Minor README fix
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Jochen Saalfeld, Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99
100 \DeclareOldFontCommand{\bf}{\normalfont\bfseries}{\textbf}
101 \renewcommand{\back}{\textbackslash}
102
103 \newcommand{\Email}{E-Mail}
104 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
105 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
106 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
107 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
108 \newcommand{\IncludeImage}[2][]{
109 \begin{center}
110 \texorhtml{%
111   \includegraphics[#1]{images-compendium/#2}%
112 }{%
113   \htmlimg{../images-compendium/#2.png}%
114 }
115 \end{center}
116 }
117
118 % custom colors
119 \definecolor{gray}{rgb}{0.4,0.4,0.4}
120 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
121
122 \T\parindent 0cm
123 \T\parskip\medskipamount
124
125 % Get the version information from another file.
126 % That file is created by the configure script.
127 \input{version.tex}
128
129
130 % Define universal url command.
131 % Used for latex _and_ hyperlatex (redefine see below).
132 % 1. parameter = link text (optional);
133 % 2. parameter = url
134 % e.g.: \uniurl[example link]{http:\\example.com}
135 \newcommand{\uniurl}[2][]{%
136 \ifthenelse{\equal{#1}{}}
137 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
138 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
139
140 %%% HYPERLATEX %%%
141 \begin{ifhtml}
142     % HTML title
143     \htmltitle{Gpg4win-Kompendium}
144     % TOC link in panel
145     \htmlpanelfield{Inhalt}{hlxcontents}
146     % link to EN version    
147     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
148         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
149     % name of the html files
150     \htmlname{gpg4win-compendium}
151     % redefine bmod
152     \newcommand{\bmod}{mod}
153     % use hlx icons (default path)
154     \newcommand{\HlxIcons}{../images-hyperlatex}
155
156     % Footer
157     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
158     \html{br/}
159     \html{small}
160     Das Gpg4win-Kompendium ist unter der
161     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
162     \html{/small}}
163
164     % Changing the formatting of footnotes
165     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
166
167     % redefine universal url for hyperlatex (details see above)
168     \newcommand{\linktext}{0}
169     \renewcommand{\uniurl}[2][]{%
170         \renewcommand{\linktext}{1}%
171         % link text is not set
172         \begin{ifequal}{#1}{}%
173             \xlink{#2}{#2}%
174             \renewcommand{linktext}{0}%
175         \end{ifequal}
176         % link text is set
177         \begin{ifset}{linktext}%
178              \xlink{#1}{#2}%
179     \end{ifset}}
180
181     % german style
182     \htmlpanelgerman
183     \extrasgerman
184     \dategerman
185     \captionsgerman
186
187
188     % SECTIONING:
189     %
190     % on _startpage_: show short(!) toc (only part+chapter)
191     \setcounter {htmlautomenu}{1}
192     % chapters should be <H1>, Sections <H2> etc.
193     % (see hyperlatex package book.hlx)
194     \setcounter{HlxSecNumBase}{-1}
195     % show _numbers_ of parts, chapters and sections in toc
196     \setcounter {secnumdepth}{1}
197     % show parts, chapters and sections in toc (no subsections, etc.)
198     \setcounter {tocdepth}{2}
199     % show every chapter (with its sections) in _one_ html file
200     \setcounter{htmldepth}{2}
201
202     % set counters and numberstyles
203     \newcounter{part}
204     \renewcommand{\thepart}{\arabic{part}}
205     \newcounter{chapter}
206     \renewcommand{\thecapter}{\arabic{chapter}}
207     \newcounter{section}[chapter]
208     \renewcommand{\thesection}{\thechapter.\arabic{section}}
209 \end{ifhtml}
210
211
212 %%% TITLEPAGE %%%
213
214 \title{
215     \htmlattributes*{img}{width=300}
216     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
217     \T~\newline
218     \T\ifthenelse{\boolean{DIN-A5}}%
219     % DIN A5:
220     {\begin{latexonly}
221         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
222         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
223         \\[-0.3cm] mit GnuPG für Windows}
224      \end{latexonly}  
225     }%
226     % DIN A4:
227     {Das Gpg4win-Kompendium \\
228       \texorhtml{\Large \textmd}{\large}
229       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
230       Windows}
231     }
232 }
233 \author{
234     % Hyperlatex: Add links to pdf versions and Homepage
235     \htmlonly{
236         \xml{p}\small
237         \xlink{PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}
238         \xml{br}
239         \xlink{\htmlattributes*{img}{style=border:none title=English}
240            \htmlimg{../images-hyperlatex/english.png}{} 
241            English Version}{../en/\HlxThisUrl}
242         \xml{br}
243         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}
244         \xml{p}
245     }
246     % Authors
247     \T\\[-1cm]
248       \small Basierend auf einer Fassung von
249     \T\\[-0.2cm]
250       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
251       \small Isabel Kramer und Dr. Francis Wray.
252       \texorhtml{\\[0.2cm]}{\\}
253       \small Grundlegend überarbeitet von
254     \T\\[-0.2cm]
255       \small Werner Koch, Jochen Saalfeld, Florian v. Samson, Emanuel Schütze
256       und Dr. Jan-Oliver Wagner.
257     \T\\[0.4cm]
258 }
259
260 \date{
261     \T\ifthenelse{\boolean{DIN-A5}}%
262     % DIN A5:
263     {\begin{latexonly}
264         \large Eine Veröffentlichung der Gpg4win-Initiative
265         \\[0.2cm]
266         Version \compendiumVersionDE~vom \compendiumDateDE 
267      \end{latexonly}
268     }%
269     % DIN A4:
270     {Eine Veröffentlichung der Gpg4win-Initiative
271       \\[0.2cm]
272       Version \compendiumVersionDE~vom \compendiumDateDE\\
273       \small\compendiuminprogressDE%
274     }
275 }
276
277
278 %%% BEGIN DOCUMENT %%%
279
280 \begin{document}
281 \T\pdfbookmark[0]{Titelseite}{titel}
282 % set title page
283 \texorhtml{
284     \ifthenelse{\boolean{DIN-A5}}
285     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
286     {\maketitle}
287 }
288 {\maketitle}
289
290
291 % improved handling of long (outstanding) lines
292 \T\setlength\emergencystretch{3em} \tolerance=1000
293
294
295 \T\section*{Impressum}
296 \W\chapter*{Impressum}\\
297
298 \thispagestyle{empty}
299 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
300 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
301 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
302 Eindruck eines Zusammenhanges
303 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
304 werden.}\\
305 Copyright \copyright{} 2005 g10 Code GmbH\\
306 Copyright \copyright{} 2009, 2010, 2017 Intevation GmbH
307
308 Permission is granted to copy, distribute and/or modify this document
309 under the terms of the GNU Free Documentation License, Version 1.2 or
310 any later version published by the Free Software Foundation; with no
311 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
312 copy of the license is included in the section entitled "`GNU Free
313 Documentation License"'.
314
315 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
316 oben stehenden Hinweises.]}\\
317 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
318 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
319 Documentation License, Version 1.2 oder einer späteren, von der Free
320 Software Foundation veröffentlichten Version.  Es gibt keine
321 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
322 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
323 License"' findet sich im Anhang mit dem gleichnamigen Titel.
324 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
325 http://www.gnu.org/licenses/translations.html.
326
327
328
329 \clearpage
330 \chapter*{Über dieses Kompendium}
331 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
332
333 Das Gpg4win-Kompendium besteht aus drei Teilen:
334
335 \begin{itemize}
336 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
337     Schnelleinstieg in Gpg4win.
338
339 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
340     Fortgeschrittene"'}:
341     Das Hintergrundwissen zu Gpg4win.
342
343 \item \textbf{Anhang}: Weiterführende technische Informationen zu
344     Gpg4win.\\
345 \end{itemize}
346
347 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
348 und knapp durch die Installation und die alltägliche Benutzung der
349 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
350 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
351 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
352 vertraut im Umgang mit Gpg4win gemacht haben.
353
354 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
355 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
356 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
357
358 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
359 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
360 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
361 erläutert.
362
363 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
364 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
365 angegebenen Reihenfolge lesen.\\
366
367 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
368 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
369 GpgOL.\\
370
371 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
372 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
373 geschrieben, sondern \textbf{für jedermann.}\\
374
375 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
376 verfügbar unter: \\
377 \uniurl{http://www.gpg4win.de}
378
379 \clearpage
380 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
381
382 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
383 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
384         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
385         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
386         eckige Klammern benutzt.
387
388         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
389         wenn deren Bedeutung in einem Satz betont, das
390         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
391         werden soll (z.B.: \textit{nur} OpenPGP).
392
393     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
394         die besonders wichtig und damit hervorzuheben sind.  Diese
395         Auszeichnung unterstützt den Leser bei der schnelleren
396         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
397         Passagen.
398
399     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
400         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
401         von Kommandozeilen) verwendet.
402 \end{itemize}
403 Im folgenden werden die Ausdrücke und Kennzeichnungen verwendet:
404 \begin{itemize}
405         %TODO: Dieser Punkt muss noch überarbeitet und agepasst werden
406     \item Sie werden im folgenden immer wieder von
407         \glqq{}Schlüsseln\grqq{} und \glqq{}Zertifikaten\grqq{} lesen.
408         In der OpenPGP-Welt hat sich der Begriff
409         \glqq{}Schlüssel\grqq{} durchgesetzt. Für die Nutzung von
410         S/MIME wird der Begriff \glqq{}Zertifikat\grqq{} verwendet.
411         In diesem Kompendium wird primär Schlüssel verwendet. Nur wenn
412         es explizit um S/MIME geht, wird Zertifikat genutzt.
