Formatting. Added new screenshot.
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 \documentclass[a4paper,11pt, oneside,openright,titlepage,dvips]{scrbook}
5
6 % define packages
7 \usepackage{hyperlatex}
8 \usepackage{a4wide}
9 \usepackage{times}
10 \usepackage[latin1]{inputenc}
11 \usepackage[T1]{fontenc}
12 \usepackage{german}
13 \usepackage{graphicx}
14 \usepackage{alltt}
15 \usepackage{moreverb}
16 \usepackage{ifthen}
17 \usepackage{fancyhdr}
18 \W\usepackage{rhxpanel}
19 \W\usepackage{sequential}
20 \usepackage[table]{xcolor}
21 \usepackage{color}
22
23
24 % write any html files directly into this directory
25 % XXX: This is currently deactivated, but sooner or later
26 % we need this to not let smae filenames overwrite each other
27 % when we have more than one compendium. The Makefile.am needs
28 % to be updated for this as well - not a trivial change.
29 %\W\htmldirectory{./compendium-de-html}
30
31 % Hyperref should be among the last packages loaded
32 \usepackage{hyperref}
33
34 % page header
35 \T\fancyhead{} % clear all fields
36 \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
37     %\T\manualinprogress
38     \T\\
39     \T\itshape\nouppercase{\leftmark}}
40 \T\fancyhead[RO,LE]{\includegraphics[width=1cm]{gpg4win-logo}}
41 \T\fancyfoot[C]{\thepage}
42 \T\pagestyle{fancy}
43
44 % define custom commands
45 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
46 \newcommand{\Menu}[1]{\textit{#1}}
47 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
48 \newcommand{\Email}{E-Mail}
49 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
50 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
51 % Note: Do not include more than one image on a source line.
52 \newcommand{\IncludeImage}[2][]{\texorhtml{%
53 \includegraphics[#1]{#2}%
54 }{%
55 \htmlimg{#2.png}%
56 }}
57
58 % custom colors
59 \definecolor{gray}{rgb}{0.4,0.4,0.4}
60 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
61
62 \T\DeclareGraphicsExtensions{.eps.gz,.eps}
63 \T\parindent 0cm
64 \T\parskip\medskipamount
65
66 % Get the version information from another file.
67 % That file is created by the configure script.
68 \input{version.tex}
69
70
71 % Define universal url command.
72 % Used for latex _and_ hyperlatex (redefine see below).
73 % 1. parameter = link text (optional);
74 % 2. parameter = url
75 % e.g.: \uniurl[example link]{http:\\example.com}
76 \newcommand{\uniurl}[2][]{%
77 \ifthenelse{\equal{#1}{}}
78 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
79 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
80
81
82 %%% HYPERLATEX %%%
83 \begin{ifhtml}
84     % HTML title
85     \htmltitle{Gpg4win-Kompendium}
86     % TOC link in panel
87     \htmlpanelfield{Inhalt}{hlxcontents}
88     % name of the html files
89     \htmlname{gpg4win-compendium-de}
90     % redefine bmod
91     \newcommand{\bmod}{mod}
92     % use hlx icons (default path)
93     \newcommand{\HlxIcons}{}
94
95     % Footer
96     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE
97         %\manualinprogress
98     \html{br/}
99     \html{small}
100     Das Gpg4win-Kompendium ist unter der
101     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
102     \html{/small}}
103
104     % Changing the formatting of footnotes
105     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
106
107     % redefine universal url for hyperlatex (details see above)
108     \newcommand{\linktext}{0}
109     \renewcommand{\uniurl}[2][]{%
110         \renewcommand{\linktext}{1}%
111         % link text is not set
112         \begin{ifequal}{#1}{}%
113             \xlink{#2}{#2}%
114             \renewcommand{linktext}{0}%
115         \end{ifequal}
116         % link text is set
117         \begin{ifset}{linktext}%
118              \xlink{#1}{#2}%
119     \end{ifset}}
120
121     % german style
122     \htmlpanelgerman
123     \extrasgerman
124     \dategerman
125     \captionsgerman
126
127
128     % SECTIONING:
129     %
130     % on _startpage_: show short(!) toc (only part+chapter)
131     \setcounter {htmlautomenu}{1}
132     % chapters should be <H1>, Sections <H2> etc.
133     % (see hyperlatex package book.hlx)
134     \setcounter{HlxSecNumBase}{-1}
135     % show _numbers_ of parts, chapters and sections in toc
136     \setcounter {secnumdepth}{1}
137     % show parts, chapters and sections in toc (no subsections, etc.)
138     \setcounter {tocdepth}{2}
139     % show every chapter (with its sections) in _one_ html file
140     \setcounter{htmldepth}{2}
141
142     % set counters and numberstyles
143     \newcounter{part}
144     \renewcommand{\thepart}{\arabic{part}}
145     \newcounter{chapter}
146     \renewcommand{\thecapter}{\arabic{chapter}}
147     \newcounter{section}[chapter]
148     \renewcommand{\thesection}{\thechapter.\arabic{section}}
149 \end{ifhtml}
150
151
152 %%% TITLEPAGE %%%
153
154 \title{\htmlattributes*{img}{width=300}\IncludeImage[width=8cm]{gpg4win-logo}\\
155 Das Gpg4win-Kompendium}
156
157 \author{ \
158     % Hyperlatex: Add links to pdf versions and Homepage
159     \htmlonly{
160         \xml{p}\small
161         \xlink{Aktuelle PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
162         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}\xml{p}
163     }
164     % Authors
165     Eine Veröffentlichung des Gpg4win-Projekts\\
166       \small Basierend auf einem Original von
167     \T\\
168       \small Manfred J. Heinze, Karl Bihlmeier, Isabel Kramer
169     \T\\[-0.2cm]
170       \small Dr. Francis Wray und Ute Bahn.
171     \\[0.2cm]
172       \small Überarbeitet von
173     \T\\
174       \small Werner Koch, Emanuel Schütze, Dr. Jan-Oliver Wagner und
175       Florian v. Samson.
176 }
177
178 \date{Version \compendiumVersionDE~vom \compendiumDateDE
179     %\manualinprogress
180     }
181
182
183 %%% BEGIN DOCUMENT %%%
184
185 \begin{document}
186
187 \maketitle
188
189 \T\section*{Impressum}
190 \W\chapter*{Impressum}
191
192 \thispagestyle{empty}
193 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
194 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
195 verändert wird, soll außer dieser Coypright-Notiz in keiner Form der
196 Eindruck eines Zusammenhanges
197 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
198 werden.}\\
199 Copyright \copyright{} 2005 g10 Code GmbH\\
200 Copyright \copyright{} 2009 Intevation GmbH
201
202 Permission is granted to copy, distribute and/or modify this document
203 under the terms of the GNU Free Documentation License, Version 1.2 or
204 any later version published by the Free Software Foundation; with no
205 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
206 copy of the license is included in the section entitled "`GNU Free
207 Documentation License"'.
208
209 {\small [Dieser Absatz is eine unverbindliche Übersetzung des
210 oben stehenden Hinweises.]}\\
211 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
212 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
213 Documentation License, Version 1.2 oder einer späteren, von der Free
214 Software Foundation veröffentlichten Version.  Es gibt keine
215 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
216 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
217 License"' findet sich im Anhang mit dem gleichnamigen Titel.
218 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
219 http://www.gnu.org/licenses/translations.html.
220
221
222
223 %%\clearpage
224 %% Orginal page  6
225 %% We don't use these foreword anymore because Mr. Müller is not
226 %% anymore minister of economic and technology.  We might want to ask
227 %% for a new foreword by the current head of that minister.
228
229 \clearpage
230 %% Orginal page 7
231 \chapter*{Über dieses Kompendium \htmlonly{\html{br}\html{br}}}
232
233 Das Gpg4win-Kompendium besteht aus drei Teilen:
234
235 \begin{itemize}
236 \item \textbf{Teil~\ref{part:Einsteiger} "`Für Einsteiger"'}: Der
237     Schnelleinstieg in Gpg4win.
238
239 \item \textbf{Teil~\ref{part:Fortgeschrittene} "`Für
240     Fortgeschrittene"'}:
241     Das Hintergrundwissen zu Gpg4win.
242
243 \item \textbf{Anhang}: Weiterführende technische Informationen zu
244     Gpg4win.\\
245 \end{itemize}
246
247 \textbf{Teil~\ref{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
248 und knapp durch die Installation
249 und die alltägliche Benutzung der Gpg4win-Programmkomponenten.
250 Der Übungsroboter \textbf{Adele} wird Ihnen dabei behilflich sein und
251 ermöglicht Ihnen, die \Email{}-Ver- und Entschlüsselung 
252 (mit OpenPGP) so lange zu üben, bis Sie sich vertraut im Umgang mit
253 Gpg4win gemacht haben.
254
255 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter anderem davon
256 ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in
257 etwa eine Stunde Zeit nehmen.\\
258
259 \textbf{Teil~\ref{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
260 liefert Hintergrundwissen, das Ihnen die
261 grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas
262 seltener benutzten Fähigkeiten erläutert.
263
264 Teil 1 und 2 können unabhängig voneinander benutzt werden. Zu
265 Ihrem besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in
266 der angegebenen Reihenfolge lesen.\\
267
268 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
269 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
270 GpgOL.\\
271
272 Wie das Kryptographie-Programmpaket Gpg4win selbst, wurde diese Dokument
273 nicht für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
274 sondern für jedermann.
275
276
277
278 \clearpage %% End of original page 4.
279
280 \tableofcontents
281
282
283
284
285 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
286 % Part I
287 \clearpage
288 \T\part{Für Einsteiger}
289 \W\part*{\textbf{I Für Einsteiger}}
290 \label{part:Einsteiger}
291 \addtocontents{toc}{\protect\vspace{0.3cm}}
292 \addtocontents{toc}{\protect\vspace{0.3cm}}
293
294
295 %% Orginal page 8
296 \chapter{Was ist Gpg4win?}
297
298 Die Initiative Gpg4win (GNU Privacy Guard for Windows) ist eine
299 Verschlüsselungssoftware für \Email{}s und Dateien.
300 Gpg4win bezeichnet ein \textbf{Gesamtpaket}, welches in Version 2 die folgenden
301 Programme umfasst:
302
303 \begin{itemize}
304     \item \textbf{GnuPG}\\ GnuPG ist das Kernstück von Gpg4win: Die Verschlüsselungs-Software.
305     \item \textbf{Kleopatra}\\ Die zentrale Zertifikatsverwaltung von Gpg4win.
306         Unterstützt OpenPGP und X.509\linebreak (S/MIME) und sorgt für
307         eine einheitliche Benutzerführung für alle
308         kryptographischen Operationen.
309     \item \textbf{GpgOL}\\ GnuPG für Outlook (GpgOL) ist eine Erweiterung für Microsoft
310         Outlook 2003 und 2007, die verwendet wird, um Nachrichten mit OpenPGP
311         oder S/MIME zu signieren / verschlüsseln.
312     \item \textbf{GpgEX}\\ GPG Explorer eXtension (GpgEX) ist eine Erweiterung für
313         den Windows Explorer, die es ermöglicht, Dateien über das
314         Kontextmenü zu signieren / verschlüsseln.
315     \item \textbf{GPA}\\ Der GNU Privacy Assistent (GPA) ist neben Kleopatra ein
316         alternatives Programm zum Verwalten von OpenPGP- und X.509-Zertifikaten.
317     \item \textbf{Claws Mail}\\ Claws Mail ist ein vollständiges
318         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
319 \end{itemize}
320
321
322 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
323 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln. GnuPG
324 kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die
325 von GnuPG eingesetzte Verschlüsselungstechnologie ist 
326 sicher und kann nach dem heutigen
327 Stand von Forschung und Technik nicht gebrochen werden.
328
329 GnuPG ist \textbf{Freie Software}\footnote{oft auch als Open Source
330 Software (OSS) bezeichnet}. Das bedeutet, dass jedermann das Recht hat, sie
331 nach Belieben kommerziell oder privat zu nutzen.  Jedermann darf den
332 Quellcode, also die eigentliche Programmierung des Programms, genau
333 untersuchen und auch selbst Änderungen durchführen und diese
334 weitergeben.\footnote{Obwohl dies ausdrücklich erlaubt ist, sollte man
335 ohne ausreichendes Fachwissen nicht leichtfertig Änderungen
336 durchführen, da hierdurch die Sicherheit der Software beeinträchtigt
337 werden kann.}
338
339 Für eine Sicherheits-Software ist diese garantierte Transparenz des
340 Quellcodes eine unverzichtbare Grundlage. Nur so lässt sich die
341 Vertrauenswürdigkeit eines Programmes wirklich prüfen.
342
343 GnuPG basiert auf dem internationalen Standard \textbf{OpenPGP} (RFC 2440), ist
344 vollständig kompatibel zu PGP und benutzt auch die gleiche Infrastruktur
345 (Zertifikatsserver etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
346 kryptographische Standard \textbf{S/MIME} (IETF RFC 3851, ITU-T X.509
347 und ISIS-MTT/Common PKI) unterstützt.
348
349 PGP ("`Pretty Good Privacy"') ist keine Freie Software, sie war
350 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
351 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
352 mehr dem Stand der Technik.
353
354 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
355 Wirtschaft und Technologie, Gpg4win und Gpg4win2
356 durch das Bundesamt für Sicherheit in der Informationstechnik
357 unterstützt.
358
359 Weitere Informationen zu GnuPG und weiteren Projekten der Bundesregierung
360 zum Schutz des Internets finden Sie auf den Webseiten
361 \uniurl[www.bsi.de]{http://www.bsi.de} und
362 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
363 des Bundesamtes für Sicherheit in der Informationstechnik.
364
365
366 \clearpage
367 %% Original page 6
368 \chapter{Warum überhaupt verschlüsseln?}
369 \label{ch:why}
370
371 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
372 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
373 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
374 Verschlüsselung nunmehr für jedermann frei und kostenlos
375 zugänglich.
376
377 \begin{center}
378 \htmlattributes*{img}{width=300}
379 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
380 \end{center}
381
382 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
383 um rund um den Globus miteinander zu kommunizieren und uns zu
384 informieren. Aber Rechte und Freiheiten, die in anderen
385 Kommunikationsformen längst selbstverständlich sind, muss man sich in
386 den neuen Technologien erst sichern. Das Internet ist so schnell und
387 massiv über uns hereingebrochen, dass man mit der Wahrung unserer Rechte
388 noch nicht so recht nachgekommen sind.
389
390 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
391 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.
392 Der Umschlag schützt die Nachrichten vor fremden Blicken,
393 eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
394 nicht ganz so wichtig ist, schreibt man es auf eine ungeschützte
395 Postkarte, die auch der Briefträger oder andere lesen können.
396
397
398 \clearpage
399 %% Original page 7
400
401 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
402 Sie selbst und niemand sonst.
403
404 Diese Entscheidungsfreiheit haben Sie bei \Email{} nicht. Eine normale
405 \Email{} ist immer offen wie eine Postkarte, und der elektronische
406 "`Briefträger"' -- und andere -- können sie immer lesen. Die Sache
407 ist sogar noch schlimmer: Die Computertechnik bietet nicht nur die
408 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
409 zu verteilen, sondern auch, sie zu kontrollieren.
410
411 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten zu
412 sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
413 protokollieren. Das wäre einfach nicht machbar gewesen, oder es hätte
414 zu lange gedauert. Mit der modernen Computertechnik ist das technisch
415 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
416 schon im großen Stil mit Ihrer \Email{}
417 geschieht\footnote{Hier sei nur an das 
418 \uniurl[Echelon-System]{\EchelonUrl} erinnert%
419 \T ~(siehe \href{\EchelonUrl}{\scriptsize\texttt{\EchelonUrl}\normalsize})%
420 .}.
421
422 Denn: Der Umschlag fehlt.
423
424 \begin{center}
425 \htmlattributes*{img}{width=300}
426 \IncludeImage[width=0.3\textwidth]{sealed-envelope}
427 \end{center}
428
429 \clearpage
430 %% Original page 8
431
432 Vorschlag: Verwenden Sie einen "`Umschlag"' für Ihre
433 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
434 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
435 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
436 für wichtig und schützenswert halten oder nicht.
437
438 Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis
439 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
440 Softwarepakets Gpg4win wahrnehmen. Sie müssen diese Software nicht benutzen --
441 Sie müssen ja auch keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht.
442
443 Um dieses Recht zu sichern, bietet Gpg4win Ihnen sogenannte "`starke
444 Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
445 gegenwärtigen Mittel zu knacken. In vielen Ländern waren starke
446 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
447 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
448 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
449 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
450 Regierungsinstitutionen, wie im Falle der Portierung von GnuPG auf
451 Windows.  GnuPG wird von Sicherheitsexperten in aller Welt als eine
452 praktikable und sichere Software angesehen.
453
454 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
455 Hand.}
456
457 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei
458 der Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
459 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
460 um Gpg4win richtig zu nutzen. In diesem Kompendium werden wir
461 Ihnen dieses Vorgehen Schritt für Schritt erläutern.
462
463
464 \clearpage
465 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
466 \label{ch:openpgpsmime}
467
468 Wie so oft gibt es für das gleiche Ziel verschiedene Wege, ähnlich ist
469 es auch in der Verschlüsselung Ihrer \Email{}s mit den Standards OpenPGP
470 und S/MIME. Beide Standards und ihre Umsetzungen in Software ermöglichen die
471 \Email{}-Verschlüsselung mit Freier Software, wie z.B. Gpg4win.
472
473 Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Datenübertragung
474 sind zwei Perspektiven wichtig, einmal die Gewährleistung der \textbf{Geheimhaltung}
475 und zum anderen die \textbf{Authentizität} des Absenders. Authentizität bedeutet
476 hier, dass der Inhalt auch tatsächlich vom besagten Absender versandt
477 wurde.
