Added warning about Adeles behaviour in Compendium
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99 \newcommand{\Email}{E-Mail}
100 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
101 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
102 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
103 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
104 \newcommand{\IncludeImage}[2][]{
105 \begin{center}
106 \texorhtml{%
107   \includegraphics[#1]{images-compendium/#2}%
108 }{%
109   \htmlimg{../images-compendium/#2.png}%
110 }
111 \end{center}
112 }
113
114 % custom colors
115 \definecolor{gray}{rgb}{0.4,0.4,0.4}
116 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
117
118 \T\parindent 0cm
119 \T\parskip\medskipamount
120
121 % Get the version information from another file.
122 % That file is created by the configure script.
123 \input{version.tex}
124
125
126 % Define universal url command.
127 % Used for latex _and_ hyperlatex (redefine see below).
128 % 1. parameter = link text (optional);
129 % 2. parameter = url
130 % e.g.: \uniurl[example link]{http:\\example.com}
131 \newcommand{\uniurl}[2][]{%
132 \ifthenelse{\equal{#1}{}}
133 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
134 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
135
136 %%% HYPERLATEX %%%
137 \begin{ifhtml}
138     % HTML title
139     \htmltitle{Gpg4win-Kompendium}
140     % TOC link in panel
141     \htmlpanelfield{Inhalt}{hlxcontents}
142     % link to EN version    
143     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
144         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
145     % name of the html files
146     \htmlname{gpg4win-compendium}
147     % redefine bmod
148     \newcommand{\bmod}{mod}
149     % use hlx icons (default path)
150     \newcommand{\HlxIcons}{../images-hyperlatex}
151
152     % Footer
153     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
154     \html{br/}
155     \html{small}
156     Das Gpg4win-Kompendium ist unter der
157     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
158     \html{/small}}
159
160     % Changing the formatting of footnotes
161     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
162
163     % redefine universal url for hyperlatex (details see above)
164     \newcommand{\linktext}{0}
165     \renewcommand{\uniurl}[2][]{%
166         \renewcommand{\linktext}{1}%
167         % link text is not set
168         \begin{ifequal}{#1}{}%
169             \xlink{#2}{#2}%
170             \renewcommand{linktext}{0}%
171         \end{ifequal}
172         % link text is set
173         \begin{ifset}{linktext}%
174              \xlink{#1}{#2}%
175     \end{ifset}}
176
177     % german style
178     \htmlpanelgerman
179     \extrasgerman
180     \dategerman
181     \captionsgerman
182
183
184     % SECTIONING:
185     %
186     % on _startpage_: show short(!) toc (only part+chapter)
187     \setcounter {htmlautomenu}{1}
188     % chapters should be <H1>, Sections <H2> etc.
189     % (see hyperlatex package book.hlx)
190     \setcounter{HlxSecNumBase}{-1}
191     % show _numbers_ of parts, chapters and sections in toc
192     \setcounter {secnumdepth}{1}
193     % show parts, chapters and sections in toc (no subsections, etc.)
194     \setcounter {tocdepth}{2}
195     % show every chapter (with its sections) in _one_ html file
196     \setcounter{htmldepth}{2}
197
198     % set counters and numberstyles
199     \newcounter{part}
200     \renewcommand{\thepart}{\arabic{part}}
201     \newcounter{chapter}
202     \renewcommand{\thecapter}{\arabic{chapter}}
203     \newcounter{section}[chapter]
204     \renewcommand{\thesection}{\thechapter.\arabic{section}}
205 \end{ifhtml}
206
207
208 %%% TITLEPAGE %%%
209
210 \title{
211     \htmlattributes*{img}{width=300}
212     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
213     \T~\newline
214     \T\ifthenelse{\boolean{DIN-A5}}%
215     % DIN A5:
216     {\begin{latexonly}
217         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
218         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
219         \\[-0.3cm] mit GnuPG für Windows}
220      \end{latexonly}  
221     }%
222     % DIN A4:
223     {Das Gpg4win-Kompendium \\
224       \texorhtml{\Large \textmd}{\large}
225       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
226       Windows}
227     }
228 }
229 \author{
230     % Hyperlatex: Add links to pdf versions and Homepage
231     \htmlonly{
232         \xml{p}\small
233         \xlink{PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}
234         \xml{br}
235         \xlink{\htmlattributes*{img}{style=border:none title=English}
236            \htmlimg{../images-hyperlatex/english.png}{} 
237            English Version}{../en/\HlxThisUrl}
238         \xml{br}
239         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}
240         \xml{p}
241     }
242     % Authors
243     \T\\[-1cm]
244       \small Basierend auf einer Fassung von
245     \T\\[-0.2cm]
246       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
247       \small Isabel Kramer und Dr. Francis Wray.
248       \texorhtml{\\[0.2cm]}{\\}
249       \small Grundlegend überarbeitet von
250     \T\\[-0.2cm]
251       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
252     \T\\[0.4cm]
253 }
254
255 \date{
256     \T\ifthenelse{\boolean{DIN-A5}}%
257     % DIN A5:
258     {\begin{latexonly}
259         \large Eine Veröffentlichung der Gpg4win-Initiative
260         \\[0.2cm]
261         Version \compendiumVersionDE~vom \compendiumDateDE 
262      \end{latexonly}
263     }%
264     % DIN A4:
265     {Eine Veröffentlichung der Gpg4win-Initiative
266       \\[0.2cm]
267       Version \compendiumVersionDE~vom \compendiumDateDE\\
268       \small\compendiuminprogressDE%
269     }
270 }
271
272
273 %%% BEGIN DOCUMENT %%%
274
275 \begin{document}
276 \T\pdfbookmark[0]{Titelseite}{titel}
277 % set title page
278 \texorhtml{
279     \ifthenelse{\boolean{DIN-A5}}
280     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
281     {\maketitle}
282 }
283 {\maketitle}
284
285
286 % improved handling of long (outstanding) lines
287 \T\setlength\emergencystretch{3em} \tolerance=1000
288
289
290 \T\section*{Impressum}
291 \W\chapter*{Impressum}\\
292
293 \thispagestyle{empty}
294 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
295 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
296 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
297 Eindruck eines Zusammenhanges
298 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
299 werden.}\\
300 Copyright \copyright{} 2005 g10 Code GmbH\\
301 Copyright \copyright{} 2009, 2010 Intevation GmbH
302
303 Permission is granted to copy, distribute and/or modify this document
304 under the terms of the GNU Free Documentation License, Version 1.2 or
305 any later version published by the Free Software Foundation; with no
306 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
307 copy of the license is included in the section entitled "`GNU Free
308 Documentation License"'.
309
310 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
311 oben stehenden Hinweises.]}\\
312 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
313 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
314 Documentation License, Version 1.2 oder einer späteren, von der Free
315 Software Foundation veröffentlichten Version.  Es gibt keine
316 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
317 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
318 License"' findet sich im Anhang mit dem gleichnamigen Titel.
319 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
320 http://www.gnu.org/licenses/translations.html.
321
322
323
324 \clearpage
325 \chapter*{Über dieses Kompendium}
326 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
327
328 Das Gpg4win-Kompendium besteht aus drei Teilen:
329
330 \begin{itemize}
331 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
332     Schnelleinstieg in Gpg4win.
333
334 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
335     Fortgeschrittene"'}:
336     Das Hintergrundwissen zu Gpg4win.
337
338 \item \textbf{Anhang}: Weiterführende technische Informationen zu
339     Gpg4win.\\
340 \end{itemize}
341
342 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
343 und knapp durch die Installation und die alltägliche Benutzung der
344 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
345 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
346 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
347 vertraut im Umgang mit Gpg4win gemacht haben.
348
349 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
350 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
351 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
352
353 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
354 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
355 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
356 erläutert.
357
358 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
359 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
360 angegebenen Reihenfolge lesen.\\
361
362 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
363 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
364 GpgOL.\\
365
366 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
367 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
368 geschrieben, sondern \textbf{für jedermann.}\\
369
370 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
371 verfügbar unter: \\
372 \uniurl{http://www.gpg4win.de}
373
374 \clearpage
375 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
376
377 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
378 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
379         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
380         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
381         eckige Klammern benutzt.
382
383         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
384         wenn deren Bedeutung in einem Satz betont, das
385         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
386         werden soll (z.B.: \textit{nur} OpenPGP).
387
388     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
389         die besonders wichtig und damit hervorzuheben sind.  Diese
390         Auszeichnung unterstützt den Leser bei der schnelleren
391         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
392         Passagen.
393
394     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
395         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
396         von Kommandozeilen) verwendet.