413
414         Die Software \textit{Kleopatra} war einst ein reines Verwaltungsprogramm
415         für S/MIME-Zertifikate. Erst nachträglich wurde es um die Verwaltung für
416         OpenPGP-Schlüssel erweitert.
417
418         \item Wenn in einem Kapitel explizit auf die Nutzung mit S/MIME eingegangen wird,
419             wird darauf am Rand mit diesem Symbol hingewiesen:
420             \begin{latexonly} %no hyperlatex
421                     \begin{center}
422                             %\includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
423                             %\hspace{1cm}
424                             \includegraphics[width=2.5cm]{images-compendium/smime-icon}
425                     \end{center}
426             \end{latexonly}
427 \end{itemize}
428
429 \cleardoublepage
430 \T\pdfbookmark[0]{\contentsname}{toc}
431 \tableofcontents
432
433 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
434 % Part I
435 \clearpage
436 \T\part{Für Einsteiger}
437 \W\part*{\textbf{I Für Einsteiger}}
438 \label{part:Einsteiger}
439 \addtocontents{toc}{\protect\vspace{0.3cm}}
440 \addtocontents{toc}{\protect\vspace{0.3cm}}
441
442
443 \chapter{Gpg4win -- Kryptografie für alle}
444 \index{Kryptografie}
445
446 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage
447 so: 
448 \begin{quote}
449         \textit{Gpg4win (GNU Privacy Guard for Windows) ist ein Installationspaket
450                 für Windows zur E-Mail- und Datei-Verschlüsselung. Gpg4win ermöglicht 
451                 das einfache und kostenfreie Ver- und Entschlüsseln von E-Mails, 
452                 Dateien und Datei-Ordnern. Ebenso kann mittels digitaler Signaturen die 
453                 Integrität und die Authentizität der verschlüsselten E-Mails und 
454                 Dateien überprüft werden. Das Paket besteht aus verschiedenen 
455                 Programmkomponenten und einem Handbuch. }
456
457 \end{quote}
458
459 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
460 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
461 Gpg4win umfasst in Version 2 die folgenden Programme:
462
463 \begin{itemize}
464     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
465         Gpg4win -- die eigentliche Verschlüsselungs-Software.
466     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
467         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
468         Gpg4win, die für eine einheitliche Benutzerführung bei allen
469         kryptografischen Operationen sorgt.  
470     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
471         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
472         von Zertifikaten neben Kleopatra.
473     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
474         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
475         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
476         verschlüsseln.
477    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
478        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
479        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
480        über das Kontextmenü signieren bzw.  verschlüsseln kann.
481 \end{itemize}
482
483 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
484 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
485 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
486 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
487 sicher und kann nach dem heutigen Stand von Forschung und Technik
488 nicht gebrochen werden.
489
490 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
491 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
492 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
493 kann und darf den Quellcode der Programme untersuchen und -- sofern er
494 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
495 diese weitergeben.
496
497 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
498 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
499 lässt sich die Vertrauenswürdigkeit der Programmierung und des
500 Programmes wirklich prüfen.
501
502 GnuPG basiert auf dem internationalen Standard
503 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), ist vollständig kompatibel
504 zu PGP und benutzt auch die gleiche Infrastruktur (Schlüsselserver
505 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
506 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
507 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
508
509 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
510 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
511 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
512 mehr dem Stand der Technik.
513
514 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
515 Wirtschaft und Technologie \index{Bundesministerium für
516 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
517 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
518 Bundesamt für Sicherheit in der Informationstechnik (BSI)
519 \index{Bundesamt für Sicherheit in der Informationstechnik}
520 unterstützt.
521
522 Weitere Informationen zu GnuPG und weiteren Projekten der
523 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
524 \uniurl[www.bsi.bund.de]{http://www.bsi.bund.de} und
525 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
526 Bundesamtes für Sicherheit in der Informationstechnik.
527
528
529 \clearpage
530 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
531 \label{ch:why}
532 \index{Briefumschlag}
533
534 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
535 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
536 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
537 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
538 jedermann frei und kostenlos zugänglich.
539
540 \htmlattributes*{img}{width=300}
541 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
542
543 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
544 um rund um den Globus miteinander zu kommunizieren und uns zu
545 informieren. Aber Rechte und Freiheiten, die in anderen
546 Kommunikationsformen längst selbstverständlich sind, muss man sich in
547 den neuen Technologien erst sichern. Das Internet ist so schnell und
548 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
549 Rechte noch nicht so recht nachgekommen ist.
550
551 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
552 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
553 Umschlag schützt die Nachrichten vor fremden Blicken, eine
554 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
555 nicht so wichtig ist, schreibt man es auf eine ungeschützte
556 Postkarte, die auch der Briefträger oder andere lesen können.
557
558 \clearpage
559 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
560 Sie selbst und niemand sonst.
561
562 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
563 \Email{} ist immer offen wie eine Postkarte, und der elektronische
564 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
565 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
566 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
567 zu verteilen, sondern sie auch zu kontrollieren.
568
569 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
570 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
571 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
572 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
573 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
574 schon im großen Stil mit \Email{} geschieht. Ein Artikel über das 
575 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
576 \index{Echelon-System}
577 liefert dazu interessantes Hintergrundwissen.
578
579 Denn: der Umschlag fehlt.
580
581 \htmlattributes*{img}{width=300}
582 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
583
584 \clearpage
585 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
586 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
587 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
588 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
589 für wichtig und schützenswert halten oder nicht.
590
591 Das ist der Kern des Rechts auf Brief-, Post- und
592 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
593 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
594 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
595 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
596 ist Ihr gutes Recht.
597
598 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
599 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
600 bekannten Mittel zu knacken. In vielen Ländern waren starke
601 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
602 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
603 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
604 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
605 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
606 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
607 in aller Welt als eine praktikable und sichere Software angesehen.
608
609 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
610 Hand.}
611
612 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
613 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
614 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
615 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
616 dieses Vorgehen Schritt für Schritt erläutert.
617
618
619 \clearpage
620 \chapter{So funktioniert Gpg4win}
621 \label{ch:FunctionOfGpg4win}
622 Das Besondere an Gpg4win und der zugrundeliegenden
623 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
624 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
625 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
626
627 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
628 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
629 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
630 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
631 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
632 Vertrauen in die Sicherheit von Gpg4win gewinnen.
633
634 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
635 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
636 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
637 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
638 knacken sind.
639
640 \clearpage
641 \subsubsection{Der Herr der Schlüsselringe}
642 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
643 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
644 nur einmal gibt und den man ganz sicher aufbewahrt.
645
646 \htmlattributes*{img}{width=300}
647 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
648
649 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
650 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
651 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
652 man den Schlüssel mindestens genauso gut absichern, wie das zu
653 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
654 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
655 werden.
656
657 \clearpage
658 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
659 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
660 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
661 dazu auch sehr fehleranfällig.
662
663 \htmlattributes*{img}{width=300}
664 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
665
666 Das Grundproblem bei der "`gewöhnlichen"' geheimen
667 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
668 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
669 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
670 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
671 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
672
673 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
674 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
675 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
676 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
677 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
678 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
679 abgefangen werden darf.
680
681
682 \clearpage
683 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
684 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
685 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
686 von einem "`Public-Key"'-Verschlüsselungssystem.
687
688 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
689 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
690 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
691 Weitergegeben wird nur der öffentliche Schlüssel~-- und den darf sowieso jeder
692 kennen.
693
694 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
695 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
696 Schlüsselteile sind durch eine komplexe mathematische Formel
697 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
698 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
699 anderen zu berechnen und damit das Verfahren zu knacken. 
700
701 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
702
703 \htmlattributes*{img}{width=300}
704 \IncludeImage[width=0.5\textwidth]{verleihnix}
705
706
707 \clearpage
708 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
709 ist recht einfach:
710
711 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
712 key'' oder ,,private key'') muss geheim gehalten werden.
713
714 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
715 öffentlich wie möglich gemacht werden.
716
717 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
718
719 \bigskip
720
721 \begin{quote}
722     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
723 \end{quote}
724
725 \htmlattributes*{img}{width=300}
726 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
727
728 \begin{quote}
729     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
730 \end{quote}
731
732 \clearpage
733 \subsubsection{Der öffentliche Brieftresor}
734 \index{Brieftresor}
735
736 In einem kleinen Gedankenspiel wird die Methode des
737 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
738 Verschlüsselung\index{Symmetrische Verschlüsselung}
739 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
740 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
741
742 \bigskip
743
744 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
745
746 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
747 auf, über den Sie geheime Nachrichten übermitteln wollen.
748
749 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
750 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
751 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
752 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
753 Tresor.
754
755 \htmlattributes*{img}{width=300}
756 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
757
758 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
759 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
760 zuschließen und eine geheime Nachricht deponieren zu können.
761
762 \clearpage
763 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
764 Wege übergeben.
765
766 \bigskip
767 \bigskip
768
769 \htmlattributes*{img}{width=300}
770 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
771
772 \clearpage
773 Erst wenn der andere den geheimen Schlüssel hat, kann er den
774 Brieftresor öffnen und die geheime Nachricht lesen.
775
776 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
777 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
778 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
779 austauschen wie die Botschaft selbst.
780
781 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
782 gleich die geheime Mitteilung übergeben ...
783
784 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
785 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
786 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
787 könnten.
788
789 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
790
791 \htmlattributes*{img}{width=300}
792 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
793
794 \clearpage
795 \textbf{Nun zur "`Public-Key"'-Methode:}
796
797 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
798 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
799 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
800 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
801 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
802 \index{Asymmetrische Verschlüsselung}
803
804 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
805
806 \htmlattributes*{img}{width=300}
807 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
808
809 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
810 öffentlicher Schlüssel.
811
812 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
813 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
814 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
815 frei zugänglich.
816
817 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
818 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
819 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
820 nachträglich zu verändern.
821
822 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
823
824 Aufschließen kann man den Brieftresor nur mit einem einzigen
825 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
826
827 \clearpage
828 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
829 kann eine \Email{} an Sie verschlüsseln. 
830
831 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
832 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
833 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
834 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
835
836 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
837
838 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
839 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
840 verfügbaren Schlüssel.
841
842 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
843 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
844 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
845 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
846 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
847 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
848 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
849 und die Nachricht lesen.
850
851 \T\enlargethispage{2\baselineskip}
852
853 \htmlattributes*{img}{width=300}
854 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
855
856 \clearpage
857 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
858 einen geheimen Schlüssel!?
859
860 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
861 allerdings ein gewaltiger:
862
863 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
864 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
865 Übergabe entfällt, sie verbietet sich sogar.
866
867 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
868 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
869 geheimes Codewort.
870
871 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
872 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
873 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
874 bringen kann.
875
876 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
877 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
878 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
879 eigenen Gedächtnis.