478
479 \subsubsection{Die Gemeinsamkeit: Das "`Public-Key"' Verfahren}
480 Konzeptionell steckt hinter OpenPGP und S/MIME die gleiche Methode zur Geheimhaltung,
481 und zwar das "`Public-Key"' Verfahren. Was heißt das?
482
483 Stellen Sie sich vor, die \Email{} oder die Datei sei in einer Truhe verschlossen.
484 Im Gegensatz zu einem "`normalen"' Schloss mit einem Schlüssel gibt es beim
485 "`Public-Key"' Verfahren zum Verschlüsseln / Entschlüsseln ein \textbf{Schlüsselpaar}.
486 So gibt es einen beglaubigten Schlüssel zum Verschlüsseln (der
487 "`\textbf{öffentliche Schlüssel}"') und einen Schlüssel zum Entschlüsseln (der
488 "`\textbf{geheime Schlüssel}"').
489
490 Betrachtet man den öffentlichen Schlüssel zusammen mit
491 Angaben über den Schlüssel (sogenannten Metadaten), so spricht man
492 von einem öffentlichen \textbf{Zertifikat}.
493 Metadaten können z.B. die zum Schlüssel zugehörige \Email{}-Adresse,
494 die Benutzer-Kennung oder der Gültigkeitszeitraum sein (vgl.
495 Kapitel~\ref{ch:CertificateDetails}).
496
497 Die Eigenschaften geheim / privat bzw. öffentlich sind völlig
498 unabhängig (orthogonal) davon, ob sie sich auf einen reinen
499 ("`nackten"') Schlüssel oder ein Zertifikat (Schlüssel mit Metadaten)
500 beziehen.
501
502 \textbf{Anmerkung:} Technisch werden für die eigentliche Kryptographie
503 (Verschlüsseln und Signieren) nur Schlüssel verwendet;
504 praktisch handhabt man ausschließlich Zertifikate (z.B. in
505 den Gpg4win-Pro\-grammkomponenten).
506
507 Bezogen auf das obige Beispiel mit der Truhe klingt es komisch,
508 ein öffentlichen und geheimen Schlüssel zu haben. Aber bei
509 Software löst diese Idee das Problem, dass man seinen Schlüssel
510 für jeden Empfänger aus der Hand geben müsste.
511 Denn normalerweise muss ein Schlüssel zum Verschlüsseln / Abschließen auch
512 zum Entschlüsseln bzw. Aufschließen benutzt werden. Also müsste man Ihnen,
513 wenn man etwas für Sie in der Truhe verschließt, die Truhe \textit{und}
514 den Schlüssel geben. Wenn der Schlüssel bei der Übertragung
515 abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein
516 großes Problem.
517
518 Beim "`Public-Key"' Verfahren verschließt man mit Ihrem
519 \textbf{öffentlichen Schlüssel} (aus dem Zertifikat)
520 die Truhe und Sie schließen die Truhe mit Ihrem \textbf{geheimen Schlüssel} auf.
521 Man muss also nur die Truhe zu Ihnen transportieren lassen.
522 Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu
523 transportieren, selbst wenn er einen anderen Weg als die Truhe zu Ihnen nehmen
524 würde.
525
526 Trotz dieses gleichen Ansatzes zur Geheimhaltung unterscheiden sich
527 OpenPGP und S/MIME aber z.B. bei der Schlüsselerzeugung
528 (Näheres erfahren Sie später im Kapitel~\ref{ch:CreateKeyPair}).
529
530 \textbf{Falls Sie sich jetzt fragen, wie das "`Public-Key"' Verfahren so
531 funktionieren kann, lesen Sie einmal
532 Kapitel~\ref{ch:FunctionOfGpg4win}.}
533 \textbf{Wenn Sie sich dann noch fragen, warum Gpg4win so sicher ist,
534 sind vermutlich die Kapitel~\ref{ch:themath} und
535 \ref{ch:secretGnupg} genau das richtige für Sie!}
536 Mit ein wenig Interesse und Zeit kann man dort auch die kleinen mathematischen
537 Geheimnisse verstehen. Viel Spaß beim Entdecken.
538
539 % TODO: Grafik?! (z.B. Alice - Bob Transport-Problem)
540
541 \clearpage
542 \subsubsection{Der Unterschied: Die Authentisierung / Beglaubigungen}
543
544 Der wesentliche Unterschied zwischen OpenPGP und S/MIME liegt
545 im Bereich der Authentisierung / Beglaubigungen.
546
547 Um die Authentizität des Absenders festzustellen, ist bei
548 \textbf{S/MIME} ein Zertifikat notwendig, welches die Authentizität
549 des Schlüsselpaar-Besitzers unzweifelhaft beglaubigt.  Das heißt, dass
550 Sie Ihren öffentlichen Schlüssel von einer dazu berechtigten
551 Organisation beglaubigen lassen müssen, bevor er wirklich
552 nutzbar wird. Das Zertifikat dieser Organisation wurde wiederum mit
553 dem Zertifikat einer höher stehenden Organisation beglaubigt usw. bis man zu einem
554 Wurzelzertifikat kommt. Vertraut man nun diesem Wurzelzertifikat, so
555 vertraut man automatisch allen darunter liegenden Zertifikaten. Das
556 nennt man \textbf{hierarchisches Vertrauenskonzept}. Zumeist ist die
557 Kette nur 3 Komponenten lang: Wurzelzertifikat, Zertifikat des
558 Zertifikatsausstellers (auch CA für Certificate Authority genannt), Anwenderzertifikat.
559 Technisch ist eine Beglaubigung nichts anderes als eine Signatur des
560 Beglaubigenden: hier wird also das aus der Zertifikatsanfrage
561 erstellte x.509-Zertifikat von dem Zertifikatsaussteller signiert und
562 diese Signatur an das Zertifikat angefügt.
563
564 Im Gegensatz dazu verwendet \textbf{OpenPGP} in der Regel eine direkte
565 ("`peer-to-peer"') Beglaubigung (Anwender A beglaubigt Anwender B, B
566 beglaubigt A und C usw.) und macht damit aus einem
567 Beglaubigungs-Baum ein Beglaubigungs-Netz, das sogenannte
568 \textbf{Web-of-Trust}. Im Fall der direkten Authentisierung bei
569 OpenPGP haben Sie also die Möglichkeit, \textit{ohne} die
570 Beglaubigung von einer höheren Stelle, verschlüsselte Daten und
571 \Email{}s auszutauschen. Dafür reicht es aus, wenn Sie der
572 \Email{}-Adresse und dem dazugehörigen Zertifikat ihres
573 Kommunikationspartners vertrauen.
574
575 \textbf{Nähere Informationen zu Authentisierungswegen, wie z.B. dem
576 Web-of-Trust oder den Beglaubigungsinstanzen (CAs), erhalten Sie
577 in Kapitel~\ref{ch:trust}.}
578
579 % TODO: Grafik?! (z.B. Alice - Bob Authentizität-Problem)
580
581 \clearpage
582 \subsubsection{Kurz zusammengefasst}
583
584 Was bedeutet das für Sie?
585 \begin{itemize}
586 \item Sowohl \textbf{OpenPGP} als auch \textbf{S/MIME} kann Ihnen die notwendige Sicherheit
587     bieten.
588 \item Beide Verfahren sind \textbf{nicht kompatibel} miteinander. Sie
589     bieten zwei separate Wege bei der Authentisierung Ihrer geheimen Kommunikation.
590     Man sagt, sie sind nicht interoperabel.
591 \item \textbf{Gpg4win} als Freie Software ermöglicht Ihnen die bequeme
592 \textbf{parallele} Nutzung beider Verfahren.
593 \end{itemize}
594
595 Falls Ihnen das etwas zuviel Informationen waren, machen Sie sich keine
596 Sorgen: In den folgenden Kapiteln wird jeder Schritt von der Installation bis
597 hin zur Verschlüsselung  sowohl mit OpenPGP als auch
598 mit S/MIME detailliert erklärt.
599
600 Die beiden nachfolgenden Symbole weisen Sie in diesem Kompendium
601 auf spezifische Erklärungen zu OpenPGP bzw. S/MIME hin, so dass Sie immer
602 schnell überblicken, welche Besonderheiten bei welchem Konzept zu
603 beachten sind.
604
605 \begin{center}
606 \IncludeImage[width=2cm]{openpgp-icon}
607 \hspace{1cm}
608 \IncludeImage[width=2cm]{smime-icon}
609 \end{center}
610
611
612
613 \clearpage
614 %% Orginal page 9
615 \chapter{Sie installieren Gpg4win}
616
617 Beginnen Sie nun mit der Installation von Gpg4win. Beachten Sie, dass
618 Sie dafür Administratorrechte auf Ihrem Windows-Betriebssystem benötigen.
619
620 Sollte bereits eine GnuPG basierte Anwendung, wie z.B.
621 GnuPP, GnuPT, WinPT oder GnuPG Basics, auf Ihrem Rechner installiert sein, so lesen
622 sie jetzt bitte zuerst den Anhang \ref{ch:migration}, um zu erfahren
623 wie Sie Ihre vorhandenen Zertifikate übernehmen können.
624
625 Falls Sie Gpg4win aus dem Internet heruntergeladen haben:
626 \vspace{-0.28cm}
627 \begin{quote}
628 Klicken Sie
629 bitte auf diese neu abgespeicherte Datei, die folgenden Namen haben
630 sollte:\\
631 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
632
633 Achten Sie unbedingt darauf, dass Sie die Datei von
634 einer vertrauenswürdigen Seite erhalten haben, z.B.:
635 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
636 \end{quote}
637
638 Falls Sie Gpg4win auf einer CD-ROM erhalten haben:
639 \vspace{-0.28cm}
640 \begin{quote}
641     Legen Sie diese CD-ROM in das CD-ROM-Laufwerk Ihres PCs.
642  Öffnen Sie Ihren "`Arbeitsplatz"' und klicken Sie dort auf das CD-ROM-Icon mit
643 dem Titel "`Gpg4win"'. Anschließen klicken Sie auf das Installations-Icon mit dem Titel "`Gpg4win"'.
644 \end{quote}
645
646 Die weitere Installation ist dann identisch:
647
648 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
649 mit \Button{Ja}.
650
651 \clearpage
652 Der Installationsassistent startet und befragt Sie zuerst nach der
653 Sprache für den Installationsvorgang:
654 % screenshot: Installer Sprachenauswahl
655 \begin{center}
656 \IncludeImage[width=0.35\textwidth]{sc-inst-language_de}
657 \end{center}
658
659 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
660
661 Anschließend begrüßt Sie dieser Willkommensdialog:
662
663 % TODO screenshot: Installer Willkommensseite
664 \begin{center}
665 \IncludeImage[width=0.6\textwidth]{sc-inst-welcome_de}
666 \end{center}
667
668 Beenden Sie alle auf Ihrem Rechner laufenden Programme, und klicken Sie dann auf \Button{Weiter}.
669
670 \clearpage
671 %% Orginal page 10
672
673 Auf der Seite mit dem \textbf{Lizenzabkommen}, können Sie Informationen zu den
674 Lizenzen dieser Software lesen. 
675
676 Wenn Sie die Software lediglich installieren und einsetzen wollen, so
677 haben Sie immer das Recht dazu und sind nicht angehalten diese Texte
678 zu lesen.  
679
680 Geben Sie allerdings diese Software weiter oder wollen Sie sie
681 verändern, so müssen Sie sich mit den Bedingungen der Lizenzen vertraut
682 machen.  
683
684 % screenshot: Lizenzseite des Installers
685 \begin{center}
686 \IncludeImage[width=0.6\textwidth]{sc-inst-license_de}
687 \end{center}
688
689
690 Klicken Sie auf \Button{Weiter}.
691
692
693 \clearpage
694 %% New page (not in original document)
695
696 Auf der Seite mit der \textbf{Komponentenauswahl} können
697 Sie entscheiden, welche Programme Sie installieren
698 möchten.
699
700 Eine Vorauswahl der normalerweise installierende Komponenten ist
701 bereits getroffen. Den Rest können Sie bei Bedarf auch später installieren.
702
703 Wenn Sie die Maus über eine Gpg4win-Komponente ziehen, dann erscheint
704 jeweils rechts eine Kurzbeschreibung die Ihnen bei der
705 Entscheidung hilft.
706
707 Die Anzeige des benötigen Speichers auf der Festplatte von allen zur
708 Installation ausgewählten\linebreak Gpg4win-Komponenten kann auch sehr
709 hilfreich sein.
710
711 % screenshot: Auswahl zu installierender Komponenten
712 \begin{center}
713 \IncludeImage[width=0.6\textwidth]{sc-inst-components_de}
714 \end{center}
715
716 Klicken Sie auf \Button{Weiter}.
717
718
719 \clearpage
720 %% Original page 11
721
722 In der nun folgenden \textbf{Installationsverzeichnis-Auswahl} können Sie 
723 einen Dateiordner auf Ihrem PC
724 aussuchen, in dem Gpg4win installiert wird. Sie können hier in der
725 Regel den vorgeschlagenen Programm-Ordner übernehmen, z.B.:
726 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
727
728 % screenshot: Auswahl des Installationsverzeichnis.
729 \begin{center}
730 \IncludeImage[width=0.6\textwidth]{sc-inst-directory_de}
731 \end{center}
732
733 Klicken Sie anschließend auf \Button{Weiter}.
734
735 \clearpage
736
737 Auf der folgenden Seite können Sie festlegen, welche
738 \textbf{Verknüpfungen} installiert werden.  Voreingestellt ist
739 lediglich eine Verknüpfung mit dem Startmenü.  
740 Diese Verknüpfungen können auch jederzeit später mit den Bordmitteln von
741 Windows verändert werden.
742
743 % screenshot: Auswahl der Startlinks
744 \begin{center}
745 \IncludeImage[width=0.6\textwidth]{sc-inst-options_de}
746 \end{center}
747
748 Klicken Sie anschließend auf \Button{Weiter}.
749
750 \clearpage
751 %% Original page 12
752
753 Falls Sie auf der vorhergehenden Seite eine \textbf{Verknüpfung mit dem
754 Startmenü} ausgewählt haben (dies ist die Voreinstellung), so wird
755 Ihnen nun eine Seite angezeigt, mit der Sie den Namen dieses
756 Startmenüs festlegen können.
757
758 % screenshot:  Startmenu auswählen
759 \begin{center}
760 \IncludeImage[width=0.6\textwidth]{sc-inst-startmenu_de}
761 \end{center}
762
763 Am einfachsten übernehmen Sie den vorgeschlagenen Namen und
764 klicken dann auf \Button{Installieren}.
765
766 \clearpage
767
768 Während der nun folgenden \textbf{Installation} sehen Sie einen
769 Fortschrittsbalken und Informationen, welche Datei momentan
770 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
771 drücken, um ein Protokoll der Installation sichtbar zu machen.
772
773 % screenshot: Ready page Installer
774 \begin{center}
775 \IncludeImage[width=0.6\textwidth]{sc-inst-progress_de}
776 \end{center}
777
778 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
779 \Button{Weiter}.
780
781 \clearpage
782 %% Original page 13
783
784 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
785
786 % screenshot: Finish page Installer
787 \begin{center}
788 \IncludeImage[width=0.6\textwidth]{sc-inst-finished_de}
789 \end{center}
790
791 Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie die
792 Option auf dieser Seite.
793
794 Klicken Sie schließlich auf \Button{Fertig stellen}.
795
796 \clearpage
797
798 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
799 muss.  In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
800
801 % screenshot: Finish page Installer with reboot
802 \begin{center}
803 \IncludeImage[width=0.6\textwidth]{sc-inst-finished2_de}
804 \end{center}
805
806 Sie können hier auswählen, ob Windows sofort oder später manuell neu gestartet werden
807 soll.
808
809 Klicken Sie auf \Button{Fertig stellen}.
810
811
812 % TODO:  Erklären wie man Word als Standard Editor in Outlook ausschaltet.
813
814 \clearpage
815 %% Original page 14
816
817 \textbf{Das war's schon!}
818
819 Sie haben Gpg4win erfolgreich installiert und können es gleich zum ersten Mal
820 starten.
821
822 Vorher sollten Sie aber Kapitel~\ref{ch:FunctionOfGpg4win} lesen.
823 Dort erfahren Sie den genialen Trick, mit dem Gpg4win Ihre \Email{}s
824 sicher und bequem verschlüsselt.
825 Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im
826 Gegensatz zu anderen Programmen wollen Sie Gpg4win schließlich Ihre
827 geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was
828 vor sich geht.
829
830 Außerdem ist die ganze Angelegenheit ziemlich spannend$\ldots$
831
832 In Kapitel~\ref{ch:passphrase} bekommen Sie einige Tipps,
833 mit denen Sie sich einen sicheren
834 und trotzdem leicht zu merkenden Passphrase ausdenken können.
835
836 Für Informationen zur \textbf{automatischen Installation} von Gpg4win (wie sie
837 z.B. für Soft\-ware\-verteilungs-Systeme interessant ist), 
838 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation von Gpg4win"' 
839 weiter.
840
841
842 \clearpage
843 %% Original page 15
844 \chapter{Sie erzeugen Ihr Schlüsselpaar}
845 \label{ch:CreateKeyPair}
846
847 Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
848 (Kapitel \ref{ch:themath})
849 und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel
850 entsteht (Kapitel \ref{ch:passphrase}),
851 möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.
852
853 Ein Schlüsselpaar besteht, wie Sie im Kapitel~\ref{ch:openpgpsmime} gelernt haben,
854 aus einem \textbf{öffentlichen} und einem  \textbf{geheimen Schlüssel}.
855 Ergänzt mit den Metadaten (\Email{}-Adresse, Benutzer-Kennung etc.), die
856 Sie bei der Erstellung Ihres Schlüsselpaars angeben, erhalten Sie Ihr
857 Zertifikat mit dem öffentlichen und geheimen Schlüssel.
858
859 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME (die Zertifikate
860 entsprechen einem Standard mit der Bezeichnung "`X.509"').
