Fixing typos in Compendium
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99 \newcommand{\Email}{E-Mail}
100 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
101 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
102 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
103 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
104 \newcommand{\IncludeImage}[2][]{
105 \begin{center}
106 \texorhtml{%
107   \includegraphics[#1]{images-compendium/#2}%
108 }{%
109   \htmlimg{../images-compendium/#2.png}%
110 }
111 \end{center}
112 }
113
114 % custom colors
115 \definecolor{gray}{rgb}{0.4,0.4,0.4}
116 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
117
118 \T\parindent 0cm
119 \T\parskip\medskipamount
120
121 % Get the version information from another file.
122 % That file is created by the configure script.
123 \input{version.tex}
124
125
126 % Define universal url command.
127 % Used for latex _and_ hyperlatex (redefine see below).
128 % 1. parameter = link text (optional);
129 % 2. parameter = url
130 % e.g.: \uniurl[example link]{http:\\example.com}
131 \newcommand{\uniurl}[2][]{%
132 \ifthenelse{\equal{#1}{}}
133 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
134 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
135
136 %%% HYPERLATEX %%%
137 \begin{ifhtml}
138     % HTML title
139     \htmltitle{Gpg4win-Kompendium}
140     % TOC link in panel
141     \htmlpanelfield{Inhalt}{hlxcontents}
142     % link to EN version    
143     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
144         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
145     % name of the html files
146     \htmlname{gpg4win-compendium}
147     % redefine bmod
148     \newcommand{\bmod}{mod}
149     % use hlx icons (default path)
150     \newcommand{\HlxIcons}{../images-hyperlatex}
151
152     % Footer
153     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
154     \html{br/}
155     \html{small}
156     Das Gpg4win-Kompendium ist unter der
157     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
158     \html{/small}}
159
160     % Changing the formatting of footnotes
161     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
162
163     % redefine universal url for hyperlatex (details see above)
164     \newcommand{\linktext}{0}
165     \renewcommand{\uniurl}[2][]{%
166         \renewcommand{\linktext}{1}%
167         % link text is not set
168         \begin{ifequal}{#1}{}%
169             \xlink{#2}{#2}%
170             \renewcommand{linktext}{0}%
171         \end{ifequal}
172         % link text is set
173         \begin{ifset}{linktext}%
174              \xlink{#1}{#2}%
175     \end{ifset}}
176
177     % german style
178     \htmlpanelgerman
179     \extrasgerman
180     \dategerman
181     \captionsgerman
182
183
184     % SECTIONING:
185     %
186     % on _startpage_: show short(!) toc (only part+chapter)
187     \setcounter {htmlautomenu}{1}
188     % chapters should be <H1>, Sections <H2> etc.
189     % (see hyperlatex package book.hlx)
190     \setcounter{HlxSecNumBase}{-1}
191     % show _numbers_ of parts, chapters and sections in toc
192     \setcounter {secnumdepth}{1}
193     % show parts, chapters and sections in toc (no subsections, etc.)
194     \setcounter {tocdepth}{2}
195     % show every chapter (with its sections) in _one_ html file
196     \setcounter{htmldepth}{2}
197
198     % set counters and numberstyles
199     \newcounter{part}
200     \renewcommand{\thepart}{\arabic{part}}
201     \newcounter{chapter}
202     \renewcommand{\thecapter}{\arabic{chapter}}
203     \newcounter{section}[chapter]
204     \renewcommand{\thesection}{\thechapter.\arabic{section}}
205 \end{ifhtml}
206
207
208 %%% TITLEPAGE %%%
209
210 \title{
211     \htmlattributes*{img}{width=300}
212     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
213     \T~\newline
214     \T\ifthenelse{\boolean{DIN-A5}}%
215     % DIN A5:
216     {\begin{latexonly}
217         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
218         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
219         \\[-0.3cm] mit GnuPG für Windows}
220      \end{latexonly}  
221     }%
222     % DIN A4:
223     {Das Gpg4win-Kompendium \\
224       \texorhtml{\Large \textmd}{\large}
225       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
226       Windows}
227     }
228 }
229 \author{
230     % Hyperlatex: Add links to pdf versions and Homepage
231     \htmlonly{
232         \xml{p}\small
233         \xlink{PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}
234         \xml{br}
235         \xlink{\htmlattributes*{img}{style=border:none title=English}
236            \htmlimg{../images-hyperlatex/english.png}{} 
237            English Version}{../en/\HlxThisUrl}
238         \xml{br}
239         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}
240         \xml{p}
241     }
242     % Authors
243     \T\\[-1cm]
244       \small Basierend auf einer Fassung von
245     \T\\[-0.2cm]
246       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
247       \small Isabel Kramer und Dr. Francis Wray.
248       \texorhtml{\\[0.2cm]}{\\}
249       \small Grundlegend überarbeitet von
250     \T\\[-0.2cm]
251       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
252     \T\\[0.4cm]
253 }
254
255 \date{
256     \T\ifthenelse{\boolean{DIN-A5}}%
257     % DIN A5:
258     {\begin{latexonly}
259         \large Eine Veröffentlichung der Gpg4win-Initiative
260         \\[0.2cm]
261         Version \compendiumVersionDE~vom \compendiumDateDE 
262      \end{latexonly}
263     }%
264     % DIN A4:
265     {Eine Veröffentlichung der Gpg4win-Initiative
266       \\[0.2cm]
267       Version \compendiumVersionDE~vom \compendiumDateDE\\
268       \small\compendiuminprogressDE%
269     }
270 }
271
272
273 %%% BEGIN DOCUMENT %%%
274
275 \begin{document}
276 \T\pdfbookmark[0]{Titelseite}{titel}
277 % set title page
278 \texorhtml{
279     \ifthenelse{\boolean{DIN-A5}}
280     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
281     {\maketitle}
282 }
283 {\maketitle}
284
285
286 % improved handling of long (outstanding) lines
287 \T\setlength\emergencystretch{3em} \tolerance=1000
288
289
290 \T\section*{Impressum}
291 \W\chapter*{Impressum}\\
292
293 \thispagestyle{empty}
294 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
295 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
296 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
297 Eindruck eines Zusammenhanges
298 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
299 werden.}\\
300 Copyright \copyright{} 2005 g10 Code GmbH\\
301 Copyright \copyright{} 2009, 2010 Intevation GmbH
302
303 Permission is granted to copy, distribute and/or modify this document
304 under the terms of the GNU Free Documentation License, Version 1.2 or
305 any later version published by the Free Software Foundation; with no
306 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
307 copy of the license is included in the section entitled "`GNU Free
308 Documentation License"'.
309
310 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
311 oben stehenden Hinweises.]}\\
312 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
313 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
314 Documentation License, Version 1.2 oder einer späteren, von der Free
315 Software Foundation veröffentlichten Version.  Es gibt keine
316 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
317 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
318 License"' findet sich im Anhang mit dem gleichnamigen Titel.
319 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
320 http://www.gnu.org/licenses/translations.html.
321
322
323
324 \clearpage
325 \chapter*{Über dieses Kompendium}
326 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
327
328 Das Gpg4win-Kompendium besteht aus drei Teilen:
329
330 \begin{itemize}
331 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
332     Schnelleinstieg in Gpg4win.
333
334 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
335     Fortgeschrittene"'}:
336     Das Hintergrundwissen zu Gpg4win.
337
338 \item \textbf{Anhang}: Weiterführende technische Informationen zu
339     Gpg4win.\\
340 \end{itemize}
341
342 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
343 und knapp durch die Installation und die alltägliche Benutzung der
344 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
345 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
346 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
347 vertraut im Umgang mit Gpg4win gemacht haben.
348
349 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
350 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
351 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
352
353 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
354 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
355 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
356 erläutert.
357
358 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
359 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
360 angegebenen Reihenfolge lesen.\\
361
362 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
363 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
364 GpgOL.\\
365
366 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
367 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
368 geschrieben, sondern \textbf{für jedermann.}\\
369
370 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
371 verfügbar unter: \\
372 \uniurl{http://www.gpg4win.de}
373
374 \clearpage
375 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
376
377 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
378 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
379         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
380         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
381         eckige Klammern benutzt.
382
383         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
384         wenn deren Bedeutung in einem Satz betont, das
385         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
386         werden soll (z.B.: \textit{nur} OpenPGP).
387
388     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
389         die besonders wichtig und damit hervorzuheben sind.  Diese
390         Auszeichnung unterstützt den Leser bei der schnelleren
391         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
392         Passagen.
393
394     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
395         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
396         von Kommandozeilen) verwendet.
397 \end{itemize}
398
399 \cleardoublepage
400 \T\pdfbookmark[0]{\contentsname}{toc}
401 \tableofcontents
402
403 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
404 % Part I
405 \clearpage
406 \T\part{Für Einsteiger}
407 \W\part*{\textbf{I Für Einsteiger}}
408 \label{part:Einsteiger}
409 \addtocontents{toc}{\protect\vspace{0.3cm}}
410 \addtocontents{toc}{\protect\vspace{0.3cm}}
411
412
413 \chapter{Gpg4win -- Kryptografie für alle}
414 \index{Kryptografie}
415
416 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
417 \begin{quote}
418     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
419 mit Computer-Programmen und Handbüchern zur \Email{}- und
420 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
421 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
422 und die in Gpg4win enthaltenen Programme sind Freie
423 Software.}
424
425 \end{quote}
426
427 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
428 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
429 Gpg4win umfasst in Version 2 die folgenden Programme:
430
431 \begin{itemize}
432     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
433         Gpg4win -- die eigentliche Verschlüsselungs-Software.
434     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
435         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
436         Gpg4win, die für eine einheitliche Benutzerführung bei allen
437         kryptografischen Operationen sorgt.  
438     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
439         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
440         von Zertifikaten neben Kleopatra.
441     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
442         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
443         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
444         verschlüsseln.
445    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
446        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
447        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
448        über das Kontextmenü signieren bzw.  verschlüsseln kann.
449     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
450         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
451 \end{itemize}
452
453 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
454 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
455 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
456 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
457 sicher und kann nach dem heutigen Stand von Forschung und Technik
458 nicht gebrochen werden.
459
460 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
461 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
462 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
463 kann und darf den Quellcode der Programme untersuchen und -- sofern er
464 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
465 diese weitergeben.
466
467 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
468 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
469 lässt sich die Vertrauenswürdigkeit der Programmierung und des
470 Programmes wirklich prüfen.
471
472 GnuPG basiert auf dem internationalen Standard
473 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), ist vollständig kompatibel
474 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
475 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
476 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
477 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
478
479 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
480 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
481 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
482 mehr dem Stand der Technik.
483
484 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
485 Wirtschaft und Technologie \index{Bundesministerium für
486 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
487 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
488 Bundesamt für Sicherheit in der Informationstechnik (BSI)
489 \index{Bundesamt für Sicherheit in der Informationstechnik}
490 unterstützt.
491
492 Weitere Informationen zu GnuPG und weiteren Projekten der
493 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
494 \uniurl[www.bsi.de]{http://www.bsi.de} und
495 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
496 Bundesamtes für Sicherheit in der Informationstechnik.
497
498
499 \clearpage
500 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
501 \label{ch:why}
502 \index{Briefumschlag}
503
504 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
505 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
506 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
507 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
508 jedermann frei und kostenlos zugänglich.
509
510 \htmlattributes*{img}{width=300}
511 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
512
513 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
514 um rund um den Globus miteinander zu kommunizieren und uns zu
515 informieren. Aber Rechte und Freiheiten, die in anderen
516 Kommunikationsformen längst selbstverständlich sind, muss man sich in
517 den neuen Technologien erst sichern. Das Internet ist so schnell und
518 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
519 Rechte noch nicht so recht nachgekommen ist.
520
521 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
522 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
523 Umschlag schützt die Nachrichten vor fremden Blicken, eine
524 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
525 nicht so wichtig ist, schreibt man es auf eine ungeschützte
526 Postkarte, die auch der Briefträger oder andere lesen können.
527
528 \clearpage
529 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
530 Sie selbst und niemand sonst.
531
532 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
533 \Email{} ist immer offen wie eine Postkarte, und der elektronische
534 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
535 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
536 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
537 zu verteilen, sondern sie auch zu kontrollieren.
538
539 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
540 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
541 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
542 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
543 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
544 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
545 Wikipedia über das 
546 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
547 \index{Echelon-System}
548 liefert dazu interessantes Hintergrundwissen.
549
550 Denn: der Umschlag fehlt.
551
552 \htmlattributes*{img}{width=300}
553 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
554
555 \clearpage
556 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
557 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
558 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
559 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
560 für wichtig und schützenswert halten oder nicht.
561
562 Das ist der Kern des Rechts auf Brief-, Post- und
563 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
564 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
565 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
566 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
567 ist Ihr gutes Recht.
568
569 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
570 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
571 bekannten Mittel zu knacken. In vielen Ländern waren starke
572 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
573 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
574 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
575 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
576 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
577 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
578 in aller Welt als eine praktikable und sichere Software angesehen.
579
580 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
581 Hand.}
582
583 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
584 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
585 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
586 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
587 dieses Vorgehen Schritt für Schritt erläutern.
588
589
590 \clearpage
591 \chapter{So funktioniert Gpg4win}
592 \label{ch:FunctionOfGpg4win}
593 Das Besondere an Gpg4win und der zugrundeliegenden
594 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
595 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
596 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
597
598 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
599 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
600 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
601 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
602 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
603 Vertrauen in die Sicherheit von Gpg4win gewinnen.
604
605 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
606 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
607 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
608 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
609 knacken sind.
610
611 \clearpage
612 \subsubsection{Der Herr der Schlüsselringe}
613 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
614 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
615 nur einmal gibt und den man ganz sicher aufbewahrt.
616
617 \htmlattributes*{img}{width=300}
618 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
619
620 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
621 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
622 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
623 man den Schlüssel mindestens genauso gut absichern, wie das zu
624 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
625 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
626 werden.
627
628 \clearpage
629 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
630 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
631 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
632 dazu auch sehr fehleranfällig.
633
634 \htmlattributes*{img}{width=300}
635 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
636
637 Das Grundproblem bei der "`gewöhnlichen"' geheimen
638 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
639 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
640 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
641 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
642 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
643
644 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
645 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
646 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
647 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
648 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
649 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
650 abgefangen werden darf.
651
652
653 \clearpage
654 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
655 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
656 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
657 von einem "`Public-Key"'-Verschlüsselungssystem.
658
659 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
660 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
661 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
662 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
663 Zertifikat)~-- und den darf sowieso jeder kennen.
664
665 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
666 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
667 Schlüsselteile sind durch eine komplexe mathematische Formel
668 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
669 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
670 anderen zu berechnen und damit das Verfahren zu knacken. 
671
672 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
673
674 \htmlattributes*{img}{width=300}
675 \IncludeImage[width=0.5\textwidth]{verleihnix}
676
677
678 \clearpage
679 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
680 ist recht einfach:
681
682 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
683 key'' oder ,,private key'') muss geheim gehalten werden.
684
685 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
686 öffentlich wie möglich gemacht werden.
687
688 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
689
690 \bigskip
691
692 \begin{quote}
693     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
694 \end{quote}
695
696 \htmlattributes*{img}{width=300}
697 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
698
699 \begin{quote}
700     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
701 \end{quote}
702
703
704 \clearpage
705 \subsubsection{Der öffentliche Brieftresor}
706 \index{Brieftresor}
707
708 In einem kleinen Gedankenspiel wird die Methode des
709 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
710 Verschlüsselung\index{Symmetrische Verschlüsselung}
711 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
712 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
713
714 \bigskip
715
716 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
717
718 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
719 auf, über den Sie geheime Nachrichten übermitteln wollen.