880
881 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
882 öffentlichen sowie einem geheimen und privaten Schlüsselteil nennt man auch
883 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
884
885
886 \clearpage
887 \chapter{Die Passphrase}
888 \label{ch:passphrase}
889 \index{Passphrase}
890
891 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
892 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
893 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
894 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
895 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
896 "`ganzen"' Kryptografieverfahrens.
897
898 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
899 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
900 diese Datei auszuschließen, wird sie zweifach gesichert:
901
902 \htmlattributes*{img}{width=300}
903 \IncludeImage[width=0.5\textwidth]{think-passphrase}
904
905 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
906 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
907 der Administrator des Computers immer auf alle Dateien zugreifen kann,
908 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
909 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
910
911 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
912 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
913 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
914 "`im Kopf"' behalten und niemals aufschreiben müssen.
915
916 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
917 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
918 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
919 und nur sehr schwer zu erratende Passphrase ausdenken können.
920
921 \clearpage
922 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
923
924 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
925
926 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
927
928 $\qquad$\verb-nieufdahnlnr- 
929 \texttt{\scriptsize{(Ei\textbf{n}
930 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
931 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
932 Ko\textbf{r}n.)}}
933
934 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
935 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
936 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
937 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
938 kann diese Passphrase niemand.
939
940 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
941 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
942 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
943 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
944 einem für Sie wichtigen Lied.
945
946 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
947 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
948 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
949 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
950 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
951 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
952 einer deutschen Tastatur finden.
953
954 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
955 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
956 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
957
958 $\qquad$\verb-In München steht ein Hofbräuhaus.-
959
960 könnte man beispielsweise diese Passphrase machen:
961
962 $\qquad$\verb-inMinschen stet 1h0f breuhome-
963
964 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
965 sich aber doch merken können, wie z.B.:
966
967 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
968
969 $\qquad$\verb-Taschengeld, auch im Winter.-
970
971 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
972 geheimen Schlüssel.
973
974 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
975 z.B. so:
976
977 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
978
979 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
980 eine noch kürzere Passphrase verwenden, indem Sie hier und da
981 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
982 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
983 vergessen, wird dabei größer.
984
985 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
986 sichere Passphrase ist dieses hier:
987
988 $\qquad$\verb-R!Qw"s,UIb *7\$-
989
990 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
991 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
992 für die Erinnerung hat.
993
994 \clearpage
995 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
996 sie ...
997
998 \begin{itemize}
999     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
1000         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
1001         wäre damit bereits einer anderen, möglicherweise unsicheren
1002         Software bekannt.  Falls hier ein Hacker erfolgreich
1003         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
1004
1005     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
1006         können in Minutenschnelle komplette digitale Wörterbücher über
1007         ein Passwort laufen lassen -- bis eines der Wörter passt.
1008
1009     \item ... aus einem Geburtsdatum, einem Namen oder anderen
1010         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
1011         zu entschlüsseln, wird sich diese Daten beschaffen.
1012
1013     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
1014         enden"' oder "`to be or not to be"'. Auch mit derartigen
1015         gängigen Zitaten testen Passphrase-Knackprogramme eine
1016         Passphrase.
1017
1018     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
1019         besteht.  Denken Sie sich unbedingt eine längere Passphrase
1020         aus.
1021 \end{itemize}
1022
1023 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
1024 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
1025 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
1026 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
1027 nicht eines dieser Beispiele genommen haben.
1028
1029 \bigskip
1030
1031 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
1032 Unvergesslich und unknackbar.
1033
1034 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1035 Erzeugung Ihres Schlüsselpaars benötigen.
1036
1037 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1038 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1039 Nachrichten schicken will, auch tatsächlich echt ist.
1040
1041
1042 \clearpage
1043 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1044 \label{ch:openpgpsmime}
1045 \index{OpenPGP} \index{S/MIME}
1046
1047 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1048 wie man ihn mit den Mitteln der modernen Informationstechnologie
1049 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1050 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1051 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1052 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1053
1054 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1055 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1056 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1057 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1058 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1059 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1060 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1061 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1062 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1063 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1064 -- die \textbf{Authentizität}. \index{Authentizität}
1065
1066 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1067 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1068 Alltagsleben dient zu dieser
1069 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1070 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1071 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1072 Institution von einer übergeordneten Behörde und letztendlich vom
1073 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1074 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1075 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1076 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1077
1078 Dieses Konzept findet sich bei Gpg4win oder anderen
1079 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1080 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1081 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1082 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1083 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1084 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1085 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1086 können Sie mit Gpg4win beide Verfahren einsetzen.
1087
1088
1089 \clearpage
1090 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1091 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1092 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1093 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1094 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1095 wiederum mit dem Zertifikat einer höher stehenden Organisation
1096 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1097 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1098 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1099 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1100 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1101 das Anwenderzertifikat.
1102
1103 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1104 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1105 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1106 \index{Web of Trust}
1107 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1108 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1109 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1110 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1111 dieser Schlüssel durch A beglaubigt wurde.
1112
1113 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1114 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1115 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1116 Schlüssel Ihres Kommunikationspartners vertrauen.
1117
1118 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1119 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1120 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1121 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1122 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1123 installieren und die folgenden Kapitel zu verstehen:
1124
1125 \begin{itemize}
1126     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1127         bieten die notwendige Sicherheit.
1128     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1129         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1130         geheimen Kommunikation. Man sagt somit, sie sind nicht
1131         interoperabel.
1132     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1133         beider Verfahren -- Sie müssen sich aber bei jeder
1134         Verschlüsselung/Signierung für eines der beiden entscheiden.
1135 \end{itemize}
1136
1137
1138 \clearpage
1139 \chapter{Installation von Gpg4win}
1140 \index{Installation}
1141
1142 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1143 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1144 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1145 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1146 sollten Sie schon wissen, was vor sich geht.
1147
1148 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1149 Schlüsselpaar einzurichten.
1150
1151 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1152 installiert sein, 
1153 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1154 vorhandenen Schlüssel übernehmen können.
1155
1156 Sie benötigen für die Installation auf Ihrem Windows 32 oder 64-bit
1157 System Administratorrechte. 
1158
1159 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1160 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1161 \uniurl[https://www.gpg4win.de]{https://www.gpg4win.de}. Zum Start der
1162 Installation klicken Sie nach dem Download auf die Datei:
1163
1164 \Filename{gpg4win-3.0.0.exe} (oder mit einer höheren Versionsnummer).
1165
1166 % screenshot: UAT Abfrage beim starten des Installers
1167 \IncludeImage[width=0.85\textwidth]{sc-inst-uat_de}
1168
1169 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1170 mit \Button{Ja}.
1171
1172 \clearpage
1173 Der Installationsassistent startet und befragt Sie zuerst nach der
1174 Sprache für den Installationsvorgang:
1175
1176 % screenshot: Installer Sprachenauswahl
1177 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1178
1179 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1180
1181 Anschließend begrüßt Sie dieser Willkommensdialog:
1182
1183 % screenshot: Installer Willkommensseite
1184 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1185
1186 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1187 Sie dann auf \Button{Weiter}.
1188
1189 \clearpage
1190 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1191 entscheiden, welche Programme Sie installieren möchten.
1192 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1193 Komponenten auch später installieren. 
1194
1195 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1196 Kurzbeschreibung.
1197
1198 % screenshot: Auswahl zu installierender Komponenten
1199 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1200
1201 Klicken Sie auf \Button{Weiter}.
1202
1203 \clearpage
1204 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1205 \Filename{C:$\backslash$Programm Files(x86)$\backslash$Gpg4win}
1206
1207 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1208 in dem Sie Gpg4win installieren wollen.
1209
1210 % screenshot: Auswahl des Installationsverzeichnis.
1211 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1212
1213 Klicken Sie anschließend auf \Button{Installieren}.
1214
1215 \clearpage
1216 Während der nun folgenden \textbf{Installation} sehen Sie einen
1217 Fortschrittsbalken und Informationen, welche Datei momentan
1218 installiert wird.
1219
1220 % screenshot: Ready page Installer
1221 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1222
1223 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1224 \Button{Weiter}.
1225
1226 \clearpage
1227 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1228 Installationsvorgangs angezeigt:
1229
1230 % screenshot: Finish page Installer
1231 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1232
1233 Es wird Ihnen angeboten Kleopatra direkt zu starten.
1234 Zudem haben Sie die Möglochkeit sich die README-Datei anzeigen zu lassen, die
1235 wichtige Informationen zu der soeben installierten Gpg4win-Version
1236 enthält.  Sofern Sie die README-Datei ansehen wollen,
1237 aktivieren Sie diese Option.
1238
1239 Klicken Sie schließlich auf \Button{Fertig stellen}.
1240
1241 \textbf{Das war's schon!}
1242
1243 Sie haben Gpg4win erfolgreich installiert und können nun loslegen.
1244
1245 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1246 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1247 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1248 von Gpg4win"' weiter.
1249
1250
1251 \clearpage
1252 \chapter{Erstellung eines Schlüsselpaars}
1253 \label{ch:CreateKeyPair}
1254 \index{Zertifikat!erstellen}
1255 \index{Schlüssel!erzeugen}
1256 %TODO : Vllt. Erklärung Zertifikat vs. Keypair erklären und woher das Wording
1257 %       kommt
1258 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1259 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1260 Schutz Ihres geheimen Schlüssels entsteht
1261 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1262 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1263
1264 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1265 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1266 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1267 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1268 Schlüsselpaar mit dem öffentlichen \textit{und} dem geheimen
1269 Schlüssel.
1270
1271 Diese Definition gilt sowohl für OpenPGP-Schlüssel wie auch für
1272 S/MIME-Zertifikate (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1273 "`X.509"'\index{X.509}).
1274
1275 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1276         Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1277
1278 Genau das können Sie tun -- allerdings nur für OpenPGP:
1279
1280 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1281 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1282 wird danach kein Problem mehr sein.
1283
1284 \clearpage
1285 \textbf{Los geht's!}
1286 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf.
1287 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra}:
1288 \index{Zertifikatsverwaltung}
1289
1290 % screenshot: Kleopatra main window
1291 \htmlattributes*{img}{width=508}
1292 \IncludeImage[width=\textwidth]{sc-kleopatra-mainwindow-empty_de}
1293
1294 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1295 Schlüssel erstellt (oder importiert) haben. 