861
862 ~\\
863 \textbf{Eigentlich müsste man diesen wichtigen Schritt der
864 Schlüsselpaar-Erzeugung ein paar Mal üben können$\ldots$}
865
866 Genau das können Sie tun -- und zwar für OpenPGP:
867
868 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
869 Sie können den gesamten Ablauf der Schlüsselpaar-Erzeugung,
870 Verschlüsselung und Entschlüsselung durchspielen,
871 so oft Sie wollen, bis Sie ganz sicher sind.
872
873 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"' festigen,
874 und die "`heisse Phase"' der OpenPGP-Schlüsselpaar-Erzeugung wird danach kein
875 Problem mehr sein.
876
877 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.
878
879 Adele ist ein Testservice, der noch aus dem alten GnuPP-Projekt
880 stammt und ist bis auf weiteres noch in Betrieb.
881 "`Das Gpg4win-Kompendium"' verwendet diesen
882 zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de
883 für den Betrieb von Adele.
884
885 Mit Hilfe von Adele können Sie Ihr
886 OpenPGP-Schlüsselpaar, das Sie gleich erzeugen werden, ausprobieren und
887 testen, bevor Sie damit Ernst machen. Doch dazu später mehr.
888
889 \clearpage
890 %% Original page 16
891 \textbf{Los geht's!}
892 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
893
894 % screenshot Startmenu with Kleopatra highlighted
895 \begin{center}
896 \htmlattributes*{img}{width=400}
897 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-startmenu_de}
898 \end{center}
899
900 Daraufhin sehen Sie das Hauptfenster von Kleopatra -- die
901 Zertifikatsverwaltung:
902
903 % screenshot: Kleopatra main window
904 \begin{center}
905 \htmlattributes*{img}{width=508}
906 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-mainwindow-empty_de}
907 \end{center}
908
909 Zu Beginn ist diese Übersicht leer, da Sie noch keine
910 Zertifikate erstellt (oder importiert) haben. Dies können Sie jetzt
911 nachholen...
912
913 \clearpage
914 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
915
916 Im folgenden Dialog entscheiden Sie sich für ein Format,
917 in dem anschließend ein Zertifikat erstellt werden soll.
918 Sie haben die Wahl zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
919 Zu deren Unterschieden lesen Sie bitte Kapitel \ref{ch:openpgpsmime}.
920
921 \label{chooseCertificateFormat}
922 % screenshot: Kleopatra - New certificate - Choose format
923 \begin{center}
924 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
925 \end{center}
926
927 %% Original page 17
928
929 ~\\Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars
930 gliedert sich an dieser Stelle in zwei Abschnitte:
931
932 \begin{itemize}
933     \item Abschnitt \ref{createKeyPairOpenpgp}: \textbf{OpenPGP-Schlüsselpaar erstellen}
934      \T(siehe nächste Seite)
935      und
936     \item Abschnitt \ref{createKeyPairX509}:
937         \textbf{X.509-Schlüsselpaar erstellen} 
938         \T (siehe Seite \pageref{createKeyPairX509}).
939         
940 \end{itemize}
941
942 Lesen Sie den entsprechenden Abschnitt weiter, je nachdem für welches Zertifikatsformat 
943 Sie sich entschieden haben.
944
945
946 \clearpage
947 %% OpenPGP %%
948 %% Original page 1
949 \section{OpenPGP-Schlüsselpaar erstellen}
950 \label{createKeyPairOpenpgp}
951
952 Klicken Sie im obigen Auswahldialog auf die Schaltfläche
953 \Button{Persönliches OpenPGP-Schlüsselpaar erzeugen}.
954
955 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
956
957 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
958 \Email{}-Adresse an.
959
960 % screenshot: Creating OpenPGP Certificate - Personal details
961 \begin{center}
962 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
963 \end{center}
964
965
966 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal \textbf{testen} wollen, dann
967 können Sie einfach einen beliebigen Namen und irgendeine ausgedachte
968 \Email{}-Adresse eingeben, z.B.:\\ \Filename{Heinrich Heine} und
969 \Filename{heinrichh@gpg4win.de}.
970
971 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
972 Normalerweise bleibt dieses Feld leer; wenn sie aber einen
973 Testschlüssel erzeugen, sollten Sie dort als Erinnerung "`test"'
974 eingeben.  Dieser Kommentar ist Teil Ihrer User-ID und genau wie der
975 Name und die \Email{}-Adresse später öffentlich sichtbar.
976
977 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
978 Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
979 über die Details informieren.
980
981 Klicken Sie auf \Button{Weiter}.
982
983 \clearpage
984 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur
985 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
986 (voreingestellten) Experten-Einstellungen interessieren, können Sie
987 diese über die Option \Menu{Alle Details} einsehen.
988
989 % screenshot: Creating OpenPGP Certificate - Review Parameters
990 \begin{center}
991 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
992 \end{center}
993
994 Sofern alles korrekt ist, klicken Sie anschließend auf
995 \Button{Schlüssel erzeugen}.
996
997
998 \clearpage
999 %% Original page 19
1000 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
1001
1002 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche
1003 Passphrase einzugeben:
1004
1005 % screenshot: New certificate - pinentry
1006 \begin{center}
1007 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1008 \end{center}
1009
1010 Im Kapitel~\ref{ch:passphrase} 
1011 \T (Seite \pageref{ch:passphrase})
1012 erhalten Sie einige wertvolle Tipps, was Sie bei der Erzeugung einer
1013 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1014 Sicherheit Ihrer Passphrase ernst!
1015
1016 Sie sollten nun eine geheime, einfach zu merkende und schwer
1017 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1018
1019 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1020 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1021
1022 Um sicher zu gehen, dass Sie sich nicht vertippen, müssen Ihre geheime
1023 Passphrase zweimal eingeben. Bestätigen Sie
1024 Ihre Eingabe jeweils mit \Button{OK}.\\
1025
1026
1027 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1028 % screenshot: Creating OpenPGP Certificate - Create Key
1029 \begin{center}
1030 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-createKey_de}
1031 \end{center}
1032
1033 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1034 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1035 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1036
1037 \clearpage
1038 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1039 erhalten Sie folgenden Dialog:
1040
1041 % screenshot: Creating OpenPGP certificate - key successfully created
1042 \begin{center}
1043 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1044 \end{center}
1045
1046 Im Ergebnis-Textfeld wird der 40-stellige "`Fingerabdruck"' Ihres neu
1047 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck
1048 (engl. "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person besitzt
1049 ein Zertifikat mit identischem Fingerabdruck. Es ist sogar vielmehr so,
1050 dass es schon mit 8 Zeichen ein außerordentlicher Zufall wäre, wenn
1051 diese weltweit ein zweites Mal vorkämen. Daher werden oft nur die letzten
1052 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.
1053 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1054 der Fingerabdruck einer Person.
1055
1056 Sie brauchen sich den Fingerabdruck nicht zu merken oder abzuschreiben.
1057 In den Zertifikatsdetails von Kleopatra können Sie sich diese jederzeit
1058 später anzeigen lassen.
1059
1060 \clearpage
1061 Als nächstes können Sie eine oder mehrere der folgenden
1062 drei Schaltflächen betätigen:
1063 \begin{description}
1064     \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1065     Geben Sie hier den Pfad an, wohin Ihr vollständiges Zertifikat
1066     (das Ihr neues Schlüsselpaar enthält) exportiert werden soll:
1067
1068     % screenshot: New OpenPGP certificate - export key
1069     \begin{center}
1070     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1071     \end{center}
1072
1073     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1074     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1075     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1076     "`ASCII armor"') ein- bzw. ausschalten.
1077
1078     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1079
1080     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1081     abspeichern, so sollten Sie
1082     baldmöglichst diese Datei auf einen anderen Datenträger (USB
1083     Stick, Diskette oder CDROM) kopieren und diese Orginaldatei 
1084     rückstandslos löschen (nicht im Papierkorb belassen).
1085     Bewahren Sie diesen Datenträger sicher auf.
1086
1087     Sie können eine Sicherheitskopie auch jederzeit später anlegen;
1088     wählen Sie hierzu aus dem Kleopatra-Hauptmenü:
1089     \Menu{Datei$\rightarrow$Geheimes Zertifiakt exportieren...} (vgl.
1090     Kapitel \ref{ch:ImExport}).
1091
1092     \item[Zertifikat per \Email{} versenden...]~\\
1093     Nach Drücken dieser Schaltfläche sollte eine neue \Email{} erstellt
1094     werden -- mit Ihrem neuen öffentlichen Zertifikat im Anhang. 
1095     Ihr geheimer OpenPGP-Schlüssel wird
1096     selbstverständlich \textit{nicht} versendet.
1097     Geben Sie eine Empfänger-\Email{}-Adresse an und
1098     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1099
1100     \textbf{Beachten Sie:} Nicht alle
1101     \Email{}-Programme unterstützen diese Funktion. Sollte kein neues
1102     \Email{}-Fenster aufgehen, so beenden Sie den
1103     Zertifikatserstellungs-Assistenten, speichern Ihr
1104     öffentliches Zertifikat durch
1105     \Menu{Datei$\rightarrow$Zertifikat exportieren} und versenden
1106     diese Datei per \Email{} an Ihre Korrespondenzpartner 
1107     (Details im Abschnitt \ref{sec_publishPerEmail}).
1108
1109     \item[Zertifikate zu Zertifikatsserver senden...]~\\
1110     Wie genau Sie einen weltweit verfügbaren OpenPGP-Zertifikatsserver
1111     in Kleopatra einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1112     auf diesen Server veröffenlichen, erfahren Sie in Kapitel~\ref{ch:keyserver}.
1113 \end{description}
1114
1115 ~\\
1116 Beenden Sie anschließend den Kleopatra-Assistenten mit
1117 \Button{Fertigstellen}, um die Erzeugung Ihres OpenPGP-Zertifikats
1118 abzuschließen.
1119
1120 Weiter geht's mit dem Abschnitt "`Schlüsselpaar-Erzeugung
1121 abgeschlossen"'
1122 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von da an
1123 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1124
1125
1126
1127 %% X.509 %%
1128 %% Original page 21
1129 \clearpage
1130 \section{X.509-Schlüsselpaar erstellen}
1131 \label{createKeyPairX509}
1132
1133 Klicken Sie im Zertifikatsformat-Auswahldialog von
1134 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1135 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1136 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellen}.
1137
1138
1139 Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre
1140 \Email{}-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode
1141 (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.
1142
1143 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal \textbf{testen} wollen, dann
1144 machen Sie beliebige Angaben für Name, Organisation und
1145 Ländercode sowie geben irgendeine ausgedachte \Email{}-Adresse
1146 ein, z.B. \Filename{CN=Heinrich Heine,O=Test,C=DE,EMAIL=heinrichh@gpg4win.de}.
1147
1148 % screenshot: New X.509 Certificate - Personal details
1149 \begin{center}
1150 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-personalDetails_de}
1151 \end{center}
1152
1153
1154 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in Ausnahmefällen.
1155 Sie können sich im Kleopatra Handbuch (über \Menu{Hilfe$\rightarrow$Kleopatra Handbuch})
1156 über die Details informieren.
1157
1158 Klicken Sie auf \Button{Weiter}.
1159
1160 \clearpage
1161 Es werden nun noch einmal alle Eingaben und Einstellungen zur
1162 \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1163 (voreingestellten) Experten-Einstellungen interessieren, können Sie
1164 diese über die Option \Menu{Alle Details} einsehen.
1165
1166 % screenshot: New X.509 Certificate - Review Parameters
1167 \begin{center}
1168 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1169 \end{center}
1170
1171 Sofern alles korrekt ist, klicken Sie anschließend auf 
1172 \Button{Schlüssel erzeugen}.
1173
1174
1175 \clearpage
1176 %% Original page 19
1177 Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer \textbf{Passphrase}!
1178
1179 Während der Schlüsselgenerierung werden Sie aufgefordert Ihre
1180 Passphrase einzugeben:
1181
1182 % screenshot: New X.509 certificate - pinentry
1183 \begin{center}
1184 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1185 \end{center}
1186
1187 Beachten Sie, dass dieses Pinentry-Fenster unter
1188 Umständen  im Hintergrund geöffnet werden könnte
1189 (und damit auf dem ersten Blick nicht sichtbar ist).
1190
1191 Im Kapitel~\ref{ch:passphrase}, Seite \pageref{ch:passphrase},
1192 erhalten Sie wertvolle Tipps, was Sie bei der Erzeugung einer
1193 \textbf{sicheren Passphrase} beachten sollten. Nehmen Sie die
1194 Sicherheit Ihrer Passphrase ernst!
1195
1196 Sie sollten nun eine geheime, einfach zu merkende und schwer
1197 zu knackende Passphrase parat haben und im obigen Dialog eintragen.
1198
1199 Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz
1200 ist oder keine Zahlen / Sonderzeichen enthält), werden Sie darauf hingewiesen.
1201
1202 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst
1203 eine \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1204
1205 Um sicher zu gehen, dass Sie sich nicht vertippen, müssen Ihre geheime
1206 Passphrase zweimal eingeben. Abschließend werden Sie noch ein
1207 drittes Mal aufgefordert Ihre Passphrase einzugeben, um Ihre
1208 Zertifikatsanfrage mit Ihrem neuen geheimen Schlüssel zu signieren.
1209 Bestätigen Sie Ihre Eingaben jeweils mit \Button{OK}.\\
1210
1211 \clearpage
1212 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1213 % screenshot: New  X.509 Certificate - Create Key
1214 \begin{center}
1215 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-createKey_de}
1216 \end{center}
1217
1218 Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit
1219 mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen
1220 hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.
1221
1222 \clearpage
1223 Sobald die \textbf{Schlüsselpaargenerierung erfolgreich} abgeschlossen ist,
1224 erhalten Sie folgenden Dialog:
1225
1226 % screenshot: New X.509 certificate - key successfully created
1227 \begin{center}
1228 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1229 \end{center}
1230
1231
1232 Als nächstes können Sie eine oder mehrere der folgenden
1233 drei Schaltflächen betätigen:
1234
1235 \begin{description}
1236     \item[Anfrage in Datei speichern...]~\\
1237     Geben Sie den genauen Pfad an, wohin Ihre X.509-Zertifikatsanfrage
1238     gespeichert werden soll und bestätigen Sie Ihre Eingabe.
1239     Kleopatra fügt beim Speichern automatisch die Dateiendung 
1240     \Filename{.p10} hinzu. Sie können diese Datei dann später
1241     auf verschiedene Weise an eine Beglaubigungsinstanz geben.
1242
1243     \item[Anfrage per \Email{} versenden...]~\\
1244     Es wird eine neue \Email{} erstellt -- mit der soeben erstellen
1245     Zertifikatsanfrage im Anhang.
1246     Geben Sie eine Empfänger-\Email{}-Adresse an (in der Regel die
1247     Ihrer zuständigen Beglaubigungsinstanz (CA)) und ergänzen Sie ggf. den
1248     vorbereiteten Text dieser \Email{}.
1249
1250     \textbf{Beachten Sie:} Nicht alle
1251     \Email{}-Programme unterstützen diese Funktion. Sollte kein neues
1252     \Email{}-Fenster aufgehen, so speichern Sie Ihre Anfrage zunächst in eine
1253     Datei (siehe oben) und versenden diese Datei per \Email{} an 
1254     Ihre Beglaubigungsinstanz.
1255
1256     Sobald die Anfrage von der CA bestätigt wurde, erhalten Sie von
1257     Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete
1258     X.509-Zertifikat Ihres Schlüsselpaars. Dieses müssen Sie dann nur noch in Kleopatra
1259     importieren (vgl. Kapitel \ref{ch:ImExport}).
1260 \end{description}
1261
1262
1263 Beenden Sie anschließend den Kleopatra-Assistenten mit 
1264 \Button{Fertigstellen}.
1265
1266
1267
1268 \clearpage
1269 \subsubsection{Erstellung eines X.509-Schlüsselpaars mit www.cacert.org}
1270 CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle
1271 Beglaubigungsinstanz (CA), die kostenlos X.509-Zertifikate ausstellt.
1272
1273 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können, müssen Sie
1274 sich zunächst unter \uniurl[www.cacert.org]{http://www.cacert.org}
1275 registrieren.
1276
1277 Anschließend können Sie sich mit Ihrem CAcert-Account ein (oder
1278 mehrere) Client-Zertifikat(e) erstellen: Sie sollten dabei auf eine
1279 ausreichende 
1280 Schlüssellänge (z.B. 2048 Bit) achten. In dem startenden Assistenten legen Sie
1281 Ihre sichere Passphrase für Ihr Zertifikat fest.
1282
1283 Ihre X.509-Zertifikatsanfrage wird nun erstellt.
1284
1285 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem neu
1286 erstellten X.509-Zertifikat und dem dazugehörigen CAcert-Root-Zertifikat.
1287 Laden Sie sich beide Zertifikate herunter.
1288
1289 Folgen Sie den Anweisungen und installieren Ihr Zertifikat mit Ihrem
1290 Browser. Mit Firefox können Sie danach z.B. über
1291 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1292 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1293 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1294
1295 \textbf{Anmerkung:} Sie können auch ein personalisiertes Zertifikat ausstellen, das z.B.
1296 Ihren Namen (im CN-Feld) trägt. Dazu müssen Sie sich mit Ihrem
1297 CAcert-Account von anderen Mitglieder bestätigen lassen. Das
1298 sogenannte "`CACert-Web-of-Trust"' wächst dadurch. Was Sie für so eine
1299 Bestätigung tun müssen, erfahren Sie auf den Internetseiten von
1300 CAcert.
1301
1302 Speichern Sie abschließend eine Sicherungskopie Ihres
1303 X.509-Schlüsselpaars in einem X.509-Zerti\-fikat (\Filename{.p12}
1304 Datei).\\
1305 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1306 öffentlichen und Ihren zugehörigen geheimen Schlüssel.