397 \end{itemize}
398
399 \cleardoublepage
400 \T\pdfbookmark[0]{\contentsname}{toc}
401 \tableofcontents
402
403 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
404 % Part I
405 \clearpage
406 \T\part{Für Einsteiger}
407 \W\part*{\textbf{I Für Einsteiger}}
408 \label{part:Einsteiger}
409 \addtocontents{toc}{\protect\vspace{0.3cm}}
410 \addtocontents{toc}{\protect\vspace{0.3cm}}
411
412
413 \chapter{Gpg4win -- Kryptografie für alle}
414 \index{Kryptografie}
415
416 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
417 \begin{quote}
418     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
419 mit Computer-Programmen und Handbüchern zur \Email{}- und
420 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
421 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
422 und die in Gpg4win enthaltenen Programme sind Freie
423 Software.}
424
425 \end{quote}
426
427 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
428 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
429 Gpg4win umfasst in Version 2 die folgenden Programme:
430
431 \begin{itemize}
432     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
433         Gpg4win -- die eigentliche Verschlüsselungs-Software.
434     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
435         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
436         Gpg4win, die für eine einheitliche Benutzerführung bei allen
437         kryptografischen Operationen sorgt.  
438     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
439         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
440         von Zertifikaten neben Kleopatra.
441     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
442         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
443         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
444         verschlüsseln.
445    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
446        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
447        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
448        über das Kontextmenü signieren bzw.  verschlüsseln kann.
449     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
450         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
451 \end{itemize}
452
453 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
454 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
455 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
456 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
457 sicher und kann nach dem heutigen Stand von Forschung und Technik
458 nicht gebrochen werden.
459
460 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
461 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
462 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
463 kann und darf den Quellcode der Programme untersuchen und -- sofern er
464 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
465 diese weitergeben.
466
467 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
468 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
469 lässt sich die Vertrauenswürdigkeit der Programmierung und des
470 Programmes wirklich prüfen.
471
472 GnuPG basiert auf dem internationalen Standard
473 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), ist vollständig kompatibel
474 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
475 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
476 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
477 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
478
479 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
480 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
481 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
482 mehr dem Stand der Technik.
483
484 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
485 Wirtschaft und Technologie \index{Bundesministerium für
486 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
487 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
488 Bundesamt für Sicherheit in der Informationstechnik (BSI)
489 \index{Bundesamt für Sicherheit in der Informationstechnik}
490 unterstützt.
491
492 Weitere Informationen zu GnuPG und weiteren Projekten der
493 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
494 \uniurl[www.bsi.de]{http://www.bsi.de} und
495 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
496 Bundesamtes für Sicherheit in der Informationstechnik.
497
498
499 \clearpage
500 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
501 \label{ch:why}
502 \index{Briefumschlag}
503
504 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
505 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
506 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
507 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
508 jedermann frei und kostenlos zugänglich.
509
510 \htmlattributes*{img}{width=300}
511 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
512
513 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
514 um rund um den Globus miteinander zu kommunizieren und uns zu
515 informieren. Aber Rechte und Freiheiten, die in anderen
516 Kommunikationsformen längst selbstverständlich sind, muss man sich in
517 den neuen Technologien erst sichern. Das Internet ist so schnell und
518 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
519 Rechte noch nicht so recht nachgekommen ist.
520
521 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
522 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
523 Umschlag schützt die Nachrichten vor fremden Blicken, eine
524 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
525 nicht so wichtig ist, schreibt man es auf eine ungeschützte
526 Postkarte, die auch der Briefträger oder andere lesen können.
527
528 \clearpage
529 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
530 Sie selbst und niemand sonst.
531
532 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
533 \Email{} ist immer offen wie eine Postkarte, und der elektronische
534 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
535 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
536 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
537 zu verteilen, sondern sie auch zu kontrollieren.
538
539 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
540 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
541 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
542 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
543 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
544 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
545 Wikipedia über das 
546 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
547 \index{Echelon-System}
548 liefert dazu interessantes Hintergrundwissen.
549
550 Denn: der Umschlag fehlt.
551
552 \htmlattributes*{img}{width=300}
553 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
554
555 \clearpage
556 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
557 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
558 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
559 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
560 für wichtig und schützenswert halten oder nicht.
561
562 Das ist der Kern des Rechts auf Brief-, Post- und
563 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
564 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
565 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
566 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
567 ist Ihr gutes Recht.
568
569 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
570 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
571 bekannten Mittel zu knacken. In vielen Ländern waren starke
572 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
573 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
574 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
575 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
576 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
577 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
578 in aller Welt als eine praktikable und sichere Software angesehen.
579
580 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
581 Hand.}
582
583 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
584 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
585 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
586 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
587 dieses Vorgehen Schritt für Schritt erläutern.
588
589
590 \clearpage
591 \chapter{So funktioniert Gpg4win}
592 \label{ch:FunctionOfGpg4win}
593 Das Besondere an Gpg4win und der zugrundeliegenden
594 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
595 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
596 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
597
598 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
599 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
600 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
601 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
602 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
603 Vertrauen in die Sicherheit von Gpg4win gewinnen.
604
605 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
606 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
607 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
608 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
609 knacken sind.
610
611 \clearpage
612 \subsubsection{Der Herr der Schlüsselringe}
613 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
614 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
615 nur einmal gibt und den man ganz sicher aufbewahrt.
616
617 \htmlattributes*{img}{width=300}
618 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
619
620 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
621 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
622 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
623 man den Schlüssel mindestens genauso gut absichern, wie das zu
624 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
625 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
626 werden.
627
628 \clearpage
629 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
630 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
631 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
632 dazu auch sehr fehleranfällig.
633
634 \htmlattributes*{img}{width=300}
635 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
636
637 Das Grundproblem bei der "`gewöhnlichen"' geheimen
638 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
639 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
640 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
641 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
642 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
643
644 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
645 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
646 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
647 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
648 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
649 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
650 abgefangen werden darf.
651
652
653 \clearpage
654 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
655 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
656 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
657 von einem "`Public-Key"'-Verschlüsselungssystem.
658
659 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
660 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
661 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
662 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
663 Zertifikat)~-- und den darf sowieso jeder kennen.
664
665 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
666 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
667 Schlüsselteile sind durch eine komplexe mathematische Formel
668 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
669 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
670 anderen zu berechnen und damit das Verfahren zu knacken. 
671
672 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
673
674 \htmlattributes*{img}{width=300}
675 \IncludeImage[width=0.5\textwidth]{verleihnix}
676
677
678 \clearpage
679 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
680 ist recht einfach:
681
682 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
683 key'' oder ,,private key'') muss geheim gehalten werden.
684
685 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
686 öffentlich wie möglich gemacht werden.
687
688 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
689
690 \bigskip
691
692 \begin{quote}
693     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
694 \end{quote}
695
696 \htmlattributes*{img}{width=300}
697 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
698
699 \begin{quote}
700     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
701 \end{quote}
702
703
704 \clearpage
705 \subsubsection{Der öffentliche Brieftresor}
706 \index{Brieftresor}
707
708 In einem kleinen Gedankenspiel wird die Methode des
709 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
710 Verschlüsselung\index{Symmetrische Verschlüsselung}
711 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
712 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
713
714 \bigskip
715
716 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
717
718 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
719 auf, über den Sie geheime Nachrichten übermitteln wollen.
720
721 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
722 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
723 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
724 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
725 Tresor.
726
727 \htmlattributes*{img}{width=300}
728 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
729
730 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
731 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
732 zuschließen und eine geheime Nachricht deponieren zu können.
733
734 \clearpage
735 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
736 Wege übergeben.
737
738 \bigskip
739 \bigskip
740
741 \htmlattributes*{img}{width=300}
742 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
743
744 \clearpage
745 Erst wenn der andere den geheimen Schlüssel hat, kann er den
746 Brieftresor öffnen und die geheime Nachricht lesen.
747
748 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
749 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
750 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
751 austauschen wie die Botschaft selbst.
752
753 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
754 gleich die geheime Mitteilung übergeben ...
755
756 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
757 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
758 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
759 könnten.
760
761 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
762
763 \htmlattributes*{img}{width=300}
764 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
765
766 \clearpage
767 \textbf{Nun zur "`Public-Key"'-Methode:}
768
769 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
770 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
771 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
772 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
773 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
774 \index{Asymmetrische Verschlüsselung}
775
776 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
777
778 \htmlattributes*{img}{width=300}
779 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
780
781 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
782 öffentlicher Schlüssel.
783
784 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
785 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
786 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
787 frei zugänglich.
788
789 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
790 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
791 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
792 nachträglich zu verändern.
793
794 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
795
796 Aufschließen kann man den Brieftresor nur mit einem einzigen
797 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
798
799 \clearpage
800 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
801 kann eine \Email{} an Sie verschlüsseln. 
802
803 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
804 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
805 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
806 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
807
808 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
809
810 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
811 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
812 verfügbaren Schlüssel.
813
814 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
815 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
816 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
817 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
818 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
819 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
820 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
821 und die Nachricht lesen.
822
823 \T\enlargethispage{2\baselineskip}
824
825 \htmlattributes*{img}{width=300}
826 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
827
828 \clearpage
829 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
830 einen geheimen Schlüssel!?
831
832 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
833 allerdings ein gewaltiger:
834
835 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
836 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
837 Übergabe entfällt, sie verbietet sich sogar.
838
839 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
840 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
841 geheimes Codewort.
842
843 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
844 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
845 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
846 bringen kann.
847
848 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
849 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
850 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
851 eigenen Gedächtnis.