1296
1297 Klicken Sie auf \Button{Schlüsselpaar erstellen} (oder alternativ
1298 \Menu{Datei$\rightarrow$Neues~Schlüsselpaar}).
1299
1300 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1301 anschließend ein Schlüsselpaar erstellt werden soll. Sie haben die Wahl
1302 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1303 Die Unterschiede und Gemeinsamkeiten beider Verfahren wurden bereits in
1304 Kapitel~\ref{ch:openpgpsmime} erläutert.
1305
1306 \label{chooseCertificateFormat}
1307 % screenshot: Kleopatra - New certificate - Choose format
1308 %TODO: Zertifikat steht drüber, aber alles heißt Schlüsselpaar? Konsistenz
1309 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1310
1311 \clearpage
1312 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1313 haben, lesen Sie nun also bitte entweder:
1314 \begin{itemize}
1315         \item Abschnitt \ref{createKeyPairOpenpgp}:
1316         \textbf{OpenPGP-Schlüsselpaar erstellen} oder
1317         \item Abschnitt \ref{createKeyPairX509}:
1318         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1319         \pageref{createKeyPairX509}).
1320 \end{itemize}
1321
1322
1323
1324 \section{OpenPGP-Schlüsselpaar erstellen}
1325 \label{createKeyPairOpenpgp}
1326 \index{OpenPGP!Zertifikat erstellen}
1327
1328 %TODO: "Zertifikat" im Kleo-Dialog ändern in "Schlüsselpaar"
1329 %TODO: Neuer Screenshot (Next/Cancel)
1330 Klicken Sie im Auswahldialog auf \Button{Persönliches 
1331 OpenPGP-Schlüsselpaar erzeugen}.
1332
1333
1334 Geben Sie im nun folgenden Dialog Ihren Namen und Ihre
1335 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1336 sichtbar.
1337
1338 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1339 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1340 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1341 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1342 Name und die \Email{}-Adresse später öffentlich sichtbar.
1343
1344 % screenshot: Creating OpenPGP Certificate - Personal details\\
1345 %TODO: Neuer Screenshot (Next/Cancel)
1346 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1347
1348 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1349 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1350 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1351 \Filename{Alice} und \Filename{alice@gpg4win.de}
1352
1353 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1354 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1355 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1356 informieren.
1357
1358 Klicken Sie auf \Button{Weiter}.
1359
1360 \clearpage
1361 Es werden abschließend noch einmal alle wesentlichen Eingaben und Einstellungen
1362 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1363 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1364 über die Option \Menu{Alle Details} einsehen.
1365
1366 % screenshot: Creating OpenPGP Certificate - Review Parameters
1367 %TODO: Neuer Screenshot (Cancel)
1368 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1369
1370 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1371         erzeugen}.
1372
1373 \clearpage 
1374 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1375 \textbf{Passphrase}!
1376
1377 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1378 Passphrase eingeben:
1379
1380 % screenshot: New certificate - pinentry
1381 %TODO: Neuer Screenshot (Cancel)
1382 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1383
1384 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1385 jetzt eine einfach zu merkende und schwer zu knackende geheime
1386 Passphrase parat haben.  Geben Sie diese in den oben gezeigten Dialog
1387 ein!
1388
1389 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1390 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1391
1392 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1393 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1394 hingewiesen.
1395
1396 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1397 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1398
1399 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1400 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1401 \Button{OK}.
1402
1403 \clearpage
1404 Nun wird Ihr OpenPGP-Schlüsselpaar erzeugt:
1405 % screenshot: Creating OpenPGP Certificate - Create Key
1406 %TODO: Neuer Screenshot (Next/Cancel)
1407 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1408
1409 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1410 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1411 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1412 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1413 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1414 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1415 Qualität des erzeugten Schlüsselpaars.
1416
1417 \clearpage
1418 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1419 erhalten Sie folgenden Dialog:
1420
1421 % screenshot: Creating OpenPGP certificate - key successfully created
1422 %TODO: Neuer Screenshot (Next/Cancel)
1423 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1424
1425 Im Ergebnis-Textfeld wird der 40-stellige
1426 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1427 generierten OpenPGP-Schlüssels angezeigt. Dieser Fingerabdruck (engl.
1428 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1429 besitzt einen Schlüssel mit identischem Fingerabdruck. Es ist sogar
1430 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1431 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1432 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1433 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1434 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1435 Dieser Fingerabdruck identifiziert die Identität des Schlüssels wie
1436 der Fingerabdruck einer Person.
1437
1438 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1439 %TODO: Zertifikatdetails in Kleo zu "Details" ändern
1440 abzuschreiben. In den Details von Kleopatra können Sie
1441 sich ihn jederzeit später anzeigen lassen.
1442
1443 \clearpage
1444 Als Nächstes können Sie eine oder auch (hintereinander) mehrere der
1445 folgenden drei Schaltflächen betätigen:
1446
1447 \begin{description}
1448         
1449         \item[Sicherheitskopie Ihres (geheimen) Schlüssels erstellen...]~\\
1450         Geben Sie hier den Pfad an, unter dem Ihr vollständiges Schlüsselpaars
1451         (also der geheime \textit{und} öffentliche Schlüssel) exportiert werden
1452         soll:
1453         
1454         % screenshot: New OpenPGP certificate - export key
1455         %TODO: Neuer Screenshot
1456         \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1457         
1458         Kleopatra wählt automatisch den Dateityp und speichert Ihren
1459         Schlüssel als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1460         abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1461         "`ASCII armor"') ein- bzw. ausschalten.
1462         
1463         Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1464         
1465         \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1466         abspeichern, so sollten Sie diese Datei schnellstens auf einen
1467         anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1468         die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1469         belassen!  Bewahren Sie diesen Datenträger mit der
1470         Sicherheitskopie sicher auf.
1471         
1472         Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1473         Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1474         %TODO: In Kleo evtl. anpassen?
1475         \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1476         Kapitel \ref{ch:ImExport}).
1477         
1478         \item[Schlüssel per \Email{} versenden...]~\\ Nach dem Klick auf
1479         diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1480         mit Ihrem neuen öffentlichen Schlüssel im Anhang.  Ihr geheimer
1481         OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1482         versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1483         ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1484         
1485         \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1486         diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1487         kein neues \Email{}-Fenster öffnen, so beenden Sie den
1488         %TODO: Oder heißt es Schlüsselpaar-erstellungs-Assistent?
1489         Assistenten, speichern Ihren öffentlichen
1490         %TODO: In Kleo evtl auf Schlüssel exportieren ändern?
1491         Schlüssel durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1492         und versenden diese Datei per \Email{} an Ihre
1493         Korrespondenzpartner.
1494         
1495         \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1496         weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1497         einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1498         auf diesem Server veröffentlichen, erfahren Sie in
1499         Kapitel~\ref{ch:keyserver}.
1500         
1501 \end{description}
1502
1503 Ihr OpenPGP-Schlüsselpaar ist damit fertig erstellt.  Beenden Sie
1504 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1505
1506
1507 \clearpage
1508 \textbf{Damit ist die Erzeugung Ihres OpenPGP-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1509         einzigartigen elektronischen Schlüssel.}
1510
1511 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1512 Den soeben erzeugten OpenPGP-Schlüssel finden Sie in der Übericht:
1513
1514 % screenshot: Kleopatra with new openpgp certificate
1515 \htmlattributes*{img}{width=508}
1516 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1517
1518 Doppelklicken Sie auf Ihren neuen Schlüssel, um alle Details
1519 sehen zu können:
1520
1521 % screenshot: details of openpgp certificate
1522 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1523
1524 Was bedeuten die einzelnen Details?
1525
1526 Ihr Schlüssel ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1527 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1528 Sie auf \Button{Ablaufdatum ändern}.
1529
1530 \textbf{Weitere Details zum Schlüssel finden Sie im
1531         Kapitel~\ref{ch:CertificateDetails}.}
1532 \clearpage
1533
1534
1535 \section{X.509-Zertifikat erstellen}
1536 \label{createKeyPairX509}
1537 \index{X.509!Zertifikat erstellen}
1538
1539 \T\marginSmime
1540 Klicken Sie im Schlüsselpaar-Auswahldialog von
1541 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1542 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1543         erstellen}.
1544
1545 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1546 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1547 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1548 = locality) und Abteilung (OU = organizational unit) ergänzen.
1549
1550 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1551 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1552 Organisation sowie Ländercode und geben irgendeine ausgedachte
1553 \Email{}-Adresse ein, z.B.: \Filename{CN=Bob,O=Test,C=DE,EMAIL=bob@gpg4win.de}
1554
1555 % screenshot: New X.509 Certificate - Personal details
1556 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1557
1558 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1559 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1560 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1561 informieren.
1562
1563 Klicken Sie auf \Button{Weiter}.
1564
1565 \clearpage
1566 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1567 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1568 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1569 über die Option \Menu{Alle Details} einsehen.
1570
1571 % screenshot: New X.509 Certificate - Review Parameters
1572 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1573
1574 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1575
1576 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1577 Das Vorgehen ist analog zu OpenPGP aus dem vorherigen Abschnitt
1578 \ref{createKeyPairOpenpgp}.
1579
1580 \clearpage
1581 %Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1582
1583 %Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1584 %Passphrase einzugeben:
1585
1586 % screenshot: New X.509 certificate - pinentry
1587 %\IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1588
1589 %Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1590 %jetzt eine einfach zu merkende und schwer zu knackende geheime
1591 %Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1592 %ein!
1593
1594 %Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1595 %geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1596
1597 %Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1598 %keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1599 %hingewiesen.
1600
1601 %Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1602 %\textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1603
1604 %Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1605 %Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1606 %Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1607 %Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1608 %Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1609 %\Button{OK}.
1610
1611 %\clearpage
1612 %Nun wird Ihr X.509-Schlüsselpaar angelegt:
1613 % screenshot: New  X.509 Certificate - Create Key
1614 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1615
1616 %Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1617 %benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1618 %irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1619 %Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1620 %einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1621 %Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1622 %Qualität des erzeugten Schlüsselpaars.
1623
1624 %\clearpage
1625 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1626 erhalten Sie folgenden Dialog:
1627
1628 % screenshot: New X.509 certificate - key successfully created
1629 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1630
1631 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1632
1633 \begin{description}
1634         
1635         \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1636         unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1637         bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1638         automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1639         kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1640         Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1641         cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1642         die kostenlos X.509-Zertifikate ausstellt.