1307 Achten Sie darauf, dass diese Datei nicht in unbefugte Hände gelangt.
1308
1309 Wie Sie Ihr privates X.509-Zertifikat in Kleopatra importieren erfahren Sie
1310 in Kapitel \ref{ch:ImExport}.
1311
1312 ~\\
1313 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration}
1314 auf der nächsten Seite. Von nun an
1315 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1316
1317
1318 \clearpage
1319 %% Original page 23
1320
1321 \section{Schlüsselpaar-Erstellung abgeschlossen}
1322 \label{sec_finishKeyPairGeneration}
1323
1324 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1325 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1326 einzigartigen elektronischen Schlüssel.}
1327
1328 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1329 Sie sehen jetzt wieder das Hauptfenster von Kleopatra. 
1330 Das soeben erzeugte OpenPGP-Schlüs\-selpaar finden Sie in der
1331 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate} 
1332 (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):
1333
1334 % screenshot: Kleopatra with new openpgp certificate
1335 \begin{center}
1336 \htmlattributes*{img}{width=508}
1337 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1338 \end{center}
1339
1340
1341 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1342 sehen zu können:
1343
1344 % screenshot: details of openpgp certificate
1345 \begin{center}
1346 \htmlattributes*{img}{width=508}
1347 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1348 \end{center}
1349
1350 Was bedeuten die einzelnen Zertifikatsdetails?
1351
1352 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein
1353 "`eingebautes Verfallsdatum"'. Um die Gültigkeit nachträglich
1354 zu verändern, klicken Sie auf \Button{Ablaufdatum ändern}.
1355
1356 \textbf{Weitere Informationen zu den Zertifikatsdetails finden Sie im
1357 Kapitel~\ref{ch:CertificateDetails}. 
1358 Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1359 Informationen benötigen.}
1360
1361
1362
1363 \clearpage
1364 %% Original page 24
1365 \chapter{Sie veröffentlichen Ihr öffentliches Zertifikat}
1366 \label{ch:publishCertificate}
1367
1368 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1369 beim Verschlüsseln und Signaturprüfen stets nur mit 
1370 "`ungeheimen"' (also öffentlichen) Zertifikaten zu tun haben, die nur 
1371 öffentliche Schlüssel enthalten. Solange Ihr
1372 eigener geheimer Schlüssel und die ihn schützende Passphrase sicher
1373 sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
1374
1375 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie können und sollen 
1376 öffentliche Zertifikate von Ihren Korrespondenzpartnern haben -- je mehr, desto besser.
1377
1378 Denn:
1379
1380 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner jeweils
1381 das öffentliche Zertifikat des anderen besitzen und benutzen. Natürlich
1382 braucht der Empfänger auch ein Programm, das mit Zertifikaten umgehen
1383 kann, wie z.B. das Softwarepaket Gpg4win mit der Zertifikatsverwaltung Kleopatra.}
1384
1385 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1386 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln benutzen.
1387
1388 Wenn ­-- andersherum ­-- jemand Ihnen verschlüsselte \Email{}s schicken
1389 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1390 benutzen.
1391
1392 Deshalb sollten Sie nun Ihr öffentliches Zertifikat 
1393 zugänglich machen. Je nachdem, wie groß der Kreis Ihrer
1394 Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, 
1395 gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1396 beispielsweise...
1397
1398 \begin{itemize}
1399     \item ... direkt per \textbf{\Email{}} an bestimmte
1400     Korrespondenzpartner (vgl. Abschnitt~\ref{sec_publishPerEmail}).
1401     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver};
1402     gilt \textit{nur} für OpenPGP (vgl. Abschnitt~\ref{sec_publishPerKeyserver}).
1403     \item ... über die eigene Homepage.
1404     \item ... persönlich, z.B. per USB-Stick.
1405 \end{itemize}
1406
1407 Die ersten beiden Varianten können Sie sich nun auf den folgenden Seiten
1408 näher anschauen.
1409
1410 %% Original page 25
1411 \clearpage
1412 \section{Veröffentlichen per \Email{}}
1413 \label{sec_publishPerEmail}
1414
1415 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner bekannt machen?
1416 Schicken Sie ihm doch einfach ihr exportiertes öffentliches Zertifikat per
1417 \Email{}. Wie das genau funktioniert, erfahren Sie in diesem
1418 Abschnitt.
1419
1420 ~\\
1421 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen OpenPGP-Zertifikat!
1422 Adele soll Ihnen dabei behilflich sein. \textbf{Achtung:} Die folgenden
1423 Übungen gelten nur für OpenPGP! Anmerkungen zum Veröffentlichen von
1424 öffentlichen X.509-Zertifikaten finden Sie auf
1425 Seite~\pageref{publishPerEmailx509}.
1426 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1427
1428 \textbf{Adele}
1429 ist ein sehr netter \Email{}-Roboter, mit dem Sie zwanglos
1430 korrespondieren können. Weil man gewöhnlich mit einer klugen und
1431 netten jungen Dame lieber korrespondiert als mit einem Stück Software
1432 (was Adele in Wirklichkeit natürlich ist), können Sie sich Adele so
1433 vorstellen:
1434
1435 % Cartoon:  Adele mit Buch ind er Hand vor Rechner ``you have mail"'
1436 \begin{center}
1437 \IncludeImage{adele01}
1438 \end{center}
1439
1440 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1441 Hilfe des öffentlichen Schlüssel aus diesem Zertifikat sendet 
1442 Ihnen Adele eine verschlüsselte \Email{} an Sie zurück.
1443
1444 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1445 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1446 legt Adele ihr eigenes öffentliches Zertifikat bei.
1447
1448 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1449 Allerdings sind Adeles \Email{}s leider bei weitem nicht so interessant
1450 wie die Ihrer echten Korrespondenzpartner. Andererseits können Sie
1451 mit Adele so oft üben, wie Sie wollen -- was Ihnen ein menschlicher
1452 Adressat wahrscheinlich ziemlich übel nehmen würde.
1453
1454 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und senden dieses per
1455 \Email{} an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
1456
1457
1458 \clearpage
1459 %% Original page 26
1460 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1461
1462 Selektieren Sie in Kleopatra das zu exportierende öffentliche Zertifikat
1463 (durch Klicken auf die entsprechende Zeile in der Liste der
1464 Zertifikate) und klicken Sie dann auf
1465 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.
1466 Wählen Sie einen geeigneten Dateiordner auf Ihrem PC aus und
1467 speichern Sie das öffentliche Zertifikat im Dateityp \Filename{.asc}
1468 ab, z.B.: \Filename{mein-OpenPGP-Zertifikat.asc}.
1469 (Die beiden anderen zur Auswahl stehenden Dateitypen, \Filename{.gpg} oder
1470 \Filename{.pgp}, speichern Ihr Zertifikat im Binärformat. D.h. sie sind,
1471 anders als eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.)
1472
1473 \textbf{Wichtig:} Achten Sie beim Auswählen des Menüpunktes darauf,
1474 dass Sie auch wirklich nur Ihr öffentliches Zertifikat exportieren
1475 -- und \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1476 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1477
1478
1479 %% Original page 27
1480 Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu den
1481 Windows Explorer und wählen denselben Order aus, den Sie beim
1482 Exportieren angegeben haben.
1483
1484 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1485 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches OpenPGP-Zertifikat im
1486 Texteditor so, wie es wirklich aussieht -- ein ziemlich wirrer Text-
1487 und Zahlenblock:
1488
1489 % screenshot: Editor mit ascii armored key
1490 \begin{center}
1491 \IncludeImage[width=0.6\textwidth]{sc-wordpad-editOpenpgpKey_de}
1492 \end{center}
1493
1494
1495 \clearpage
1496 %% Original page 28
1497
1498 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als \Email{}-Text
1499 versenden}
1500
1501 Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn
1502 Sie ­-- z.B. bei manchen \Email{}-Services im Web ­-- keine Dateien
1503 anhängen können. Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal
1504 zu Gesicht und wissen, was sich dahinter verbirgt und woraus das
1505 Zertifikat eigentlich besteht.
1506
1507 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1508 Zertifikat von
1509
1510 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1511 bis\\
1512 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1513
1514 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1515 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in den Speicher
1516 Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
1517
1518 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle, welches
1519 Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine leere \Email{} ein.
1520 Der Tastaturbefehl zum Einfügen ("`Paste"') lautet bei Windows
1521 \Filename{Strg+V}.
1522 Es ist sinnvoll vorher das \Email{}-Programm so zu konfigurieren, dass
1523 reine Textnachrichten gesendet werden und keine HTML-formatierte
1524 Nachrichten (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang \ref{appendix:gpgol}).
1525
1526 Diesen Vorgang ­-- Kopieren und Einfügen ­-- kennen Sie vielleicht als
1527 "`Copy \& Paste"'.
1528
1529 \textbf{Adressieren} Sie nun diese \Email{} an
1530 \Filename{adele@gnupp.de} und
1531 schreiben in die Betreffzeile z.B. \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1532
1533 So etwa sollte Ihre \Email{} nun aussehen:
1534
1535 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1536 \begin{center}
1537 \IncludeImage[width=0.55\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1538 \end{center}
1539
1540 \T\enlargethispage{2\baselineskip}
1541 Schicken Sie die \Email{} an Adele ab.
1542
1543 Nur zur Vorsicht: Natürlich
1544 sollten Ihre \Email{}s nicht \Filename{heinrichh@gpg4win.de} oder ein andere
1545 Beispieladresse als Absender haben, sondern Ihre \textit{eigene}
1546 \Email{}-Adresse. Denn sonst werden Sie nie Antwort von Adele
1547 bekommen$\ldots$
1548
1549
1550 \clearpage
1551 %% Original page 29
1552 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1553 versenden}
1554
1555 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1556 öffentliches OpenPGP-Zertifikat auch direkt als \textbf{\Email{}-Dateianhang}
1557 versenden. Das ist oftmals das
1558 einfachere und gebräuchlichere Verfahren. Sie haben oben
1559 die "`Copy \& Paste"'-Methode zuerst kennengelernt, weil sie
1560 transparenter und leichter nachzuvollziehen ist.
1561
1562 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit der
1563 Zertifikatsdatei im Anhang:
1564
1565 Fügen Sie die oben exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
1566 \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei auch
1567 machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1568 Ergänzen Sie den Empfänger
1569 (\Filename{adele@gnupp.de}) und einen Betreff, z.B.:
1570 \Menu{Mein öffentliches OpenPGP-Zertifikat - als Dateianhang}.
1571
1572 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben.
1573 Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem
1574 als zu diesem Übungszweck programmiert worden.
1575
1576 Ihre fertige \Email{} sollte dann etwa so aussehen:
1577
1578 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1579 \begin{center}
1580 \IncludeImage[width=0.6\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1581 \end{center}
1582
1583 Senden Sie nun die \Email{} mit Anhang an Adele ab.
1584
1585 \clearpage
1586 \subsubsection{Kurz zusammengefasst}
1587
1588 Sie haben Ihr öffentliches OpenPGP-Zertifikat in
1589 Kleopatra in eine Datei exportiert. Anschließend haben Sie einmal den
1590 Inhalt der Datei direkt in eine \Email{} kopiert und einmal die
1591 komplette Datei als \Email{}-Anhang beigefügt. Beide \Email{}s haben
1592 Sie an einen Korrespondenzpartner (in Ihrem Fall Adele) geschickt.
1593
1594 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine echte
1595 \Email{}-Adresse senden. Sie entscheiden sich dabei natürlich für eine
1596 der beiden oben vorgestellten Varianten -- in der Regel sollten Sie
1597 öffentliche Zertifikate als Dateianhang versenden. Dies ist für Sie und
1598 Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass
1599 Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung
1600 (z.B. Kleopatra) importieren kann.
1601
1602 ~\\Nachdem \label{publishPerEmailx509}
1603 Sie gelernt haben, wie Sie Ihr öffentliches OpenPGP-Zertifikat per
1604 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1605 \Email{} veröffentlichen, wird Sie sicher interessieren wie das
1606 Gleiche für öffentliche \textbf{X.509-Zertifikate} funktioniert (vgl. auch
1607 Kapitel~\ref{ch:openpgpsmime}).
1608
1609 Die Antwort lautet: Sie können es so wie bei OpenPGP machen. Sie exportieren
1610 Ihr öffentliches X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat
1611 \Filename{.pem} ab und versenden die Datei als \Email{}-Anhang.
1612 Aber konkret ist das bei S/MIME unnötig. Es genügt, wenn Sie Ihrem
1613 Korrespondenzpartner eine signierte S/MIME-\Email{} senden.
1614 Ihr öffentliches X.509-Zertifikat ist in dieser Signatur enthalten und kann von dem
1615 Empfänger in die Zertifikatsverwaltung importiert werden.
1616
1617 Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie
1618 können Adele nicht benutzen! \textbf{Adele unterstützt nur OpenPGP!} 
1619 Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner
1620 aussuchen oder Sie schreiben testweise an sich selber.
1621
1622 Beim Exportieren Ihres öffentlichen X.509-Zertifikats haben Sie die Wahl, ob Sie
1623 die vollständige öffentliche Zertifikatskette (in der Regel:
1624 Wurzelzertifikat -- CA-Zertifikat -- Persönliches Zertifikat) oder nur Ihr
1625 öffentliches Zertifikat in
1626 eine Datei abspeichern wollen. Ersteres ist empfehlenswert, denn
1627 Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette, die er sonst
1628 zusammensuchen müsste.
1629 Klicken Sie dazu in Kleopatra alle Elemente einer Zertifikatskette mit
1630 gedrückter Shift-Taste an und exportieren Sie diese markierten
1631 Komponenten.
1632
1633 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht,
1634 so muss er diesem Wurzelzertifikat das Vertrauen aussprechen bzw. durch
1635 einen Administrator aussprechen lassen, um letztlich auch Ihnen
1636 zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie
1637 beide zu der selben "`Wurzel"' gehören), dann besteht diese
1638 Vertrauensstellung bereits, und ist wirksam unmittelbar
1639 mit der Verfügbarkeit der Kette.
1640
1641 \clearpage
1642 %% Original page 30
1643 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
1644 \label{sec_publishPerKeyserver}
1645
1646 \textbf{Wichtig: Die Verbreitung Ihres öffentlichen Zertifikats auf einem
1647 OpenPGP-Zertifikatsserver ist nur für OpenPGP-Zertifikate möglich!}
1648 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
1649
1650 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
1651 öffentlichen Zertifikatsserver bietet sich eigentlich
1652 immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte
1653 \Email{}s austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
1654 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
1655 dadurch die Versendung Ihres Zertifikats per \Email{} an jeden Ihrer
1656 Korrespondenzpartner.
1657
1658
1659 \textbf{Vorsicht: Die Veröffentlichung Ihrer E-Mail-Adresse
1660 auf einem Zertifikatsserver birgt leider das Risiko, dass Ihnen
1661 auch ungebetene Personen E-Mails schreiben können und die
1662 SPAM-Menge für Ihre E-Mail-Adresse dadurch zunehmen kann.
1663 Sie sollten daher im zweiten Fall einen ausreichenden SPAM-Schutz nutzen.
1664 Falls Sie keinen wirksamen Spamfilter benutzen,
1665 sollten Sie u.U. von der Veröffentlichung Ihres öffentlichen Zertifikats auf einem
1666 Zertifikatsserver absehen.}
1667
1668 ~\\
1669 \textbf{Und so geht's:} Wählen Sie Ihr öffentliches 
1670 OpenPGP-Zertifikat in Kleopatra aus und klicken im
1671 Menü auf \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
1672
1673 Sofern Sie noch keinen Zertifikatsserver
1674 definiert haben, bekommen Sie eine Warnmeldung:
1675
1676 % screenshot: Kleopatra keyserver export warning
1677 \begin{center}
1678 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1679 \end{center}
1680
1681 Wie Sie an der Meldung erkennen können, ist der öffentliche
1682 OpenPGP-Zertifikatsserver\linebreak
1683 \Filename{keys.gnupg.net} bereits voreingestellt.
1684 Klicken Sie auf \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
1685 diesen Server zu schicken. Von dort aus wird Ihr öffentliches Zertifikat an alle, weltweit
1686 verbundenen Zertifikatsserver weitergereicht.
1687 Jedermann kann Ihr öffentliches Zertifikat dann von einen dieser
1688 OpenPGP-Zertifikatsserver
1689 herunterladen und dazu benutzen, Ihnen eine sichere \Email{} zu schreiben.
1690
1691 Wenn Sie den Ablauf nur testen, dann schicken Sie das
1692 Übungszertifikat bitte nicht ab, indem Sie im obigen Dialog auf \Button{Abbrechen}
1693 klicken.  Er ist wertlos und kann nicht
1694 mehr vom Zertifikatsserver entfernt werden. Sie glauben nicht, wieviele
1695 Testkeys mit Namen wie "`Julius Caesar"', "`Helmut Kohl"' oder "`Bill
1696 Clinton"' dort schon seit Jahren herumliegen$\ldots$
1697
1698 \clearpage
1699 \subsubsection{Kurz zusammengefasst}
1700 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einen
1701 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
1702
1703 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines Korrespondenzpartners auf
1704   Zertifikatsservern suchen und importieren, erfahren Sie im
1705   Kapitel~\ref{ch:keyserver}.
1706   Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese
1707   Funktion benötigen.}
1708
1709 ~\\Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
1710 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1711 Fällen durch die Beglaubigungsinstanz. Das passiert typischerweise
1712 über X.509-Zertifikatsserver, die per LDAP erreichbar sind.
1713 Im Unterschied zu den OpenPGP-Zertifikatsservern synchronisieren sich
1714 die X.509-Zertifikatsserver jedoch nicht weltweit untereinander.
1715
1716
1717
1718
1719 \clearpage
1720 %% Original page 31
1721 \chapter{Sie entschlüsseln eine \Email{}}
1722 \label{ch:decrypt}
1723
1724 Sie bekommen verschlüsselte Nachrichten Ihrer Korrespondenzpartner
1725 und wollen diese nun entschlüsseln?