852
853 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
854 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
855 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
856
857
858 \clearpage
859 \chapter{Die Passphrase}
860 \label{ch:passphrase}
861 \index{Passphrase}
862
863 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
864 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
865 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
866 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
867 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
868 "`ganzen"' Kryptografieverfahrens.
869
870 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
871 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
872 diese Datei auszuschließen, wird sie zweifach gesichert:
873
874 \htmlattributes*{img}{width=300}
875 \IncludeImage[width=0.5\textwidth]{think-passphrase}
876
877 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
878 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
879 der Administrator des Computers immer auf alle Dateien zugreifen kann,
880 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
881 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
882
883 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
884 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
885 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
886 "`im Kopf"' behalten und niemals aufschreiben müssen.
887
888 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
889 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
890 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
891 und nur sehr schwer zu erratende Passphrase ausdenken können.
892
893 \clearpage
894 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
895
896 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
897
898 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
899
900 $\qquad$\verb-nieufdahnlnr- 
901 \texttt{\scriptsize{(Ei\textbf{n}
902 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
903 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
904 Ko\textbf{r}n.)}}
905
906 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
907 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
908 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
909 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
910 kann diese Passphrase niemand.
911
912 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
913 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
914 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
915 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
916 einem für Sie wichtigen Lied.
917
918 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
919 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
920 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
921 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
922 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
923 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
924 einer deutschen Tastatur finden.
925
926 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
927 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
928 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
929
930 $\qquad$\verb-In München steht ein Hofbräuhaus.-
931
932 könnte man beispielsweise diese Passphrase machen:
933
934 $\qquad$\verb-inMinschen stet 1h0f breuhome-
935
936 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
937 sich aber doch merken können, wie z.B.:
938
939 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
940
941 $\qquad$\verb-Taschengeld, auch im Winter.-
942
943 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
944 geheimen Schlüssel.
945
946 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
947 z.B. so:
948
949 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
950
951 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
952 eine noch kürzere Passphrase verwenden, indem Sie hier und da
953 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
954 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
955 vergessen, wird dabei größer.
956
957 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
958 sichere Passphrase ist dieses hier:
959
960 $\qquad$\verb-R!Qw"s,UIb *7\$-
961
962 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
963 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
964 für die Erinnerung hat.
965
966 \clearpage
967 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
968 sie ...
969
970 \begin{itemize}
971     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
972         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
973         wäre damit bereits einer anderen, möglicherweise unsicheren
974         Software bekannt.  Falls hier ein Hacker erfolgreich
975         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
976
977     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
978         können in Minutenschnelle komplette digitale Wörterbücher über
979         ein Passwort laufen lassen -- bis eines der Wörter passt.
980
981     \item ... aus einem Geburtsdatum, einem Namen oder anderen
982         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
983         zu entschlüsseln, wird sich diese Daten beschaffen.
984
985     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
986         enden"' oder "`to be or not to be"'. Auch mit derartigen
987         gängigen Zitaten testen Passphrase-Knackprogramme eine
988         Passphrase.
989
990     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
991         besteht.  Denken Sie sich unbedingt eine längere Passphrase
992         aus.
993 \end{itemize}
994
995 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
996 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
997 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
998 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
999 nicht eines dieser Beispiele genommen haben.
1000
1001 \bigskip
1002
1003 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
1004 Unvergesslich und unknackbar.
1005
1006 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1007 Erzeugung Ihres Schlüsselpaars benötigen.
1008
1009 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1010 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1011 Nachrichten schicken will, auch tatsächlich echt ist.
1012
1013
1014 \clearpage
1015 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1016 \label{ch:openpgpsmime}
1017 \index{OpenPGP} \index{S/MIME}
1018
1019 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1020 wie man ihn mit den Mitteln der modernen Informationstechnologie
1021 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1022 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1023 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1024 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1025
1026 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1027 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1028 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1029 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1030 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1031 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1032 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1033 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1034 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1035 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1036 -- die \textbf{Authentizität}. \index{Authentizität}
1037
1038 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1039 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1040 Alltagsleben dient zu dieser
1041 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1042 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1043 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1044 Institution von einer übergeordneten Behörde und letztendlich vom
1045 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1046 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1047 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1048 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1049
1050 Dieses Konzept findet sich bei Gpg4win oder anderen
1051 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1052 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1053 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1054 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1055 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1056 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1057 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1058 können Sie mit Gpg4win beide Verfahren einsetzen.
1059
1060
1061 \clearpage
1062 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1063 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1064 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1065 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1066 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1067 wiederum mit dem Zertifikat einer höher stehenden Organisation
1068 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1069 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1070 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1071 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1072 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1073 das Anwenderzertifikat.
1074
1075 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1076 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1077 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1078 \index{Web of Trust}
1079 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1080 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1081 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1082 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1083 dieser Schlüssel durch A beglaubigt wurde.
1084
1085 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1086 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1087 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1088 Zertifikat Ihres Kommunikationspartners vertrauen.
1089
1090 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1091 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1092 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1093 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1094 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1095 installieren und die folgenden Kapitel zu verstehen:
1096
1097 \begin{itemize}
1098     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1099         bieten die notwendige Sicherheit.
1100     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1101         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1102         geheimen Kommunikation. Man sagt somit, sie sind nicht
1103         interoperabel.
1104     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1105         beider Verfahren -- Sie müssen sich aber bei jeder
1106         Verschlüsselung/Signierung für eines der beiden entscheiden.
1107 \end{itemize}
1108
1109 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1110 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1111 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1112 zusammen.
1113
1114 \begin{latexonly} %no hyperlatex
1115 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1116 Symbolen auf die beiden Alternativen hin:
1117
1118 \begin{center}
1119 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1120 \hspace{1cm}
1121 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1122 \end{center}
1123 \end{latexonly}
1124
1125
1126 \clearpage
1127 \chapter{Installation von Gpg4win}
1128 \index{Installation}
1129
1130 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1131 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1132 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1133 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1134 sollten Sie schon wissen, was vor sich geht.
1135
1136 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1137 Schlüsselpaar einzurichten.
1138
1139 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1140 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1141 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1142 vorhandenen Zertifikate übernehmen können.
1143
1144 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1145 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1146 Windows-Betriebssystem. 
1147
1148 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1149 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1150 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1151 Installation klicken Sie nach dem Download auf die Datei:
1152
1153 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1154
1155 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1156 klicken Sie auf das Installations-Icon "`Gpg4win"'.
1157 Die weitere Installation ist dann identisch.
1158
1159 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1160 mit \Button{Ja}.
1161
1162 \clearpage
1163 Der Installationsassistent startet und befragt Sie zuerst nach der
1164 Sprache für den Installationsvorgang:
1165
1166 % screenshot: Installer Sprachenauswahl
1167 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1168
1169 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1170
1171 Anschließend begrüßt Sie dieser Willkommensdialog:
1172
1173 % screenshot: Installer Willkommensseite
1174 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1175
1176 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1177 Sie dann auf \Button{Weiter}.
1178
1179 \clearpage
1180 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1181 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1182 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1183 sofort tun -- auch ohne die Lizenz zu lesen.
1184
1185 % screenshot: Lizenzseite des Installers
1186 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1187
1188 Klicken Sie auf \Button{Weiter}.
1189
1190 \clearpage
1191 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1192 entscheiden, welche Programme Sie installieren möchten.
1193
1194 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1195 Komponenten auch später installieren. 
1196
1197 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1198 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1199 Festplatten-Platzes aller ausgewählten Komponenten.
1200
1201 % screenshot: Auswahl zu installierender Komponenten
1202 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1203
1204 Klicken Sie auf \Button{Weiter}.
1205
1206 \clearpage
1207 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1208 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1209
1210 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1211 in dem Sie Gpg4win installieren wollen.
1212
1213 % screenshot: Auswahl des Installationsverzeichnis.
1214 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1215
1216 Klicken Sie anschließend auf \Button{Weiter}.
1217
1218 \clearpage
1219 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1220 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1221 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1222 verändern.
1223
1224 % screenshot: Auswahl der Startlinks
1225 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1226
1227 Klicken Sie anschließend auf \Button{Weiter}.
1228
1229 \clearpage
1230 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1231 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1232 dieses Startmenüs festlegen oder einfach übernehmen.
1233
1234 % screenshot:  Startmenu auswählen
1235 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1236
1237 Klicken Sie dann auf \Button{Installieren}.
1238
1239 \clearpage
1240 Während der nun folgenden \textbf{Installation} sehen Sie einen
1241 Fortschrittsbalken und Informationen, welche Datei momentan
1242 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1243 drücken, um ein Protokoll der Installation sichtbar zu machen.
1244
1245 % screenshot: Ready page Installer
1246 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1247
1248 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1249 \Button{Weiter}.
1250
1251 \clearpage
1252 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1253 Installationsvorgangs angezeigt:
1254
1255 % screenshot: Finish page Installer
1256 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1257
1258 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1259 wichtige Informationen zu der soeben installierten Gpg4win-Version
1260 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1261 deaktivieren Sie diese Option.
1262
1263 Klicken Sie schließlich auf \Button{Fertig stellen}.
1264
1265 \clearpage
1266 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1267 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1268
1269 % screenshot: Finish page Installer with reboot
1270 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1271
1272 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1273 gestartet werden soll.