720
721 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
722 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
723 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
724 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
725 Tresor.
726
727 \htmlattributes*{img}{width=300}
728 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
729
730 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
731 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
732 zuschließen und eine geheime Nachricht deponieren zu können.
733
734 \clearpage
735 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
736 Wege übergeben.
737
738 \bigskip
739 \bigskip
740
741 \htmlattributes*{img}{width=300}
742 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
743
744 \clearpage
745 Erst wenn der andere den geheimen Schlüssel hat, kann er den
746 Brieftresor öffnen und die geheime Nachricht lesen.
747
748 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
749 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
750 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
751 austauschen wie die Botschaft selbst.
752
753 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
754 gleich die geheime Mitteilung übergeben ...
755
756 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
757 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
758 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
759 könnten.
760
761 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
762
763 \htmlattributes*{img}{width=300}
764 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
765
766 \clearpage
767 \textbf{Nun zur "`Public-Key"'-Methode:}
768
769 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
770 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
771 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
772 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
773 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
774 \index{Asymmetrische Verschlüsselung}
775
776 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
777
778 \htmlattributes*{img}{width=300}
779 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
780
781 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
782 öffentlicher Schlüssel.
783
784 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
785 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
786 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
787 frei zugänglich.
788
789 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
790 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
791 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
792 nachträglich zu verändern.
793
794 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
795
796 Aufschließen kann man den Brieftresor nur mit einem einzigen
797 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
798
799 \clearpage
800 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
801 kann eine \Email{} an Sie verschlüsseln. 
802
803 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
804 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
805 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
806 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
807
808 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
809
810 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
811 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
812 verfügbaren Schlüssel.
813
814 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
815 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
816 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
817 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
818 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
819 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
820 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
821 und die Nachricht lesen.
822
823 \T\enlargethispage{2\baselineskip}
824
825 \htmlattributes*{img}{width=300}
826 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
827
828 \clearpage
829 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
830 einen geheimen Schlüssel!?
831
832 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
833 allerdings ein gewaltiger:
834
835 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
836 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
837 Übergabe entfällt, sie verbietet sich sogar.
838
839 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
840 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
841 geheimes Codewort.
842
843 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
844 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
845 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
846 bringen kann.
847
848 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
849 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
850 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
851 eigenen Gedächtnis.
852
853 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
854 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
855 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
856
857
858 \clearpage
859 \chapter{Die Passphrase}
860 \label{ch:passphrase}
861 \index{Passphrase}
862
863 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
864 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
865 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
866 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
867 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
868 "`ganzen"' Kryptografieverfahrens.
869
870 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
871 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
872 diese Datei auszuschließen, wird sie zweifach gesichert:
873
874 \htmlattributes*{img}{width=300}
875 \IncludeImage[width=0.5\textwidth]{think-passphrase}
876
877 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
878 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
879 der Administrator des Computers immer auf alle Dateien zugreifen kann,
880 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
881 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
882
883 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
884 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
885 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
886 "`im Kopf"' behalten und niemals aufschreiben müssen.
887
888 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
889 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
890 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
891 und nur sehr schwer zu erratende Passphrase ausdenken können.
892
893 \clearpage
894 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
895
896 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
897
898 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
899
900 $\qquad$\verb-nieufdahnlnr- 
901 \texttt{\scriptsize{(Ei\textbf{n}
902 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
903 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
904 Ko\textbf{r}n.)}}
905
906 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
907 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
908 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
909 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
910 kann diese Passphrase niemand.
911
912 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
913 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
914 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
915 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
916 einem für Sie wichtigen Lied.
917
918 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
919 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
920 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
921 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
922 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
923 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
924 einer deutschen Tastatur finden.
925
926 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
927 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
928 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
929
930 $\qquad$\verb-In München steht ein Hofbräuhaus.-
931
932 könnte man beispielsweise diese Passphrase machen:
933
934 $\qquad$\verb-inMinschen stet 1h0f breuhome-
935
936 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
937 sich aber doch merken können, wie z.B.:
938
939 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
940
941 $\qquad$\verb-Taschengeld, auch im Winter.-
942
943 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
944 geheimen Schlüssel.
945
946 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
947 z.B. so:
948
949 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
950
951 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
952 eine noch kürzere Passphrase verwenden, indem Sie hier und da
953 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
954 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
955 vergessen, wird dabei größer.
956
957 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
958 sichere Passphrase ist dieses hier:
959
960 $\qquad$\verb-R!Qw"s,UIb *7\$-
961
962 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
963 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
964 für die Erinnerung hat.
965
966 \clearpage
967 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
968 sie ...
969
970 \begin{itemize}
971     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
972         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
973         wäre damit bereits einer anderen, möglicherweise unsicheren
974         Software bekannt.  Falls hier ein Hacker erfolgreich
975         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
976
977     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
978         können in Minutenschnelle komplette digitale Wörterbücher über
979         ein Passwort laufen lassen -- bis eines der Wörter passt.
980
981     \item ... aus einem Geburtsdatum, einem Namen oder anderen
982         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
983         zu entschlüsseln, wird sich diese Daten beschaffen.
984
985     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
986         enden"' oder "`to be or not to be"'. Auch mit derartigen
987         gängigen Zitaten testen Passphrase-Knackprogramme eine
988         Passphrase.
989
990     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
991         besteht.  Denken Sie sich unbedingt eine längere Passphrase
992         aus.
993 \end{itemize}
994
995 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
996 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
997 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
998 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
999 nicht eines dieser Beispiele genommen haben.
1000
1001 \bigskip
1002
1003 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
1004 Unvergesslich und unknackbar.
1005
1006 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1007 Erzeugung Ihres Schlüsselpaars benötigen.
1008
1009 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1010 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1011 Nachrichten schicken will, auch tatsächlich echt ist.
1012
1013
1014 \clearpage
1015 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1016 \label{ch:openpgpsmime}
1017 \index{OpenPGP} \index{S/MIME}
1018
1019 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1020 wie man ihn mit den Mitteln der modernen Informationstechnologie
1021 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1022 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1023 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1024 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1025
1026 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1027 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1028 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1029 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1030 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1031 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1032 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1033 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1034 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1035 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1036 -- die \textbf{Authentizität}. \index{Authentizität}
1037
1038 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1039 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1040 Alltagsleben dient zu dieser
1041 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1042 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1043 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1044 Institution von einer übergeordneten Behörde und letztendlich vom
1045 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1046 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1047 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1048 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1049
1050 Dieses Konzept findet sich bei Gpg4win oder anderen
1051 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1052 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1053 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1054 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1055 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1056 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1057 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1058 können Sie mit Gpg4win beide Verfahren einsetzen.
1059
1060
1061 \clearpage
1062 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1063 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1064 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1065 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1066 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1067 wiederum mit dem Zertifikat einer höher stehenden Organisation
1068 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1069 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1070 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1071 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1072 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1073 das Anwenderzertifikat.
1074
1075 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1076 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1077 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1078 \index{Web of Trust}
1079 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1080 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1081 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1082 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1083 dieser Schlüssel durch A beglaubigt wurde.
1084
1085 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1086 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1087 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1088 Zertifikat Ihres Kommunikationspartners vertrauen.
1089
1090 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1091 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1092 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1093 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1094 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1095 installieren und die folgenden Kapitel zu verstehen:
1096
1097 \begin{itemize}
1098     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1099         bieten die notwendige Sicherheit.
1100     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1101         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1102         geheimen Kommunikation. Man sagt somit, sie sind nicht
1103         interoperabel.
1104     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1105         beider Verfahren -- Sie müssen sich aber bei jeder
1106         Verschlüsselung/Signierung für eines der beiden entscheiden.
1107 \end{itemize}
1108
1109 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1110 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1111 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1112 zusammen.
1113
1114 \begin{latexonly} %no hyperlatex
1115 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1116 Symbolen auf die beiden Alternativen hin:
1117
1118 \begin{center}
1119 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1120 \hspace{1cm}
1121 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1122 \end{center}
1123 \end{latexonly}
1124
1125
1126 \clearpage
1127 \chapter{Installation von Gpg4win}
1128 \index{Installation}
1129
1130 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1131 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1132 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1133 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1134 sollten Sie schon wissen, was vor sich geht.
1135
1136 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1137 Schlüsselpaar einzurichten.
1138
1139 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1140 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1141 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1142 vorhandenen Zertifikate übernehmen können.
1143
1144 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1145 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1146 Windows-Betriebssystem. 
1147
1148 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1149 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1150 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1151 Installation klicken Sie nach dem Download auf die Datei:
1152
1153 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1154
1155 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1156 klicken Sie auf das Installations-Icon "`Gpg4win"'.
1157 Die weitere Installation ist dann identisch.
1158
1159 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1160 mit \Button{Ja}.
1161
1162 \clearpage
1163 Der Installationsassistent startet und befragt Sie zuerst nach der
1164 Sprache für den Installationsvorgang:
1165
1166 % screenshot: Installer Sprachenauswahl
1167 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1168
1169 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1170
1171 Anschließend begrüßt Sie dieser Willkommensdialog:
1172
1173 % screenshot: Installer Willkommensseite
1174 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1175
1176 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1177 Sie dann auf \Button{Weiter}.
1178
1179 \clearpage
1180 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1181 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1182 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1183 sofort tun -- auch ohne die Lizenz zu lesen.
1184
1185 % screenshot: Lizenzseite des Installers
1186 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1187
1188 Klicken Sie auf \Button{Weiter}.
1189
1190 \clearpage
1191 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1192 entscheiden, welche Programme Sie installieren möchten.
1193
1194 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1195 Komponenten auch später installieren. 
1196
1197 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1198 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1199 Festplatten-Platzes aller ausgewählten Komponenten.
1200
1201 % screenshot: Auswahl zu installierender Komponenten
1202 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1203
1204 Klicken Sie auf \Button{Weiter}.
1205
1206 \clearpage
1207 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1208 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1209
1210 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1211 in dem Sie Gpg4win installieren wollen.
1212
1213 % screenshot: Auswahl des Installationsverzeichnis.
1214 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1215
1216 Klicken Sie anschließend auf \Button{Weiter}.
1217
1218 \clearpage
1219 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1220 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1221 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1222 verändern.
1223
1224 % screenshot: Auswahl der Startlinks
1225 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1226
1227 Klicken Sie anschließend auf \Button{Weiter}.
1228
1229 \clearpage
1230 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1231 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1232 dieses Startmenüs festlegen oder einfach übernehmen.
1233
1234 % screenshot:  Startmenu auswählen
1235 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1236
1237 Klicken Sie dann auf \Button{Installieren}.
1238
1239 \clearpage
1240 Während der nun folgenden \textbf{Installation} sehen Sie einen
1241 Fortschrittsbalken und Informationen, welche Datei momentan
1242 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1243 drücken, um ein Protokoll der Installation sichtbar zu machen.
1244
1245 % screenshot: Ready page Installer
1246 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1247
1248 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1249 \Button{Weiter}.
1250
1251 \clearpage
1252 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1253 Installationsvorgangs angezeigt:
1254
1255 % screenshot: Finish page Installer
1256 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1257
1258 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1259 wichtige Informationen zu der soeben installierten Gpg4win-Version
1260 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1261 deaktivieren Sie diese Option.
1262
1263 Klicken Sie schließlich auf \Button{Fertig stellen}.
1264
1265 \clearpage
1266 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1267 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1268
1269 % screenshot: Finish page Installer with reboot
1270 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1271
1272 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1273 gestartet werden soll.
1274
1275 Klicken Sie auf \Button{Fertig stellen}.
1276
1277 %TODO: NSIS-Installer anpassen, dass vor diesem
1278 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1279 %erscheint.
1280 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1281 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1282 über das Startmenü:\\
1283 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$Gpg4win README}
1284
1285 \clearpage
1286 \textbf{Das war's schon!}
1287
1288 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1289 ersten Mal starten.
1290
1291 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1292 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1293 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1294 von Gpg4win"' weiter.
1295
1296
1297 \clearpage
1298 \chapter{Erstellung eines Zertifikats}
1299 \label{ch:CreateKeyPair}
1300 \index{Zertifikat!erstellen}
1301 \index{Schlüssel!erzeugen}
1302
1303 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1304 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1305 Schutz Ihres geheimen Schlüssels entsteht
1306 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1307 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1308
1309 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1310 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1311 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1312 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1313 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1314 Schlüssel.
1315
1316 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1317 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1318 "`X.509"'\index{X.509}).
1319
1320 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1321 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1322
1323 \T\marginOpenpgp
1324 Genau das können Sie tun -- allerdings nur für OpenPGP:
1325
1326 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1327 \index{Beglaubigung} entscheiden,
1328 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1329 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1330 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1331
1332 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1333 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1334 wird danach kein Problem mehr sein.
1335
1336 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1337 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP\index{GnuPP}
1338 stammt und bis auf Weiteres in Betrieb ist. Wir
1339 bedanken uns bei den Inhabern von gnupp.de für den Betrieb von Adele.
1340 Leider können haben Wir keinen Einfluss auf den Betrieb von Adele und
1341 können nicht gewährleisten, dass Sie antwortet. Uns sind manche Probleme
1342 mit Adele bekannt, bevor Sie mit ihr arbeiten, schauen Sie bitte unter
1343 \url{https://wiki.gnupg.org/EmailExercisesRobot} nach.
1344 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1345 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1346 machen. Doch dazu später mehr.
1347
1348 \clearpage
1349 \textbf{Los geht's!}
1350 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1351
1352 % screenshot Startmenu with Kleopatra highlighted
1353 \htmlattributes*{img}{width=400}
1354 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1355
1356 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra} --
1357 die Zertifikatsverwaltung:
1358 \index{Zertifikatsverwaltung}
1359
1360 % screenshot: Kleopatra main window
1361 \htmlattributes*{img}{width=508}
1362 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1363
1364 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1365 Zertifikate erstellt (oder importiert) haben. 
1366
1367 \clearpage
1368 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1369
1370 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1371 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1372 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1373 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1374 Kapitel~\ref{ch:openpgpsmime} erläutert.
1375
1376 \label{chooseCertificateFormat}
1377 % screenshot: Kleopatra - New certificate - Choose format
1378 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1379
1380 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1381 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1382 zusammen.
1383
1384 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1385 haben, lesen Sie nun also bitte entweder:
1386 \begin{itemize}
1387     \item Abschnitt \ref{createKeyPairOpenpgp}:
1388         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1389         Seite) oder
1390     \item Abschnitt \ref{createKeyPairX509}:
1391         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1392         \pageref{createKeyPairX509}).
1393 \end{itemize}
1394
1395
1396
1397 \clearpage
1398 \section{OpenPGP-Zertifikat erstellen}
1399 \label{createKeyPairOpenpgp}
1400 \index{OpenPGP!Zertifikat erstellen}
1401
1402 \T\marginOpenpgp
1403 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1404 OpenPGP-Schlüsselpaar erzeugen}.
1405
1406
1407 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1408 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1409 sichtbar.
1410
1411 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1412 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1413 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1414 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1415 Name und die \Email{}-Adresse später öffentlich sichtbar.
1416
1417 % screenshot: Creating OpenPGP Certificate - Personal details
1418 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1419
1420 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1421 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1422 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1423 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1424
1425 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1426 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1427 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1428 informieren.
1429
1430 Klicken Sie auf \Button{Weiter}.
1431
1432 \clearpage
1433 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1434 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1435 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1436 über die Option \Menu{Alle Details} einsehen.
1437
1438 % screenshot: Creating OpenPGP Certificate - Review Parameters
1439 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1440
1441 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1442 erzeugen}.