1643         
1644         \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1645         erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1646         Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1647         Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1648         den vorbereiteten Text dieser \Email{}.
1649         
1650         \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1651         diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1652         kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1653         Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1654         Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1655         Authority, CA).
1656         
1657         Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1658         Ihrem zuständigen CA-Systemadministrator das fertige und von der
1659         CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1660         noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1661         
1662 \end{description}
1663
1664 Beenden Sie anschließend den Kleopatra-Assistenten mit
1665 \Button{Fertigstellen}.
1666
1667
1668 \clearpage
1669 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1670
1671 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1672 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1673 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1674 für ihre Zertifikate erheben.
1675
1676 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1677 müssen Sie sich zunächst bei
1678 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1679
1680 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1681 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1682 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1683 sichere Pass\-phrase für Ihr Zertifikat fest.
1684
1685 Ihr Client-Zertifikat wird nun erstellt.
1686
1687 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1688 neu erstellten X.509-Zertifikat und dem dazugehörigen
1689 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1690
1691 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1692 Browser. Bei Firefox können Sie danach z.B. über
1693 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1694 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1695 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1696
1697 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1698 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1699 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1700 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1701 Internetseiten von CAcert.
1702
1703 Speichern Sie abschließend eine Sicherungskopie Ihres
1704 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1705 erhält automatisch die Endung \Filename{.p12}.
1706
1707 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1708 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1709 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1710 gelangt.
1711
1712 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1713 erfahren Sie in Kapitel \ref{ch:ImExport}.
1714
1715
1716 \clearpage
1717 \chapter{Schnellstart mit Übungen für OpenPGP}
1718 \label{ch:quickstart}
1719 \label{ch:decrypt}
1720 In den folgenden zwei Unterkapiteln werden Ihnen zwei Anleitungen für
1721 einen Schnelleinstieg in die wichtigsten Funktionen gegeben. Sie werden
1722 lernen, wie man Dateien und \Email{}s ver- und entschlüsselt.
1723
1724 \section{Dateiverschlüsselung}
1725 \label{sec:quickfileencryption}
1726 \index{Datei!verschlüsseln}
1727
1728 Dateien lassen sich, wie \Email{}s, signieren und verschlüsseln. Das sollten 
1729 Sie im folgenden Abschnitt mit GpgEX und Kleopatra einmal durchspielen.
1730
1731 Selektieren Sie eine (oder mehrere) Datei(en), öffnen Sie mit der
1732 rechten Maustaste das Kontextmenü und wählen Sie hier \Menu{Signieren
1733 und verschlüsseln} aus:
1734
1735 % screenshot GpgEX contextmenu sign/encrypt
1736 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
1737
1738
1739 \clearpage
1740 Sie erhalten diesen Dialog zum Signieren/Verschlüsseln einer Datei:
1741
1742 %TODO: neuer Screenshot (cancel)
1743 % screenshot kleopatra encrypt file, step 1
1744 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
1745
1746 Für wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
1747 Dialog einen oder mehrere Empfänger-Schlüssel aus. Lassen Sie aber 
1748 unbedingt die Option \Menu{Für mich verschlüsseln} aktiv.
1749
1750 Wie sie weitere Einstellungen ändern, können Sie unter Abschnitt
1751 \ref{sec_signFile} nachschlagen.
1752
1753 Klicken Sie abschließend auf \Button{Signieren / Verschlüsseln}.
1754
1755 Geben Sie nun Ihre geheime Passphrase ein.
1756
1757 \clearpage
1758 Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
1759 aussehen:
1760 %TODO: Neuer Screenshot (Cancel/Finish)
1761 % screenshot kleopatra encrypt file, step 3: successful
1762 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
1763
1764 Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
1765
1766 \clearpage
1767 \subsubsection{Datei entschlüsseln}
1768 \index{Datei!entschlüsseln}
1769 Nun kann die zuvor verschlüsselte Datei zum Testen einmal
1770 entschlüsselt werden.
1771
1772 Dazu sollten Sie vorher beim Verschlüsseln auch mit Ihrem eigenen
1773 Schlüssel verschlüsselt haben -- andernfalls können Sie die Datei
1774 nicht mit Ihrem geheimen Schlüssel entschlüsseln.
1775
1776 Selektieren Sie die verschlüsselte Datei und wählen Sie im Kontextmenü des
1777 Windows-Explorers den Eintrag \Menu{Entschlüsseln und prüfen}:
1778
1779 % screenshot contextmenu verifiy/decrypt
1780 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
1781
1782 \clearpage
1783 Im folgenden Entschlüsselungsdialog können Sie bei Bedarf noch den
1784 Ausgabe-Ordner verändern.
1785
1786 % screenshot kleopatra decrypt file, step 1
1787 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
1788
1789 Klicken Sie abschließend auf \Button{Entschlüsseln/Prüfen}.
1790
1791 Geben Sie anschließend Ihre Passphrase ein.
1792
1793 Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit
1794 einem entsprechenden Programm verwenden können.
1795
1796 \clearpage
1797
1798 \section{\Email{}-Verschlüsselung}
1799 \label{sec:mailEncryption}
1800
1801 Ihr Partner bei diesen Übungen wird \textbf{Edward} sein. Edward ist ein
1802 Testservice, der von der Free Software Foundation betrieben wird.
1803 Wir bedanken uns bei der Free Software Foundation für den Betrieb von Edward.
1804
1805 Der Vorgänger von Edward baut auf dem Projekt GnuPP\index{GnuPP} auf und
1806 hörte auf dem Namen \textbf{Adele}. Dieser Name wird in diesem
1807 Abschnitt weiterhin verwendet.
1808
1809 Das Gpg4win-Team hat keinen Einfluss auf den Betrieb von Adele/Edward und
1810 kann nicht gewährleisten, dass der Testservice antwortet. Sollte es
1811 Probleme mit Adele geben, schauen Sie bitte unter
1812 \url{https://wiki.gnupg.org/EmailExercisesRobot} nach.
1813
1814 Mit Hilfe von Adele können Sie Ihr erzeugtes OpenPGP-Schlüsselpaar
1815 ausprobieren und testen.
1816
1817 Nachdem Sie Ihren Schlüssel erstellt haben, wollen Sie direkt
1818 loslegen. Sie können das Prozedere zunächst mit einem freundlichen 
1819 \Email{}-Roboter üben. Adele soll Ihnen dabei behilflich sein. Die folgenden 
1820 Übungen gelten nur für OpenPGP. Anmerkungen zum Veröffentlichen von 
1821 öffentlichen X.509-Zertifikaten finden Sie auf
1822 Seite~\pageref{publishPerEmailx509}.
1823
1824 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1825 zwanglos korrespondieren können. Bitte beachten Sie, dass Adele
1826 eventuell nicht immer antwortet. Falls Sie nicht antwortet, üben Sie lieber
1827 mit einem Menschen. Weil man gewöhnlich mit einer klugen
1828 und netten jungen Frau lieber korrespondiert als mit einem Stück
1829 Software (was er in Wirklichkeit natürlich ist), können Sie sich
1830 Adele so vorstellen:
1831
1832 % Cartoon: Adele mit Buch in der Hand vor Rechner ``you have mail"'
1833 \IncludeImage[width=0.5\textwidth]{adele01}
1834
1835 Um mit Adele zu kommunizieren, müssen Sie ihr Ihren öffentlichen Schlüssel
1836 per \Email{} schicken. Außerdem müssen Sie Adeles Schlüssel
1837 importieren, um Adele eine verschlüsselte \Email{} zu senden.
1838
1839 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner
1840 jeweils den öffentlichen Schlüssel des anderen besitzen und benutzen.}
1841
1842 \index{Zertifikat!exportieren}
1843 Um Ihren Schlüssel zu exportieren selektieren Sie in Kleopatra den öffentlichen
1844 Schlüssel (durch Klicken auf die entsprechende Zeile in der Liste der
1845 Schlüssel) und klicken Sie dann auf
1846 \Menu{Datei$\rightarrow$Schlüssel exportieren...} im Menü.  Wählen
1847 Sie einen geeigneten Dateiort\index{Signatur!prüfen mit GpgOL}
1848
1849 Um Adeles Schlüssel zu erhalten, müssen Sie zunächst Adeles Schlüssel 
1850 importieren, denn ohne Adeles öffentlichen Schlüssel, können Sie ihr keine 
1851 verschlüsselten \Email{}s senden.
1852
1853 Wählen Sie im Kleopatra-Fenster die Schaltfläche \Button{Auf Server Suchen}.
1854 Geben Sie in die Suchfläche die \Email{}-Adresse von Adele ein
1855 (\texttt{edward-de@fsf.org}) und bestätigen Sie Ihre Suche. Unter den
1856 Suchergebnissen wählen Sie nun den Schlüssel mit den Schlüssel-ID
1857 \texttt{C09A61E8}. Abschließend wählen Sie unten im Fenster die
1858 Schaltfläche \Button{Importieren}.
1859 %TODO: Neuer Screenshot (Close)
1860 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-searchKeyEdward_de}
1861
1862 Den Anschließenden Dialog zur Schlüsselverfikation verlassen Sie mit
1863 \Menu{Nein}. Mehr zu diesem Thema finden Sie in Abschnitt \ref{ch:checkkey}.
1864
1865 Öffnen Sie eine neue \Email{} und füllen Sie etwas in die Betreffzeile, wie 
1866 \glqq{}Verschlüsselungstest\grqq{}. Fügen Sie als Anhang den gerade 
1867 exportierten Schlüssel hinzu und achten Sie darauf, dass das 
1868 Verschlüsseln-Symbol aktiv ist. Geben Sie als Zieladresse 
1869 \texttt{edward-de@fsf.org} an und senden Sie die \Email{} ab.
1870
1871 Nach einigen Minuten sollten Sie eine verschlüsselte Antwort von Adele 
1872 erhalten. Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1873 Schlüssel.
1874
1875 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1876 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1877 interessant, wie die Ihrer echten Korrespondenzpartner. Andererseits
1878 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1879 menschlicher Adressat wahrscheinlich irgendwann ziemlich übel nehmen würde.