1726 Alles was Sie dazu brauchen ist Gpg4win, das Zertifikat Ihres
1727 Schlüsselpaars und natürlich ganz wichtig: Ihre Passphrase.
1728
1729 In diesem Kapitel bekommen Sie Schritt für Schritt erklärt, wie Sie Ihre
1730 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
1731 GpgOL entschlüsseln.
1732
1733 ~\\
1734 Üben Sie jetzt diesen Vorgang einmal mit Adele und Ihrem
1735 öffentlichen OpenPGP-Zertifikat!
1736
1737 \textbf{Achtung:} Die folgenden Übungen gelten \textbf{nur für
1738 OpenPGP}!
1739 Anmerkungen zur Entschlüsselung von S/MIME-\Email{}s finden Sie am
1740 Ende dieses Kapitels auf Seite \pageref{encrypt-smime}.
1741 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}\\
1742
1743
1744 Im Abschnitt~\ref{sec_publishPerEmail} haben Sie Adele Ihr
1745 öffentliches OpenPGP-Zertifikat geschickt.
1746 Mit Hilfe dieses Zertifikats verschlüsselt Adele nun eine
1747 \Email{} und sendet die Nachricht an Sie zurück.
1748 Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
1749
1750
1751 % cartoon: Adele typing and sending a mail
1752 \begin{center}
1753 \IncludeImage{adele02}
1754 \end{center}
1755
1756
1757 \clearpage
1758 %% Orginal page 32
1759 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
1760
1761 Für die meisten \Email{}-Programme gibt es spezielle Programmerweiterungen
1762 (engl. "`plugins"'), mit denen die Ver- und Entschlüsselung direkt im
1763 jeweiligen \Email{}-Programm erledigt werden kann --
1764 \textbf{GpgOL} ist eine solche Programmerweiterung für MS Outlook,
1765 dass in diesem Abschnitt benutzt wird, um die \Email{} von Adele zu
1766 entschlüsseln.
1767
1768 Hinweise zu weiteren Software-Lösungen finden Sie im Anhang~\ref{ch:plugins}.
1769 Sie können diesen Abschnitt jetzt lesen oder später, wenn Sie diese Funktion benötigen.
1770
1771 ~\\
1772 Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von Adele.
1773
1774 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung kennengelernt.
1775 Das Programm leistet aber weitaus mehr: Es kann die eigentliche Verschlüsselungs-Software
1776 GnuPG steuern und damit nicht nur Ihre Zertifikate verwalten, sondern
1777 auch sämtliche kryptographischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
1778 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
1779 Dialoge, die Sie als Benutzer sehen während Sie eine \Email{} ver- oder entschlüsseln.
1780 Das heißt auch, dass Sie immer die gleichen Dialog sehen, egal ob
1781 Sie mit Outlook, einem anderen \Email{}-Programm oder auch mit dem Windows Explorer
1782 etwas verschlüsseln.
1783
1784 Kleopatra bearbeitet also die verschlüsselte \Email{} von
1785 Adele. Diese \Email{} hat Adele mit \textit{Ihrem} öffentlichen
1786 OpenPGP-Schlüssel verschlüsselt.
1787
1788 Um die
1789 Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer (Ihren
1790 privaten Schlüssel schützenden) Passphrase. Geben Sie diese in den
1791 aufkommenden Dialog ein. Sofern Ihre Eingabe korrekt war, erhalten Sie
1792 einen Statusdialog (siehe nachfolgende Abbildung).
1793 Mit 
1794 \Button{Details anzeigen} können Sie sich
1795 weitere Informationen der \Email{}-Überprüfung anzeigen lassen.
1796
1797 % screenshot: Kleopatra - successfully encrypted dialog
1798 \begin{center}
1799     \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-decrypt-email_de}
1800 \end{center}
1801
1802 Die Entschlüsselung war erfolgreich! Schließen Sie den Dialog, um die
1803 entschlüsselte \Email{} zu lesen.
1804
1805 Möchten Sie den Prüfdialog nach dem Lesen der \Email{} noch einmal manuell aufrufen,
1806 so klicken Sie im Menü der geöffneten \Email{} auf \Menu{Extras$\rightarrow$GpgOL
1807 Entschlüsseln / Prüfen}.
1808
1809 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen...
1810
1811
1812
1813 %So sollte Adeles Antwort-\Email{} etwa aussehen:
1814 %
1815 %\begin{verbatim}
1816 %From: Adele (Der freundliche E-Mail-Roboter) <adele@gnupp.de>
1817 %Subject: Re: Mein OpenPGP-Zertifikat
1818 %To: heinrichh@gpg4win.de
1819 %Date: Thu, 08 Jul 2008 09:17:28 +0100
1820 %
1821 %-----BEGIN PGP MESSAGE-----
1822 %Version: GnuPG v1.4.1 (GNU/Linux)
1823 %
1824 %hQEOA9FS8I3hSvdPEAP/W6W6f4MBwqTdzd9O/7FOTDHh//bQ+GUWoT0k9Y0i96UZ
1825 %QO1VhQSia6a8DZrFQj7SlJWmB1MM7RNhkmhfZsD5Bn9ICmwwOt2xJDBkCQ34gu5N
1826 %NxQ92WXZjHCaI0dSlynNziNbK8Ik26YPBYkQjLUDhHN4CRZ7q67eVEd/B9DI04wD
1827 %
1828 %...
1829 %
1830 %ujbjyj09L/9NvoBniWrgqVUayKr1Ls8OIZkyiex6mKypPGADJFAzvTwjubj5S6zJ
1831 %A+QvSXUB9Hj8Ft2Nt3j0B/gWn5no3Er2/15UcBn/UPSxW9or0w9seDxCuSXvpakX
1832 %bcneOm/pcJNEHcApXWXpoNOxRZ1MksM300w+79M6p2w=
1833 %=VCHb
1834 %-----END PGP MESSAGE-----
1835 %\end{verbatim}
1836
1837 %Aus Gründen der Übersichtlichkeit sehen Sie den Verschlüsselungsblock
1838 %stark gekürzt.)
1839
1840
1841 %\textbf{Diese \Email{} werden Sie nun mit Microsoft Outlook entschlüsseln.}
1842
1843
1844
1845
1846 \clearpage
1847 %% Original page 36
1848 \subsubsection{Die entschlüsselte Nachricht}
1849
1850 Die entschlüsselte Antwort von Adele sieht in etwa so aus\footnote{Abhängig
1851   von der Softwareversion von Adele kann dies auch etwas
1852   unterschiedlich aussehen.}:
1853 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
1854 %TODO: Schlüssel -> Zertifikat
1855
1856 \begin{verbatim}
1857 Hallo Heinrich Heine,
1858
1859 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
1860
1861 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
1862 0EA6E039B5821A91 und der Bezeichnung
1863 `Heinrich Heine <heinrichh@gpg4win.de>'
1864 wurde von mir empfangen.
1865
1866 Anbei der öffentliche Schlüssel von adele@gnupp.de,
1867 dem freundlichen E-Mail-Roboter.
1868
1869 Viele Grüße,
1870 adele@gnupp.de
1871 \end{verbatim}
1872
1873 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von Adele.
1874
1875 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und
1876 zu Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche Zertifikate können
1877 Sie jederzeit zum Verschlüsseln von Nachrichten an Ihren
1878 Korrespondenzpartner benutzen oder dessen signierte \Email{}s prüfen.
1879
1880 \clearpage
1881 \subsubsection{Kurz zusammengefasst}
1882
1883 \begin{enumerate}
1884 \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
1885   Schlüssel entschlüsselt.
1886
1887 \item Ihr Korrespondenzpartner hat sein eigenes öffentliches Zertifikat
1888     beigelegt, damit Sie ihm verschlüsselt antworten können.
1889 \end{enumerate}
1890
1891 \label{encrypt-smime}
1892 ~\\Nachdem 
1893 Sie gelernt haben, wie Sie \Email{}s mit Ihrem geheimen OpenPGP-Schlüssel
1894 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
1895 entschlüsseln, werden Sie nun noch erfahren, wie Sie verschlüsselte
1896 \textbf{S/MIME}-\Email{}s entschlüsseln.
1897
1898 Die Antwort lautet auch hier: Genauso wie bei OpenPGP!
1899 Der Unterschied zu OpenPGP ist lediglich, dass S/MIME \textit{nicht}
1900 von Adele unterstützt wird und somit die obige Übung nur für OpenPGP
1901 gilt.
1902
1903 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie
1904 die Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
1905 Sie bekommen einen ähnlichen
1906 Statusdialog wie bei OpenPGP. Nach dem Schließen dieses Dialogs sehen Sie die
1907 entschlüsselte S/MIME \Email{}.
1908
1909
1910 \clearpage
1911 %% Original page 37
1912 \chapter{Sie importieren ein öffentliches Zertifikat}
1913 \label{ch:importCertificate}
1914
1915 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches Zertifikat
1916 mitschicken, wenn er Ihnen signiert schreibt.
1917 Sie bewahren sein öffentliches Zertifikat einfach in Ihrer
1918 Zertifikatsverwaltung (z.B. Kleopatra) auf.
1919
1920
1921 \subsubsection{Öffentliches Zertifikat abspeichern}
1922
1923 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren,
1924 müssen Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
1925 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
1926 \Email{} bekommen haben, gehen Sie wie folgt vor:
1927
1928 \begin{itemize}
1929 \item Liegt das öffentliche Zertifikat einer \Email{} als \textbf{Dateianhang}
1930     bei, speichern Sie es (wie Sie es in Ihrem \Email{}-Programm
1931     gewohnt sind) auf einem Ort Ihrer Festplatte ab.
1932
1933
1934 \item Sollte das öffentliche Zertifikat als \textbf{Textblock} innerhalb Ihrer
1935     \Email{} übermittelt worden sein, so müssen Sie zunächst das
1936     vollständige Zertifikat markieren:
1937
1938 Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich von
1939
1940 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1941 bis\\
1942 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1943
1944 so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon getan haben.
1945
1946 Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
1947 Texteditor ein und speichern Sie das öffentliche Zertifikat ab. Als Dateiendung
1948 sollten Sie für OpenPGP-Zertifikate \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate 
1949 \Filename{.pem} oder \Filename{.der} wählen.
1950
1951 \end{itemize}
1952
1953 %% Original page 38/39
1954 \clearpage
1955 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
1956
1957 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als Textblock abgespeichert
1958 haben, ist egal: In beiden Fällen importieren Sie dieses
1959 abgespeicherte Zertifikat in Ihre Zertifikatsverwaltung Kleopatra.
1960
1961
1962 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
1963
1964 Klicken Sie im Menü auf
1965 \Menu{Datei$\rightarrow$Zertifikat importieren...},
1966 suchen das eben abgespeicherte öffentliche Zertifikat aus und
1967 importieren es.
1968 Sie erhalten einen Informations-Dialog mit dem Ergebnis des Importvorgangs:
1969
1970 % screenshot: Kleopatra - certificate import dialog
1971 \begin{center}
1972 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-import-certificate_de}
1973 \end{center}
1974
1975
1976 Das erfolgreich importierte, öffentliche Zertifikat wird nun in Kleopatra angezeigt
1977 -- und zwar unter einem separatem Reiter \Menu{Importierte
1978 Zertifikate} von \Menu{<Pfad-zur-Zertifikatsdatei>}"':
1979
1980 % screenshot Kleopatra with new certificate
1981 \begin{center}
1982 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-withAdeleKey_de}
1983 \end{center}
1984
1985 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr als nur ein
1986 Zertifikat enthalten kann. Schließen Sie diesen Reiter über
1987 das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über die
1988 "`Reiter-schließen"' Schaltfläche am rechten Fensterrand.
1989
1990 Wechseln Sie auf den Tab "`Andere Zertifikate"'. Hier sollten Sie nun
1991 das von Ihnen importierte öffentliche Zertifikat sehen.
1992
1993 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
1994 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
1995 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat jederzeit benutzen, um
1996 verschlüsselte Nachrichten an den Besitzer dieses Zertifikats zu
1997 senden und dessen Signaturen zu prüfen.
1998
1999 Sobald Sie \Email{}-Verschlüsselung häufiger und mit vielen
2000 Korrespondenzpartnern betreiben, werden Sie aus Gründen des Komforts
2001 die Zertifikate über global erreichbare Zertifikatsserver suchen und importieren
2002 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver} nachlesen.
2003
2004
2005 \clearpage
2006 \subsubsection{Bevor Sie weitermachen, eine wichtige
2007 Frage:}
2008 Woher wissen Sie eigentlich, dass das öffentliche
2009 OpenPGP-Zertifikat wirklich von Adele stammt? Man kann \Email{}s auch
2010 unter falschem Namen versenden -- die Absenderangabe besagt eigentlich
2011 gar nichts.
2012
2013 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch wirklich
2014 seinem Absender gehört?
2015
2016 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im
2017 Kapitel~\ref{ch:trust} erläutert. Lesen Sie bitte jetzt dort weiter, bevor
2018 Sie danach an dieser Stelle fortfahren.}
2019
2020
2021
2022 \clearpage
2023 %% Original page 42
2024 \chapter{Sie verschlüsseln eine \Email{}}
2025 \label{ch:encrypt}
2026
2027 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte \Email{}!
2028
2029 In diesem Beispiel brauchen Sie dazu Outlook (das geht auch mit anderen
2030 \Email{}-Klienten, die Kryptographie unterstützen), Kleopatra und natürlich
2031 ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2032
2033 %% Original page 45
2034 \textbf{Hinweis nur für OpenPGP:}\\Sie können zum Üben dieses Vorgangs
2035 mit OpenPGP wieder Adele nutzen. S/MIME wird von Adele nicht
2036 unterstützt! \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2037 Adressieren Sie dazu Ihre zu verschlüsselnde \Email{} an
2038 \Filename {adele@gnupp.de}. Der Inhalt der Nachricht ist beliebig -- Adele kann
2039 nicht wirklich lesen...
2040
2041
2042 \textbf{Hinweis nur für S/MIME:}\\
2043 Nach der Installation von Gpg4win ist die
2044 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}}
2045 S/MIME-Funktionalität in GpgOL deaktiviert. Wenn Sie S/MIME (mit
2046 GnuPG) nutzen möchten, müssen Sie zuvor wie in dem nachfolgend
2047 dargestellten GpgOL-Optionsdialog unter
2048 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2049 \Menu{S/MIME Unterstützung einschalten} aktivieren:
2050
2051 % screenshot: GpgOL options
2052 \begin{center}
2053 \IncludeImage[width=0.45\textwidth]{sc-gpgol-options_de}
2054 \end{center}
2055
2056 Lesen Sie sich die angezeigten Informationen sorgfältig durch,
2057 vor allem dann wenn Sie schon vorher mit S/MIME unter einem anderen
2058 Kryptographie-Produkt gearbeitet haben.
2059
2060 \clearpage
2061 \subsubsection{Nachricht verschlüsselt versenden}
2062
2063 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren Sie diese an Ihren
2064 Korrespondenzpartner.
2065
2066 Jetzt fehlt nur noch die Angabe, dass Sie Ihre Nachricht auch wirklich
2067 verschlüsselt versenden wollen:
2068 Wählen Sie im Menü des Nachrichtenfensters den Punkt
2069 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.
2070 Die Schaltfläche mit dem Schloss-Icon in der
2071 Symbolleiste ist aktiviert (Sie können auch gleich direkt auf diese
2072 Schaltfläche klicken).
2073
2074 Ihre Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2075
2076 % screenshot: OL composer with Adele's address and body text
2077 \begin{center}
2078 \IncludeImage[width=0.7\textwidth]{sc-ol-sendEncryptedMail_de}
2079 \end{center}
2080 Um die Verschlüsselungsoption wieder zu deaktivieren genügt ein
2081 erneuter Klick auf die o.g. Schaltfläche.
2082
2083 Klicken Sie nun auf \Button{Senden}.
2084
2085 ~\\
2086 \textbf{Hinweis:}\label{encryptProtocol}\\
2087 Im Normalfall erkennt Gpg4win automatisch in welchem Protokoll
2088 (OpenPGP oder S/MIME) das passende öffentliche Zertifikat Ihres
2089 Korrespondenzpartners vorliegt.
2090
2091 Bei Bedarf können Sie das Protokoll explizit für diese \Email{}
2092 über das Menü \Menu{Extras$\rightarrow$GnuPG Protokoll}
2093 im geöffneten Outlook-Nachrichtenfensters auf
2094 \Menu{PGP/MIME}, \Menu{S/MIME} oder \Menu{automatisch}
2095 (Standardeinstellung) setzen.
2096
2097 Wenn Sie sich unsicher sind, belassen Sie es bei der Voreinstellung
2098 \Menu{automatisch}. Sie haben später im Verschlüsselungsprozess
2099 noch die Möglichkeit zwischen PGP/MIME und
2100 S/MIME zu wählen.
2101
2102 Haben Sie ein bevorzugtes GnuPG-Protokoll?\\
2103 Dann können Sie unter den GpgOL-Optionen
2104 (\Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL})
2105 PGP/MIME oder S/MIME für alle signierte und verschlüsselte
2106 Nachrichten als Voreinstellung definieren.
2107
2108
2109
2110 \clearpage
2111 \subsubsection{Zertifikatsauswahl}
2112 Daraufhin öffnet Kleopatra ein Fenster, in dem Sie das öffentliche Zertifikat des
2113 Empfängers bestätigen müssen. Kleopatra wählt -- abhängig von der
2114 Empfänger-\Email{}-Adresse -- in der Regel das passende öffentliche Zertifikat aus
2115 Ihrer Zertifikatsverwaltung automatisch aus.
2116
2117 Sollte Kleopatra das öffentliche Zertifikat Ihres Korrespondenzpartners nicht
2118 finden, haben Sie es vermutlich noch nicht in Ihrer
2119 Zertifikatsverwaltung importiert (vgl.
2120 Kapitel~\ref{ch:importCertificate}).
2121
2122 % screenshot: kleopatra encryption dialog - certificate selection
2123 % (with Adele + my own certificate)
2124 \begin{center}
2125 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-encryptDialog_de}
2126 \end{center}
2127
2128 Im Normalfall können Sie dieses vorausgewählte öffentliche Zertifikat mit
2129 \Button{Weiter} bestätigen.