1443
1444 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1445 \textbf{Passphrase}!
1446
1447 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1448 Passphrase eingeben:
1449
1450 % screenshot: New certificate - pinentry
1451 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1452
1453 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1454 jetzt eine einfach zu merkende und schwer zu knackende geheime
1455 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1456 ein!
1457
1458 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1459 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1460
1461 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1462 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1463 hingewiesen.
1464
1465 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1466 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1467
1468 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1469 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1470 \Button{OK}.
1471
1472 \clearpage
1473 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1474 % screenshot: Creating OpenPGP Certificate - Create Key
1475 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1476
1477 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1478 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1479 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1480 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1481 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1482 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1483 Qualität des erzeugten Schlüsselpaars.
1484
1485 \clearpage
1486 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1487 erhalten Sie folgenden Dialog:
1488
1489 % screenshot: Creating OpenPGP certificate - key successfully created
1490 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1491
1492 Im Ergebnis-Textfeld wird der 40-stellige
1493 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1494 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1495 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1496 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1497 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1498 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1499 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1500 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1501 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1502 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1503 der Fingerabdruck einer Person.
1504
1505 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1506 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1507 sich ihn jederzeit später anzeigen lassen.
1508
1509 \clearpage
1510 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1511 folgenden drei Schaltflächen betätigen:
1512
1513 \begin{description}
1514
1515 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1516     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1517     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1518     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1519
1520     % screenshot: New OpenPGP certificate - export key
1521     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1522
1523     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1524     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1525     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1526     "`ASCII armor"') ein- bzw. ausschalten.
1527
1528     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1529
1530     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1531     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1532     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1533     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1534     belassen!  Bewahren Sie diesen Datenträger mit der
1535     Sicherheitskopie sicher auf.
1536
1537     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1538     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1539     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1540     Kapitel \ref{ch:ImExport}).
1541
1542 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1543     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1544     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1545     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1546     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1547     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1548
1549     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1550     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1551     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1552     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1553     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1554     und versenden diese Datei per \Email{} an Ihre
1555     Korrespondenzpartner. Weitere Details finden Sie im
1556     Abschnitt~\ref{sec_publishPerEmail}.
1557
1558 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1559     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1560     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1561     auf diesem Server veröffentlichen, erfahren Sie in
1562     Kapitel~\ref{ch:keyserver}.
1563
1564 \end{description}
1565
1566 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1567 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1568
1569 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1570 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1571 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1572
1573
1574 \clearpage
1575 \section{X.509-Zertifikat erstellen}
1576 \label{createKeyPairX509}
1577 \index{X.509!Zertifikat erstellen}
1578
1579 \T\marginSmime
1580 Klicken Sie im Zertifikatsformat-Auswahldialog von
1581 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1582 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1583 erstellen}.
1584
1585
1586 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1587 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1588 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1589 = locality) und Abteilung (OU = organizational unit) ergänzen.
1590
1591 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1592 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1593 Organisation sowie Ländercode und geben irgendeine ausgedachte
1594 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1595 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1596
1597 % screenshot: New X.509 Certificate - Personal details
1598 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1599
1600 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1601 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1602 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1603 informieren.
1604
1605 Klicken Sie auf \Button{Weiter}.
1606
1607 \clearpage
1608 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1609 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1610 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1611 über die Option \Menu{Alle Details} einsehen.
1612
1613 % screenshot: New X.509 Certificate - Review Parameters
1614 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1615
1616 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1617
1618 \clearpage
1619 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1620
1621 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1622 Passphrase einzugeben:
1623
1624 % screenshot: New X.509 certificate - pinentry
1625 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1626
1627 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1628 jetzt eine einfach zu merkende und schwer zu knackende geheime
1629 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1630 ein!
1631
1632 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1633 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1634
1635 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1636 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1637 hingewiesen.
1638
1639 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1640 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1641
1642 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1643 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1644 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1645 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1646 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1647 \Button{OK}.
1648
1649 \clearpage
1650 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1651 % screenshot: New  X.509 Certificate - Create Key
1652 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1653
1654 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1655 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1656 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1657 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1658 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1659 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1660 Qualität des erzeugten Schlüsselpaars.
1661
1662 \clearpage
1663 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1664 erhalten Sie folgenden Dialog:
1665
1666 % screenshot: New X.509 certificate - key successfully created
1667 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1668
1669 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1670
1671 \begin{description}
1672
1673 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1674     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1675     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1676     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1677     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1678     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1679     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1680     die kostenlos X.509-Zertifikate ausstellt.
1681
1682 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1683     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1684     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1685     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1686     den vorbereiteten Text dieser \Email{}.
1687
1688     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1689     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1690     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1691     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1692     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1693     Authority, CA).
1694
1695     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1696     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1697     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1698     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1699
1700 \end{description}
1701
1702 Beenden Sie anschließend den Kleopatra-Assistenten mit
1703 \Button{Fertigstellen}.
1704
1705
1706 \clearpage
1707 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1708
1709 \T\marginSmime
1710 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1711 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1712 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1713 für ihre Zertifikate erheben.
1714
1715 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1716 müssen Sie sich zunächst bei
1717 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1718
1719 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1720 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1721 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1722 sichere Pass\-phrase für Ihr Zertifikat fest.
1723
1724 Ihr Client-Zertifikat wird nun erstellt.
1725
1726 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1727 neu erstellten X.509-Zertifikat und dem dazugehörigen
1728 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1729
1730 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1731 Browser. Bei Firefox können Sie danach z.B. über
1732 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1733 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1734 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1735
1736 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1737 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1738 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1739 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1740 Internetseiten von CAcert.
1741
1742 Speichern Sie abschließend eine Sicherungskopie Ihres
1743 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1744 erhält automatisch die Endung \Filename{.p12}.
1745
1746 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1747 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1748 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1749 gelangt.
1750
1751 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1752 erfahren Sie in Kapitel \ref{ch:ImExport}.
1753
1754 ~\\
1755 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1756 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1757 wieder identisch.
1758
1759
1760 \clearpage
1761 \section{Zertifikatserstellung abgeschlossen}
1762 \label{sec_finishKeyPairGeneration}
1763
1764 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1765 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1766 einzigartigen elektronischen Schlüssel.}
1767
1768 Im weiteren Verlauf des Kompendiums wird nur noch ein
1769 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1770 auch entsprechend für ein X509-Zertifikat.
1771
1772 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1773
1774 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1775 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1776 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1777
1778 % screenshot: Kleopatra with new openpgp certificate
1779 \htmlattributes*{img}{width=508}
1780 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1781
1782 \clearpage
1783 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1784 sehen zu können:
1785
1786 % screenshot: details of openpgp certificate
1787 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1788
1789 Was bedeuten die einzelnen Zertifikatsdetails?
1790
1791 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1792 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1793 Sie auf \Button{Ablaufdatum ändern}.
1794
1795 \textbf{Weitere Details zum Zertifikat finden Sie im
1796 Kapitel~\ref{ch:CertificateDetails}.}
1797
1798
1799 \clearpage
1800 \chapter{Verbreitung des öffentlichen Zertifikats}
1801 \label{ch:publishCertificate}
1802 \index{Zertifikat!verbreiten}
1803
1804 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1805 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1806 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1807 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1808 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1809 Geheimhaltung bereits erledigt.
1810
1811 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1812 können und sollen öffentliche Zertifikate von Ihren
1813 Korrespondenzpartnern haben -- je mehr, desto besser.
1814
1815 Denn:
1816
1817 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1818 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1819 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1820 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1821 der Zertifikatsverwaltung Kleopatra.}
1822
1823 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1824 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1825 benutzen.
1826
1827 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1828 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1829 benutzen.
1830
1831 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1832 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1833 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1834 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1835 beispielsweise ...
1836
1837 \begin{itemize}
1838     \item ... direkt per \textbf{\Email{}} an bestimmte
1839     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1840     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1841         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1842     \item ... über die eigene Homepage.
1843     \item ... persönlich, z.B. per USB-Stick.
1844 \end{itemize}
1845
1846 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1847 Seiten näher anschauen.
1848
1849 \clearpage
1850 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1851 \label{sec_publishPerEmail}
1852
1853 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1854 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1855 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1856 erfahren Sie in diesem Abschnitt.\\ 
1857
1858 \T\marginOpenpgp
1859 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1860 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1861 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1862 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1863 Seite~\pageref{publishPerEmailx509}.
1864
1865 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1866 zwanglos korrespondieren können. Bitte beachten Sie, dass Adele
1867 eventuell nicht antwortet. Falls Sie nicht antwortet, üben Sie lieber
1868 mit einem Menschen. Weil man gewöhnlich mit einer klugen
1869 und netten jungen Dame lieber korrespondiert als mit einem Stück
1870 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1871 Adele so vorstellen:
1872
1873 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1874 \IncludeImage[width=0.5\textwidth]{adele01}
1875
1876 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1877 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1878 eine verschlüsselte \Email{} an Sie zurück.
1879
1880 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1881 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1882 legt Adele ihr eigenes öffentliches Zertifikat bei.
1883
1884 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1885 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1886 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1887 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1888 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1889
1890 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1891 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1892 den nächsten Seiten.
1893
1894
1895 \clearpage
1896 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1897 \index{Zertifikat!exportieren}
1898
1899 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1900 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1901 Zertifikate) und klicken Sie dann auf
1902 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1903 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1904 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1905 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1906 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1907 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1908 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1909
1910 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1911 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1912 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1913 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1914
1915 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1916 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1917 Exportieren angegeben haben.
1918
1919 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1920 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1921 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1922 ziemlich wirrer Text- und Zahlenblock:
1923 \T\enlargethispage{\baselineskip}
1924
1925 % screenshot: Editor mit ascii armored key
1926 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1927
1928 \clearpage
1929 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1930 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1931 versenden kann oder nicht.
1932
1933 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1934 \Email{}-Text versenden}
1935
1936 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1937 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1938 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1939 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1940 Zertifikat eigentlich besteht.
1941
1942 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1943 Zertifikat von
1944
1945 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1946 bis\\
1947 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1948
1949 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1950 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1951 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1952 kopiert.
1953
1954 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1955 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1956 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1957 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1958 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1959
1960 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1961 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1962 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1963 \ref{appendix:gpgol}).
1964
1965 \textbf{Adressieren} Sie nun diese \Email{} an
1966 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1967 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1968
1969 \clearpage
1970 So etwa sollte Ihre \Email{} nun aussehen:
1971
1972 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1973 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1974
1975 Schicken Sie die \Email{} an Adele ab.
1976
1977 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1978 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1979 Sie nie Antwort von Adele bekommen ...
1980
1981 \clearpage
1982 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1983 versenden}
1984
1985 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1986 öffentliches OpenPGP-Zertifikat auch direkt als
1987 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1988 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1989 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1990 leichter nachzuvollziehen ist.
1991
1992 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1993 der Zertifikatsdatei im Anhang:
1994
1995 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1996 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1997 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1998 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1999 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
2000 Dateianhang}.
2001
2002 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
2003 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
2004 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
2005
2006 Ihre fertige \Email{} sollte dann etwa so aussehen:
2007 \T\enlargethispage{2\baselineskip}
2008
2009 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
2010 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
2011
2012 Senden Sie nun die \Email{} mit Anhang an Adele ab.
2013
2014 \clearpage
2015 \subsubsection{Kurz zusammengefasst}
2016
2017 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
2018 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
2019 direkt in eine \Email{} kopiert und einmal die komplette Datei als
2020 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
2021 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
2022
2023 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
2024 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
2025 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
2026 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
2027 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
2028 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
2029
2030 \clearpage
2031 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
2032 \label{sec_publishPerKeyserver}
2033
2034 \T\marginOpenpgp
2035 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
2036 einen OpenPGP-Zertifikats\-server verbreiten.}
2037
2038 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
2039 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
2040 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
2041 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
2042 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
2043 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
2044 Korrespondenzpartner.
2045
2046 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
2047 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
2048 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
2049 Spam-Schutz.
2050
2051 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
2052 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
2053 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
2054
2055 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
2056 eine Warnmeldung:
2057
2058 % screenshot: Kleopatra keyserver export warning
2059 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2060
2061 Es ist der öffentliche OpenPGP-Zertifikatsserver
2062 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2063 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2064 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2065 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2066 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2067 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2068 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2069
2070 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2071 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2072 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2073 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2074 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2075 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2076
2077 \clearpage
2078 \subsubsection{Kurz zusammengefasst}
2079 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2080 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2081
2082 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2083 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2084 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2085 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2086
2087
2088 \clearpage
2089 \section{Veröffentlichen von X.509-Zertifikaten}
2090 \label{publishPerEmailx509}
2091
2092 \T\marginSmime
2093 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2094 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2095 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2096 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2097 Zertifikatsverwaltung importiert werden.
2098
2099 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2100 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2101 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2102 oder testweise an sich selbst schreiben.
2103
2104 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2105 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2106 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2107 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2108
2109 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2110 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2111 markieren und in einer Datei
2112 abspeichern -- in der Regel also Wurzelzertifikat,
2113 CA-Zertifikat\index{CA-Zertifikat} und
2114 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2115
2116 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2117 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2118 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2119 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2120 Zertifikate gemeinsam in eine Datei.
2121
2122 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2123 muss er diesem das Vertrauen aussprechen bzw. durch einen
2124 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2125 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2126 der selben  "`Wurzel"' gehören), dann besteht diese
2127 Vertrauensstellung bereits.
2128
2129
2130 \clearpage
2131 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2132 \label{ch:decrypt}
2133 \index{E-Mail!entschlüsseln}
2134
2135 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2136 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2137
2138 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2139 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2140 GpgOL entschlüsseln. \index{Outlook}
2141
2142 \T\marginOpenpgp
2143 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2144 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2145 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2146 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2147 \pageref{encrypt-smime}.
2148
2149 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2150 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2151 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2152 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2153
2154 \T\enlargethispage{\baselineskip}
2155
2156 % cartoon: Adele typing and sending a mail
2157 \IncludeImage[width=0.5\textwidth]{adele02}
2158
2159 \clearpage
2160 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2161
2162 Für die meisten \Email{}-Programme gibt es spezielle
2163 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2164 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2165 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2166 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2167 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2168 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2169 lesen oder später, wenn Sie diese Funktion benötigen.
2170
2171 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2172 Adele.
2173
2174 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2175 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2176 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2177 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2178 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2179 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2180 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2181 oder entschlüsseln.
2182
2183 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2184 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2185 verschlüsselt.
2186
2187 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2188 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2189 Passphrase ein.
2190
2191 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2192 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2193
2194 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2195 aufrufen, indem Sie im Menü der geöffneten \Email{}
2196 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2197
2198 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2199
2200 \clearpage
2201 \subsubsection{Die entschlüsselte Nachricht}
2202
2203 Die entschlüsselte Antwort von Adele sieht in etwa so
2204 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2205 etwas unterschiedlich aussehen.}:
2206
2207 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2208 %TODO: Schlüssel -> Zertifikat
2209
2210 \begin{verbatim}
2211 Hallo Heinrich Heine,
2212
2213 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2214
2215 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2216 FE7EEC85C93D94BA und der Bezeichnung
2217 `Heinrich Heine <heinrich@gpg4win.de>'
2218 wurde von mir empfangen.
2219
2220 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2221 dem freundlichen E-Mail-Roboter.
2222
2223 Viele Grüße,
2224 adele@gnupp.de
2225 \end{verbatim}
2226
2227 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2228 Adele.
2229
2230 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2231 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2232 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2233 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2234 \Email{}s verwenden.
2235
2236 \clearpage
2237 \subsubsection{Kurz zusammengefasst}
2238
2239 \begin{enumerate}
2240     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2241         Schlüssel entschlüsselt.