1880
1881 Herzlichen Glückwunsch! Sie haben erfolgreich verschlüsselt kommuniziert!
1882
1883 \T\enlargethispage{\baselineskip}
1884
1885 \clearpage
1886 \chapter{Öffentliche Schlüssel importieren}
1887
1888 In Kapitel \ref{ch:decrypt} wurde bereits kurz erläutert, wie man einen
1889 öffentlichen Schlüssel von einem Schlüsselserver importiert. Wenn Sie nun mit
1890 einer Person
1891 kommunizieren wollen, die ihren öffentlichen Schlüssel nicht auf einem
1892 Schlüsselserver hat, 
1893 so müssen Sie diesen Schlüssel auf anderen Wegen importieren. In
1894 diesem Kapitel werden die beiden Möglichkeiten beschrieben, wie Sie
1895 einen Schlüssel importieren können.
1896 Falls Sie sich im speziellen für das Importieren eines geheimen 
1897 Schlüssels interessieren, springen Sie direkt zu Kapitel \ref{ch:ImExport}.
1898
1899 Nach einem Schlüsselimport werden Sie immer gefragt ob und wie sie diesem
1900 Schlüssel vertrauen wollen. Diesen Dialog können Sie für Zunächst ignorieren
1901 und mit \Menu{Nein} verlassen. Auf Dieses Thema gehen wir näher im kommenden
1902 Abschnitt \ref{ch:checkkey} ein.
1903
1904 \section{Importieren aus Datei}
1905 \label{sec_importfromfile}
1906
1907 Zum Importieren eines zuvor exportierten oder als \Email{}-Anhang 
1908 zugesendeten öffentlichen Schlüssels, klicken Sie auf
1909 %TODO: Oder Schlüssel importieren? Oder generell "importieren" - Dann in Kleo ändern
1910 \Menu{Datei $\to$ Zertifikat importieren...} und
1911 wählen Sie die zu importierende Datei aus. Anschließend erhalten Sie einen
1912 Ergebnisdialog über den erfolgten Schlüsselimport.
1913 %TODO: Bild machen
1914 %TODO: Kören von Was ein Bild zu machen ist
1915
1916 %Ein Beispiel für ein solches
1917 %Informationsfenster finden Sie nach dem folgenden Absatz.
1918
1919 %Handelt es sich um eine PKCS12-Datei (z.B. vom Typ \texttt{.p12}), so werden 
1920 %Sie
1921 %zunächst nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt.
1922 %\IncludeImage[width=0.4\textwidth]{sc-pinentry-p12-import-a_de}
1923 %Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der nach dem
1924 %Importvorgang Ihr geheimer Schlüssel geschützt werden soll.
1925 %\IncludeImage[width=0.4\textwidth]{sc-pinentry-p12-import-b_de}
1926 %Wiederholen Sie Ihre Passphrase-Eingabe.
1927
1928 %\newpage
1929 %Nach dem importieren sehen Sie ein Informationsfenster, dass Ihnen die
1930 %Ergebnisse des Importvorgangs auflistet; hier am Beispiel eines geheimen
1931 %OpenPGP-Schlüssels.
1932 %\IncludeImage[width=0.4\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
1933 %Kleopatra hat damit den Schlüssel exportiert. Wenn es ein geheimer Schlüssel
1934 %TODO: oder Schlüssel? - Dann auch in Kleo ändern
1935 %war, finden Sie Ihn unter dem Reiter \glqq{}Meine Zertifikate\grqq{} in der
1936 %TODO: Oder Schlüsselverwaltung? - Dann auch in Kleo ändern
1937 %Zertifikatsverwaltung.
1938 \clearpage
1939 \section{Importieren vom Schlüsselserver}
1940 \label{sec_importfromkeyserver}
1941 %Um einen Schlüssel von einem Schlüsselserver zu importieren, müssen wir
1942 %zunächst einen Schlüsselserver hinzufügen. Dies richten wir zunächst für
1943 %OpenPGP-Schlüssel ein. Im kommenden Abschnitt wird näher auf S/MIME %eingegangen.
1944 %TODO: Screenhot machen udn die beiden Fenster erklären
1945 %TODO: keys.gnupg.net ist per Default nach Installation eingerichtet!
1946 %Bitte testen und beschreiben.
1947 Es gibt viele öffentliche Schlüsselserver,
1948 die alle untereinander synchronisiert sind. Diese sind zu einem Kollektiv unter
1949 der Adresse \texttt{keys.gnupg.net} erreichbar. Nach der Installation ist
1950 dieses bereits ein Schlüsselserver hinterlegt.
1951 Um einen anderen Server als
1952 Schlüsselserver hinzuzufügen, öffnen Sie das Schlüsselserver-Menü
1953 \Menu{Einstellungen $\to$ Kleopatra einrichten ...} und wählen Sie dort
1954 \Menu{Schlüsselserver}. Fügen Sie über die Schaltfläche \Menu{Neu} einen neuen
1955 Eintrag in die Liste hinzu. Dort erscheint nun ein vorkonfigurierter Eintrag
1956 für \texttt{keys.gnupg.net}. Diese Einstellung kann mit \Menu{OK} bestätigt
1957 werden.
1958 %TODO: erst Schlüsselserver hinzufügen, dann suche. Bei Schlüsselserver auf OPenPGP und SMIME unterscheiden.
1959
1960 Weitere Informationen zu diesem Thema finden Sie unter Kapitel 
1961 \ref{ch:keyserver}.
1962
1963 \textbf{Herzlichen Glückwunsch!} - Sie haben erfolgreich einen Schlüsselserver
1964 eingerichtet und können nun über die Schaltfläche \Button{Auf Server suchen} nach
1965 Namen oder \Email{}-Adressen von Kommunikationspartnern suchen. 
1966
1967
1968 %\clearpage
1969 \chapter{Öffentliche Schlüssel prüfen}
1970 \label{ch:checkkey}
1971 \label{ch:trust}
1972 Woher wissen Sie eigentlich, dass der fremde (öffentliche) Schlüssel wirklich vom
1973 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
1974 Korrespondenzpartner glauben, dass der öffentliche Schlüssel, den Sie ihm
1975 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
1976 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
1977 Absenderangabe auf einem Briefumschlag.
1978
1979 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
1980 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
1981 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
1982 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
1983 Identität des Absenders.
1984
1985 \subsubsection{Der Fingerabdruck}
1986 \index{Fingerabdruck}
1987 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
1988 die Sache mit der Identität schnell geregelt: Sie prüfen den
1989 Fingerabdruck des anderen Schlüssels.
1990
1991 Jeder Schlüssel trägt eine einmalige Kennzeichnung, die es
1992 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
1993 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
1994 "`Fingerabdruck"'.
1995
1996 Wenn Sie sich die Details eines Schlüssels in Kleopatra anzeigen
1997 lassen, z.B. durch Doppelklick auf den Schlüssel, sehen Sie u.a.
1998 dessen 40-stelligen Fingerabdruck:
1999
2000 % screenshot: Kleopatra key details with fingerprint
2001 %TODO: neuer Screenshot (Cancel)
2002 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2003
2004 ~\\ Wie gesagt -- der Fingerabdruck identifiziert den Schlüssel und
2005 seinen Besitzer eindeutig.
2006
2007 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2008 von ihm den Fingerabdruck seines Schlüssels vorlesen. Wenn die
2009 Angaben mit dem Ihnen vorliegenden Schlüssel übereinstimmen, haben
2010 Sie eindeutig den richtigen Schlüssel.
2011
2012 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2013 Schlüssels treffen oder auf einem anderen Wege sicherstellen, dass
2014 Schlüssel und Eigentümer zusammen gehören. Häufig ist der
2015 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2016 garantiert authentische Visitenkarte haben, so können Sie sich den
2017 Anruf ersparen.
2018
2019
2020 \subsubsection{OpenPGP-Schlüssel beglaubigen}
2021 \index{Zertifikat!beglaubigen}
2022
2023 %\T\marginOpenpgp
2024 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2025 Schlüssels überzeugt haben, können Sie ihn beglaubigen -- allerdings
2026 nur in OpenPGP.  Bei X.509 können Benutzer keine Schlüssel
2027 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2028 vorbehalten.
2029
2030
2031 Durch das Beglaubigen eines Schlüssels teilen Sie anderen
2032 (Gpg4win-)Benutzern mit, dass Sie diesen Schlüssel für echt -- also
2033 authentisch -- halten:
2034 Sie übernehmen so etwas wie die "`Patenschaft"' für diesen Schlüssel
2035 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2036
2037 ~\\
2038 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2039 Selektieren Sie in Kleopatra den OpenPGP-Schlüssel, den Sie für echt
2040 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2041 \Menu{Zertifikate$\rightarrow$Schlüssel beglaubigen...}
2042 \clearpage
2043 Im nachfolgenden Dialog bestätigen Sie nun noch einmal den zu
2044 beglaubigenden OpenPGP-Schlüssel und den Fingerabdruck mit \Button{Weiter}:
2045
2046 % screenshot: Kleopatra certify certificate 1
2047 % TODO: Neuer Screenshot (Cancel Next)
2048 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2049
2050 Im nächsten Schritt wählen Sie Ihren eigenen OpenPGP-Schlüssel aus, mit dem Sie 
2051 den im letzten Schritt ausgewählten Schlüssel beglaubigen wollen:
2052
2053 % screenshot: Kleopatra certify certificate 2
2054 % TODO: Neuer Screenshot (Cancel)
2055 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2056
2057 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2058 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2059 Variante haben Sie die Option, den beglaubigten Schlüssel anschließend
2060 auf einen OpenPGP-Schlüsselserver hochzuladen und damit der Welt
2061 einen mit Ihrer Beglaubigung versehenen, aktualisierten Schlüssel zur
2062 Verfügung zu stellen.
2063
2064 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2065
2066 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2067 eines Schlüssel (mit Ihrem privaten Schlüssel) Ihre Passphrase
2068 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2069 abgeschlossen.
2070
2071 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2072
2073 % screenshot: Kleopatra certify certificate 3
2074 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2075
2076 %~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2077 %öffnen Sie die Schlüsseldetails des eben beglaubigten Schlüssels.
2078 % TODO: Dieses Feature mit 3.0 entfallen??