2130
2131 \clearpage
2132 Sollte Kleopatra im Dialog auf der vorherigen Seite
2133 \textbf{nicht} das richtige öffentliche Zertifikat ausgewählt haben (z.B. weil zu
2134 der Empfänger-\Email{}-Adresse 
2135 mehrere öffentliche Zertifikate existieren), dann drücken Sie auf die
2136 \Button{...}-Schaltfläche neben der Auswahlliste.
2137
2138 Sie können hier auch bewusst ein anderes öffentliches Zertifikat
2139 (eines das nicht zu der \Email{}-Adresse passt) auswählen. Das macht
2140 praktisch aber wenig Sinn und kann Ihnen (und Ihrem Empfänger) eher
2141 Probleme bereiten...
2142
2143 Sie bekommen einen Kleopatra-Dialog mit einer Liste aller
2144 öffentlichen Zertifikate des
2145 gewählten Zertifikatstyps angezeigt, die in Ihrer Zertifikatsverwaltung
2146 existieren (also der öffentlichen Zertifikate, die von Ihnen bis dahin importiert wurden).
2147 Exemplarisch sehen Sie hier eine Auswahl von verfügbaren öffentlichen
2148 OpenPGP-Zertifikaten:
2149
2150 % screenshot: kleopatra encryption dialog 2 - openpgp certificate list
2151 \begin{center}
2152 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-chooseOpenpgpCertificate_de}
2153 \end{center}
2154
2155 Wählen Sie das korrekte öffentliche Zertifikat Ihres Korrespondenzpartners aus, denn
2156 damit muss Ihre Nachricht schließlich verschlüsselt werden.
2157
2158 Sie erinnern sich an den Grundsatz:
2159 \begin{quote}
2160     \textbf{Wenn Sie an jemanden verschlüsselte \Email{}s schicken wollen,
2161   müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln benutzen.}
2162 \end{quote}
2163
2164 Klicken Sie auf \Button{Weiter}. Ihre Nachricht wird nun verschlüsselt.
2165
2166 \clearpage
2167 \subsubsection{Verschlüsselung abschließen}
2168 Wurde Ihre Nachricht erfolgreich verschlüsselt und versandt, erhalten
2169 Sie eine Meldung, die Ihnen dies bestätigt:
2170
2171 % screenshot: kleopatra encryption successfully
2172 \begin{center}
2173 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-encryption-successful_de}
2174 \end{center}
2175
2176 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2177 verschlüsselt!}
2178
2179
2180
2181
2182 %% Original page 37 & 40
2183 \chapter{Sie signieren eine \Email{}}
2184 \label{ch:sign}
2185 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2186 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen
2187 geheimen OpenPGP-Schlüssel signieren können.
2188
2189 Dieses Kapitel beschäftigt sich damit,
2190 wie Sie nicht nur ein Zertifikat, sondern auch eine komplette
2191 \textbf{\Email{} signieren} können. Das bedeutet, dass Sie die \Email{} mit
2192 einer elektronischen Signatur (einer Art elektronischem Siegel) versehen.
2193
2194 Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann
2195 feststellen, ob die \Email{} unterwegs manipuliert oder verändert
2196 wurde.
2197
2198 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2199 tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem
2200 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben~(aus welchem
2201 Grund auch immer), können Sie so die Nachricht wenigstens
2202 mit Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2203
2204 \textbf{Achtung:} Verwechseln Sie diese elektronische Signatur nicht
2205 mit der \Email{}-"`Signatur"', die man unter eine \Email{} setzt und
2206 die z.B. Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten.
2207 Während diese \Email{}-Signaturen einfach nur als eine Art Visitenkarte
2208 fungieren, schützt die elektronische Signatur Ihre \Email{} vor
2209 Manipulationen und bestätigt den Absender.
2210
2211 Übrigens ist die elektronische Signatur auch nicht mit der
2212 qualifizierten digitalen Signatur gleichzusetzen, wie sie im
2213 Signaturgesetz vom 22.~Mai 2001 in Kraft getreten ist. Für die
2214 private oder berufliche \Email{}-Kommunikation erfüllt sie allerdings
2215 genau denselben Zweck.
2216
2217 % cartoon:  Müller mit Schlüssel
2218 \begin{center}
2219 \htmlattributes*{img}{width=300}
2220 \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2221 \end{center}
2222
2223
2224
2225 \clearpage
2226 %% Original page 38
2227 \section{Signieren mit GpgOL}
2228
2229
2230 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2231 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2232 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2233 folgende Schritte durch:
2234
2235 \begin{itemize}
2236     \item Nachricht signiert versenden
2237     \item Zertifikatsauswahl
2238     \item Signierung abschließen
2239 \end{itemize}
2240
2241 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2242
2243 \clearpage
2244 \subsubsection{Nachricht signiert versenden}
2245
2246 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2247 Sie diese an Ihren Korrespondenzpartner.
2248
2249
2250
2251
2252 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass
2253 Ihre Nachricht signiert versendet werden soll:
2254 Dazu aktivieren Sie den Menüeintrag \Menu{Extras$\rightarrow$Nachricht
2255 signieren}. Die Schaltfläche mit dem signierenden Stift
2256 wird aktiviert.
2257
2258 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2259
2260 % screenshot: OL composer with Adele's address and body text
2261 \begin{center}
2262 \IncludeImage[width=0.7\textwidth]{sc-ol-sendSignedMail_de}
2263 \end{center}
2264
2265 Wie beim Verschlüsseln können Sie natürlich auch die Signieroption
2266 jederzeit mit einem erneuten Klick auf die Schaltfläche wieder deaktivieren.
2267
2268 Klicken Sie nun auf \Button{Senden}.
2269
2270 ~\\
2271 \textbf{Hinweis:}\\
2272 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2273 automatisch in welchen Protokoll (OpenPGP oder S/MIME) Ihre eignes
2274 Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2275
2276 Sollen Sie das Protokoll manuell setzen wollen, nutzen Sie dazu 
2277 das Menü \Menu{Extras$\rightarrow$GnuPG Protokoll} im
2278 Outlook-Nachrichtenfenster und wählen Sie \Menu{PGP/MIME},
2279 \Menu{S/MIME} oder \Menu{automatisch} -- die Erläuterungen und
2280 Hinweise vom Verschlüsseln (siehe Seite~\pageref{encryptProtocol}) gelten auch
2281 für das Signieren.
2282
2283
2284 \clearpage
2285 \subsubsection{Zertifikatsauswahl}
2286 Daraufhin öffnet Kleopatra ein Fenster, in dem -- anders als beim
2287 Verschlüsseln -- Ihre \textbf{eigenen} Zertifikate (also alle die
2288 Zertifikate, zu denen Ihnen jeweils ein geheimer Schlüssel vorliegt)
2289 angezeigt werden.
2290
2291 % screenshot: kleopatra sign dialog - certificate selection
2292 \begin{center}
2293 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-openpgp-signDialog_de}
2294 \end{center}
2295
2296 Denn:
2297 \begin{quote}
2298     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2299 \end{quote}
2300 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre
2301 Identität. Der Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das
2302 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.
2303 Denn nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2304
2305
2306 Im Normalfall können Sie im obigen Dialog Ihr vorausgewähltes Zertifikat mit
2307 \Button{Weiter} bestätigen.
2308
2309 Beim ersten Durchlauf des Signierprozesses müssen
2310 Sie zunächst Kleopatra Ihr bevorzugtes Zertifikat zum Signieren  mit OpenPGP
2311 bzw. S/MIME mitteilen.
2312 Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges
2313 Zertifikat angezeigt sein -- z.B. weil Sie mehrere Zertifikate
2314 besitzen -- klicken Sie auf \Button{Signaturzertifikate ändern...}.
2315
2316
2317 \clearpage
2318 Sie möchten Ihr Signaturzertifikat ändern?
2319
2320 Dann erhalten Sie an dieser Stelle einen Auswahl-Dialog
2321 mit einer Auflistung aller Ihrer
2322 eigenen Zertifikate des vorher gewählten Protokolls,
2323 die in Ihrer Zertifikatsverwaltung existieren.
2324
2325 Nachfolgend ein Beispieldialog für OpenPGP:
2326 % screenshot: kleopatra sign dialog 2 - choose certificate
2327 \begin{center}
2328 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-chooseOpenpgpCertificate_de}
2329 \end{center}
2330
2331 Wählen Sie Ihr korrektes Zertifikat aus, mit dem Sie Ihre Nachricht
2332 signieren wollen.
2333
2334 Klicken Sie anschließend auf \Button{OK}. Ihr ausgewähltes Zertifikat
2335 wird in den letzten "`\Email{} signieren"'-Dialog übernommen.
2336
2337 Bestätigen Sie Ihr Zertifikat mit \Button{Weiter}.
2338
2339
2340 \clearpage
2341 \subsubsection{Signierung abschließen}
2342 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2343 aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
2344
2345 % screenshot: kleopatra sign dialog 2 - choose certificate
2346 \begin{center}
2347 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2348 \end{center}
2349
2350 Dies ist notwendig, weil Sie mit Ihrem eignen geheimen Schlüssel
2351 signieren. Bestätigen Sie Ihre Eingabe mit \Button{OK}.
2352
2353 Ihre Nachricht wird nun signiert und versandt.
2354 Nach erfolgreicher Signierung Ihrer Nachricht, erhalten
2355 Sie folgenden Dialog:
2356
2357 % screenshot: kleopatra sign successful
2358 \begin{center}
2359 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-sign-successful_de}
2360 \end{center}
2361
2362 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2363 signiert!}
2364
2365
2366 \clearpage
2367 \subsubsection{Kurz zusammengefasst}
2368 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2369 (das Ihren geheimen Schüssel enthält) \textbf{signieren}.
2370
2371 Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine
2372 \Email{} mit dem öffentlichen Zertifikat Ihres Korrespondenzpartners
2373 \textbf{verschlüsseln}.
2374
2375 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2376 sicheren \Email{}-Versand: verschlüsseln und signieren.
2377
2378 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2379 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden wollen
2380 -- je nachdem, wie wichtig und schutzbedürftig der
2381 Inhalt Ihrer \Email{} ist:
2382
2383 \begin{itemize}
2384     \item unverschlüsselt
2385     \item verschlüsselt
2386     \item signiert
2387     \item signiert und verschlüsselt (Mehr dazu im
2388         Abschnitt~\ref{sec_encsig})
2389 \end{itemize}
2390
2391 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2392 S/MIME realisieren.
2393
2394
2395
2396 \clearpage
2397 \section{Signatur mit GpgOL prüfen}
2398 %% Original page 41
2399 Angenommen Sie erhalten eine signierte \Email{} Ihres
2400 Korrespondenzpartners.
2401
2402 Die Überprüfung dieser elektronischen Signatur ist sehr einfach.
2403 Alles was Sie dazu brauchen, ist das öffentliche OpenPGP- oder X.509-Zertifikat
2404 Ihres Korrespondenzpartners.
2405 Dessen öffentliches Zertifikat sollten Sie vor der Überprüfung bereits
2406 in Ihre Zertifikatsverwaltung importiert haben
2407 (vgl. Kapitel~\ref{ch:importCertificate}).
2408
2409 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen,
2410 gehen Sie genauso vor, wie bei der Entschlüsselung einer \Email{}
2411 (vgl. Kapitel~\ref{ch:decrypt}):
2412
2413 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2414
2415 GpgOL übergibt die \Email{} automatisch an Kleopatra zur
2416 Prüfung der Signatur. Kleopatra  meldet das Ergebnis
2417 in einem Statusdialog, z.B.:
2418
2419 % screenshot: Kleopatra - successfully encrypt/verify dialog
2420 \begin{center}
2421 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-encryptVerify_de}
2422 \end{center}
2423
2424 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2425 signierte \Email{} zu lesen.
2426
2427 Möchten Sie die Überprüfung noch einmal manuell aufrufen,
2428 so wählen Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2429 Entschlüsseln/Prüfen}.
2430
2431 Sollte die Signaturprüfung fehlt schlagen,
2432 % TODO: ggf. Screenshot mit neg. Meldung.
2433 wurde die Nachricht bei der Übertragung verändert.
2434 Aufgrund der technischen Gegebenheiten im Internet ist es
2435 nicht auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2436 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2437 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2438
2439 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten,
2440 erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2441
2442
2443 \clearpage
2444 \subsubsection{Übrigens...}
2445 Wenn Sie kein Gpg4win installiert haben und eine signierte
2446 \Email{} öffnen, lässt sich die Signatur natürlich nicht prüfen.
2447 Sie sehen dann den \Email-Text umrahmt von merkwürdigen Zeilen -- das
2448 ist die Signatur.
2449
2450 Exemplarisch für OpenPGP sehen Sie, wie dann so eine
2451 OpenPGP-signierte \Email{} in Ihrem \Email-Programm aussehen würde:
2452
2453 Die \Email{} beginnt mit:
2454 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
2455
2456 \begin{verbatim}
2457 -----BEGIN PGP SIGNED MESSAGE-----
2458 Hash: SHA1
2459 \end{verbatim} 
2460
2461 und endet unter der \Email{}-Nachricht mit:
2462
2463 \begin{verbatim}
2464 -----BEGIN PGP SIGNATURE-----
2465 Version: GnuPG v1.4.2 (MingW32)
2466
2467 iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u
2468 ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm
2469 =O6lY
2470 -----END PGP SIGNATURE-----
2471 \end{verbatim}
2472
2473 Dies ist ein Beispiel -- Abwandlungen sind möglich.
2474
2475
2476 \clearpage
2477 %% Original page 40
2478 \section{Gründe für eine gebrochene Signatur}
2479 \label{sec_brokenSignature}
2480
2481
2482 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen können:
2483
2484 Wenn Sie eine \Email{} mit dem Vermerk "`Bad signature"'
2485 oder "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal,
2486 dass Ihre \Email{} manipuliert sein könnte! D.h. jemand hat vielleicht
2487 den Inhalt oder den Betreff der \Email{} verändert.
2488
2489 Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, 
2490 dass Ihre \Email{} manipuliert wurde.
2491 Aufgrund der technischen Gegebenheiten ist es nicht
2492 auszuschließen, dass die \Email{} durch eine fehlerhafte Übertragung
2493 verändert wurde.
2494
2495
2496 \textbf{Wichtig: Nehmen Sie eine gebrochene Signatur ernst! Sie sollten in jedem Fall
2497 die \Email{} erneut beim Absender anfordern!}
2498
2499
2500 Anmerkung: \\
2501 Es wird grundsätzlich empfohlen Ihr \Email{}-Programm  so
2502 einzustellen, dass Sie \Email{}s nur im "`Text"'-Format und
2503 \textbf{nicht} im "`HTML"'-Format versenden.
2504 Sollten Sie dennoch HTML für signierte oder verschlüsselte \Email{}s
2505 verwenden, können dabei beim Empfänger die Formatierungsinformationen
2506 verloren gehen.
2507
2508 Bei Outlook 2003 und 2007 können Sie unter
2509 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das Nachrichtenformat
2510 auf \Menu{Nur Text} umstellen.
2511
2512
2513
2514 \clearpage
2515 %% Original page 42
2516 \section{Verschlüsseln und Signieren}
2517 \label{sec_encsig}
2518
2519 Normalerweise verschlüsseln Sie eine Nachricht mit dem öffentlichen Zertifikat 
2520 Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die
2521 \Email{} entschlüsselt.
2522
2523 Die umgekehrte Möglichkeit -- man würde mit dem geheimen Schlüssel
2524 verschlüsseln -- macht zum Verschlüsseln keinen Sinn,
2525 weil alle Welt das dazugehörigen öffentliche Zertifikat kennt und die
2526 Nachricht damit entschlüsseln könnte.
2527
2528 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2529 eine Datei zu erzeugen: die Signatur (wie Sie am Anfang dieses
2530 Kapitels bereits gelesen haben).
2531 Solch eine elektronische Signatur bestätigt eindeutig
2532 die Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat
2533 auf diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich
2534 ist, so kann diese Datei nur von Ihrem privaten Schlüssel
2535 kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang
2536 haben.
2537
2538 Sie können beide Möglichkeiten
2539 kombinieren, also die \Email{} verschlüsseln und signieren:
2540
2541 \begin{enumerate}
2542     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen geheimen
2543   Schlüssel. Damit ist die Urheberschaft nachweisbar.
2544 \item Dann \textbf{verschlüsseln} Sie den Text mit dem öffentlichen Zertifikat
2545   des Korrespondenzpartners.
2546 \end{enumerate}
2547
2548 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2549
2550 \begin{enumerate}
2551 \item Ihren Siegel auf der Nachricht (die
2552   Signatur mit Ihrem geheimen Schlüssel).
2553 \item Einen soliden äußeren Umschlag (die Verschlüsselung mit dem
2554   öffentlichen Zertifikat des Korrespondenzpartners).
2555 \end{enumerate}
2556
2557 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem eigenen
2558 geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn
2559 nur dieser Schlüssel kann den Text dekodieren. Das Siegel liest
2560 er mit Ihrem öffentlichen Zertifikat und hat den Beweis Ihrer
2561 Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann er nur mit Ihrem
2562 geheimen Schlüssel kodiert worden sein.
2563
2564 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2565 ganz einfach.
2566
2567
2568
2569 \clearpage
2570 %% Original page 47
2571 \chapter{Wie Sie Ihre \Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2572 \label{ch:archive}
2573
2574 Eine wichtige Einstellung müssen Sie nun noch vornehmen, um Gpg4win
2575 sinnvoll nutzen zu können: Es geht um Ihre
2576 \Email{}s, die Sie verschlüsselt versenden.