2242     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2243         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2244         können.
2245 \end{enumerate}
2246
2247
2248 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2249 \label{encrypt-smime}
2250
2251 \T\marginSmime
2252 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2253 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2254
2255 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2256
2257 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2258 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2259 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2260 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2261
2262 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2263 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2264 unterstützt nur OpenPGP.
2265
2266 \clearpage
2267 \chapter{Öffentliches Zertifikat importieren}
2268 \label{ch:importCertificate}
2269 \index{Zertifikat!importieren}
2270
2271 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2272 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2273 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2274 auf -- z.B. Kleopatra.
2275
2276 \subsubsection{Öffentliches Zertifikat abspeichern}
2277
2278 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2279 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2280 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2281 \Email{} bekommen haben, gehen Sie wie folgt vor:
2282
2283 \begin{itemize}
2284
2285 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2286     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2287     Ihrem \Email{}-Programm gewohnt sind.
2288
2289 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2290     innerhalb der \Email{} übermittelt, dann müssen Sie das
2291     vollständige Zertifikat markieren:
2292
2293     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2294     von
2295
2296     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2297     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2298
2299     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2300     getan haben.
2301
2302     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2303     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2304     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2305     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2306     \Filename{.pem} oder \Filename{.der} wählen.
2307
2308 \end{itemize}
2309
2310 \clearpage
2311 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2312
2313 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2314 Textblock abgespeichert haben -- in beiden Fällen importieren
2315 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2316
2317 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2318
2319 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2320 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2321 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2322 dem Ergebnis des Importvorgangs:
2323
2324 % screenshot: Kleopatra - certificate import dialog
2325 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2326
2327 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2328 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2329 \Menu{Importierte Zertifikate} von
2330 \Menu{<Pfad-zur-Zertifikatsdatei>}:
2331
2332 % screenshot Kleopatra with new certificate
2333 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2334
2335 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2336 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2337 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2338 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2339
2340 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2341 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2342
2343 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2344 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2345 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2346 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2347 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2348
2349 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2350 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2351 über weltweit erreichbare Zertifikatsserver suchen und importieren
2352 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2353 nachlesen.\\
2354
2355 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2356 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2357 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2358 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2359
2360 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2361 wirklich seinem Absender gehört?
2362
2363 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2364 Kapitel~\ref{ch:trust} erläutert.}
2365
2366 \clearpage
2367 \chapter{Die Zertifikatsprüfung}
2368 \label{ch:trust}
2369
2370 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2371 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2372 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2373 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2374 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2375 Absenderangabe auf einem Briefumschlag.
2376
2377 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2378 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2379 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2380 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2381 Identität des Absenders.
2382
2383 \clearpage
2384 \subsubsection{Der Fingerabdruck}
2385 \index{Fingerabdruck}
2386 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2387 die Sache mit der Identität schnell geregelt: Sie prüfen den
2388 Fingerabdruck des anderen Zertifikats.
2389
2390 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2391 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2392 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2393 "`Fingerabdruck"'.
2394
2395 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2396 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2397 dessen 40-stelligen Fingerabdruck:
2398
2399 % screenshot: GPA key listing with fingerprint
2400 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2401
2402 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2403 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2404
2405 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2406 seinen Besitzer eindeutig.
2407
2408 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2409 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2410 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2411 Sie eindeutig das richtige Zertifikat.
2412
2413 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2414 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2415 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2416 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2417 garantiert authentische Visitenkarte haben, so können Sie sich den
2418 Anruf ersparen.
2419
2420
2421 \clearpage
2422 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2423 \index{Zertifikat!beglaubigen}
2424
2425 \T\marginOpenpgp
2426 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2427 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2428 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2429 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2430 vorbehalten.
2431
2432
2433 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2434 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2435 autentisch -- halten:
2436 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2437 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2438
2439 ~\\
2440 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2441 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2442 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2443 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2444
2445 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2446 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2447
2448 % screenshot: Kleopatra certify certificate 1
2449 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2450
2451 \clearpage
2452 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2453 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2454
2455 % screenshot: Kleopatra certify certificate 2
2456 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2457
2458 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2459 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2460 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2461 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2462 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2463 Verfügung zu stellen.
2464
2465 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2466
2467 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2468 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2469 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2470 abgeschlossen.
2471
2472 \clearpage
2473 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2474
2475 % screenshot: Kleopatra certify certificate 3
2476 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2477
2478 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2479 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2480 Wählen Sie den Reiter
2481 \Menu{Benutzer-Kennungen und
2482 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2483 Beglaubigungen ein}.
2484
2485 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2486 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2487 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2488
2489 \clearpage
2490 \subsubsection{Das Netz des Vertrauens}
2491 \index{Netz des Vertrauens|see{Web of Trust}}
2492 \index{Web of Trust}
2493
2494 \T\marginOpenpgp
2495 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2496 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2497 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2498 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2499 direkt auf Echtheit (Autentizität) zu prüfen.
2500
2501 \htmlattributes*{img}{width=300}
2502 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2503
2504 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2505 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2506 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2507 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2508 Ihnen und niemandem sonst gehört.
2509
2510 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2511 Beglaubigungs-Infra\-struktur.
2512
2513 Eine einzige Möglichkeit ist denkbar, mit der man diese
2514 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2515 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2516 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2517 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2518 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2519 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2520 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2521
2522 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2523 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2524 nicht die Lösung sein~...
2525
2526
2527 \clearpage
2528 \subsubsection{Beglaubigungsinstanzen}
2529 \index{Beglaubigungsinstanzen}
2530 \index{Certificate Authority (CA)}
2531
2532 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2533 vertrauen können. Sie prüfen ja auch nicht persönlich den
2534 Personalausweis eines Unbekannten durch einen Anruf beim
2535 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2536 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2537 beglaubigt hat.
2538
2539 \T\marginOpenpgp
2540 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2541 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2542 lange einen solchen Dienst kostenlos an, ebenso wie viele
2543 Universitäten.
2544
2545 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2546 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2547 man sich darauf verlassen können.
2548  
2549 \T\marginSmime
2550 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2551 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2552 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2553 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2554 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2555 Benutzerzertifikate zu beglaubigen (vgl.
2556 Kapitel~\ref{ch:openpgpsmime}).
2557
2558 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2559 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2560 berechtigte Institution geben, die die Befugnis dazu wiederum von
2561 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2562 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2563 eines Zertifikates durch den Beglaubigenden.
2564
2565 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2566 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2567 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2568 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2569 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2570 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2571 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2572 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2573 entsprechen.
2574
2575
2576 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2577 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2578 sich z.B. bei folgenden Webadressen über dieses und viele andere
2579 IT-Sicherheits-Themen informieren:
2580 \begin{itemize}
2581     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2582     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2583     \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2584 \end{itemize}
2585
2586 Eine weitere, eher technische Informationsquelle zum Thema
2587 der Beglaubigungsinfrastrukturen bietet das 
2588 GnuPG Handbuch das Sie ebenfalls im Internet finden unter:\\
2589 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2590
2591 \clearpage
2592 \chapter{\Email{}s verschlüsseln}
2593 \label{ch:encrypt}
2594 \index{E-Mail!verschlüsseln}
2595
2596 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2597 \Email{}.
2598
2599 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2600 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2601 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2602
2603
2604 \textbf{Hinweis für OpenPGP:}
2605
2606 \T\marginOpenpgp
2607 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2608 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2609 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2610 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2611 nicht wirklich lesen.
2612
2613 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2614
2615 \textbf{Hinweis für S/MIME:}
2616
2617 \T\marginSmime
2618 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2619 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2620 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2621 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2622 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2623 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2624
2625 % screenshot: GpgOL options
2626 \T\ifthenelse{\boolean{DIN-A5}}{
2627     \T\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_de}
2628 \T}
2629 \T{
2630     \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2631 \T}
2632
2633
2634 \clearpage
2635 \subsubsection{Nachricht verschlüsselt versenden}
2636
2637 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2638 Sie diese an Ihren Korrespondenzpartner.
2639
2640 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2641 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2642 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2643 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2644 auch direkt auf das Schloss klicken.
2645
2646 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2647
2648 % screenshot: OL composer with Adele's address and body text
2649 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2650
2651 Klicken Sie nun auf \Button{Senden}.
2652
2653 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2654 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2655 Ihres Korrespondenzpartners vorliegt.
2656
2657 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2658 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2659 Nachricht verschlüsselt und versendet.
2660
2661
2662 \clearpage
2663 \subsubsection{Zertifikatsauswahl}
2664 \index{Zertifikat!Auswahl}
2665 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2666 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2667 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2668 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2669 selbstständig auswählen können.
2670
2671 % screenshot: kleopatra encryption dialog - certificate selection
2672 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2673
2674 Sollte Kleopatra das öffentliche Zertifikat Ihres
2675 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2676 in Ihre Zertifikatsverwaltung importiert (vgl.
2677 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2678 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2679 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2680 Kapitel~\ref{sec_allow-mark-trusted}).
2681
2682
2683 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2684 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2685 verschlüsselt werden.
2686
2687 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2688 \begin{quote}
2689   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2690   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2691 \end{quote}
2692
2693
2694 \clearpage
2695 \subsubsection{Verschlüsselung abschließen}
2696 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2697 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2698
2699 % screenshot: kleopatra encryption successfully
2700 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2701
2702 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2703 verschlüsselt!}
2704
2705
2706 \chapter{\Email{}s signieren}
2707 \label{ch:sign}
2708 \index{E-Mail!signieren}
2709
2710 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2711 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2712 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2713
2714 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2715 Zertifikat, sondern auch eine komplette \textbf{\Email{}
2716 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2717 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2718
2719 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2720 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2721 oder verändert wurde.
2722
2723 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2724 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2725 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2726 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2727 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2728
2729 Sie haben sicher bemerkt, dass diese digitale
2730 Signatur\index{Signatur!digitale} nicht mit der
2731 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2732 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2733 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2734 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2735 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2736
2737 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2738 Übrigens ist die digitale Signatur auch nicht mit der
2739 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2740 elektronische} gleichzusetzen, wie sie im Signaturgesetz
2741 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2742 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2743 allerdings genau denselben Zweck.
2744
2745 % cartoon: Müller mit Schlüssel
2746 \htmlattributes*{img}{width=300}
2747 \T\ifthenelse{\boolean{DIN-A5}}{
2748     \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2749 \T}
2750 \T{
2751     \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2752 \T}
2753
2754 \clearpage
2755 \section{Signieren mit GpgOL}
2756 \T\enlargethispage{\baselineskip}
2757 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2758 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2759 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2760 folgende Schritte durch:
2761
2762 \begin{itemize}
2763     \item Nachricht signiert versenden
2764     \item Zertifikatsauswahl
2765     \item Signierung abschließen
2766 \end{itemize}
2767
2768 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2769
2770 %\clearpage
2771 \subsubsection{Nachricht signiert versenden}
2772
2773 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2774 Sie diese an Ihren Korrespondenzpartner.
2775
2776 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2777 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2778 Schaltfläche mit dem signierenden Stift oder alternativ den
2779 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2780
2781 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2782
2783 % screenshot: OL composer with Adele's address and body text
2784 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2785
2786 Klicken Sie nun auf \Button{Senden}.
2787
2788 \clearpage
2789 \subsubsection{Zertifikatsauswahl}
2790
2791 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2792 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2793 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2794
2795 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2796 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2797 Signieren nach dem gewünschten Protokollverfahren:
2798
2799 % screenshot: kleopatra format choice dialog
2800 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2801
2802 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2803 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2804 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2805 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2806 Schlüssel vorliegt:
2807
2808 % screenshot: kleopatra format choice dialog
2809 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2810
2811 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2812
2813
2814 \clearpage
2815 \subsubsection{Signierung abschließen}
2816 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2817 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2818
2819 % screenshot: kleopatra sign dialog 2 - choose certificate
2820 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2821
2822 Dies ist notwendig, denn Sie wissen:
2823 \begin{quote}
2824     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2825 \end{quote}
2826 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2827 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Zertifikat, das
2828 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2829 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2830
2831 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2832 Nachricht wird nun signiert und versendet.
2833
2834 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2835 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2836 Ergebnisdialog:
2837
2838 % screenshot: kleopatra sign successful
2839 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2840
2841 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2842 signiert!}
2843
2844
2845 \clearpage
2846 \subsubsection{Kurz zusammengefasst}
2847 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2848 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2849
2850 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2851 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2852
2853 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2854 sicheren \Email{}-Versand: verschlüsseln und signieren.
2855
2856 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2857 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2858 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2859 \Email{} ist:
2860
2861 \begin{itemize}
2862     \item unverschlüsselt
2863     \item verschlüsselt
2864     \item signiert
2865     \item signiert und verschlüsselt (mehr dazu im
2866         Abschnitt~\ref{sec_encsig})
2867 \end{itemize}
2868
2869 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2870 S/MIME realisieren.
2871
2872 \clearpage
2873 \section{Signatur mit GpgOL prüfen}
2874 \index{Signatur!prüfen mit GpgOL}
2875
2876 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2877 Korrespondenzpartners.
2878
2879 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2880 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2881 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2882 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2883 Zertifikatsverwaltung importiert haben (vgl.
2884 Kapitel~\ref{ch:importCertificate}).
2885
2886 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2887 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2888 Kapitel~\ref{ch:decrypt}):
2889
2890 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2891
2892 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2893 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2894
2895 % screenshot: Kleopatra - successfully verify dialog
2896 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2897
2898 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2899 signierte \Email{} zu lesen.
2900
2901 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2902 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2903 Entschlüsseln/Prüfen}.
2904
2905 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2906 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2907 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2908 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2909 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2910 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2911
2912 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2913 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2914
2915 \clearpage
2916 \section{Gründe für eine gebrochene Signatur}
2917 \label{sec_brokenSignature}
2918 \index{Signatur!gebrochene}
2919
2920 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2921 können:
2922
2923 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2924 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2925 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2926 Inhalt oder den Betreff der \Email{} verändert.
2927
2928 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2929 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2930 auszuschließen, dass die \Email{} durch eine fehlerhafte
2931 Übertragung verändert wurde.
2932
2933 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2934 Sie immer die \Email{} erneut beim Absender an!\\
2935
2936 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2937 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2938 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2939 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2940 die Formatierungsinformationen verloren gehen, was zum Bruch der
2941 Signatur führen kann.
2942
2943 Bei Outlook 2003 und 2007 können Sie unter
2944 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2945 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2946
2947
2948 \clearpage
2949 \section{Verschlüsseln und Signieren}
2950 \label{sec_encsig}
2951 \index{E-Mail!verschlüsseln und signieren}
2952
2953 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2954 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2955 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2956
2957 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2958 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2959 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2960 könnte.
2961
2962 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2963 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2964 erzeugen: die Signatur.
2965
2966 Solch eine digitale Signatur bestätigt eindeutig die
2967 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2968 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2969 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2970 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2971
2972 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2973 verschlüsseln und signieren:
2974
2975 \begin{enumerate}
2976     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2977         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2978     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2979         öffentlichen Zertifikat des Korrespondenzpartners.
2980 \end{enumerate}
2981
2982 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2983
2984 \begin{enumerate}
2985     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2986         geheimen Schlüssel.
2987     \item Einen soliden äußeren Umschlag: die
2988         Verschlüsselung mit dem öffentlichen Zertifikat des
2989         Korrespondenzpartners.
2990 \end{enumerate}
2991
2992 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2993
2994 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2995 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2996 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2997 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2998 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
2999 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
3000 Schlüssel kodiert worden sein.
3001
3002 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
3003 ganz einfach.