1274
1275 Klicken Sie auf \Button{Fertig stellen}.
1276
1277 %TODO: NSIS-Installer anpassen, dass vor diesem
1278 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1279 %erscheint.
1280 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1281 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1282 über das Startmenü:\\
1283 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$Gpg4win README}
1284
1285 \clearpage
1286 \textbf{Das war's schon!}
1287
1288 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1289 ersten Mal starten.
1290
1291 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1292 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1293 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1294 von Gpg4win"' weiter.
1295
1296
1297 \clearpage
1298 \chapter{Erstellung eines Zertifikats}
1299 \label{ch:CreateKeyPair}
1300 \index{Zertifikat!erstellen}
1301 \index{Schlüssel!erzeugen}
1302
1303 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1304 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1305 Schutz Ihres geheimen Schlüssels entsteht
1306 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1307 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1308
1309 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1310 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1311 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1312 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1313 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1314 Schlüssel.
1315
1316 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1317 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1318 "`X.509"'\index{X.509}).
1319
1320 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1321 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1322
1323 \T\marginOpenpgp
1324 Genau das können Sie tun -- allerdings nur für OpenPGP:
1325
1326 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1327 \index{Beglaubigung} entscheiden,
1328 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1329 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1330 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1331
1332 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1333 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1334 wird danach kein Problem mehr sein.
1335
1336 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1337 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP\index{GnuPP}
1338 stammt und bis auf Weiteres in Betrieb ist. Wir
1339 bedanken uns bei den Inhabern von gnupp.de für den Betrieb von Adele.
1340 Leider können haben Wir keinen Einfluss auf den Betrieb von Adele und
1341 können nicht gewährleisten, dass Sie antwortet. Uns sind die Probleme
1342 mit Adele bekannt, bevor Sie mit ihr arbeiten, schauen Sie bitte unter
1343 \url{https://wiki.gnupg.org/EmailExercisesRobot}, bevor Sie Adele
1344 verwenden.
1345 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1346 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1347 machen. Doch dazu später mehr.
1348
1349 \clearpage
1350 \textbf{Los geht's!}
1351 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1352
1353 % screenshot Startmenu with Kleopatra highlighted
1354 \htmlattributes*{img}{width=400}
1355 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1356
1357 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra} --
1358 die Zertifikatsverwaltung:
1359 \index{Zertifikatsverwaltung}
1360
1361 % screenshot: Kleopatra main window
1362 \htmlattributes*{img}{width=508}
1363 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1364
1365 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1366 Zertifikate erstellt (oder importiert) haben. 
1367
1368 \clearpage
1369 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1370
1371 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1372 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1373 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1374 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1375 Kapitel~\ref{ch:openpgpsmime} erläutert.
1376
1377 \label{chooseCertificateFormat}
1378 % screenshot: Kleopatra - New certificate - Choose format
1379 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1380
1381 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1382 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1383 zusammen.
1384
1385 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1386 haben, lesen Sie nun also bitte entweder:
1387 \begin{itemize}
1388     \item Abschnitt \ref{createKeyPairOpenpgp}:
1389         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1390         Seite) oder
1391     \item Abschnitt \ref{createKeyPairX509}:
1392         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1393         \pageref{createKeyPairX509}).
1394 \end{itemize}
1395
1396
1397
1398 \clearpage
1399 \section{OpenPGP-Zertifikat erstellen}
1400 \label{createKeyPairOpenpgp}
1401 \index{OpenPGP!Zertifikat erstellen}
1402
1403 \T\marginOpenpgp
1404 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1405 OpenPGP-Schlüsselpaar erzeugen}.
1406
1407
1408 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1409 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1410 sichtbar.
1411
1412 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1413 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1414 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1415 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1416 Name und die \Email{}-Adresse später öffentlich sichtbar.
1417
1418 % screenshot: Creating OpenPGP Certificate - Personal details
1419 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1420
1421 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1422 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1423 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1424 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1425
1426 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1427 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1428 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1429 informieren.
1430
1431 Klicken Sie auf \Button{Weiter}.
1432
1433 \clearpage
1434 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1435 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1436 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1437 über die Option \Menu{Alle Details} einsehen.
1438
1439 % screenshot: Creating OpenPGP Certificate - Review Parameters
1440 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1441
1442 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1443 erzeugen}.
1444
1445 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1446 \textbf{Passphrase}!
1447
1448 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1449 Passphrase eingeben:
1450
1451 % screenshot: New certificate - pinentry
1452 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1453
1454 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1455 jetzt eine einfach zu merkende und schwer zu knackende geheime
1456 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1457 ein!
1458
1459 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1460 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1461
1462 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1463 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1464 hingewiesen.
1465
1466 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1467 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1468
1469 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1470 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1471 \Button{OK}.
1472
1473 \clearpage
1474 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1475 % screenshot: Creating OpenPGP Certificate - Create Key
1476 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1477
1478 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1479 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1480 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1481 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1482 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1483 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1484 Qualität des erzeugten Schlüsselpaars.
1485
1486 \clearpage
1487 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1488 erhalten Sie folgenden Dialog:
1489
1490 % screenshot: Creating OpenPGP certificate - key successfully created
1491 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1492
1493 Im Ergebnis-Textfeld wird der 40-stellige
1494 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1495 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1496 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1497 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1498 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1499 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1500 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1501 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1502 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1503 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1504 der Fingerabdruck einer Person.
1505
1506 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1507 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1508 sich ihn jederzeit später anzeigen lassen.
1509
1510 \clearpage
1511 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1512 folgenden drei Schaltflächen betätigen:
1513
1514 \begin{description}
1515
1516 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1517     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1518     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1519     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1520
1521     % screenshot: New OpenPGP certificate - export key
1522     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1523
1524     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1525     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1526     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1527     "`ASCII armor"') ein- bzw. ausschalten.
1528
1529     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1530
1531     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1532     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1533     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1534     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1535     belassen!  Bewahren Sie diesen Datenträger mit der
1536     Sicherheitskopie sicher auf.
1537
1538     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1539     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1540     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1541     Kapitel \ref{ch:ImExport}).
1542
1543 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1544     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1545     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1546     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1547     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1548     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1549
1550     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1551     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1552     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1553     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1554     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1555     und versenden diese Datei per \Email{} an Ihre
1556     Korrespondenzpartner. Weitere Details finden Sie im
1557     Abschnitt~\ref{sec_publishPerEmail}.
1558
1559 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1560     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1561     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1562     auf diesem Server veröffentlichen, erfahren Sie in
1563     Kapitel~\ref{ch:keyserver}.
1564
1565 \end{description}
1566
1567 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1568 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1569
1570 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1571 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1572 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1573
1574
1575 \clearpage
1576 \section{X.509-Zertifikat erstellen}
1577 \label{createKeyPairX509}
1578 \index{X.509!Zertifikat erstellen}
1579
1580 \T\marginSmime
1581 Klicken Sie im Zertifikatsformat-Auswahldialog von
1582 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1583 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1584 erstellen}.
1585
1586
1587 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1588 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1589 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1590 = locality) und Abteilung (OU = organizational unit) ergänzen.
1591
1592 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1593 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1594 Organisation sowie Ländercode und geben irgendeine ausgedachte
1595 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1596 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1597
1598 % screenshot: New X.509 Certificate - Personal details
1599 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1600
1601 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1602 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1603 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1604 informieren.
1605
1606 Klicken Sie auf \Button{Weiter}.
1607
1608 \clearpage
1609 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1610 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1611 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1612 über die Option \Menu{Alle Details} einsehen.
1613
1614 % screenshot: New X.509 Certificate - Review Parameters
1615 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1616
1617 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1618
1619 \clearpage
1620 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1621
1622 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1623 Passphrase einzugeben:
1624
1625 % screenshot: New X.509 certificate - pinentry
1626 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1627
1628 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1629 jetzt eine einfach zu merkende und schwer zu knackende geheime
1630 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1631 ein!
1632
1633 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1634 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1635
1636 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1637 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1638 hingewiesen.
1639
1640 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1641 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1642
1643 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1644 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1645 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1646 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1647 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1648 \Button{OK}.
1649
1650 \clearpage
1651 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1652 % screenshot: New  X.509 Certificate - Create Key
1653 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1654
1655 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1656 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1657 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1658 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1659 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1660 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1661 Qualität des erzeugten Schlüsselpaars.
1662
1663 \clearpage
1664 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1665 erhalten Sie folgenden Dialog:
1666
1667 % screenshot: New X.509 certificate - key successfully created
1668 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1669
1670 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1671
1672 \begin{description}
1673
1674 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1675     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1676     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1677     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1678     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1679     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1680     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1681     die kostenlos X.509-Zertifikate ausstellt.
1682
1683 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1684     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1685     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1686     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1687     den vorbereiteten Text dieser \Email{}.
1688
1689     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1690     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1691     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1692     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1693     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1694     Authority, CA).
1695
1696     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1697     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1698     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1699     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1700
1701 \end{description}
1702
1703 Beenden Sie anschließend den Kleopatra-Assistenten mit
1704 \Button{Fertigstellen}.