2577
2578 Wie können Sie diese wichtigen Nachrichten sicher archivieren?
2579 Natürlich können Sie einfach eine Klartextversion Ihrer Texte aufbewahren,
2580 aber das wäre eigentlich nicht angebracht. Wenn Ihre Mitteilung geheimhaltungsbedürftig war,
2581 sollte sie auch nicht im Klartext auf Ihrem Rechner gespeichert sein.
2582 Sie sollten also stets Ihre verschlüsselt gesendeten \Email{}s auch
2583 \textit{verschlüsselt} aufbewahren!
2584
2585 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
2586 (versendeten) \Email{}s braucht Sie aber den geheimen Schlüssel des
2587 Empfängers -- und den haben Sie nicht und werden Sie nie haben$\ldots$
2588
2589 Also was tun?
2590
2591 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2592 selbst!}
2593
2594 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2595 (z.B. Adele) verschlüsselt und ein weiteres Mal auch für Sie, mit
2596 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die \Email{} später einfach
2597 mit Ihrem eigenen geheimen Schlüssel wieder lesbar machen.
2598
2599 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an ihr
2600 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
2601 Absender-E-Mail-Adresse. Sollten Sie mehrere Zertifikate zu einer
2602 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
2603 entscheiden, an welches Zertifikat verschlüsselt werden soll.
2604
2605
2606
2607 \clearpage
2608 %% Original page 49
2609 \subsubsection{Kurz zusammengefasst}
2610
2611 \begin{enumerate}
2612 \item Sie haben mit dem öffentlichen Zertifikat Ihres Korrespondenzpartners eine
2613   \Email{} verschlüsselt und ihm damit geantwortet.
2614 \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten \Email{}s auch
2615   zusätzlich mit Ihrem eigenen öffentlichen Zertifikat, so dass die Nachrichten für
2616   Sie lesbar bleiben.
2617 \end{enumerate}
2618
2619 \vspace{1cm}
2620 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums werden
2621 Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win besitzen.}
2622
2623 \textbf{Willkommen in der Welt der freien und sicheren \Email{}-Verschlüsselung!}
2624
2625 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
2626 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten,
2627 fortgeschrittenen Teil von Gpg4win beschäftigten. Sie werden sehen,
2628 dass Sie viele spannende Dinge darin entdecken werden!
2629
2630 Genau wie das Kryptographiesystem Gpg4win wurden dieses Kompendium nicht nur
2631 für Mathematiker, Geheimdienstler und Kryptographen geschrieben,
2632 sondern \textbf{für jedermann.}
2633
2634
2635
2636
2637
2638
2639
2640 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2641 % Part II
2642
2643 % page break in toc
2644 \addtocontents{toc}{\protect\newpage}
2645
2646 \clearpage
2647 \T\part{Für Fortgeschrittene}
2648 \W\part*{\textbf{II Für Fortgeschrittene}}
2649 \label{part:Fortgeschrittene}
2650 \addtocontents{toc}{\protect\vspace{0.3cm}}
2651
2652
2653 \clearpage
2654 %% Original page 9
2655 \chapter{Wie funktioniert Gpg4win?}
2656 \label{ch:FunctionOfGpg4win}
2657
2658 Das Besondere an Gpg4win und der zugrundeliegenden "`Public-Key"' Methode
2659 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
2660 Geheimwissen ­-- es ist nicht einmal besonders schwer zu verstehen.
2661
2662 Die Benutzung der Gpg4win-Programmkomponenten ist sehr einfach, seine Wirkungsweise
2663 dagegen ziemlich kompliziert. Sie werden in diesem Kapitel erklärt bekommen,
2664 wie Gpg4win funktioniert ­-- nicht in allen Details, aber so, dass die Prinzipien
2665 dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden
2666 Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen.
2667
2668 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie
2669 ­-- wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
2670 "`Public-Key"' Kryptographie lüften und entdecken, warum mit Gpg4win
2671 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
2672 knacken sind.
2673
2674
2675 \clearpage
2676 %% Original page 10
2677 \subsubsection{Der Herr der Schlüsselringe}
2678
2679 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
2680 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
2681 nur einmal gibt und den man ganz sicher aufbewahrt.
2682
2683 \begin{center}
2684 \htmlattributes*{img}{width=300}
2685 \IncludeImage[width=0.4\textwidth]{schlapphut-with-key}
2686 \end{center}
2687
2688 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
2689 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
2690 fällt mit der Sicherheit des Schlüssels.  Also hat man den Schlüssel
2691 mindestens genauso gut abzusichern, wie das zu sichernde Gut selbst.
2692 Die genaue Form des Schlüssels muss völlig geheim gehalten werden.
2693
2694
2695 \clearpage
2696 %% Original page 11
2697
2698 Geheime Schlüssel sind in der Kryptographie ein alter Hut: Schon immer
2699 hat man Botschaften geheimzuhalten versucht, indem man den Schlüssel
2700 geheimhielt.  Dies wirklich sicher zu machen ist sehr umständlich und
2701 dazu auch sehr fehleranfällig.
2702
2703 \begin{center}
2704 \htmlattributes*{img}{width=300}
2705 \IncludeImage[width=0.4\textwidth]{tangled-schlapphut}
2706 \end{center}
2707
2708 Das Grundproblem bei der "`gewöhnlichen"' geheimen Nachrichtenübermittlung
2709 ist, dass für Ver- und Entschlüsselung derselbe Schlüssel benutzt wird
2710 (symmetrische Verschlüsselung)
2711 und dass sowohl der Absender als auch der Empfänger diesen geheimen
2712 Schlüssel kennen.
2713
2714 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
2715 solcher Methode ein Geheimnis (eine verschlüsselte Nachricht)
2716 mitteilen kann, muss man schon vorher ein anderes Geheimnis (den
2717 Schlüssel) mitgeteilt haben.  Und da liegt der Hase im Pfeffer: Man
2718 muss sich ständig mit dem Problem herumärgern, dass der Schlüssel
2719 unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem
2720 Dritten abgefangen werden darf.
2721
2722
2723
2724 \clearpage
2725 %% Original page 12
2726
2727 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit einem
2728 weiteren Schlüssel (engl. "`key"'), der vollkommen frei und öffentlich
2729 (engl. "`public"') zugänglich ist.
2730
2731 Man spricht daher auch von einem "`Public-Key"' Verschlüsselungssystem.
2732
2733 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
2734 muss kein geheimen Schlüssel mehr ausgetauscht werden. Im Gegenteil: Der
2735 geheimen Schlüssel darf auf keinen Fall ausgetauscht werden!
2736 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen 
2737 Zertifikat)~-- und den kann sowieso jeder kennen.
2738
2739 Mit Gpg4win benutzen Sie also ein Schlüsselpaar -- einen geheimen und
2740 einen zweiten öffentlichen Schlüssel.  Beide Schlüssel sind durch
2741 eine komplexe mathematische Formel untrennbar miteinander verbunden.
2742 Nach heutiger wissenschaftlicher und technischer Kenntnis ist es
2743 unmöglich, einen Schlüsselteil aus dem anderen zu berechnen und damit
2744 das Verfahren zu knacken. In Kapitel \ref{ch:themath} bekommen Sie
2745 erklärt, warum das so ist.
2746
2747 % Note: The texts on the signs are empty in the current revision.
2748 % However, I used the original images and wiped out the texts ``Open
2749 % Source"' and ``gratis"' - need to replace with something better.
2750 % What about ``Artikel 10"' and ``von GnuPG erzeugt"'?
2751 \begin{center}
2752 \htmlattributes*{img}{width=300}
2753 \IncludeImage[width=0.4\textwidth]{verleihnix}
2754 \end{center}
2755
2756
2757 \clearpage
2758 %% Original page 13
2759 Das Prinzip ist wie gesagt recht einfach:
2760
2761 Der \textbf{geheime Schlüssel}, auch \textbf{private Schlüssel} genannt
2762 (engl. ,,secret key'' oder ,,private key''), muss geheim gehalten werden.
2763
2764 Der \textbf{öffentliche Schlüssel} (engl. "`public key"'), soll so
2765 öffentlich wie möglich gemacht werden.
2766
2767 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
2768
2769 \bigskip
2770
2771 \begin{quote}
2772     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
2773 \end{quote}
2774
2775 \begin{center}
2776 \htmlattributes*{img}{width=300}
2777 \IncludeImage[width=0.7\textwidth]{key-with-shadow-bit}
2778 \end{center}
2779
2780 \begin{quote}
2781     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
2782 \end{quote}
2783
2784
2785 \clearpage
2786 %% Original page 14
2787
2788 \subsubsection{Der öffentliche Brieftresor}
2789
2790
2791 In einem kleinen Gedankenspiel
2792 wird die Methode des "`Public-Key"' Verschlüsselungssystems
2793 und ihr Unterschied zur "`Non-Public-Key"' Methode deutlicher...
2794
2795 \bigskip
2796
2797 \textbf{Die "`Non-Public-Key"' Methode geht so:}
2798
2799 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
2800 auf, über den Sie geheime Nachrichten übermitteln wollen.
2801
2802 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
2803 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
2804 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
2805 Nachrichten zunächst einmal gut gesichert.
2806
2807 \begin{center}
2808 \htmlattributes*{img}{width=300}
2809 \IncludeImage[width=0.7\textwidth]{letter-into-safe}
2810 \end{center}
2811
2812 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner denselben
2813 Schlüssel wie Sie haben, um den Brieftresor damit auf- und zuschließen
2814 und eine geheime Nachricht deponieren zu können.
2815
2816
2817 \clearpage
2818 %% Original page 15
2819 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
2820 Wege übergeben.
2821
2822 \bigskip
2823 \bigskip
2824
2825 \begin{center}
2826 \htmlattributes*{img}{width=300}
2827 \IncludeImage[width=0.7\textwidth]{secret-key-exchange}
2828 \end{center}
2829
2830 \clearpage
2831 %% Original page 16
2832 Erst wenn der andere den geheimen Schlüssel hat, kann er den Brieftresor
2833 öffnen und die geheime Nachricht lesen.
2834
2835 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
2836 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
2837 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim austauschen wie
2838 die Botschaft selbst.
2839
2840 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
2841 gleich die geheime Mitteilung übergeben\ldots
2842
2843
2844 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten alle
2845 \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem Wege
2846 austauschen, bevor sie geheime Nachrichten per \Email{} versenden
2847 könnten.
2848
2849 Vergessen Sie diese Möglichkeit am besten sofort wieder\ldots
2850
2851 \begin{center}
2852 \htmlattributes*{img}{width=300}
2853 \IncludeImage[width=0.7\textwidth]{letter-out-of-safe}
2854 \end{center}
2855
2856 \clearpage
2857 %% Original page 17
2858 \textbf{Nun zur "`Public-Key"' Methode:}
2859
2860 Sie installieren wieder einen Brieftresor vor Ihrem Haus.  Aber:
2861 dieser Brieftresor ist ­-- ganz im Gegensatz zu dem ersten Beispiel
2862 -- stets offen.  Direkt daneben hängt --­ weithin öffentlich sichtbar
2863 -- ein Schlüssel, mit dem jedermann den Brieftresor zuschließen kann
2864 (asymmetrisches Verschlüsselungsverfahren).
2865
2866 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
2867
2868 \begin{center}
2869 \htmlattributes*{img}{width=300}
2870 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
2871 \end{center}
2872
2873 Dieser Schlüssel gehört Ihnen, und -- Sie ahnen es: Es ist Ihr
2874 öffentlicher Schlüssel.
2875
2876 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
2877 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
2878 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
2879 frei zugänglich.
2880
2881 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
2882 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
2883 hat, kann ihn nicht wieder aufschließen, z.B. um die
2884 Botschaft nachträglich zu verändern.
2885
2886 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
2887
2888 Aufschließen kann man den Brieftresor nur mit einem einzigen
2889 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
2890
2891 \clearpage
2892 %% Original page 18
2893
2894 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
2895 kann eine \Email{} an Sie verschlüsseln. Er benötigt dazu keineswegs
2896 einen geheimen, sondern ganz im Gegenteil einen vollkommen
2897 öffentlichen, "`ungeheimen"' Schlüssel. Nur ein einziger Schlüssel
2898 entschlüsselt die \Email{} wieder: Ihr privater, geheimer Schlüssel.
2899
2900 Spielen Sie das Gedankenspiel noch einmal anders herum:
2901
2902 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
2903 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
2904 verfügbaren Schlüssel.
2905
2906 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
2907 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
2908 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
2909 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
2910 öffentlichem Schlüssel wieder verschlossen haben, ist sie völlig
2911 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
2912 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
2913 und die Nachricht lesen.
2914
2915 \begin{center}
2916 \htmlattributes*{img}{width=300}
2917 \IncludeImage[width=0.7\textwidth]{pk-safe-opened-with-sk}
2918 \end{center}
2919
2920
2921 \clearpage
2922 %% Original page 19 
2923 \textbf{Was ist nun eigentlich gewonnen:} Es gibt immer noch einen
2924 geheimen Schlüssel!?
2925
2926 Der Unterschied gegenüber der "`Non-Public-Key"' Methode ist
2927 allerdings ein gewaltiger:
2928
2929 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
2930 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
2931 Übergabe entfällt, sie verbietet sich sogar.
2932
2933 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
2934 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
2935 geheimes Codewort.
2936
2937 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
2938 gewöhnlichen (symmetrischen) Verschlüsselungsverfahren können geknackt werden, weil ein
2939 Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
2940 bringen kann.
2941
2942 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
2943 wird und sich nur an einem einzigen Ort befindet: dem eigenen Schlüsselbund.
2944
2945
2946 \clearpage
2947 %% Original page 20
2948 \chapter{Die Passphrase}
2949 \label{ch:passphrase}
2950
2951 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel eine der
2952 wichtigsten Komponenten in einem "`Public-Key"' (asymmetrischen)
2953 Verschlüsselungsverfahren. Man muss
2954 (und darf) ihn zwar nicht mehr auf geheimem Wege mit seinen
2955 Korrespondenzpartnern austauschen, aber nach wie vor ist seine
2956 Sicherheit der Schlüssel zur Sicherheit des "`ganzen"' 
2957 Kryptographieverfahrens.
2958
2959 Es ist deswegen eminent wichtig, diesen privaten Schlüssel sicher
2960 abzuspeichern. Dies geschieht auf zweierlei Weise:
2961
2962 \begin{center}
2963 \htmlattributes*{img}{width=300}
2964 \IncludeImage[width=0.3\textwidth]{think-passphrase}
2965 \end{center}
2966
2967 Jeder andere Benutzer des Rechners, auf dessen Festplatte dieser
2968 Schlüssel gespeichert ist, darf keinen Zugriff auf ihn erhalten --
2969 weder zum Schreiben noch zum Lesen.  Es ist deswegen unbedingt zu
2970 vermeiden, den Schlüssel in einem öffentlichen Dateiordner
2971 (z.B. \Filename{C:\back{}Temp} oder \Filename{C:\back{}WINNT}) abzulegen.  Gpg4win
2972 speichert den Schlüssel deswegen im sogenannten "`Heimatverzeichnis"'
2973 ("`Eigene Dateien"') von GnuPG ab.
2974 Dies kann sich je nach konfiguriertem Betriebssystem an unterschiedlichen Orten
2975 befinden; für einen Benutzer mit
2976 dem Anmeldenamen "`Harry"' könnte es z.B.:\newline
2977 \Filename{C:\back{}Dokumente und Einstellungen\back{}harry\back{}Anwendungsdaten\back{}gnupg} \newline
2978 sein.  Der geheime Schlüssel befindet sich dort in einer Datei mit dem
2979 Namen \Filename{secring.gpg}.
2980
2981 Dieser Schutz allein ist allerdings nicht ausreichend: Zum einen kann
2982 der Administrator des Rechners immer auf alle Dateien zugreifen --
2983 also auch auf Ihren geheimen Schlüssel.  Zum anderen könnte der Rechner
2984 abhanden kommen oder durch "`Malware"' (Viren-, Würmer-,
2985 Trojanersoftware) kompromittiert werden. 
2986
2987 Ein weiterer Schutz ist deswegen notwendig.  Dieser besteht aus einer
2988 Passphrase.
2989
2990 Die Passphrase sollte nicht nur aus einem Wort bestehen, sondern z.B.
2991 aus einem Satz. Sie sollten diese Passphrase wirklich "`im Kopf"'
2992 behalten und niemals aufschreiben müssen.
2993
2994 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
2995 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
2996 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu
2997 merkende und nur sehr schwer zu erratende Passphrase ausdenken
2998 können.
2999
3000
3001 \clearpage
3002 %% Original page 21
3003 Eine \textbf{gute Passphrase} kann so entstehen:
3004
3005 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
3006
3007 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
3008
3009 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
3010
3011 $\qquad$\verb-nieufdahnlnr- 
3012 \texttt{\scriptsize{(Ei\textbf{n}
3013 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
3014 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
3015 Ko\textbf{r}n.)}}
3016
3017
3018 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
3019 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
3020 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
3021 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
3022 kann diese Passphrase niemand.
3023
3024
3025 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
3026 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
3027 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
3028 gemacht hat. Oder eine Ferienerinnerung, oder einer Textzeile aus
3029 einem für Sie wichtigen Liedes.
3030
3031
3032 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
3033 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch "`Ö"',
3034 "`ß"', "`\$"' usw.
3035
3036 Aber Vorsicht -- falls Sie Ihren geheimen Schlüssel im Ausland an
3037 einem fremden Rechner benutzen wollen, bedenken Sie, dass
3038 fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben.
3039 Beispielsweise werden Sie kein "`ä"' auf einer englischen
3040 Tastatur finden.
3041
3042
3043 %% Original page  22
3044 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
3045 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
3046 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
3047
3048 $\qquad$\verb-In München steht ein Hofbräuhaus.-
3049
3050 könnten man beispielsweise diese Passphrase machen:
3051
3052 $\qquad$\verb-inMinschen stet 1h0f breuhome-
3053
3054 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
3055 sich aber doch merken können, wie z.B.:
3056
3057 $\qquad$\verb-Es blaut so garstig beim Walfang, neben Taschengeld, auch im-
3058
3059 $\qquad$\verb-Winter.-
3060
3061 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
3062 geheimen Schlüssel.
