 \bmod 5 \]
4096
4097 Wir sehen auch, dass es egal ist, in welcher Reihenfolge wir
4098 vorgehen, weil wir nämlich auch schreiben können:
4099
4100 \[ 9 \bmod 5 + 7 \bmod5 = 4 \bmod 5 + 2 \bmod 5 = 6 \bmod 5 =
4101    1 \bmod 5                                                   \]