1705
1706
1707 \clearpage
1708 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1709
1710 \T\marginSmime
1711 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1712 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1713 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1714 für ihre Zertifikate erheben.
1715
1716 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1717 müssen Sie sich zunächst bei
1718 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1719
1720 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1721 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1722 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1723 sichere Pass\-phrase für Ihr Zertifikat fest.
1724
1725 Ihr Client-Zertifikat wird nun erstellt.
1726
1727 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1728 neu erstellten X.509-Zertifikat und dem dazugehörigen
1729 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1730
1731 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1732 Browser. Bei Firefox können Sie danach z.B. über
1733 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1734 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1735 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1736
1737 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1738 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1739 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1740 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1741 Internetseiten von CAcert.
1742
1743 Speichern Sie abschließend eine Sicherungskopie Ihres
1744 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1745 erhält automatisch die Endung \Filename{.p12}.
1746
1747 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1748 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1749 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1750 gelangt.
1751
1752 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1753 erfahren Sie in Kapitel \ref{ch:ImExport}.
1754
1755 ~\\
1756 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1757 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1758 wieder identisch.
1759
1760
1761 \clearpage
1762 \section{Zertifikatserstellung abgeschlossen}
1763 \label{sec_finishKeyPairGeneration}
1764
1765 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1766 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1767 einzigartigen elektronischen Schlüssel.}
1768
1769 Im weiteren Verlauf des Kompendiums wird nur noch ein
1770 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1771 auch entsprechend für ein X509-Zertifikat.
1772
1773 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1774
1775 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1776 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1777 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1778
1779 % screenshot: Kleopatra with new openpgp certificate
1780 \htmlattributes*{img}{width=508}
1781 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1782
1783 \clearpage
1784 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1785 sehen zu können:
1786
1787 % screenshot: details of openpgp certificate
1788 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1789
1790 Was bedeuten die einzelnen Zertifikatsdetails?
1791
1792 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1793 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1794 Sie auf \Button{Ablaufdatum ändern}.
1795
1796 \textbf{Weitere Details zum Zertifikat finden Sie im
1797 Kapitel~\ref{ch:CertificateDetails}.}
1798
1799
1800 \clearpage
1801 \chapter{Verbreitung des öffentlichen Zertifikats}
1802 \label{ch:publishCertificate}
1803 \index{Zertifikat!verbreiten}
1804
1805 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1806 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1807 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1808 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1809 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1810 Geheimhaltung bereits erledigt.
1811
1812 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1813 können und sollen öffentliche Zertifikate von Ihren
1814 Korrespondenzpartnern haben -- je mehr, desto besser.
1815
1816 Denn:
1817
1818 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1819 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1820 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1821 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1822 der Zertifikatsverwaltung Kleopatra.}
1823
1824 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1825 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1826 benutzen.
1827
1828 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1829 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1830 benutzen.
1831
1832 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1833 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1834 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1835 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1836 beispielsweise ...
1837
1838 \begin{itemize}
1839     \item ... direkt per \textbf{\Email{}} an bestimmte
1840     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1841     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1842         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1843     \item ... über die eigene Homepage.
1844     \item ... persönlich, z.B. per USB-Stick.
1845 \end{itemize}
1846
1847 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1848 Seiten näher anschauen.
1849
1850 \clearpage
1851 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1852 \label{sec_publishPerEmail}
1853
1854 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1855 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1856 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1857 erfahren Sie in diesem Abschnitt.\\ 
1858
1859 \T\marginOpenpgp
1860 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1861 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1862 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1863 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1864 Seite~\pageref{publishPerEmailx509}.
1865
1866 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1867 zwanglos korrespondieren können. Bitte beachten Sie, dass Adele
1868 eventuell nicht antwort. Falls Sie nicht antwortet, üben Sie lieber
1869 mit einem Menschen. Weil man gewöhnlich mit einer klugen
1870 und netten jungen Dame lieber korrespondiert als mit einem Stück
1871 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1872 Adele so vorstellen:
1873
1874 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1875 \IncludeImage[width=0.5\textwidth]{adele01}
1876
1877 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1878 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1879 eine verschlüsselte \Email{} an Sie zurück.
1880
1881 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1882 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1883 legt Adele ihr eigenes öffentliches Zertifikat bei.
1884
1885 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1886 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1887 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1888 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1889 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1890
1891 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1892 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1893 den nächsten Seiten.
1894
1895
1896 \clearpage
1897 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1898 \index{Zertifikat!exportieren}
1899
1900 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1901 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1902 Zertifikate) und klicken Sie dann auf
1903 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1904 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1905 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1906 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1907 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1908 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1909 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1910
1911 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1912 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1913 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1914 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1915
1916 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1917 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1918 Exportieren angegeben haben.
1919
1920 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1921 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1922 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1923 ziemlich wirrer Text- und Zahlenblock:
1924 \T\enlargethispage{\baselineskip}
1925
1926 % screenshot: Editor mit ascii armored key
1927 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1928
1929 \clearpage
1930 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1931 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1932 versenden kann oder nicht.
1933
1934 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1935 \Email{}-Text versenden}
1936
1937 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1938 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1939 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1940 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1941 Zertifikat eigentlich besteht.
1942
1943 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1944 Zertifikat von
1945
1946 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1947 bis\\
1948 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1949
1950 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1951 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1952 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1953 kopiert.
1954
1955 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1956 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1957 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1958 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1959 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1960
1961 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1962 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1963 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1964 \ref{appendix:gpgol}).
1965
1966 \textbf{Adressieren} Sie nun diese \Email{} an
1967 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1968 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1969
1970 \clearpage
1971 So etwa sollte Ihre \Email{} nun aussehen:
1972
1973 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1974 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1975
1976 Schicken Sie die \Email{} an Adele ab.
1977
1978 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1979 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1980 Sie nie Antwort von Adele bekommen ...
1981
1982 \clearpage
1983 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1984 versenden}
1985
1986 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1987 öffentliches OpenPGP-Zertifikat auch direkt als
1988 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1989 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1990 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1991 leichter nachzuvollziehen ist.
1992
1993 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1994 der Zertifikatsdatei im Anhang:
1995
1996 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1997 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1998 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1999 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
2000 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
2001 Dateianhang}.
2002
2003 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
2004 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
2005 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
2006
2007 Ihre fertige \Email{} sollte dann etwa so aussehen:
2008 \T\enlargethispage{2\baselineskip}
2009
2010 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
2011 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
2012
2013 Senden Sie nun die \Email{} mit Anhang an Adele ab.
2014
2015 \clearpage
2016 \subsubsection{Kurz zusammengefasst}
2017
2018 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
2019 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
2020 direkt in eine \Email{} kopiert und einmal die komplette Datei als
2021 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
2022 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
2023
2024 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
2025 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
2026 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
2027 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
2028 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
2029 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
2030
2031 \clearpage
2032 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
2033 \label{sec_publishPerKeyserver}
2034
2035 \T\marginOpenpgp
2036 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
2037 einen OpenPGP-Zertifikats\-server verbreiten.}
2038
2039 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
2040 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
2041 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
2042 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
2043 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
2044 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
2045 Korrespondenzpartner.
2046
2047 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
2048 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
2049 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
2050 Spam-Schutz.
2051
2052 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
2053 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
2054 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
2055
2056 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
2057 eine Warnmeldung:
2058
2059 % screenshot: Kleopatra keyserver export warning
2060 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2061
2062 Es ist der öffentliche OpenPGP-Zertifikatsserver
2063 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2064 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2065 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2066 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2067 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2068 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2069 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2070
2071 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2072 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2073 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2074 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2075 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2076 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2077
2078 \clearpage
2079 \subsubsection{Kurz zusammengefasst}
2080 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2081 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2082
2083 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2084 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2085 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2086 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2087
2088
2089 \clearpage
2090 \section{Veröffentlichen von X.509-Zertifikaten}
2091 \label{publishPerEmailx509}
2092
2093 \T\marginSmime
2094 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2095 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2096 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2097 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2098 Zertifikatsverwaltung importiert werden.
2099
2100 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2101 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2102 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2103 oder testweise an sich selbst schreiben.
2104
2105 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2106 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2107 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2108 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2109
2110 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2111 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2112 markieren und in einer Datei
2113 abspeichern -- in der Regel also Wurzelzertifikat,
2114 CA-Zertifikat\index{CA-Zertifikat} und
2115 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2116
2117 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2118 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2119 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2120 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2121 Zertifikate gemeinsam in eine Datei.
2122
2123 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2124 muss er diesem das Vertrauen aussprechen bzw. durch einen
2125 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2126 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2127 der selben  "`Wurzel"' gehören), dann besteht diese
2128 Vertrauensstellung bereits.
2129
2130
2131 \clearpage
2132 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2133 \label{ch:decrypt}
2134 \index{E-Mail!entschlüsseln}
2135
2136 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2137 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2138
2139 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2140 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2141 GpgOL entschlüsseln. \index{Outlook}
2142
2143 \T\marginOpenpgp
2144 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2145 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2146 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2147 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2148 \pageref{encrypt-smime}.