3004
3005
3006 \clearpage
3007 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
3008 \label{ch:archive}
3009 \index{E-Mail!verschlüsselt archivieren}
3010
3011 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
3012 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
3013
3014 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
3015 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
3016 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
3017 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
3018 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
3019 aufbewahren!
3020
3021 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
3022 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
3023 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
3024
3025 Also was tun?
3026
3027 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
3028 selbst!}
3029
3030 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
3031 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
3032 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
3033 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
3034 lesbar machen.
3035
3036 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
3037 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
3038 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
3039 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
3040 entscheiden, an welches Zertifikat verschlüsselt werden soll.
3041
3042 \clearpage
3043 \subsubsection{Kurz zusammengefasst}
3044
3045 \begin{enumerate}
3046     \item Sie haben mit dem öffentlichen Zertifikat Ihres
3047         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
3048         damit geantwortet.
3049     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
3050         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
3051         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
3052 \end{enumerate}
3053
3054
3055 \vspace{1cm}
3056 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3057 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3058
3059 \textbf{Willkommen in der Welt der freien und sicheren \Email{}"=Verschlüsselung!}
3060
3061 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3062 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3063 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3064 dass Sie viele spannende Dinge darin entdecken werden!
3065
3066
3067 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3068 % Part II
3069
3070 % page break in toc
3071 \addtocontents{toc}{\protect\newpage}
3072
3073 \clearpage
3074 \T\part{Für Fortgeschrittene}
3075 \W\part*{\textbf{II Für Fortgeschrittene}}
3076 \label{part:Fortgeschrittene}
3077 \addtocontents{toc}{\protect\vspace{0.3cm}}
3078
3079
3080 \clearpage
3081 \chapter{Zertifikat im Detail}
3082 \label{ch:CertificateDetails}
3083 \index{Zertifikatsdetails}
3084
3085 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3086 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3087 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3088 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3089 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3090 X.509-Zertifikaten. Es geht hierbei um:
3091
3092 \begin{itemize}
3093 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
3094 \item den Fingerabdruck
3095 \item die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}
3096 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
3097 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3098 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3099 \end{itemize}
3100
3101 \begin{description}
3102
3103 \item[Die Benutzerkennung] besteht aus dem Namen und der
3104     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3105     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3106     <heinrich@gpg4win.de>}
3107
3108     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3109     Menüpunkt \Menu{Zertifikate$\rightarrow$%
3110     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
3111     Benutzerkennung hinzufügen...} 
3112     Ihr Zertifikat um weitere Benutzerkennungen
3113     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
3114     \Email{}-Adresse dasselbe Zertifikat nutzen möchten.
3115
3116     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3117     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3118
3119 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3120     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3121     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3122     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3123     oder auf einem X.509-Zertifikats\-server liegen.  Was
3124     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3125
3126 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3127     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3128     Zweck wie dieser. Die wesentlich geringere Länge macht die
3129     Schlüsselkennung einfacher handhabbar, 
3130     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3131     Zertifikate mit derselben Kennung).
3132
3133 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3134     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3135     
3136     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3137     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
3138     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
3139     Zertifikatsdetails klicken -- oder das Menü
3140     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3141     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3142     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3143     auszugeben.
3144
3145     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3146     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3147     festgelegt und kann nicht vom Nutzer geändert werden.
3148
3149 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3150     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3151     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3152     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3153     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3154     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3155     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3156     einstellen.
3157
3158     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3159     Für X.509-Zerti\-fikate gibt es diese Methode der
3160     Vertrauensstellung nicht.
3161
3162 \item[Die Beglaubigungen] \T\marginOpenpgp
3163     Ihres OpenPGP-Zertifikats beinhalten die
3164     Benutzerkennungen derjenigen Zertifikatsinhaber, die
3165     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3166     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3167     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3168     Nutzern erhalten.
3169
3170     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3171     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3172     nicht.
3173
3174 \end{description}
3175
3176 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3177 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3178 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3179 neue Zertifikate erhalten oder ändern wollen.
3180
3181 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3182 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3183 \ref{ch:trust} gelesen.
3184
3185
3186 \clearpage
3187 \chapter{Die Zertifikatsserver}
3188 \label{ch:keyserver}
3189 \index{Zertifikatsserver}
3190
3191 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3192 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3193 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3194 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3195 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3196
3197 Zertifikatsserver können von allen Programmen benutzt werden, die die
3198 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3199 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3200
3201
3202 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3203
3204 \begin{description}
3205
3206 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3207     \index{Zertifikatsserver!OpenPGP}
3208     (im Englischen auch "`key server"' genannt) sind dezentral
3209     organisiert und synchronisieren sich weltweit miteinander.
3210     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3211     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3212     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3213     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3214     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3215     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3216
3217     \htmlattributes*{img}{width=300}
3218     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3219
3220 \item[X.509-Zertifikatsserver] \T\marginSmime
3221     \index{Zertifikatsserver!X.509}
3222     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3223     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3224     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3225
3226 \end{description}
3227
3228
3229 \clearpage
3230 \section{Zertifikatsserver einrichten}
3231 \label{configureCertificateServer}
3232 \index{Zertifikatsserver!einrichten}
3233
3234 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
3235 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
3236
3237
3238 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3239 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3240 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3241
3242 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3243 OpenPGP-Zertifikatsserver mit der Serveradresse
3244 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3245 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3246 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3247 nächsten Seite.
3248
3249 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3250 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3251 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3252 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3253 Server-Port.
3254
3255 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3256 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3257 tragen Ihre gewünschten Angaben ein.
3258
3259
3260 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3261 Der folgende Screenshot zeigt einen konfigurierten
3262 OpenPGP"=Zertifikatsserver:
3263
3264 % screenshot: Kleopatra OpenPGP certificate server config dialog
3265 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3266
3267 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3268 Zertifikatsserver ist nun erfolgreich eingerichtet.
3269
3270 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3271 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3272 starten (Anleitung siehe
3273 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3274
3275 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3276 nutzen, müssen Sie die Zertifikatsserver-Adresse in der Datei:\\
3277 \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3278 ergänzen.
3279 Fügen Sie dazu in der Datei eine weitere Zeile ein, mit dem Inhalt: \\
3280 \Filename{keyserver-options http-proxy=<proxy-address>}
3281
3282 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3283 finden Sie im Abschnitt~\ref{x509CertificateServers}.
3284
3285 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3286
3287 \T\marginOpenpgp
3288 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3289 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3290
3291 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3292 \begin{itemize}
3293 \item hkp://blackhole.pca.dfn.de
3294 \item hkp://pks.gpg.cz
3295 \item hkp://pgp.cns.ualberta.ca
3296 \item hkp://minsky.surfnet.nl
3297 \item hkp://keyserver.ubuntu.com
3298 \item hkp://keyserver.pramberger.at
3299 \item http://keyserver.pramberger.at
3300 \item http://gpg-keyserver.de
3301 \end{itemize}
3302
3303 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3304 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3305 beginnen.
3306
3307 Die Zertifikatsserver unter den Adressen
3308 \begin{itemize}
3309     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3310         siehe Bildschirmfoto auf vorheriger Seite)
3311 \item hkp://subkeys.pgp.net
3312 \end{itemize}
3313 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3314 dann zufällig ein konkreter Server ausgewählt.
3315
3316 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3317 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3318 synchronisiert (Stand: Mai 2010).
3319
3320 \clearpage
3321 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3322 \label{searchAndImportCertificateFromServer}
3323 \index{Zertifikatsserver!Suche nach Zertifikaten}
3324 \index{Zertifikat!importieren}
3325 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3326 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3327 importieren.
3328
3329 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3330 auf Server suchen...}.
3331
3332 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3333 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3334 seine \Email{}-Adresse seines Zertifikats eingeben können.
3335
3336 % screenshot: Kleopatra certification search dialog
3337 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3338
3339 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3340 auf die Schaltfläche \Button{Details...}.
3341
3342 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3343 Zertifikatssammlung einfügen möchten, selektieren Sie das
3344 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3345 \Button{Importieren}.
3346
3347 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3348 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3349
3350 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3351 in der Zertifikatsverwaltung von Kleopatra.
3352
3353 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3354 \index{Zertifikat!exportieren}
3355
3356 \T\marginOpenpgp
3357 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3358 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3359 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3360 unterwegs rund um die Welt.
3361
3362 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3363 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3364 nach Server exportieren...}.
3365
3366 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3367 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3368 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3369 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3370 ein "`globales"' Zertifikat.
3371
3372 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3373 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3374 Kleopatra den bereits voreingestellten Server
3375 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3376
3377
3378
3379 \clearpage
3380 \chapter{Dateianhänge verschlüsseln}
3381 \index{Dateianhänge verschlüsseln}
3382
3383 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3384 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3385 verschlüsselt werden.
3386
3387 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3388 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3389 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3390
3391 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3392 Anhängen automatisch.}
3393
3394 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3395 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3396 unverschlüsselt mitgesendet.
3397
3398 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3399 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3400 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3401 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3402 beschrieben ist.
3403
3404
3405 \clearpage
3406 \chapter{Dateien signieren und verschlüsseln}
3407 \label{ch:EncFiles}
3408 \index{GpgEX}
3409
3410 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3411 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3412
3413 \begin{itemize}
3414   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3415       Zertifikats, um sicherzugehen, dass die Datei unverändert
3416       bleibt.
3417
3418   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3419       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3420       geheim zu halten.
3421 \end{itemize}
3422
3423 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3424 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3425 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3426 genau funktioniert.
3427
3428 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3429 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3430 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3431 gesondert darum zu kümmern.
3432
3433 \clearpage
3434 \section{Dateien signieren und prüfen}
3435 \label{sec_signFile}
3436 \index{Datei!signieren}
3437
3438 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3439 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3440 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
3441
3442 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3443 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3444 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3445 Kontextmenü:
3446
3447 % screenshot GpgEX contextmenu sign/encrypt
3448 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3449
3450 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3451
3452 \clearpage
3453 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
3454
3455 % screenshot sign file, step 1
3456 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
3457
3458 Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII
3459 armor\index{ASCII armor})}
3460 aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
3461 \Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
3462 Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
3463 dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
3464 kennen.
3465
3466 Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
3467 einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
3468 Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
3469 angesehen werden.
3470
3471
3472 Klicken Sie anschließend auf \Button{Weiter}.
3473
3474 \clearpage
3475 Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
3476 Ihr geheimes (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
3477 Datei signieren möchten.
3478
3479 % screenshot sign file, step 2: choose sign certificates
3480 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
3481
3482 Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
3483
3484 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
3485
3486 \clearpage
3487 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3488
3489 % screenshot sign file, step 3: finish
3490 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
3491
3492 Sie haben damit Ihre Datei erfolgreich signiert.
3493
3494 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
3495 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
3496 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
3497 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
3498 notwendig.
3499
3500 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3501 wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
3502 OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
3503 Ergebnis möglich:
3504
3505 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3506
3507 \begin{description}
3508     \item[OpenPGP:]~\\
3509     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
3510     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3511     ~ \small (bei Ausgabe als Text/ASCII-armor)
3512     \normalsize
3513
3514     \item[S/MIME:]~\\
3515     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
3516     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3517     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3518     \normalsize
3519 \end{description}
3520
3521 \clearpage
3522 \subsubsection{Signatur prüfen}
3523 \index{Datei!Signatur prüfen}
3524
3525 Prüfen Sie nun, ob die eben signierte Datei integer
3526 -- d.h. korrekt -- ist!
3527
3528 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
3529 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
3530 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
3531 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
3532 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
3533 den Eintrag  \Menu{Entschlüsseln und prüfen}:
3534
3535 % screenshot GpgEX contextmenu verifiy/decrypt
3536 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3537
3538 \clearpage
3539 Daraufhin erhalten Sie folgendes Fenster:
3540
3541 % screenshot kleopatra verify file, step 1
3542 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
3543
3544 Kleopatra zeigt unter \Menu{Eingabe-Datei} den vollständigen Pfad zur
3545 ausgewählten Signatur-Datei an.
3546
3547 Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
3548 aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
3549 mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
3550 die zugehörige signierte Originaldatei in demselben Datei-Ordner.
3551
3552 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
3553 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
3554 gleichzeitig verarbeiten.
3555
3556 Bestätigen Sie die gegebenen Operationen mit
3557 \Button{Entschlüsseln/Prüfen}.
3558
3559 \clearpage
3560 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3561 Fenster:
3562
3563 % screenshot kleopatra verify file, step 2
3564 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
3565
3566 Das Ergebnis zeigt, dass die Signatur korrekt ist -- also die Datei
3567 integer ist und somit \textbf{nicht} verändert wurde.
3568
3569 \clearpage
3570 Selbst wenn nur ein Zeichen in der Originaldatei hinzugefügt, gelöscht
3571 oder geändert wurde, wird die Signatur als gebrochen angezeigt
3572 (Kleopatra stellt das Ergebnis als rote Warnung dar):
3573
3574 % screenshot kleopatra verify file, step 2a (bad signature)
3575 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
3576
3577
3578 \clearpage
3579 \section{Dateien verschlüsseln und entschlüsseln}
3580 \index{Datei!verschlüsseln}
3581
3582 Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern
3583 auch verschlüsseln. Das sollten Sie im folgenden Abschnitt mit GpgEX
3584 und Kleopatra einmal durchspielen.
3585
3586 Selektieren Sie eine (oder mehrere) Datei(en) und öffnen Sie mit der
3587 rechten Maustaste das Kontextmenü:
3588
3589 % screenshot GpgEX contextmenu sign/encrypt
3590 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3591
3592 Wählen Sie hier wieder \Menu{Signieren und verschlüsseln} aus.
3593
3594 \clearpage
3595 Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
3596 Abschnitt~\ref{sec_signFile}) bereits kennen.
3597
3598 Wählen Sie im oberen Feld auf die Option \Menu{Verschlüsseln}:
3599
3600 % screenshot kleopatra encrypt file, step 1
3601 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
3602
3603 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3604
3605 Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
3606 umstellen:
3607 \begin{description}
3608     \item[Ausgabe als Text (ASCII armor\index{ASCII armor}):] Bei
3609         Aktivierung dieser Option erhalten Sie die verschlüsselte
3610         Datei mit einer Dateiendung \Filename{.asc} (OpenPGP) bzw.
3611         \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3612         Texteditor geöffnet werden -- Sie sehen dort allerdings nur
3613         den Buchstaben- und Ziffernsalat, den Sie schon kennen.
3614
3615         Ist diese Option nicht ausgewählt, so wird eine verschlüsselte
3616         Datei mit der Endung \Filename{.gpg} (OpenPGP) bzw.
3617         \Filename{.p7m} (S/MIME) angelegt. Diese Dateien sind
3618         Binärdateien, sie können also nicht mit einem Texteditor
3619         angesehen werden.
3620
3621     \item[Unverschlüsseltes Original anschließend löschen:] Ist diese
3622         Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem
3623         Verschlüsseln gelöscht.
3624 \end{description}
3625
3626 Klicken Sie auf \Button{Weiter}.
3627
3628 \clearpage
3629 Für wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
3630 Dialog einen oder mehrere Empfänger-Zertifikate aus:
3631
3632 % screenshot kleopatra encrypt file, step 2
3633 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile2_de}
3634
3635 Zum Auswählen selektieren Sie im oberen Teil die gewünschten
3636 Zertifikate und drücken Sie auf \Button{Hinzufügen}.  Sie bekommen
3637 alle ausgewählten Zertifikate im unteren Dialogteil zur Kontrolle noch
3638 einmal angezeigt.