3063
3064 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
3065 z.B. so:
3066
3067 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
3068
3069 Das ist nun kürzer, aber nicht mehr so leicht zu merken. 
3070 Wenn Sie eine noch kürzere Passphrase verwenden, 
3071 indem Sie hier und da Sonderzeichen benutzen,
3072 haben Sie zwar bei der Eingabe weniger zu tippen, aber die
3073 Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei
3074 noch größer.
3075
3076 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
3077 sichere Passphrase ist dieses hier:
3078
3079 $\qquad$\verb-R!Qw"s,UIb *7\$-
3080
3081 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
3082 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
3083 für die Erinnerung hat.
3084
3085 \clearpage
3086 %% Original page 23
3087 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
3088 sie...
3089
3090 \begin{itemize}
3091 \item ... schon für einen anderen Zweck benutzt wird (z.B. für einen
3092   \Email{}-Account oder Ihr Handy). Die gleiche Passphrase wäre damit
3093   bereits einer anderen, möglicherweise unsicheren Software bekannt.
3094
3095 \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
3096     prüfen binnen Minuten umfangreiche elektronische Wörterbücher.
3097
3098 \item ... aus einem Geburtsdatum, einem Namen oder anderen öffentlichen
3099     Informationen besteht. Wer vorhat, Ihre \Email{}
3100     zu entschlüsseln, wird sich diese Daten beschaffen.
3101
3102 \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse enden"' oder "`to
3103   be or not to be"'. Auch mit derartigen gängigen Zitaten testen
3104   Passphrase-Knackprogramme routinemäßig und blitzschnell eine Passphrase.
3105
3106 \item ... aus nur einem Wort oder aus weniger als 8 Zeichen besteht.
3107   Denken Sie sich unbedingt eine längere Passphrase aus.
3108
3109 \end{itemize}
3110
3111 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
3112 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.  Denn es liegt auf
3113 der Hand: Wenn sich jemand ernsthaft darum bemüht Ihre
3114 Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
3115 nicht eines dieser Beispiele genommen haben.
3116
3117 \bigskip
3118
3119 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
3120 Unvergesslich und unknackbar.
3121
3122 Lesen Sie dann im Kapitel~\ref{ch:CreateKeyPair} weiter, um Ihre neue
3123 Passphrase bei der Erzeugung Ihres Schlüsselpaars festzulegen.
3124
3125
3126
3127
3128 \clearpage
3129 %% Original page 24
3130 \chapter{Zertifikat im Detail}
3131 \label{ch:CertificateDetails}
3132
3133 Auf Seite \pageref{sec_finishKeyPairGeneration} haben Sie sich schon
3134 den Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben
3135 zu Ihrem Zertifikat sind dort aufgelistet. Im
3136 folgenden Abschnitt bekommen Sie einen Überblick über die wichtigsten
3137 Punkte (beachten Sie dabei die Unterschiede für
3138 OpenPGP- und X.509-Zertifikate):
3139
3140 \begin{itemize}
3141 \item die Benutzer-Kennung
3142 \item den Fingerabdruck
3143 \item die Gültigkeit
3144 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3145 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3146 \end{itemize}
3147
3148 \begin{description}
3149 \item[Die Benutzer-Kennung] besteht aus dem Namen und der
3150     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3151     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3152     <heinrichh@gpg4win.de>}
3153
3154 Für OpenPGP-Zertifikate können Sie mit Kleopatra über den Menüpunkt
3155 \Menu{Zertifikate $\rightarrow$ \linebreak Benutzer-Kennung
3156 hinzufügen...} Ihr Zertifikat um weitere Benutzer-Kennungen erweitern.
3157 Das ist dann sinnvoll, wenn Sie z.B. für eine weitere
3158 \Email{}-Adressen das selbe Zertifikat nutzen möchten.
3159
3160 \textbf{Beachten Sie:} Hinzufügen neuer Benutzer-Kennungen ist in
3161 Kleopatra nur für OpenPGP-Zerti\-fikate (nicht aber für X.509)
3162 möglich.
3163
3164 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3165     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3166     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3167     verfügbaren OpenPGP-Zertifikatsservern (engl. "`key server"') oder
3168     auf einem X.509-Zertifikats\-server liegen.  Was Zertifikatsserver
3169     sind, erfahren Sie im folgenden Kapitel.
3170
3171 \item[Die Gültigkeit] von Zertifikaten wird stets unter dem zeitlichen
3172     Aspekt betrachtet. Für OpenPGP-Zertifikate ist die Gültigkeit
3173     normalerweise auf "`Unbegrenzt"' gesetzt. Sie können dies
3174     selbständig mit Kleopatra ändern, indem Sie auf die Schaltfläche
3175     "`Ablaufdatum ändern"' in den Zertifikatsdetails klicken (oder den
3176     Menü \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen)
3177     und ein neues Datum eintragen. Damit können Sie Zertifikate als
3178     nur für eine begrenzte Zeit gültig erklären, z.B.  um sie an
3179     externe Mitarbeiter auszugeben.
3180
3181     Die Gültigkeit von X.509-Zertifikaten wird bei der Zertifikatsausstellung von der
3182     Beglaubigungsinstanz (CA) festgelegt und kann nicht vom Nutzer
3183     geändert werden.
3184
3185 \item[Das Vertrauen in den Zertifikatsinhaber] beschreibt das Maß an
3186     Zuversicht, das Sie subjektiv in den Besitzer des
3187     OpenPGP-Zertifikats setzen, andere OpenPGP-Zertifikate korrekt zu
3188     beglaubigen.  Sie können das Vertrauen über die Schaltfläche
3189     \Button{Vertrauen in den Zertifikatsinhaber ändern} in den
3190     Zertifikatsdetails (oder über das Menü
3191     \Menu{Zertifikate$\rightarrow$Vertrauensstatus ändern})
3192     einstellen.
3193
3194     \textbf{Beachten Sie:} Der Vertrauensstatus ist nur
3195     für OpenPGP-Zertifikate relevant. Für X.509-Zerti\-fikate gibt es
3196     diese Vertrauensmethode nicht.
3197
3198 \item[Die Beglaubigungen] Ihres OpenPGP-Zertifikats beinhalten die
3199     Benutzer-Kennungen derjenigen Zertifikatsinhaber, die sich von der
3200     Echtheit Ihres Zertifikats überzeugt und es dann auch beglaubigt
3201     haben. Das Vertrauen in die Echtheit Ihres Zertifikats steigt mit
3202     der Anzahl an Beglaubigungen, die Sie von anderen Nutzern
3203     erhalten.
3204
3205 \textbf{Beachten Sie:} Beglaubigungen sind nur für OpenPGP-Zertifikate
3206 relevant. Für X.509-Zertifi\-kate gibt es diese Vetrauensmethode nicht.
3207
3208 \end{description}
3209
3210 Diese Zertifikatsdetails sind für die tagtägliche Benutzung von Gpg4win nicht
3211 unbedingt erforderlich. Sie werden relevant, wenn Sie neue Zertifikate
3212 erhalten oder ändern. 
3213
3214 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3215 "`Netz des Vertrauens"' ist, erfahren Sie im Kapitel \ref{ch:trust}.
3216
3217
3218 \clearpage
3219 %% Original page 25
3220 \chapter{Die Zertifikatsserver}
3221 \label{ch:keyserver}
3222
3223
3224 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres
3225 öffentlichen (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3226 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3227 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3228 zeigt Ihnen, wie sie diese mit Kleopatra nutzen können.
3229
3230 Zertifikatsserver können von allen Programmen benutzt werden, die den
3231 OpenPGP- bzw. X.509-Standard unterstützen.
3232
3233 Kleopatra unterstützt zwei Arten von Zertifikatsservern:
3234 \begin{itemize}
3235     \item OpenPGP-Zertifikatsserver
3236     \item X.509-Zertifikatsserver
3237 \end{itemize}
3238
3239
3240 \begin{description}
3241     \item[OpenPGP-Zertifikatsserver] (im Englischen auch "`key server"' genannt)
3242 sind dezentral organisiert und synchronisieren sich weltweit
3243 miteinander. Aktuelle Statistiken
3244 über ihre Zahl oder die Anzahl der dort liegenden OpenPGP-Zertifikate gibt es
3245 nicht. Dieses verteilte Netz von
3246 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3247 OpenPGP-Zertifikatsservern sorgt für eine bessere
3248 Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3249 Zertifikate löschen, um so die Kommunikation unmöglich zu machen
3250 ("`Denial of Service"'-Angriff).
3251 \begin{center}
3252 \htmlattributes*{img}{width=300}
3253 \IncludeImage[width=0.3\textwidth]{keyserver-world}
3254 \end{center}
3255
3256 \item[X.509-Zertifikatsserver]
3257    werden in der Regel
3258 von den Beglaubigungsinstanzen (CAs) über LDAP bereitgestellt und
3259 \T\margin{\IncludeImage[width=1.5cm]{smime-icon}} werden manchmal
3260 auch als Verzeichnisdienste für X.509-Zertifikate
3261 bezeichnet.
3262 \end{description}
3263
3264
3265
3266
3267 \clearpage
3268 \section{Zertifikatsserver einrichten}
3269 \label{configureCertificateServer}
3270
3271 Öffnen Sie den Konfigurationsdialog von Kleopatra:
3272 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten...}
3273
3274 Legen Sie unter der Gruppe
3275 \Menu{Zertifikatsserver} einen neuen
3276 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3277 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3278
3279 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter OpenPGP-Zertifikatsserver 
3280 mit der Serveradresse \Filename{hkp://keys.gnupg.net} (Port: 11371,
3281 Protokoll: hkp) hinzugefügt. Sie können diesen ohne Änderung direkt
3282 verwenden - oder Sie nutzen eine der vorgeschlagenen
3283 OpenPGP-Serveradressen von der nächsten Seite.
3284
3285 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3286 X.509-Zertifikatsserver: (Protokoll: ldap, Severname: server,
3287 Server-Port: 389).
3288 Vervollständigen Sie die Angaben zu Servername und
3289 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3290 Server-Port.
3291
3292 Sollte Ihr Zertifikatsserver Benutzername und
3293 Passwort fordern, so aktivieren Sie die Option
3294 \Menu{Benutzerauthentisierung notwendig} und tragen Ihre
3295 gewünschten Angaben ein.
3296
3297 Der folgende Screenshot zeigt einen konfigurierten
3298 OpenPGP-Zertifikatsserver:
3299 % screenshot: Kleopatra OpenPGP certificate server config dialog
3300 \begin{center}
3301 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-configureKeyserver_de}
3302 \end{center}
3303
3304
3305 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3306 Zertifikatsserver ist nun erfolgreich eingerichtet.
3307
3308 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3309 haben, ist es hilfreich z.B. eine Zertifikatssuche auf dem Server zu
3310 starten (Anleitung siehe Abschnitt~\label{searchAndImportCertificateFromServer}).
3311
3312 \textbf{Proxy-Einstellung:} Falls Sie einen Proxy in Ihrem
3313 Netzwerk nutzen, sollten Sie die Zertifikatsserver-Adresse in der
3314 Spalte "`Servername"' um den Parameter
3315 \Filename{http-proxy=<proxydomain>} ergänzen. Der vollständige
3316 Servername könnte also z.B. lauten:\\
3317 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\
3318 Kontrollieren und ggf. korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in
3319 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}
3320
3321
3322
3323 %% Original page 26
3324 \clearpage
3325 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3326 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3327 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3328 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3329
3330 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3331 \begin{itemize}
3332 \item hkp://blackhole.pca.dfn.de
3333 \item hkp://pks.gpg.cz
3334 \item hkp://pgp.cns.ualberta.ca
3335 \item hkp://minsky.surfnet.nl
3336 \item hkp://keyserver.ubuntu.com
3337 \item hkp://keyserver.pramberger.at
3338 \item http://keyserver.pramberger.at
3339 \item http://gpg-keyserver.de
3340 \end{itemize}
3341
3342 Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am
3343 besten die Zertifikatsserver, deren URL mit \Filename{http://} beginnen.
3344
3345 Die Zertifikatsserver unter den Adressen
3346 \begin{itemize}
3347     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3348         siehe Bildschirmfoto auf vorheriger Seite)
3349 \item hkp://subkeys.pgp.net
3350 \end{itemize}
3351 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3352 dann zufällig ein konkreter Server ausgewählt.
3353
3354 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als Zertifikatsserver benutzen, weil er sich nicht mit den anderen Servern synchronisiert (Stand: August 2009).
3355
3356 \clearpage
3357 \section{Zertifikate auf Zertifikatsserver suchen und importieren}
3358 \label{searchAndImportCertificateFromServer}
3359 %% Original page 27
3360 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3361 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3362 importieren.
3363
3364 Klicken Sie dazu in Kleopatra auf
3365 \Menu{Datei$\rightarrow$Zertifikate auf Server suchen...}.
3366
3367 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den
3368 Namen des Zertifikatsbesitzers, oder eindeutiger und daher besser
3369 geeignet, seine \Email{}-Adresse
3370 oder den Fingerabdruck seines Zertifikats eingeben können.
3371
3372 % screenshot: Kleopatra certification search dialog
3373 \begin{center}
3374 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3375 \end{center}
3376
3377 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3378 auf die Schaltfläche \Button{Details...}.
3379
3380
3381 %% Original page 28
3382 Möchten Sie nun eines der gefundenen Zertifikate in Ihre lokale
3383 Zertifikatssammlung hinzufügen? Dann selektieren Sie das
3384 Zertifikat aus der Liste der Suchergebnisse und
3385 klicken Sie auf \Button{Importieren}.
3386
3387 Kleopatra zeigt Ihnen anschließend einen Dialog mit den
3388 Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit
3389 \Button{OK}.
3390
3391 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat in
3392 der Zertifikatsverwaltung von Kleopatra.
3393
3394
3395
3396 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3397
3398 Wenn Sie einen OpenPGP-Zertifikatsserver eingerichtet haben (siehe
3399 \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3400 Abschnitt \ref{configureCertificateServer}), genügt ein Maus\-klick
3401 und Ihr öffentliches OpenPGP-Zertifikat ist unterwegs rund um die Welt:
3402
3403 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken 
3404 anschließend auf den Menüeintrag:
3405 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
3406
3407 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3408 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren sich weltweit
3409 miteinander. Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall
3410 verfügbar ist, aber dann haben Sie ein "`globales"' Zertifikat.
3411
3412 Sollten Sie Ihr Zertifikat exportieren ohne zuvor einen
3413 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3414 Kleopatra den bereits voreingestellten Server
3415 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3416
3417
3418
3419
3420 \clearpage
3421 %% Original page 31
3422 \chapter{Die Zertifikatsprüfung}
3423 \label{ch:trust}
3424
3425 Woher wissen Sie eigentlich, dass das fremde Zertifikat
3426 wirklich vom genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
3427 Korrespondenzpartner glauben, dass das Zertifikat, das Sie
3428 ihm geschickt haben, auch wirklich von Ihnen stammt?  Die
3429 Absenderangabe auf einer \Email{} besagt eigentlich gar nichts,
3430 genauso wie die Absenderangabe auf einem Briefumschlag.
3431
3432 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
3433 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
3434 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
3435 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
3436 Identität des Absenders.
3437
3438 \clearpage
3439 \subsubsection{Der Fingerabdruck}
3440 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
3441 die Sache mit der Identität schnell geregelt: Sie prüfen den
3442 Fingerabdruck des anderen Zertifikats.
3443
3444 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die
3445 es zweifelsfrei identifiziert; besser noch als ein Fingerabdruck
3446 eines Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als
3447 Fingerabdruck.
3448
3449 Wenn Sie sich zu einem Zertifikat die Details in Kleopatra anzeigen
3450 lassen (z.B. durch Doppelklick auf das Zertifikat), sehen Sie u.a.
3451 dessen 40-stelligen Fingerabdruck:
3452
3453 % screenshot: GPA key listing with fingerprint
3454 \begin{center}
3455 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
3456 \end{center}
3457
3458 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist also:\\
3459 \Filename{88B7ECA18E9EDA347436D7690EA6E039B5821A91}
3460
3461
3462
3463 %% Original page 32
3464 ~\\
3465 Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und seinen
3466 Besitzer eindeutig.
3467
3468 Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich
3469 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die Angaben
3470 mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben Sie
3471 eindeutig das richtige Zertifikat.
3472
3473 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
3474 Zertifikats treffen oder auf jedem anderen Wege sicher stellen, dass Zertifikat und Eigentümer zusammen
3475 gehören. Häufig ist der Fingerabdruck auch auf Visitenkarten abgedruckt;
3476 wenn Sie also eine authentische Visitenkarte haben, so können Sie sich
3477 den Anruf ersparen.
3478
3479
3480 \clearpage
3481 \subsubsection{OpenPGP-Zertifikat beglaubigen}
3482
3483 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
3484 Zertifikats überzeugt haben, haben Sie nun die Möglichkeit,
3485 dieses Zertifikat zu beglaubigen.
3486
3487
3488 \textbf{Beachten Sie:} \T\margin{\IncludeImage[width=1.5cm]{openpgp-icon}}
3489 Beglaubigen von Zertifikaten durch Benutzer ist nur mit OpenPGP
3490 möglich. Bei X.509 ist das Beglaubigungsinstanzen (CAs) vorbehalten!
3491
3492 Durch das Beglaubigen eines (fremden) Zertifikats teilen Sie anderen
3493 (Gpg4win-)Benutzern mit, dass Sie dieses
3494 Zertifikat für echt halten: Sie übernehmen so etwas wie die "`Patenschaft"' über
3495 dieses Zertifikat und erhöhen das allgemeine Vertrauen in seiner
3496 Echtheit.
3497