2149
2150 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2151 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2152 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2153 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2154
2155 \T\enlargethispage{\baselineskip}
2156
2157 % cartoon: Adele typing and sending a mail
2158 \IncludeImage[width=0.5\textwidth]{adele02}
2159
2160 \clearpage
2161 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2162
2163 Für die meisten \Email{}-Programme gibt es spezielle
2164 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2165 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2166 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2167 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2168 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2169 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2170 lesen oder später, wenn Sie diese Funktion benötigen.
2171
2172 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2173 Adele.
2174
2175 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2176 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2177 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2178 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2179 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2180 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2181 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2182 oder entschlüsseln.
2183
2184 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2185 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2186 verschlüsselt.
2187
2188 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2189 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2190 Passphrase ein.
2191
2192 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2193 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2194
2195 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2196 aufrufen, indem Sie im Menü der geöffneten \Email{}
2197 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2198
2199 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2200
2201 \clearpage
2202 \subsubsection{Die entschlüsselte Nachricht}
2203
2204 Die entschlüsselte Antwort von Adele sieht in etwa so
2205 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2206 etwas unterschiedlich aussehen.}:
2207
2208 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2209 %TODO: Schlüssel -> Zertifikat
2210
2211 \begin{verbatim}
2212 Hallo Heinrich Heine,
2213
2214 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2215
2216 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2217 FE7EEC85C93D94BA und der Bezeichnung
2218 `Heinrich Heine <heinrich@gpg4win.de>'
2219 wurde von mir empfangen.
2220
2221 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2222 dem freundlichen E-Mail-Roboter.
2223
2224 Viele Grüße,
2225 adele@gnupp.de
2226 \end{verbatim}
2227
2228 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2229 Adele.
2230
2231 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2232 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2233 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2234 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2235 \Email{}s verwenden.
2236
2237 \clearpage
2238 \subsubsection{Kurz zusammengefasst}
2239
2240 \begin{enumerate}
2241     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2242         Schlüssel entschlüsselt.
2243     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2244         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2245         können.
2246 \end{enumerate}
2247
2248
2249 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2250 \label{encrypt-smime}
2251
2252 \T\marginSmime
2253 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2254 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2255
2256 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2257
2258 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2259 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2260 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2261 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2262
2263 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2264 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2265 unterstützt nur OpenPGP.
2266
2267 \clearpage
2268 \chapter{Öffentliches Zertifikat importieren}
2269 \label{ch:importCertificate}
2270 \index{Zertifikat!importieren}
2271
2272 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2273 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2274 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2275 auf -- z.B. Kleopatra.
2276
2277 \subsubsection{Öffentliches Zertifikat abspeichern}
2278
2279 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2280 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2281 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2282 \Email{} bekommen haben, gehen Sie wie folgt vor:
2283
2284 \begin{itemize}
2285
2286 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2287     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2288     Ihrem \Email{}-Programm gewohnt sind.
2289
2290 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2291     innerhalb der \Email{} übermittelt, dann müssen Sie das
2292     vollständige Zertifikat markieren:
2293
2294     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2295     von
2296
2297     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2298     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2299
2300     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2301     getan haben.
2302
2303     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2304     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2305     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2306     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2307     \Filename{.pem} oder \Filename{.der} wählen.
2308
2309 \end{itemize}
2310
2311 \clearpage
2312 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2313
2314 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2315 Textblock abgespeichert haben -- in beiden Fällen importieren
2316 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2317
2318 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2319
2320 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2321 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2322 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2323 dem Ergebnis des Importvorgangs:
2324
2325 % screenshot: Kleopatra - certificate import dialog
2326 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2327
2328 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2329 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2330 \Menu{Importierte Zertifikate} von
2331 \Menu{<Pfad-zur-Zertifikatsdatei>}:
2332
2333 % screenshot Kleopatra with new certificate
2334 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2335
2336 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2337 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2338 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2339 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2340
2341 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2342 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2343
2344 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2345 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2346 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2347 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2348 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2349
2350 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2351 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2352 über weltweit erreichbare Zertifikatsserver suchen und importieren
2353 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2354 nachlesen.\\
2355
2356 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2357 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2358 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2359 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2360
2361 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2362 wirklich seinem Absender gehört?
2363
2364 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2365 Kapitel~\ref{ch:trust} erläutert.}
2366
2367 \clearpage
2368 \chapter{Die Zertifikatsprüfung}
2369 \label{ch:trust}
2370
2371 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2372 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2373 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2374 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2375 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2376 Absenderangabe auf einem Briefumschlag.
2377
2378 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2379 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2380 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2381 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2382 Identität des Absenders.
2383
2384 \clearpage
2385 \subsubsection{Der Fingerabdruck}
2386 \index{Fingerabdruck}
2387 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2388 die Sache mit der Identität schnell geregelt: Sie prüfen den
2389 Fingerabdruck des anderen Zertifikats.
2390
2391 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2392 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2393 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2394 "`Fingerabdruck"'.
2395
2396 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2397 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2398 dessen 40-stelligen Fingerabdruck:
2399
2400 % screenshot: GPA key listing with fingerprint
2401 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2402
2403 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2404 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2405
2406 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2407 seinen Besitzer eindeutig.
2408
2409 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2410 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2411 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2412 Sie eindeutig das richtige Zertifikat.
2413
2414 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2415 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2416 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2417 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2418 garantiert authentische Visitenkarte haben, so können Sie sich den
2419 Anruf ersparen.
2420
2421
2422 \clearpage
2423 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2424 \index{Zertifikat!beglaubigen}
2425
2426 \T\marginOpenpgp
2427 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2428 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2429 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2430 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2431 vorbehalten.
2432
2433
2434 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2435 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2436 autentisch -- halten:
2437 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2438 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2439
2440 ~\\
2441 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2442 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2443 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2444 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2445
2446 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2447 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2448
2449 % screenshot: Kleopatra certify certificate 1
2450 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2451
2452 \clearpage
2453 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2454 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2455
2456 % screenshot: Kleopatra certify certificate 2
2457 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2458
2459 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2460 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2461 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2462 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2463 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2464 Verfügung zu stellen.
2465
2466 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2467
2468 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2469 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2470 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2471 abgeschlossen.
2472
2473 \clearpage
2474 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2475
2476 % screenshot: Kleopatra certify certificate 3
2477 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2478
2479 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2480 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2481 Wählen Sie den Reiter
2482 \Menu{Benutzer-Kennungen und
2483 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2484 Beglaubigungen ein}.
2485
2486 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2487 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2488 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2489
2490 \clearpage
2491 \subsubsection{Das Netz des Vertrauens}
2492 \index{Netz des Vertrauens|see{Web of Trust}}
2493 \index{Web of Trust}
2494
2495 \T\marginOpenpgp
2496 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2497 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2498 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2499 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2500 direkt auf Echtheit (Autentizität) zu prüfen.
2501
2502 \htmlattributes*{img}{width=300}
2503 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2504
2505 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2506 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2507 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2508 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2509 Ihnen und niemandem sonst gehört.
2510
2511 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2512 Beglaubigungs-Infra\-struktur.
2513
2514 Eine einzige Möglichkeit ist denkbar, mit der man diese
2515 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2516 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2517 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2518 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2519 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2520 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2521 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2522
2523 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2524 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2525 nicht die Lösung sein~...
2526
2527
2528 \clearpage
2529 \subsubsection{Beglaubigungsinstanzen}
2530 \index{Beglaubigungsinstanzen}
2531 \index{Certificate Authority (CA)}
2532
2533 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2534 vertrauen können. Sie prüfen ja auch nicht persönlich den
2535 Personalausweis eines Unbekannten durch einen Anruf beim
2536 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2537 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2538 beglaubigt hat.
2539
2540 \T\marginOpenpgp
2541 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2542 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2543 lange einen solchen Dienst kostenlos an, ebenso wie viele
2544 Universitäten.
2545
2546 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2547 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2548 man sich darauf verlassen können.
2549  
2550 \T\marginSmime
2551 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2552 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2553 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2554 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2555 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2556 Benutzerzertifikate zu beglaubigen (vgl.
2557 Kapitel~\ref{ch:openpgpsmime}).
2558
2559 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2560 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2561 berechtigte Institution geben, die die Befugnis dazu wiederum von
2562 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2563 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2564 eines Zertifikates durch den Beglaubigenden.
2565
2566 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2567 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2568 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2569 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2570 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2571 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2572 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2573 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2574 entsprechen.
2575
2576
2577 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2578 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2579 sich z.B. bei folgenden Webadressen über dieses und viele andere
2580 IT-Sicherheits-Themen informieren:
2581 \begin{itemize}
2582     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2583     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2584     \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2585 \end{itemize}
2586
2587 Eine weitere, eher technische Informationsquelle zum Thema
2588 der Beglaubigungsinfrastrukturen bietet das 
2589 GnuPG Handbuch das Sie ebenfalls im Internet finden unter:\\
2590 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2591
2592 \clearpage
2593 \chapter{\Email{}s verschlüsseln}
2594 \label{ch:encrypt}
2595 \index{E-Mail!verschlüsseln}
2596
2597 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2598 \Email{}.