2079 %Wählen Sie den Reiter
2080 %\Menu{Benutzer-Kennungen und
2081 %       Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2082 %       Beglaubigungen ein}.
2083
2084 %Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2085 %die in diesem Schlüssel enthalten sind. Hier sollten Sie auch Ihren Schlüssel
2086 %wiederfinden, mit dem Sie soeben beglaubigt haben.
2087
2088 \clearpage
2089 \subsubsection{Das Netz des Vertrauens in OpenPGP}
2090 \index{Netz des Vertrauens|see{Web of Trust}}
2091 \index{Web of Trust}
2092
2093 %\T\marginOpenpgp
2094 Durch das Beglaubigen von Schlüsseln entsteht -- auch über den Kreis
2095 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2096 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2097 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Schlüssel
2098 direkt auf Echtheit (Autentizität) zu prüfen.
2099
2100 \htmlattributes*{img}{width=300}
2101 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2102
2103 Natürlich steigt das Vertrauen in einen Schlüssel, wenn mehrere Leute
2104 es beglaubigen. Ihren eigenen OpenPGP-Schlüssel wird im Laufe der Zeit
2105 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2106 immer mehr Menschen darauf vertrauen, dass dieser Schlüssel wirklich
2107 Ihnen und niemandem sonst gehört.
2108
2109 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2110 Beglaubigungs-Infra\-struktur.
2111
2112 Eine einzige Möglichkeit ist denkbar, mit der man diese
2113 Schlüsselprüfung aushebeln kann: Jemand schiebt Ihnen einen falschen
2114 Schlüssel unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2115 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2116 wurde.  Wenn ein solcher gefälschter Schlüssel beglaubigt wird, hat
2117 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2118 wichtig, sich zu vergewissern, ob ein Schlüssel wirklich zu der
2119 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2120
2121 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2122 Schlüssel ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2123 nicht die Lösung sein~...
2124
2125
2126 \clearpage
2127 \subsubsection{Beglaubigungsinstanzen bei X.509}
2128 \index{Beglaubigungsinstanzen}
2129 \index{Certificate Authority (CA)}
2130
2131 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2132 vertrauen können. Sie prüfen ja auch nicht persönlich den
2133 Personalausweis eines Unbekannten durch einen Anruf beim
2134 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2135 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2136 beglaubigt hat.
2137
2138 %\T\marginOpenpgp
2139 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Schlüssel.
2140 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2141 lange einen solchen Dienst kostenlos an, ebenso wie viele
2142 Universitäten.
2143 Wenn man also einen OpenPGP-Schlüssel erhält, der durch eine solche
2144 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2145 man sich darauf verlassen können.
2146
2147 \T\marginSmime
2148 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2149 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2150 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2151 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2152 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2153 Benutzerzertifikate zu beglaubigen (vgl.
2154 Kapitel~\ref{ch:openpgpsmime}).
2155
2156 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2157 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2158 berechtigte Institution geben, die die Befugnis dazu wiederum von
2159 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2160 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2161 eines Schlüssels durch den Beglaubigenden.
2162
2163 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2164 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2165 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2166 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2167 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2168 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2169 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2170 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2171 entsprechen.
2172
2173
2174 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2175 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2176 sich z.B. bei folgenden Webadressen über dieses und viele andere
2177 IT-Sicherheits-Themen informieren:
2178 \begin{itemize}
2179         \item \uniurl[www.bsi.bund.de]{http://www.bsi.bund.de}
2180         \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2181         \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2182 \end{itemize}
2183
2184 Eine weitere, eher technische Informationsquelle zum Thema
2185 der Beglaubigungsinfrastrukturen bietet das 
2186 GnuPG-Handbuch, das Sie ebenfalls im Internet finden unter:\\
2187 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2188 \clearpage
2189
2190 \chapter{\Email{}s signieren und verschlüsseln}
2191 \label{ch:emailsignandencrypt}
2192 \label{sec_encsig}
2193 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2194 des öffentlichen Schlüssels Ihres Korrespondenzpartners, der dann mit
2195 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2196
2197 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2198 Schlüssel -- macht keinen Sinn, weil alle Welt den dazugehörigen
2199 öffentlichen Schlüssel kennt und die Nachricht damit entschlüsseln
2200 könnte.
2201
2202 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2203 eine Datei zu erzeugen: die Signatur.
2204
2205 Solch eine digitale Signatur bestätigt eindeutig die
2206 Urheberschaft -- denn wenn jemand Ihren öffentlichen Schlüssel auf
2207 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2208 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2209 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2210
2211 Sie können beide Möglichkeiten kombinieren, also eine \Email{}
2212 signieren und verschlüsseln:
2213
2214 \begin{enumerate}
2215         \item Sie \textbf{signieren} die Botschaft mit Ihrem eigenen
2216         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2217         \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2218         öffentlichen Schlüssel des Korrespondenzpartners.
2219 \end{enumerate}
2220
2221 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2222
2223 \begin{enumerate}
2224         \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2225         geheimen Schlüssel.
2226         \item Einen soliden äußeren Umschlag: die
2227         Verschlüsselung mit dem öffentlichem Schlüssel des
2228         Korrespondenzpartners.
2229 \end{enumerate}
2230
2231 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2232
2233 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2234 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2235 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2236 Siegel liest er mit Ihrem öffentlichem Schlüssel und hat den Beweis
2237 Ihrer Urheberschaft, denn wenn Ihr öffentlicher Schlüssel passt, kann
2238 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
2239 Schlüssel kodiert worden sein.
2240
2241 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2242 ganz einfach.
2243
2244 Dieses Kapitel beschäftigt sich mit dem Signieren und
2245 Verschlüsseln von \Email{}s mit dem Outlook-Plugin GpgOL.
2246
2247 \clearpage
2248 \section{\Email{}s signieren und verschlüsseln mit GpgOL}
2249 %Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2250 %Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2251 %\Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2252 %folgende Schritte durch:
2253
2254 %\begin{itemize}
2255 %       \item Nachricht signiert versenden
2256 %       \item Schlüssel auswählen
2257 %       \item Signierung abschließen
2258 %\end{itemize}
2259 Das Signieren und Verschlüsseln einer \Email{} ist sehr einfach. Nachdem
2260 Sie eine neue \Email{} verfasst haben, gehen sie folgende Schritte durch:
2261
2262 \begin{itemize}
2263         \item Nachricht signiert und verschlüsselt senden
2264         \item Schlüssel auswählen
2265         \item Signierung und Verschlüsselung abschließen
2266 \end{itemize}
2267
2268 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2269
2270 ~\\
2271 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2272 Sie diese an Ihren Korrespondenzpartner.
2273 Die Standardauswahl zum Signieren und Verschlüsseln ist bereits für Sie
2274 markiert.
2275
2276 %Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2277 %Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2278 %Schaltfläche mit dem signierenden Stift oder alternativ den
2279 %Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2280 %Wenn Sie den Schlüssel ihrer Korrespondenzpartner bereits in Kleopatra
2281 %importiert haben, wählen Sie die 
2282 %GpgOL-Schaltfläche zum Signieren/Verschlüsseln aus. 
2283
2284
2285 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2286
2287 % screenshot: OL composer with example address and body text
2288 %TODO: Screenshot neu machen
2289 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2290
2291 Klicken Sie nun auf \Button{Senden}.
2292
2293 \clearpage
2294 \subsubsection{Schlüsselauswahl}
2295
2296 GpgOL erkennt automatisch, für welches Protokoll -- OpenPGP oder
2297 S/MIME -- Ihr eigner privater Schlüssel zum Signieren und Verschlüsseln
2298 vorliegt.
2299
2300 Sollten Sie gleichzeitig einen eigenen OpenPGP-Schlüssel \textit{und} ein 
2301 S/MIME-Zertifikat mit der gleichen \Email{}-Adresse besitzen, fragt Sie 
2302 Kleopatra vor dem Signieren nach dem gewünschten Protokollverfahren, oder haben 
2303 Sie vom gewählten Verfahren mehrere eigene Schlüssel (z.B.
2304 zwei OpenPGP-Schlüssel zu der gleichen \Email{}-Adresse), dann
2305 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Schlüssel
2306 angezeigt werden, zu denen Ihnen jeweils ein geheimer
2307 Schlüssel vorliegt:
2308
2309 % screenshot: kleopatra format choice dialog
2310 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2311
2312 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2313
2314
2315 \clearpage
2316 \subsubsection{Signierung und Verschlüsselung abschließen}
2317 Um die Signierung und Verschlüsselung Ihrer \Email{} abzuschließen, werden Sie
2318 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2319
2320 % screenshot: kleopatra sign dialog 2 - choose certificate
2321 %TODO: Neuer Screenhot!
2322 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2323
2324
2325 Dies ist notwendig, denn Sie wissen:
2326 \begin{quote}
2327         \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2328 \end{quote}
2329 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2330 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Schlüssel, den
2331 er bereits hat oder sich besorgen kann, Ihre Identität prüfen und die \Email{} 
2332 entschlüsseln. Denn nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichem
2333 Schlüssel.
2334
2335 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2336 Nachricht wird nun signiert, verschlüsselt und versendet.
2337
2338 %TODO: Passwort-Caching erklären
2339 Ihnen wird vielleicht schon aufgefallen sein, dass Sie nicht jedes mal
2340 Ihre Passphrase erneut eingeben müssen. Sie wird im Hintergrund für einige
2341 Zeit gespeichert.
2342
2343 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2344         signiert und verschlüsselt!}
2345
2346 \textit{Übrigens}: Sie können eine Nachricht auch nur signieren oder nur 
2347 verschlüsseln. Klicken Sie dazu auf das GpgOL Symbol in der Nachricht. Der 
2348 Ablauf ist analog zu dem hier beschriebenen. Es wird aber davon abgeraten, eine 
2349 Nachricht nur zu verschlüsseln, da hierbei nicht die Urheberschaft der
2350 Nachricht geschützt wird.
2351
2352 \clearpage
2353 \subsection{Signatur prüfen mit GpgOL}
2354 \index{Signatur!prüfen mit GpgOL}
2355
2356 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2357 Korrespondenzpartners.