3639
3640 Abhängig vom gewählten Empfänger-Zertifikat und dessen Typ (OpenPGP
3641 oder S/MIME) wird Ihre Datei anschließend mit Hilfe von OpenPGP und/oder
3642 S/MIME verschlüsselt. Haben Sie also ein OpenPGP-Zertifikat
3643 \textit{und} ein S/MIME-Zertifikat ausgewählt, werden Sie zwei
3644 verschlüsselte Dateien erhalten.  Die möglichen Dateitypen der
3645 verschlüsselten Dateien finden Sie auf der nächsten Seite.
3646
3647 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{\baselineskip}}{}
3648
3649 Klicken Sie nun auf \Button{Verschlüsseln}: Die Datei wird
3650 verschlüsselt.
3651
3652 \clearpage
3653 Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
3654 aussehen:
3655 % screenshot kleopatra encrypt file, step 3: successful
3656 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
3657
3658 Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
3659
3660 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3661
3662 Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten
3663 Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.  Beim Verschlüsseln
3664 Ihrer Originaldatei (hier \Filename{<dateiname>.txt}) sind insgesamt
3665 vier Dateitypen als Ergebnis möglich:
3666
3667 \begin{description}
3668     \item[OpenPGP:]~\\
3669     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.gpg}}\\
3670     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3671     ~ \small (bei Ausgabe als Text/ASCII-armor)
3672     \normalsize
3673
3674     \item[S/MIME:]~\\
3675     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7m}}\\
3676     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3677     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3678     \normalsize
3679 \end{description}
3680
3681 Eine dieser vier möglichen verschlüsselten Ergebnisdateien geben Sie
3682 nun an Ihren ausgewählten Empfänger weiter. Anders als beim Signieren
3683 einer Datei wird die unverschlüsselte Originaldatei natürlich
3684 \textbf{nicht} weitergegeben.
3685
3686 \clearpage
3687 \subsubsection{Datei entschlüsseln}
3688 \index{Datei!entschlüsseln}
3689 Nun kann die zuvor verschlüsselte Datei zum Testen einmal
3690 entschlüsselt werden.
3691
3692 Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes
3693 Zertifikat verschlüsselt haben -- andernfalls können Sie die Datei
3694 nicht mit Ihrem geheimen Schlüssel entschlüsseln (vgl.
3695 Kapitel~\ref{ch:archive}).
3696
3697 Selektieren Sie die verschlüsselte Datei -- also eine mit der Endung
3698 \Filename{.gpg}, \Filename{.asc}, \Filename{.p7m} oder \Filename{.pem}
3699 -- und wählen Sie im Kontextmenü des Windows-Explorers
3700 den Eintrag \Menu{Entschlüsseln und prüfen}:
3701
3702 % screenshot contextmenu verifiy/decrypt
3703 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3704
3705 \clearpage
3706 Im folgenden Entschlüsselungsdialog können Sie bei Bedarf noch den
3707 Ausgabe-Ordner verändern.
3708
3709 % screenshot kleopatra decrypt file, step 1
3710 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
3711
3712 Klicken Sie auf \Button{Entschlüsseln/Prüfen}.
3713
3714 Geben Sie anschließend Ihre Passphrase ein.
3715
3716 \clearpage
3717 Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:
3718
3719 % screenshot kleopatra decrypt file, step 2
3720 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile2_de}
3721
3722 Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit
3723 einem entsprechenden Programm verwenden können.
3724
3725 \clearpage
3726 \subsubsection{Kurz zusammengefasst}
3727 Sie haben gelernt, wie Sie mit GpgEX:
3728 \begin{itemize}
3729     \item Dateien signieren
3730     \item signierte Dateien prüfen
3731     \item Dateien verschlüsseln
3732     \item verschlüsselte Dateien entschlüsseln
3733 \end{itemize}
3734
3735 \subsubsection{Gleichzeitig signieren und verschlüsseln}
3736
3737 Diese Option ist Ihnen sicher schon in den entsprechenden Dialogen
3738 aufgefallen.  Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben
3739 in einem Schritt.
3740
3741 Beachten Sie, dass immer {\em zuerst signiert}, erst danach
3742 verschlüsselt wird.
3743
3744 Die Signatur wird also immer als geheim mitverschlüsselt.  Sie kann
3745 nur von denjenigen gesehen und geprüft werden, die die Datei
3746 erfolgreich entschlüsseln konnten.
3747
3748 Möchten Sie Dateien signieren \textit{und} verschlüsseln, ist das
3749 derzeit nur mit OpenPGP möglich.
3750
3751
3752 \clearpage
3753 \chapter{Im- und Export eines geheimen Zertifikats}
3754 \label{ch:ImExport}
3755
3756 In den Kapiteln \ref{ch:publishCertificate} und
3757 \ref{ch:importCertificate} wurde der Im- und Export von Zertifikaten
3758 erläutert. Sie haben Ihr eigenes Zertifikat exportiert, um es zu
3759 veröffentlichen, und das Zertifikat Ihres Korrespondenzpartners
3760 importiert und so "`an Ihrem Schlüsselbund\index{Schlüsselbund}
3761 befestigt"' (d.h. in Ihre Zertifikatsverwaltung aufgenommen).
3762
3763 Dabei ging es stets um \textbf{öffentliche} Schlüssel. Es gibt
3764 aber auch hin und wieder die Notwendigkeit, einen \textbf{geheimen}
3765 Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits
3766 vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win
3767 weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie
3768 Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls
3769 zunächst das gesamte Schlüsselpaar dorthin transferiert werden --~der
3770 öffentliche und der geheime Schlüssel.
3771
3772 \clearpage
3773 \section{Export}
3774 \index{Zertifikat!exportieren}
3775 Immer, wenn Sie ein geheimes Zertifikat auf einen anderen Rechner
3776 transferieren oder auf einer anderen Festplattenpartition bzw. einem
3777 Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
3778 Sicherungskopie erstellen.
3779
3780 Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
3781 OpenPGP-Zertifikats\-erzeu\-gung angelegt. Da Ihr OpenPGP-Zertifikat
3782 aber inzwischen weitere Beglaubigungen haben kann, sollten Sie es ggf.
3783 erneut sichern.
3784
3785 Öffnen Sie Kleopatra, selektieren Sie Ihr eigenes Zertifikat und
3786 klicken Sie auf \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren}.
3787
3788 % screenshot kleopatra export secret key
3789 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3790
3791 Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.  Der Dateityp
3792 wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen
3793 OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig
3794 die Dateiendung \Filename{.gpg} (OpenPGP) oder \Filename{.p12}
3795 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um
3796 Binärdateien, die Ihr Zertifikat (inkl. geheimem Schlüssel)
3797 verschlüsselt enthalten.
3798
3799 Bei Aktivierung der Option \Menu{ASCII-geschützt (ASCII armor\index{ASCII armor})}
3800 erhalten Sie die Dateiendung \Filename{.asc} (OpenPGP) bzw.
3801 \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3802 Texteditor geöffnet werden -- Sie sehen dort allerdings nur den
3803 Buchstaben- und Ziffernsalat, den Sie schon kennen. 
3804
3805 Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei
3806 mit der Endung \Filename{.gpg} (OpenPGP) oder \Filename{.p12} (S/MIME)
3807 angelegt.  Diese Dateien sind Binärdateien, sie können also nicht mit
3808 einem Texteditor angesehen werden. 
3809
3810 Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
3811 Kleopatra in \textbf{einem} einzigen geheimen Zertifikat
3812 abgespeichert.
3813
3814 \textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie
3815 enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische
3816 Informationen!
3817
3818 \clearpage
3819 \section{Import}
3820 \index{Zertifikat!importieren}
3821 Zum Importieren Ihres zuvor exportierten geheimen Zertifikats in
3822 Kleopatra gehen Sie so vor, wie Sie es vom Import fremder
3823 öffentlicher Zertifikate gewohnt sind (vgl.
3824 Kapitel~\ref{ch:importCertificate}):
3825
3826 Klicken Sie auf \Menu{Datei$\rightarrow$Zertifikat importieren...} und
3827 wählen Sie die zu importierende Datei aus.  Handelt es sich um eine
3828 PKCS12-Datei (z.B. vom Typ \Filename{.p12}), so werden Sie zunächst
3829 nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:
3830
3831 % screenshot pinentry p12 import (I)
3832 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-a_de}
3833
3834 Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der
3835 nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:
3836
3837 % screenshot pinentry p12 import (II)
3838 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3839
3840 Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu
3841 kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend
3842 gewarnt.
3843
3844 \clearpage
3845 Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
3846 das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am
3847 Beispiel eines geheimen OpenPGP-Zertifikats:
3848
3849 % screenshot kleopatra import secret key - status
3850 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3851
3852 Kleopatra hat damit sowohl den geheimen als auch den öffentlichen
3853 Schlüssel aus der Sicherungsdatei importiert. Ihr Zertifikat ist damit
3854 unter "`Meine Zertifikate"' in der Zertifikatsverwaltung von Kleopatra
3855 sichtbar.
3856
3857 Sichern Sie die Sicherungskopie Ihres
3858 geheimen Zertifikats -- möglichst auf einem physikalisch gesicherten
3859 (z.B. in einem Tresor) externen Medium. Löschen Sie
3860 sie danach von Ihrer Festplatte und denken Sie auch daran, die
3861 gelöschte Datei aus Ihrem "`Papierkorb"' zu entfernen. Andernfalls
3862 stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime
3863 \Email{}-Verschlüsselung dar.\\
3864
3865 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3866 \T\marginOpenpgp
3867 Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP ("`Pretty
3868 Good Privacy"') exportiertes Zertifikat nicht importieren können:  Sie
3869 geben zwar die richtige Passphrase ein, diese wird aber nicht
3870 akzeptiert.  Der Grund ist, dass bestimmte Versionen von PGP intern
3871 einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen
3872 nicht unterstützen kann.  
3873
3874 Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase
3875 und exportieren/importieren Sie das OpenPGP-Zertifikat erneut.  Sollte dies
3876 auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3877 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie
3878 wieder -- in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl
3879 die \textbf{Datei sicher löschen} als auch in PGP und in
3880 Gpg4win danach wieder eine echte \textbf{Passphrase setzen.}
3881
3882 ~\\ \textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr
3883 Schlüsselpaar exportiert und wieder importiert.}
3884
3885
3886 \clearpage
3887 \chapter{Systemweite Konfiguration und Vorbelegung für
3888 \protect{S/MIME}}
3889 \label{ch:smime-configuration}
3890
3891 \T\enlargethispage{\baselineskip}
3892 \T\marginSmime
3893 Im Rahmen einer zentralen Softwareverteilung oder Umgebungen, in denen
3894 viele Anwender auf einem Rechner arbeiten, ist es sinnvoll, einige
3895 systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.
3896
3897 Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten
3898 ist es sinnvoll, dass die Anwender die Informationen dazu miteinander
3899 teilen.
3900
3901 Einige typische systemweite Einstellungen sind:
3902
3903 \begin{description}
3904 \item[Vertrauenswürdige Wurzelzertifikate:]
3905     \index{Vertrauenswürdige Wurzelzertifikate}
3906     \index{Wurzelzertifikat}
3907     Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3908     Wurzelzertifikate suchen und installieren sowie deren
3909     Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl.
3910     Abschnitt \ref{sec_allow-mark-trusted}), ist eine systemweite
3911     Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.
3912
3913     Dazu sollten die Wurzelzertifikate abgelegt -- wie in Abschnitt
3914     \ref{trustedrootcertsdirmngr} beschrieben -- und die
3915     vertrauenswürdigen Wurzelzertifikate definiert werden -- wie in
3916     Abschnitt \ref{sec_systemtrustedrootcerts} beschrieben.
3917
3918 \item[Direkt verfügbare CA-Zertifikate:] \index{CA-Zertifikat}
3919     Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate
3920     der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu
3921     suchen und zu importieren, ist auch hier eine systemweite
3922     Vorbelegung der wichtigsten CA-Zertifikate sinnvoll.  Eine
3923     Beschreibung hierzu finden Sie im Abschnitt
3924     \ref{extracertsdirmngr}.
3925
3926
3927 \item[Proxy für Zertifikatsserver- und Sperrlisten-Suche:]
3928     \index{Proxy}
3929
3930     Für die Gültigkeitsinformationen bieten die X.509-Protokolle
3931     verschiedene Möglichkeiten an. Von den meisten
3932     Zertifizierungsstellen werden Sperrlisten\index{Sperrlisten} (auch
3933     CRLs \index{CRLs|see{Sperrlisten}} genannt, nach RFC5280) und
3934     OSCP\index{OSCP} (nach RFC2560) unterstützt. OSCP bringt
3935     zeitnähere Informationen, hat aber den Nachteil, dass Netzverkehr
3936     bis zum OSCP-Dienst erfolgt und daran auch
3937     gut erkannt werden kann, mit welchen Partnern gerade Nachrichten
3938     ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es
3939     ist die Komponente "`DirMngr"' \index{Directory Manager|see{DirMngr}}
3940     \index{DirMngr}, welche als systemweiter Dienst läuft.
3941
3942     Es können interne Netzwerke keine direkten Verbindungen der
3943     einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern
3944     einen Stellvertreterdienst (einen sogenannten "`Proxy"') vorsehen. 
3945     Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies
3946     \index{LDAP} \index{HTTP} umgehen.
3947
3948     S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste
3949     extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch
3950     Verzeichnisdienste über LDAP\index{LDAP}. Anders als bei OpenPGP kann sich der
3951     Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den
3952     verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich
3953     Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich
3954     sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern
3955     möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen,
3956     dass X.509-Sperrlisten ausschließlich mit korrekten Informationen
3957     übermittelt werden.  
3958
3959     \clearpage
3960     Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen
3961     HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie
3962     folgende Schritte durch:
3963
3964     \begin{enumerate}
3965         \item Stellen Sie X.509-Zertifikatsserver-Suche auf einen
3966             Proxy ein, wie in Abschnitt~\ref{x509CertificateServers}
3967             beschrieben.
3968
3969         \item Stellen Sie Sperrlisten-Suche auf einen Proxy ein,
3970             wie ebenfalls in Abschnitt~\ref{x509CertificateServers}
3971             beschrieben.
3972            
3973         \item Starten Sie den DirMngr neu (siehe
3974             Abschnitt~\ref{dirmngr-restart}).
3975     \end{enumerate}
3976 \end{description}
3977
3978
3979
3980 \clearpage
3981 \chapter{Bekannte Probleme und Abhilfen}
3982 \index{Problembehebungen}
3983
3984 \section{GpgOL-Menüs und -Dialoge nicht mehr in Outlook zu finden} 
3985 \index{Outlook}
3986 Es kann vorkommen, dass die von GpgOL zu Outlook hinzugefügten Menüs
3987 und Dialoge nicht mehr zu finden sind.
3988
3989 Das kann dann passieren, wenn ein technisches Problem auftrat und
3990 Outlook aus diesem Grund die GpgOL-Komponente deaktiviert hat.
3991
3992 Reaktivieren Sie GpgOL über das Outlook-Menü:\\ Outlook2007:
3993 \Menu{?$\rightarrow$Deaktivierte Elemente}\\ Outlook2003:
3994 \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}
3995
3996 Um  GpgOL manuell zu (de-)aktivieren, nutzen Sie den Add-In-Manager von
3997 Outlook:
3998 \begin{itemize}
3999     \item \textbf{Outlook2003:}
4000         \Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
4001         Optionen... $\rightarrow$ Add-In-Manager...}
4002     \item \textbf{Outlook2007:}
4003         \Menu{Extras$\rightarrow$Vertrauensstellungscenter$\rightarrow$Add-Ins}
4004         -- dann unter \Menu{Verwalten} die \Menu{Exchange-Clienterweiterungen} auswählen 
4005         und auf \Button{Gehe zu...} klicken.