2599
2600 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2601 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2602 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2603
2604
2605 \textbf{Hinweis für OpenPGP:}
2606
2607 \T\marginOpenpgp
2608 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2609 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2610 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2611 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2612 nicht wirklich lesen.
2613
2614 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2615
2616 \textbf{Hinweis für S/MIME:}
2617
2618 \T\marginSmime
2619 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2620 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2621 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2622 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2623 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2624 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2625
2626 % screenshot: GpgOL options
2627 \T\ifthenelse{\boolean{DIN-A5}}{
2628     \T\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_de}
2629 \T}
2630 \T{
2631     \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2632 \T}
2633
2634
2635 \clearpage
2636 \subsubsection{Nachricht verschlüsselt versenden}
2637
2638 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2639 Sie diese an Ihren Korrespondenzpartner.
2640
2641 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2642 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2643 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2644 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2645 auch direkt auf das Schloss klicken.
2646
2647 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2648
2649 % screenshot: OL composer with Adele's address and body text
2650 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2651
2652 Klicken Sie nun auf \Button{Senden}.
2653
2654 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2655 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2656 Ihres Korrespondenzpartners vorliegt.
2657
2658 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2659 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2660 Nachricht verschlüsselt und versendet.
2661
2662
2663 \clearpage
2664 \subsubsection{Zertifikatsauswahl}
2665 \index{Zertifikat!Auswahl}
2666 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2667 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2668 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2669 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2670 selbstständig auswählen können.
2671
2672 % screenshot: kleopatra encryption dialog - certificate selection
2673 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2674
2675 Sollte Kleopatra das öffentliche Zertifikat Ihres
2676 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2677 in Ihre Zertifikatsverwaltung importiert (vgl.
2678 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2679 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2680 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2681 Kapitel~\ref{sec_allow-mark-trusted}).
2682
2683
2684 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2685 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2686 verschlüsselt werden.
2687
2688 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2689 \begin{quote}
2690   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2691   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2692 \end{quote}
2693
2694
2695 \clearpage
2696 \subsubsection{Verschlüsselung abschließen}
2697 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2698 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2699
2700 % screenshot: kleopatra encryption successfully
2701 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2702
2703 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2704 verschlüsselt!}
2705
2706
2707 \chapter{\Email{}s signieren}
2708 \label{ch:sign}
2709 \index{E-Mail!signieren}
2710
2711 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2712 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2713 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2714
2715 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2716 Zertifikat, sondern auch eine komplette \textbf{\Email{}
2717 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2718 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2719
2720 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2721 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2722 oder verändert wurde.
2723
2724 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2725 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2726 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2727 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2728 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2729
2730 Sie haben sicher bemerkt, dass diese digitale
2731 Signatur\index{Signatur!digitale} nicht mit der
2732 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2733 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2734 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2735 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2736 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2737
2738 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2739 Übrigens ist die digitale Signatur auch nicht mit der
2740 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2741 elektronische} gleichzusetzen, wie sie im Signaturgesetz
2742 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2743 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2744 allerdings genau denselben Zweck.
2745
2746 % cartoon: Müller mit Schlüssel
2747 \htmlattributes*{img}{width=300}
2748 \T\ifthenelse{\boolean{DIN-A5}}{
2749     \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2750 \T}
2751 \T{
2752     \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2753 \T}
2754
2755 \clearpage
2756 \section{Signieren mit GpgOL}
2757 \T\enlargethispage{\baselineskip}
2758 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2759 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2760 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2761 folgende Schritte durch:
2762
2763 \begin{itemize}
2764     \item Nachricht signiert versenden
2765     \item Zertifikatsauswahl
2766     \item Signierung abschließen
2767 \end{itemize}
2768
2769 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2770
2771 %\clearpage
2772 \subsubsection{Nachricht signiert versenden}
2773
2774 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2775 Sie diese an Ihren Korrespondenzpartner.
2776
2777 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2778 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2779 Schaltfläche mit dem signierenden Stift oder alternativ den
2780 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2781
2782 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2783
2784 % screenshot: OL composer with Adele's address and body text
2785 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2786
2787 Klicken Sie nun auf \Button{Senden}.
2788
2789 \clearpage
2790 \subsubsection{Zertifikatsauswahl}
2791
2792 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2793 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2794 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2795
2796 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2797 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2798 Signieren nach dem gewünschten Protokollverfahren:
2799
2800 % screenshot: kleopatra format choice dialog
2801 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2802
2803 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2804 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2805 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2806 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2807 Schlüssel vorliegt:
2808
2809 % screenshot: kleopatra format choice dialog
2810 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2811
2812 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2813
2814
2815 \clearpage
2816 \subsubsection{Signierung abschließen}
2817 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2818 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2819
2820 % screenshot: kleopatra sign dialog 2 - choose certificate
2821 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2822
2823 Dies ist notwendig, denn Sie wissen:
2824 \begin{quote}
2825     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2826 \end{quote}
2827 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2828 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Zertifikat, das
2829 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2830 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2831
2832 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2833 Nachricht wird nun signiert und versendet.
2834
2835 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2836 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2837 Ergebnisdialog:
2838
2839 % screenshot: kleopatra sign successful
2840 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2841
2842 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2843 signiert!}
2844
2845
2846 \clearpage
2847 \subsubsection{Kurz zusammengefasst}
2848 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2849 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2850
2851 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2852 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2853
2854 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2855 sicheren \Email{}-Versand: verschlüsseln und signieren.
2856
2857 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2858 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2859 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2860 \Email{} ist:
2861
2862 \begin{itemize}
2863     \item unverschlüsselt
2864     \item verschlüsselt
2865     \item signiert
2866     \item signiert und verschlüsselt (mehr dazu im
2867         Abschnitt~\ref{sec_encsig})
2868 \end{itemize}
2869
2870 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2871 S/MIME realisieren.
2872
2873 \clearpage
2874 \section{Signatur mit GpgOL prüfen}
2875 \index{Signatur!prüfen mit GpgOL}
2876
2877 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2878 Korrespondenzpartners.
2879
2880 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2881 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2882 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2883 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2884 Zertifikatsverwaltung importiert haben (vgl.
2885 Kapitel~\ref{ch:importCertificate}).
2886
2887 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2888 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2889 Kapitel~\ref{ch:decrypt}):
2890
2891 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2892
2893 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2894 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2895
2896 % screenshot: Kleopatra - successfully verify dialog
2897 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2898
2899 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2900 signierte \Email{} zu lesen.
2901
2902 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2903 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2904 Entschlüsseln/Prüfen}.
2905
2906 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2907 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2908 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2909 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2910 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2911 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2912
2913 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2914 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2915
2916 \clearpage
2917 \section{Gründe für eine gebrochene Signatur}
2918 \label{sec_brokenSignature}
2919 \index{Signatur!gebrochene}
2920
2921 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2922 können:
2923
2924 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2925 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2926 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2927 Inhalt oder den Betreff der \Email{} verändert.
2928
2929 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2930 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2931 auszuschließen, dass die \Email{} durch eine fehlerhafte
2932 Übertragung verändert wurde.
2933
2934 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2935 Sie immer die \Email{} erneut beim Absender an!\\
2936
2937 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2938 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2939 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2940 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2941 die Formatierungsinformationen verloren gehen, was zum Bruch der
2942 Signatur führen kann.
2943
2944 Bei Outlook 2003 und 2007 können Sie unter
2945 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2946 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2947
2948
2949 \clearpage
2950 \section{Verschlüsseln und Signieren}
2951 \label{sec_encsig}
2952 \index{E-Mail!verschlüsseln und signieren}
2953
2954 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2955 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2956 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2957
2958 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2959 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2960 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2961 könnte.
2962
2963 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2964 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2965 erzeugen: die Signatur.
2966
2967 Solch eine digitale Signatur bestätigt eindeutig die
2968 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2969 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2970 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2971 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2972
2973 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2974 verschlüsseln und signieren:
2975
2976 \begin{enumerate}
2977     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2978         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2979     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2980         öffentlichen Zertifikat des Korrespondenzpartners.
2981 \end{enumerate}
2982
2983 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2984
2985 \begin{enumerate}
2986     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2987         geheimen Schlüssel.
2988     \item Einen soliden äußeren Umschlag: die
2989         Verschlüsselung mit dem öffentlichen Zertifikat des
2990         Korrespondenzpartners.
2991 \end{enumerate}
2992
2993 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2994
2995 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2996 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2997 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2998 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2999 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
3000 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
3001 Schlüssel kodiert worden sein.
3002
3003 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
3004 ganz einfach.
3005
3006
3007 \clearpage
3008 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
3009 \label{ch:archive}
3010 \index{E-Mail!verschlüsselt archivieren}
3011
3012 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
3013 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
3014
3015 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
3016 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
3017 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
3018 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
3019 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
3020 aufbewahren!
3021
3022 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
3023 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
3024 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
3025
3026 Also was tun?
3027
3028 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
3029 selbst!}
3030
3031 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
3032 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
3033 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
3034 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
3035 lesbar machen.
3036
3037 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
3038 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
3039 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
3040 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
3041 entscheiden, an welches Zertifikat verschlüsselt werden soll.
3042
3043 \clearpage
3044 \subsubsection{Kurz zusammengefasst}
3045
3046 \begin{enumerate}
3047     \item Sie haben mit dem öffentlichen Zertifikat Ihres
3048         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
3049         damit geantwortet.
3050     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
3051         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
3052         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
3053 \end{enumerate}
3054
3055
3056 \vspace{1cm}
3057 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3058 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3059
3060 \textbf{Willkommen in der Welt der freien und sicheren \Email{}"=Verschlüsselung!}
3061
3062 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3063 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3064 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3065 dass Sie viele spannende Dinge darin entdecken werden!
3066
3067
3068 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3069 % Part II
3070
3071 % page break in toc
3072 \addtocontents{toc}{\protect\newpage}
3073
3074 \clearpage
3075 \T\part{Für Fortgeschrittene}
3076 \W\part*{\textbf{II Für Fortgeschrittene}}
3077 \label{part:Fortgeschrittene}
3078 \addtocontents{toc}{\protect\vspace{0.3cm}}
3079
3080
3081 \clearpage
3082 \chapter{Zertifikat im Detail}
3083 \label{ch:CertificateDetails}
3084 \index{Zertifikatsdetails}
3085
3086 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3087 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3088 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3089 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3090 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3091 X.509-Zertifikaten. Es geht hierbei um:
3092
3093 \begin{itemize}
3094 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
3095 \item den Fingerabdruck
3096 \item die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}
3097 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
3098 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3099 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3100 \end{itemize}
3101
3102 \begin{description}
3103
3104 \item[Die Benutzerkennung] besteht aus dem Namen und der
3105     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3106     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3107     <heinrich@gpg4win.de>}
3108
3109     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3110     Menüpunkt \Menu{Zertifikate$\rightarrow$%
3111     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
3112     Benutzerkennung hinzufügen...} 
3113     Ihr Zertifikat um weitere Benutzerkennungen
3114     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
3115     \Email{}-Adresse dasselbe Zertifikat nutzen möchten.
3116
3117     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3118     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3119
3120 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3121     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3122     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3123     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3124     oder auf einem X.509-Zertifikats\-server liegen.  Was
3125     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3126
3127 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3128     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3129     Zweck wie dieser. Die wesentlich geringere Länge macht die
3130     Schlüsselkennung einfacher handhabbar, 
3131     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3132     Zertifikate mit derselben Kennung).
3133
3134 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3135     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3136     
3137     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3138     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
3139     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
3140     Zertifikatsdetails klicken -- oder das Menü
3141     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3142     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3143     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3144     auszugeben.
3145
3146     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3147     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3148     festgelegt und kann nicht vom Nutzer geändert werden.
3149
3150 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3151     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3152     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3153     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3154     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3155     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3156     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3157     einstellen.
3158
3159     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3160     Für X.509-Zerti\-fikate gibt es diese Methode der
3161     Vertrauensstellung nicht.
3162
3163 \item[Die Beglaubigungen] \T\marginOpenpgp
3164     Ihres OpenPGP-Zertifikats beinhalten die
3165     Benutzerkennungen derjenigen Zertifikatsinhaber, die
3166     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3167     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3168     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3169     Nutzern erhalten.
3170
3171     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3172     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3173     nicht.
3174
3175 \end{description}
3176
3177 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3178 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3179 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3180 neue Zertifikate erhalten oder ändern wollen.
3181
3182 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3183 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3184 \ref{ch:trust} gelesen.
3185
3186
3187 \clearpage
3188 \chapter{Die Zertifikatsserver}
3189 \label{ch:keyserver}
3190 \index{Zertifikatsserver}
3191
3192 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3193 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3194 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3195 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3196 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3197
3198 Zertifikatsserver können von allen Programmen benutzt werden, die die
3199 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3200 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3201
3202
3203 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3204
3205 \begin{description}
3206
3207 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3208     \index{Zertifikatsserver!OpenPGP}
3209     (im Englischen auch "`key server"' genannt) sind dezentral
3210     organisiert und synchronisieren sich weltweit miteinander.
3211     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3212     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3213     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3214     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3215     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3216     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3217
3218     \htmlattributes*{img}{width=300}
3219     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3220
3221 \item[X.509-Zertifikatsserver] \T\marginSmime
3222     \index{Zertifikatsserver!X.509}
3223     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3224     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3225     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3226
3227 \end{description}
3228
3229
3230 \clearpage
3231 \section{Zertifikatsserver einrichten}
3232 \label{configureCertificateServer}
3233 \index{Zertifikatsserver!einrichten}
3234
3235 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
3236 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
3237
3238
3239 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3240 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3241 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3242
3243 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3244 OpenPGP-Zertifikatsserver mit der Serveradresse
3245 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3246 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3247 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3248 nächsten Seite.
3249
3250 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3251 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3252 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3253 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3254 Server-Port.
3255
3256 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3257 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3258 tragen Ihre gewünschten Angaben ein.
3259
3260
3261 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3262 Der folgende Screenshot zeigt einen konfigurierten
3263 OpenPGP"=Zertifikatsserver:
3264
3265 % screenshot: Kleopatra OpenPGP certificate server config dialog
3266 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3267
3268 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3269 Zertifikatsserver ist nun erfolgreich eingerichtet.
3270
3271 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3272 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3273 starten (Anleitung siehe
3274 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3275
3276 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3277 nutzen, müssen Sie die Zertifikatsserver-Adresse in der Datei:\\
3278 \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3279 ergänzen.
3280 Fügen Sie dazu in der Datei eine weitere Zeile ein, mit dem Inhalt: \\
3281 \Filename{keyserver-options http-proxy=<proxy-address>}
3282
3283 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3284 finden Sie im Abschnitt~\ref{x509CertificateServers}.
3285
3286 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3287
3288 \T\marginOpenpgp
3289 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3290 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3291
3292 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3293 \begin{itemize}
3294 \item hkp://blackhole.pca.dfn.de
3295 \item hkp://pks.gpg.cz
3296 \item hkp://pgp.cns.ualberta.ca
3297 \item hkp://minsky.surfnet.nl
3298 \item hkp://keyserver.ubuntu.com
3299 \item hkp://keyserver.pramberger.at
3300 \item http://keyserver.pramberger.at
3301 \item http://gpg-keyserver.de
3302 \end{itemize}
3303
3304 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3305 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3306 beginnen.
3307
3308 Die Zertifikatsserver unter den Adressen
3309 \begin{itemize}
3310     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3311         siehe Bildschirmfoto auf vorheriger Seite)
3312 \item hkp://subkeys.pgp.net
3313 \end{itemize}
3314 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3315 dann zufällig ein konkreter Server ausgewählt.
3316
3317 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3318 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3319 synchronisiert (Stand: Mai 2010).
3320
3321 \clearpage
3322 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3323 \label{searchAndImportCertificateFromServer}
3324 \index{Zertifikatsserver!Suche nach Zertifikaten}
3325 \index{Zertifikat!importieren}
3326 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3327 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3328 importieren.
3329
3330 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3331 auf Server suchen...}.
3332
3333 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3334 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3335 seine \Email{}-Adresse seines Zertifikats eingeben können.
3336
3337 % screenshot: Kleopatra certification search dialog
3338 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3339
3340 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3341 auf die Schaltfläche \Button{Details...}.
3342
3343 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3344 Zertifikatssammlung einfügen möchten, selektieren Sie das
3345 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3346 \Button{Importieren}.
3347
3348 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3349 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3350
3351 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3352 in der Zertifikatsverwaltung von Kleopatra.
3353
3354 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3355 \index{Zertifikat!exportieren}
3356
3357 \T\marginOpenpgp
3358 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3359 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3360 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3361 unterwegs rund um die Welt.
3362
3363 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3364 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3365 nach Server exportieren...}.
3366
3367 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3368 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3369 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3370 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3371 ein "`globales"' Zertifikat.
3372
3373 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3374 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3375 Kleopatra den bereits voreingestellten Server
3376 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3377
3378
3379
3380 \clearpage
3381 \chapter{Dateianhänge verschlüsseln}
3382 \index{Dateianhänge verschlüsseln}
3383
3384 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3385 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3386 verschlüsselt werden.
3387
3388 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3389 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3390 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3391
3392 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3393 Anhängen automatisch.}
3394
3395 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3396 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3397 unverschlüsselt mitgesendet.
3398
3399 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3400 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3401 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3402 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3403 beschrieben ist.
3404
3405
3406 \clearpage
3407 \chapter{Dateien signieren und verschlüsseln}
3408 \label{ch:EncFiles}
3409 \index{GpgEX}
3410
3411 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3412 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3413
3414 \begin{itemize}
3415   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3416       Zertifikats, um sicherzugehen, dass die Datei unverändert
3417       bleibt.
3418
3419   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3420       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3421       geheim zu halten.
3422 \end{itemize}
3423
3424 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3425 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3426 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3427 genau funktioniert.
3428
3429 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3430 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3431 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3432 gesondert darum zu kümmern.
3433
3434 \clearpage
3435 \section{Dateien signieren und prüfen}
3436 \label{sec_signFile}
3437 \index{Datei!signieren}
3438
3439 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3440 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3441 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
3442