4006 \end{itemize}
4007
4008 \section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}
4009
4010 Wenn bereits viele Schaltflächen in der Symbolleiste des
4011 Nachrichtenfensters vorhanden sind, so stellt Outlook2003 die
4012 Signieren-/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort
4013 sichtbar dar.
4014
4015 Sie können diese Schaltflächen aber anzeigen lassen, indem Sie in der
4016 Symbolleiste auf das kleine Icon mit dem Pfeil nach unten klicken
4017 (\Menu{Optionen für Symbolleiste}):  Sie erhalten eine Übersicht aller
4018 nicht angezeigten Schaltflächen. Ein Klick auf einen dieser Einträge
4019 verschiebt ihn in den sichtbaren Teil der Symbolleiste.
4020
4021
4022 \section{GpgOL-Schaltflächen sind in Outlook2007 unter "`Add-Ins"'}
4023
4024 Mit Outlook2007 wurde die sogenannte "`Ribbon"'-Oberfläche eingeführt.
4025 Diese Multifunktionsleis\-te im Outlook-Nachrichtenfenster besitzt
4026 verschiedene Registerkarten.  Die GpgOL-Schaltflächen (für
4027 Verschlüsseln, Signieren etc.) sind unter der Registerkarte
4028 "`Add-Ins"' eingeordnet; so wie alle Schaltflächen von Erweiterungen
4029 durch Outlook dort angelegt werden.  Eine Integration der   
4030 GpgOL-Schalt\-flächen z.B. unter "`Nachrichten"' ist nicht möglich.
4031
4032 Sie können Ihre \Menu{Symbolleiste für den Schnellzugriff} anpassen
4033 und dort die Symbolleistenbefehle der Add-In-Registerkarte aufnehmen.
4034
4035
4036 \section{Fehler beim Start von GpgOL}
4037
4038 Haben Sie Gpg4win (und damit die Programmkomponente GpgOL) erst auf einem
4039 Laufwerk installiert, anschließend wieder deinstalliert und auf
4040 einem anderen Laufwerk erneut installiert? Dann kann es sein, dass
4041 Outlook weiterhin den GpgOL-Pfad auf dem ersten (alten) Laufwerk
4042 sucht.
4043
4044 Dabei wird beim Start von Outlook die Programmerweiterung GpgOL nicht
4045 mehr gestartet und folgende Fehlermeldung erscheint:
4046
4047 \Menu{Die Erweiterung '\Filename{<alter-Pfad-zu-gpgol.dll>}' konnte
4048 nicht installiert oder geladen werden. Das Problem kann u.U. durch das
4049 Benutzen von 'Erkennen und Reparieren' in der Hilfe behoben werden.}
4050
4051 Lösen können Sie dieses Problem, in dem Sie den Outlook-internen
4052 (zwischengespeicherten) Programmerweiterungs-Pfad
4053 zurücksetzen.  Löschen Sie dazu bitte folgende Datei:\\
4054 \Filename{\%APPDATA\%\back{}Lokale
4055 Einstellungen\back{}Anwendungsdaten\back{}Microsoft\back{}\T\\
4056 Outlook\back{}extend.dat}
4057
4058 \textbf{Dabei sollte Outlook nicht laufen.} Anschließend starten Sie
4059 Outlook erneut. Outlook mit GpgOL sollten nun problemlos funktionieren.
4060
4061
4062 \section{Installation von Gpg4win auf einem virtuellen Laufwerk}
4063
4064 Beachten Sie bitte, dass eine Installation von Gpg4win auf einem
4065 (mit dem Befehl \Filename{subst} simulierten) \textbf{virtuellen
4066 Laufwerk} nicht möglich ist. Diese virtuellen Laufwerke sind nur lokal
4067 für den aktuellen Benutzer nutzbar. Systemdienste (wie der DirMngr)
4068 sehen diese Laufwerke nicht. Der Installationspfad ist damit ungültig
4069 -- die Installation stoppt mit einem Fehler in der Art \linebreak
4070 \Filename{error:StartService: ec=3}.  Installieren Sie bitte Gpg4win
4071 auf einem systemweit verfügbaren Laufwerk.
4072
4073
4074 \section{GpgOL überprüft keine InlinePGP"=\Email{}s von "`CryptoEx"'}
4075 \index{CryptoEx}
4076
4077 Um signierte bzw. verschlüsselte InlinePGP-\Email{}s zu prüfen bzw. zu
4078 entschlüsseln, die von der Outlook-Programmerweiterung "`CryptoEx"'
4079 versendet wurden, muss in den GpgOL-Optionen die 
4080 S/MIME-Unterstützung eingeschaltet sein.
4081
4082 Versichern Sie sich, dass die folgende Option in Outlook unter
4083 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} aktiv ist:\\
4084 \Menu{S/MIME Unterstützung einschalten}.
4085
4086 \clearpage
4087 \section{Keine S/MIME-Operationen möglich (Systemdienst
4088 "`DirMngr"' läuft nicht)}
4089 \label{dirmngr-restart}
4090 \index{DirMngr}
4091
4092 \T\marginSmime
4093 Der "`Directory Manager"' (DirMngr) ist ein durch Gpg4win installierter
4094 Dienst, der die Zugriffe auf Zertifikatsserver verwaltet. Eine Aufgabe
4095 des DirMngr ist das Laden von Sperrlisten (CRLs) für
4096 S/MIME-Zertifikate.
4097
4098 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
4099 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können,
4100 weil DirMngr nicht verfügbar ist. In der Voreinstellung von Gpg4win
4101 ist es zwingend notwendig, dass DirMngr die Sperrlisten prüft --
4102 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
4103 werden, da möglicherweise ein kompromittiertes Zertifikat genutzt
4104 wird.
4105
4106 Abhilfe schafft ein Neustart des DirMngr durch den
4107 Systemadministrator.  Dies erfolgt über
4108 \Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.  In
4109 der Liste finden Sie DirMngr -- über das Kontextmenü kann der Dienst
4110 neu gestartet werden.
4111
4112
4113 %\clearpage
4114 \section{Keine S/MIME-Operationen möglich (CRLs nicht verfügbar)}
4115 \label{smime-problem-crl}
4116
4117 \T\marginSmime
4118 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
4119 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
4120 CRLs nicht verfügbar sind. In der Voreinstellung von 
4121 \T\ifthenelse{\boolean{DIN-A5}}{\linebreak}{}
4122 Gpg4win ist es zwingend notwendig, dass Sperrlisten\index{Sperrlisten} geprüft werden
4123 -- geschieht das nicht, darf die jeweilige Operation nicht
4124 ausgeführt werden, da möglicherweise ein kompromittiertes Zertifikat
4125 genutzt wird.
4126
4127 Abhilfe schafft das Einrichten eines Stellvertreterdienstes
4128 ("`Proxies"') für das Abholen der Sperrlisten (vgl.
4129 Abschnitt~\ref{x509CertificateServers}).
4130
4131 Im Notfall (oder zum Testen) lassen sich die CRL-Prüfungen auch
4132 abschalten. Öffnen Sie dafür das Kleopatra-Menü
4133 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
4134 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
4135 \Menu{Nie Sperrlisten zu Rate ziehen}.\\
4136 \textbf{Achtung:} Machen Sie sich bewusst, dass in diesem Fall ein
4137 wesentlich höheres Risiko besteht, ein kompromittiertes Zertifikat zu
4138 nutzen. Das Abschalten der Sperrlisten-Prüfung ist niemals einer Alternative
4139 zur Einrichtung eines Proxies.
4140
4141 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
4142
4143 \section{Keine S/MIME-Operationen möglich (Wurzelzertifikat
4144 nicht vertrauenswürdig)}
4145 \label{smime-problem-rootcertificate}
4146 \index{Wurzelzertifikate}
4147
4148 \T\marginSmime
4149 Für eine vollständige Prüfung von X.509-Zertifikatsketten
4150 \index{Zertifikatskette} muss dem jeweiligen Wurzelzertifikat vertraut
4151 werden.
4152 Andernfalls kann keine S/MIME-Operationen (Signaturerstellung und
4153 -prüfung, Ver- oder Entschlüsselung) durchgeführt werden.
4154
4155 Um einem Wurzelzertifikat das Vertrauen auszusprechen, haben Sie zwei 
4156 Möglichkeiten:
4157 \begin{itemize}
4158     \item Den Fingerabdruck des entsprechenden Wurzelzertifikats
4159         in eine \textit{systemweite} Konfigurationsdatei schreiben.
4160         Damit ist die Wurzel für alle Nutzer vertrauenswürdig. 
4161         Sie müssen hierfür Windows-Administratorrechte besitzen.
4162         Eine genaue Erläuterung finden Sie im 
4163         Abschnitt~\ref{sec_systemtrustedrootcerts}.
4164
4165     \item Das Wurzelzertifikat durch den Benutzer setzen (keine
4166         systemweite Anpassung nötig).
4167         Dazu müssen Sie einmalig die Option
4168         \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu
4169         markieren} in Kleopatras Einstellung aktivieren.
4170         Anschließend werden Sie nach jedem Importieren neuer
4171         Wurzelzertifikate gefragt, ob Sie diesem vertrauen wollen.
4172         Genaueres dazu im Abschnitt~\ref{sec_allow-mark-trusted}.
4173
4174 \end{itemize}
4175
4176
4177
4178 \clearpage
4179 \chapter{Dateien und Einstellungen von Gpg4win}
4180
4181 \section{Persönliche Einstellungen der Anwender}
4182
4183 Die persönlichen Einstellungen für jeden Anwender befinden sich im
4184 Dateiordner:\\ \Filename{\%APPDATA\%\back{}gnupg}\\ 
4185 Oft entspricht das dem Dateiordner: \\
4186 \Filename{C:\back{}Dokumente und
4187 Einstellungen\back{}<name>\back{}Anwendungsdaten\back{}%
4188 \T\ifthenelse{\boolean{DIN-A5}}{\\}{}%
4189 gnupg\back{}}
4190
4191 Beachten Sie, dass es sich um einen versteckten Dateiordner handelt.
4192 Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü
4193 \Menu{Extras$\rightarrow$Ordneroptionen} im Reiter \Menu{Ansicht} die
4194 Option \Menu{Alle Dateien und Ordner anzeigen} unter der Gruppe
4195 \Menu{Versteckte Dateien und Ordner} aktivieren.
4196
4197 In diesem Dateiordner befinden sich sämtliche persönlichen
4198 GnuPG-Daten, also die privaten Schlüssel, Zertifikate,
4199 Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von
4200 Gpg4win wird dieser Ordner \textit{nicht} gelöscht. Denken Sie daran,
4201 regelmäßig Sicherheitskopien dieses Ordners anzulegen.
4202
4203
4204 \section{Zwischengespeicherte Sperrlisten}
4205 \index{Sperrlisten}
4206
4207 \T\marginSmime
4208 Der systemweite Dienst DirMngr (Directory Manager) \index{DirMngr}
4209 prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher
4210 nicht verwendet werden darf.  Dafür werden Sperrlisten (CRLs) von den
4211 Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer
4212 Gültigkeit zwischengespeichert.
4213
4214 Abgelegt werden diese Sperrlisten unter:\newline
4215 \Filename{C:\back{}Dokumente und
4216 Einstellungen\back{}LocalService\back{}Lokale\T\newline
4217 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
4218
4219 Hierbei handelt es sich um \textit{geschützte} Dateien, die
4220 standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch
4221 die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option
4222 \Menu{Geschützte Systemdateien ausblenden} in den
4223 \Menu{Ansicht}-Einstellungen des Windows-Explorers.
4224
4225 In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
4226
4227 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
4228 \section{Vertrauenswürdige Wurzelzertifikate von DirMngr}
4229 \label{trustedrootcertsdirmngr}
4230 \index{DirMngr}
4231 \index{Vertrauenswürdige Wurzelzertifikate}
4232 \index{Wurzelzertifikate}
4233
4234 \T\marginSmime
4235 Für eine vollständige Prüfung von X.509-Zertifikaten muss den
4236 Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten
4237 signiert wurden.
4238
4239 Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen
4240 soll, werden im folgenden Dateiordner abgelegt:
4241
4242 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4243 Users\back{}Anwendungsdaten\back{}\T\newline
4244 GNU\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
4245
4246 \W~\\\\
4247 \textbf{Wichtig:} Die entsprechenden Wurzelzertifikate müssen als
4248 Dateien im Dateiformat DER mit der Dateinamens"=Erweiterung
4249 \Filename{.crt} oder \Filename{.der} im o.g. Dateiordner vorliegen.
4250
4251 Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im
4252 "`trusted-certs"'-Dateiordner neu gestartet werden. Anschließend sind
4253 die dort abgelegten Wurzelzertifikate für alle Anwender als
4254 \textbf{vertrauenswürdig} gesetzt.
4255
4256 Beachten Sie auch Abschnitt \ref{sec_systemtrustedrootcerts}, um den
4257 Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
4258
4259
4260 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
4261 \section{Weitere Zertifikate von DirMngr}
4262 \label{extracertsdirmngr}
4263
4264 \T\marginSmime
4265 Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft
4266 werden soll, muss somit auch das jeweilige Zertifikat der
4267 Beglaubigungsinstanz ("`Certificate Authority"', CA) geprüft werden.
4268
4269 Für eine direkte Verfügbarkeit können
4270 CA-Zertifikate\index{CA-Zertifikat} in diesem
4271 (systemweiten) Dateiordner abgelegt werden:\newline
4272 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4273 Users\back{}Anwendungsdaten\back{}\T\newline
4274 GNU\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
4275
4276 Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen
4277 automatisch von X.509-Zer\-ti\-fi\-kats\-servern geladen werden.\\
4278 Diese CA-Zertifikate können aber auch immer manuell vom Anwender
4279 importiert werden.
4280
4281 Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die
4282 wichtigsten CA-Zertifikate abzulegen.
4283
4284 \clearpage
4285 \section{Systemweite Konfiguration zur Verwendung externer
4286 X.509-Zertifikatsserver \label{x509CertificateServers}}
4287
4288 \T\marginSmime
4289 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende
4290 X.509-Zertifikate oder Sperrlisten auf externen
4291 X.509-Zertifikatsservern gesucht werden (vgl. auch
4292 Kapitel~\ref{ch:smime-configuration}).\\
4293
4294 Für die \textbf{X.509-Zertifikatssuche} verwendet der Systemdienst DirMngr eine Liste
4295 von Zertifikatsservern, die in der Datei\newline
4296 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4297 Users\back{}Anwendungsdaten\back{}\T\\
4298 GNU\back{}etc\back{}dirmngr\back{}ldapservers.conf}\\ 
4299 angegeben werden können. Diese Zertifikatsserver werden für alle
4300 Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch
4301 weitere, benutzerspezifische Zertifikatsserver für die
4302 Zertifikatssuche einrichten -- z.B. direkt über Kleopatra (vgl.
4303 Kapitel~\ref{configureCertificateServer}).
4304
4305 Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g.
4306 Konfigurationsdatei lautet:
4307
4308 \Filename{HOSTNAME:PORT:USERNAME:PASSWORD:BASE\_DN}
4309
4310 Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern
4311 mittels Firewall gesperrt, so kann man in der
4312 \Filename{ldapservers.conf} einen Proxy-Dienst\index{Proxy} für
4313 die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie
4314 folgende Zeile im Beispiel illustriert:
4315
4316 \Filename{proxy.mydomain.example:389:::O=myorg,C=de}\\
4317
4318
4319 Für die Suche von \textbf{Sperrlisten}\index{Sperrlisten} (CRLs) gibt
4320 es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:
4321
4322 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4323 Users\back{}Anwendungsdaten\back{}\T\\
4324 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4325
4326 Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.
4327
4328 Folgende Proxy-Optionen können Sie nach Bedarf in dieser
4329 Konfigurationsdatei ergänzen (jede Option in einer Zeile): 
4330 \begin{itemize}
4331     \item \Filename{http-proxy HOST[:PORT]}
4332         \index{HTTP}
4333         Diese Option verwendet \Filename{HOST} und
4334         \Filename{PORT} für den Zugang zum Zertifikatsserver. Die
4335         Umgebungsvariable \Filename{http\_proxy} wird bei Verwendung
4336         dieser Option überschrieben.
4337
4338         Ein Beispiel:\\
4339         \Filename{http-proxy http://proxy.mydomain.example:8080}
4340
4341     \item \Filename{ldap-proxy HOST[:PORT]}
4342         \index{LDAP}
4343         Diese Option verwendet \Filename{HOST} und
4344         \Filename{PORT} für den Zugang zum Zertifikatsserver.
4345         Ist keine Portnummer angegeben, wird der Standard LDAP-Port
4346         389 benutzt.
4347         Diese Option überschreibt die im Zertifikat enthaltene
4348         LDAP-URL bzw. nutzt \Filename{HOST} und \Filename{PORT}, wenn
4349         keine LDAP-URL angegeben ist.
4350
4351     \item \Filename{only-ldap-proxy}
4352
4353         Diese Option sorgt dafür, dass DirMngr
4354         niemals irgendetwas anderes nutzt als den unter
4355         \Filename{ldap-proxy} konfigurierten Proxy. Denn normalerweise
4356         versucht DirMngr andere konfigurierte Zertifikatsserver zu
4357         verwenden, wenn die Verbindung über \Filename{ldap-proxy} fehl schlägt.
4358
4359 \end{itemize}
4360
4361
4362 \clearpage
4363 \section{Systemweite vertrauenswürdige Wurzelzertifikate}
4364 \label{sec_systemtrustedrootcerts}
4365 \index{Wurzelzertifikate}
4366
4367 \T\marginSmime
4368 Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate
4369 werden definiert in der Datei\\ \Filename{C:\back{}Dokumente und
4370 Einstellungen\back{}All Users\back{}Anwendungsdaten\T\\
4371 \back{}GNU\back{}etc\back{}gnupg\back{}trustlist.txt} \index{trustlist.txt}
4372
4373 Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der
4374 entsprechende Fingerabdruck des Zertifikats, gefolgt von einem
4375 Leerzeichen und einem großen \Filename{S}, in die o.g. Datei
4376 eingetragen werden.  Ein Zertifikat wird explizit als nicht
4377 vertrauenswürdig markiert, wenn die Zeile mit dem Präfix
4378 "`\Filename{!}"' beginnt.  Sie können hier auch mehrere
4379 Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder
4380 Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem
4381 \texttt{\#} beginnt wird als Kommentar behandelt und ignoriert.
4382
4383 Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile
4384 erfolgen.
4385
4386 Ein Beispiel:
4387 \T\ifthenelse{\boolean{DIN-A5}}{\scriptsize}{}
4388 \begin{verbatim}
4389 # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
4390 A6935DD34EF3087973C706FC311AA2CCF733765B S
4391
4392 # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
4393 DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
4394
4395 # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE
4396 !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S
4397
4398 \end{verbatim}
4399 \T\ifthenelse{\boolean{DIN-A5}}{\normalsize}{}
4400
4401 Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der
4402 Überprüfung der Wurzelzertifikate zu verringern.
4403 Sie können dazu hinter \Filename{S} eine weitere Flagge \Filename{relax}
4404 setzen: \Filename{<FINGERABDRUCK> S relax}
4405
4406 \textbf{Wichtig:} Die Verwendung von \Filename{relax} setzt die
4407 Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen
4408 verwendet werden.
4409
4410 Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation
4411 (Punkt "`trustlist.txt"'):\\
4412 \T\ifthenelse{\boolean{DIN-A5}}{
4413     \T\scriptsize
4414     \T\texttt{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
4415     \T\normalsize
4416 \T}
4417 \T{
4418     \uniurl{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
4419 \T}
4420
4421
4422 Die genaue Syntax für die Einträge in die trustlist.txt lautet also:\\
4423 \Filename{[!]<FINGERABDRUCK> S [relax]}\\
4424 wobei \Filename{!} und \Filename{relax} optional sind.
4425
4426 Anstelle der Flagge \Filename{S} sind noch die Werte \Filename{P} und
4427 \Filename{*} vorgesehen, die für zukünftigen Gebrauch reserviert sind.
4428
4429 \textbf{Wichtig:} Damit Wurzelzertifikate in Kleopatra vollständig als
4430 vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
4431 müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
4432 werden, wie unter Abschnitt \ref{trustedrootcertsdirmngr} beschrieben.
4433
4434 \clearpage
4435 \section{Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren}
4436 \label{sec_allow-mark-trusted}
4437 \index{Vertrauenswürdige Wurzelzertifikate}
4438 \index{Wurzelzertifikate}
4439
4440 \T\marginSmime
4441 Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als
4442 vertrauenswürdig markiert werden -- eine systemweite Konfiguration
4443 (siehe Abschnitt \ref{trustedrootcertsdirmngr} und
4444 \ref{sec_systemtrustedrootcerts}) ist dann nicht erforderlich.
4445
4446 Öffnen Sie das Kleopatra-Menü
4447 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
4448 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
4449 \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren}.
4450 Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig
4451 eingestuften Wurzelzertifikats gefragt, ob Sie es nun als
4452 vertrauenswürdig einstufen wollen.  Beachten Sie, dass der gpg-agent
4453 ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam
4454 wird (z.B. durch ausloggen und wieder einloggen).
4455
4456 Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht
4457 vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden
4458 automatisch in folgender Datei gespeichert:\\
4459 \Filename{C:\back{}Dokumente und
4460 Einstellungen\back{}<Nutzername>\back{}\T\\
4461 Anwendungsdaten\back{}gnupg\back{}trustlist.txt}
4462 \index{trustlist.txt}
4463
4464 Für die trustlist.txt gilt die gleiche Syntax wie im
4465 Abschnitt~\ref{sec_systemtrustedrootcerts} beschrieben.
4466
4467
4468 \clearpage
4469 \chapter{Probleme in den Gpg4win-Programmen aufspüren (Logdateien)}
4470 \index{Logdatei}
4471
4472 Es kann vorkommen, dass eine der Gpg4win-Programmkomponenten nicht wie
4473 erwartet zu funktionieren scheint.
4474
4475 Nicht selten ist dabei eine Besonderheit der Arbeitsumgebung
4476 verantwortlich, sodass die Softwareentwickler von Gpg4win das
4477 beobachtete Problem gar nicht selbst nachvollziehen können.
4478
4479 Um die Softwareentwickler bei der Problemsuche zu unterstützen oder
4480 auch, damit der Anwender selbst einmal in die technischen
4481 Detail-Abläufe hineinschnuppern kann, bieten die Gpg4win-Programme
4482 Unterstützung an.
4483
4484 In der Regel muss diese Unterstützung aber erst einmal eingeschaltet
4485 werden. Eine der wichtigsten Hilfsmittel sind Logdateien: Dort werden
4486 detaillierte Diagnose-Informationen zu den internen technischen
4487 Vorgängen festgehalten.  Ein Softwareentwickler kann ein Problem und
4488 die mögliche Lösung oft leicht anhand dieser Logdatei erkennen, auch
4489 wenn das Problem auf den ersten Blick unverständlich wirken mag.
4490
4491 Wenn Sie einen Fehler-Bericht an die Softwareentwickler senden wollen,
4492 so finden Sie auf dieser Web-Seite einige Hinweise:
4493
4494 \uniurl{http://www.gpg4win.de/reporting-bugs-de.html}
4495
4496 Logdateien -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
4497 bieten oft wertvolle Hinweise und sollten daher einem Fehlerbericht
4498 beigefügt werden.
4499
4500 In diesem Kapitel wird beschrieben, wie Sie
4501 Programmablauf-Informationen (darum handelt es sich letztlich bei den
4502 Logdateien) zu den einzelnen Gpg4win-Programmen einschalten können.
4503
4504 \clearpage
4505 \section{Logdateien von Kleopatra einschalten}
4506 \index{Logdatei!von Kleopatra}
4507
4508 Die Logdaten von Kleopatra bestehen aus vielen Dateien, daher besteht
4509 der erste Schritt darin, zunächst einen Dateiordner für die Logdateien
4510 zu erstellen. Denkbar ist z.B.:
4511 \Filename{C:\back{}TEMP\back{}kleologdir}
4512
4513 Bitte beachten Sie hierbei, dass es hier um Einstellungen des
4514 Anwenders, nicht des Systemadministrators geht.  Die Einstellungen
4515 müssen also für jeden Anwender, der Logdaten von Kleopatra erstellen möchte,
4516 separat vorgenommen werden und es muss darauf geachtet werden, dass
4517 unterschiedliche \Filename{kleologdir}-Dateiordner verwendet werden.
4518
4519 Der Pfad zu diesem Ordner muss nun in der neuen Umgebungsvariablen
4520 \Filename{KLEOPATRA\_LOGDIR} vermerkt werden:
4521
4522 Öffnen Sie dazu die Systemsteuerung, wählen Sie dort \Menu{System}, dann
4523 den Reiter \Menu{Erweitert} und schließlich den Knopf
4524 \Button{Umgebungsvariablen}.
4525
4526 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4527
4528 \begin{quote}
4529     Name der Variable: \Filename{KLEOPATRA\_LOGDIR}
4530
4531     Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
4532 \end{quote}
4533
4534 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4535 können ihn auch nachträglich erstellen.
4536
4537 Um die Logfunktion wirksam werden zu lassen, muss Kleopatra beendet
4538 und neu gestartet werden und der Dateiordner der Logdaten existieren
4539 sowie für Kleopatra beschreibbar sein.
4540
4541 Während Kleopatra verwendet wird, zeichnet es Ablauf-Informationen in
4542 der Datei \Filename{kleo-log} (Haupt-Logdatei) auf sowie
4543 möglicherweise viele Dateien mit einem Namen nach dem Schema:\\
4544 \Filename{pipe-input-<ZEITSTEMPEL>-<ZUFALLSZEICHEN>}
4545
4546 Möglicherweise reichen diese Informationen einem Softwareentwickler
4547 nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine
4548 weitere Umgebungsvariable anzulegen -- so wie Sie es schon oben getan
4549 haben:
4550
4551 \begin{quote}
4552     Name der Variable: \Filename{KLEOPATRA\_LOGOPTIONS}
4553
4554     Wert der Variable: ~~\Filename{all}
4555 \end{quote}
4556
4557 Möglicherweise werden die Logdateien sehr schnell sehr groß.  Sie
4558 sollten diese Logdaten\--Auf\-zeich\-nung nur einschalten, um ein
4559 bestimmtes Fehlverhalten zu provozieren und dabei aufzuzeichnen.
4560
4561 Anschließend schalten Sie die Aufzeichnung wieder aus, indem Sie die
4562 Umgebungsvariable löschen oder ihren Namen leicht variieren (für
4563 späteres leichtes Reaktivieren). Vergessen Sie nicht, die Logdateien
4564 zu löschen oder zu verschieben, gerade wenn sie sehr umfangreich geworden sind oder es sich
4565 um sehr viele Dateien handelt. Bevor Sie eine neue Aufzeichnung
4566 beginnen, ist es ebenfalls sinnvoll, die Logdateien zu entfernen.
4567
4568 \clearpage
4569 \section{Logdatei von GpgOL einschalten}
4570 \index{Logdatei!von GpgOL}
4571
4572 Um die Logdatei von GpgOL einzuschalten, müssen Sie einen
4573 "`Registry-Editor"' starten. Geben Sie dazu das Kommando
4574 \Filename{regedit} unter \Menu{Start$\rightarrow$Ausführen} oder in
4575 einer Eingabeaufforderung ein.
4576
4577 Wählen Sie nun aus der Baumstruktur auf der linken Seite den folgenden
4578 GpgOL-Schlüssel aus:\\
4579 \Filename{HKEY\_CURRENT\_USER\back{}Software\back{}GNU\back{}GpgOL}
4580
4581 Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
4582 (sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten
4583 Werten.  Diese Einträge werden nach dem ersten Start von Outlook mit
4584 GpgOL angelegt.
4585
4586 Zum Aktivieren der GpgOL-Logdatei führen Sie einen Doppelklick auf den
4587 Eintrag \Filename{enableDebug} aus und setzen Sie dessen Wert auf
4588 \Filename{1}.
4589
4590 Als Wert für \Filename{logFile} geben Sie nun einen Namen für die Datei an,
4591 in die die Logdatei geschrieben werden soll, z.B.:
4592 \Filename{C:\back{}TEMP\back{}gpgol.log}
4593
4594 Starten Sie Outlook neu, um die Aufzeichnung zu starten.
4595
4596 Bedenken Sie, dass diese Datei sehr umfangreich werden kann. Stellen
4597 Sie \Filename{enableDebug} auf \Filename{0}, sobald Sie die
4598 GpgOL-Logdatenaufzeichnung nicht mehr benötigen.
4599
4600 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4601 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4602 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4603 entfernen.
4604
4605 Fortgeschrittene technische Informationen zu GpgOL -- wie z.B. weitere
4606 mögliche Werte für \Filename{enableDebug} -- finden Sie im technischen
4607 (englischsprachigen) Handbuch von GpgOL.  Es befindet sich in Ihrem
4608 Gpg4win-Installations\-verzeichnis, in der Regel:\newline
4609 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}share\back{}doc\back{}gpgol\back{}gpgol.pdf}
4610
4611 \clearpage
4612 \section{Logdatei von DirMngr einschalten}
4613 \index{DirMngr}
4614 \index{Logdatei!von DirMngr}
4615
4616 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher ist
4617 das Einschalten der Logdatei nur mit Administratorrechten möglich.
4618
4619 Um die Logdatei einzuschalten, öffnen Sie zunächst folgende
4620 Konfigurationsdatei:\\ \Filename{C:\back{}Dokumente und
4621 Einstellungen\back{}All Users\back{}Anwendungsdaten\back{}\T\\
4622 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4623
4624 Fügen Sie die folgenden zwei Zeilen in die Konfigurationsdatei ein
4625 (den Pfad zur Logdatei können Sie natürlich anpassen):
4626
4627 \begin{quote}
4628     \Filename{debug-all} \\
4629     \Filename{log-file C:\back{}TEMP\back{}dirmngr.log}
4630 \end{quote}
4631
4632 Starten Sie anschließend den Dienst DirMngr unter
4633 \Menu{Systemsteuerung$\rightarrow$Ver\-waltung$\rightarrow$Dienste} neu,
4634 sodass die geänderte Konfigurationsdatei neu eingelesen wird und die
4635 vorgenommenen Einstellungen wirksam werden.
4636
4637 Kommentieren Sie Ihre Anpassung in o.g. Konfigurationsdatei aus (also
4638 \texttt{\#~debug-all}), sobald Sie die DirMngr-Logdtenaufzeichnung
4639 nicht mehr benötigen.
4640
4641 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4642 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4643 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4644 entfernen.
4645
4646 \clearpage
4647 \section{Logdatei von GnuPG einschalten}
4648 \index{Logdatei!von GnuPG}
4649
4650 Für folgende GnuPG-Komponenten können Sie jeweils einzeln das Anlegen
4651 einer Logdatei einschalten:
4652 \begin{itemize}
4653     \item GPG Agent
4654     \item GPG für S/MIME
4655     \item GPG für OpenPGP
<