2358
2359 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2360 Alles, was Sie dazu brauchen, ist der öffentliche Schlüssel
2361 Ihres Korrespondenzpartners, den Sie vor der Überprüfung in Ihre
2362 Schlüsselverwaltung importiert haben sollten (vgl.
2363 Kapitel~\ref{sec_importfromfile}).
2364
2365 Um eine signierte \Email{} zu prüfen, gehen Sie wie folgt
2366 vor:
2367
2368 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2369
2370 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2371 Signatur. Kleopatra meldet das Ergebnis in einem Statusdialog, z.B.:
2372
2373 % screenshot: Kleopatra - successfully verify dialog
2374 % TODO: Screenshot erneuern
2375 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2376
2377 Die Signaturprüfung war erfolgreich!
2378
2379 %TODO: prüfen und ggf. anpassen
2380 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2381 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2382         Entschlüsseln/Prüfen}.
2383
2384 Sollte die Signaturprüfung fehlschlagen, ist das ein Warnsignal, dass
2385 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2386 Inhalt oder den Betreff der \Email{} verändert.
2387 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2388 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2389 auszuschließen, dass die \Email{} durch eine fehlerhafte
2390 Übertragung verändert wurde.
2391 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2392 Sie immer die \Email{} erneut beim Absender an!
2393
2394 \clearpage
2395 \section{E-Mails signieren}
2396 \label{sec_emailsignonly}
2397 \label{ch:sign}
2398 \index{E-Mail!signieren}
2399 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2400 Echtheit eines öffentlichen Schlüssels überzeugen und es dann
2401 mit Ihrem eigenen geheimen Schlüssel signieren können.
2402
2403 Dieser Abschnitt beschäftigt sich damit, wie Sie nicht nur einen
2404 Schlüssel, sondern auch eine komplette \textbf{\Email{}
2405         signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2406 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2407
2408 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2409 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2410 oder verändert wurde.
2411
2412 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2413 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2414 korrespondieren, dessen öffentlichen Schlüssel Sie nicht haben (aus
2415 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2416 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2417
2418 Sie haben sicher bemerkt, dass diese digitale
2419 Signatur\index{Signatur!digitale} nicht mit der
2420 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2421 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2422 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2423 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2424 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2425
2426 Übrigens ist die digitale Signatur auch nicht mit der
2427 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2428         elektronische} gleichzusetzen, wie sie im Signaturgesetz
2429 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2430 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2431 allerdings genau denselben Zweck.
2432
2433 % cartoon: Müller mit Schlüssel
2434 \htmlattributes*{img}{width=300}
2435 \T\ifthenelse{\boolean{DIN-A5}}{
2436         \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2437         \T}
2438 \T{
2439         \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2440         \T}
2441
2442
2443 \clearpage
2444 \section{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2445 \label{ch:archive}
2446 \index{E-Mail!verschlüsselt archivieren}
2447
2448 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
2449 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
2450
2451 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
2452 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
2453 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
2454 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
2455 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
2456 aufbewahren!
2457
2458 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
2459 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
2460 Empfängers -- und den haben Sie nicht und werden ihn nie haben ...
2461
2462 Also was tun?
2463
2464 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2465         selbst!}
2466
2467 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2468 verschlüsselt und ein zweites Mal auch für Sie selbst (mit Hilfe Ihres
2469 öffentlichen Schlüssels).
2470 So können Sie die \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel 
2471 wieder lesbar machen.
2472
2473 Jede verschlüsselte Nachricht wird von GpgOL automatisch auch an Ihren
2474 eigenen öffentlichen Schlüssel verschlüsselt. Dazu nutzt GpgOL Ihre
2475 Absender-\Email{}-Adresse. Sollten Sie mehrere Schlüssel zu einer
2476 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
2477 entscheiden, mit welchem Schlüssel verschlüsselt werden soll.
2478
2479 \clearpage
2480 \subsubsection{Kurz zusammengefasst}
2481 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem geheimen Schlüssel
2482 \textbf{signieren} -- und mit dem öffentlichen Schlüssel
2483 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2484
2485 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2486 sicheren \Email{}-Versand: signieren und verschlüsseln.
2487 Sie sollten beide Techniken stets kombinieren. Sie können aber bei
2488 jeder neuen \Email{} entscheiden, wie Sie Ihre Nachricht versenden
2489 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2490 \Email{} ist.
2491
2492 Zusätzlich sollte jede verschlüsselte \Email{} auch zusätzlich an Sie
2493 selbst verschlüsselt sein. Dafür sorgt GpgOL automatisch.
2494
2495
2496 \clearpage
2497 \chapter{Dateien signieren und verschlüsseln}
2498 \label{ch:EncFiles}
2499 \index{GpgEX}
2500
2501 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
2502 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
2503
2504 \begin{itemize}
2505         \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
2506         Schlüssels, um sicherzugehen, dass die Datei unverändert
2507         bleibt.
2508         
2509         \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
2510         öffentlichen Schlüssels, um die Datei vor unbefugten Personen
2511         geheim zu halten.
2512 \end{itemize}
2513
2514 Mit der Gpg4win-Programmkomponente \textbf{GpgEX} können Sie Dateien ganz einfach aus
2515 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
2516 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
2517 genau funktioniert.
2518
2519 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
2520 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
2521 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
2522 gesondert darum zu kümmern.
2523
2524 \clearpage
2525 \section{Dateien signieren, verschlüsseln und prüfen}
2526 \label{sec_signFile}
2527 \index{Datei!signieren}
2528
2529 Beim Signieren einer Datei kommt es vorrangig nicht auf die
2530 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
2531 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
2532
2533 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
2534 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
2535 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
2536 Kontextmenü:
2537
2538 % screenshot GpgEX contextmenu sign/encrypt
2539 % TODO: Neuer Screenshot (Sign and Encrypt)
2540 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
2541
2542 Dort wählen Sie \Menu{Signieren} und \Menu{Für mich verschlüsseln} aus.
2543 In beiden Menüpunkten sollte ihr eigener Schlüssel ausgewählt sein. Unter dem
2544 Punkt \Menu{Für andere verschlüsseln} können Sie auch andere Schlüssel angeben.
2545
2546 \clearpage
2547 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
2548
2549 % screenshot sign file, step 1
2550 % TODO: Neuer Screenshot (Cancel)
2551 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
2552
2553 %Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII
2554 %       armor\index{ASCII armor})}
2555 %aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
2556 %\Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
2557 %Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
2558 %dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
2559 %kennen.
2560
2561 %Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
2562 %einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
2563 %Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
2564 %angesehen werden.
2565
2566
2567 Klicken Sie anschließend auf \Button{Weiter}.
2568
2569 %\clearpage
2570 %Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
2571 %Ihren geheimen (OpenPGP oder S/MIME) Schlüssel aus, mit dem Sie die
2572 %Datei signieren möchten.
2573
2574 % screenshot sign file, step 2: choose sign certificates
2575 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
2576
2577 %Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
2578
2579 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
2580
2581 \clearpage
2582 Nach erfolgreicher Signierung und Verschlüsselung erhalten Sie folgendes Fenster:
2583
2584 % screenshot sign file, step 3: finish
2585 % TODO: Neuer Screenshot (Finish/Cancel)
2586 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
2587
2588 Sie haben damit Ihre Datei erfolgreich signiert und verschlüsselt.
2589
2590 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
2591 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
2592 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
2593 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
2594 notwendig.
2595
2596 %Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
2597 %wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
2598 %OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
2599 %Ergebnis möglich:
2600
2601
2602 %\begin{description}
2603 %       \item[OpenPGP:]~\\
2604 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
2605 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
2606 %       ~ \small (bei Ausgabe als Text/ASCII-armor)
2607 %       \normalsize
2608         
2609 %       \item[S/MIME:]~\\
2610 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
2611 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
2612 %       ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
2613 %       \normalsize
2614 %\end{description}
2615
2616 \clearpage
2617 \subsubsection{Signatur prüfen}
2618 \index{Datei!Signatur prüfen}
2619
2620 Prüfen Sie nun, ob die eben signierte Datei integer
2621 -- d.h. korrekt -- ist!
2622
2623 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
2624 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
2625 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
2626 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
2627 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
2628 den Eintrag  \Menu{Entschlüsseln und prüfen}:
2629
2630 % screenshot GpgEX contextmenu verifiy/decrypt
2631 % TODO: Neuer Screenshot (Decrypt and Verify)
2632 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
2633
2634 \clearpage
2635 Daraufhin erhalten Sie folgendes Fenster:
2636
2637 % screenshot kleopatra verify file, step 1
2638 % TODO: Neuer Screenshot (Save All/Cancel und Fensterüberschrift)
2639 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
2640
2641 Kleopatra zeigt unter \Menu{Ausgabe-Ordner} den vollständigen Pfad zur
2642 ausgewählten Signatur-Datei an. Dieser kann angepasst werden.
2643
2644 Das Ergebnis zeigt, dass die Signatur korrekt ist -- also die Datei
2645 integer ist und somit \textbf{nicht} verändert wurde.
2646
2647 %Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
2648 %aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
2649 %mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
2650 %die zugehörige signierte Originaldatei in demselben Datei-Ordner.
2651
2652 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
2653 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
2654 gleichzeitig verarbeiten.
2655
2656 Die Signaturprüfung wird schon angezeigt und über \Button{Speichern} können Sie
2657 die entschlüsselte und geprüfte Datei sichern.
2658
2659 %Bestätigen Sie die gegebenen Operationen mit
2660 %\Button{Entschlüsseln/Prüfen}.
2661
2662 %\clearpage
2663 %Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
2664 %Fenster:
2665
2666 % screenshot kleopatra verify file, step 2
2667 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
2668
2669 \clearpage
2670 Selbst wenn nur ein Zeichen in der Originaldatei hinzugefügt, gelöscht
2671 oder geändert wurde, wird die Signatur als gebrochen angezeigt
2672 (Kleopatra stellt das Ergebnis als rote Warnung dar):
2673
2674 % screenshot kleopatra verify file, step 2a (bad signature)
2675 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
2676
2677
2678 \subsubsection{Kurz zusammengefasst}
2679 Sie haben gelernt, wie Sie mit GpgEX:
2680 \begin{itemize}
2681         \item Dateien signieren
2682         \item signierte Dateien prüfen
2683         \item Dateien verschlüsseln
2684         \item verschlüsselte Dateien entschlüsseln
2685 \end{itemize}
2686
2687 \subsubsection{Gleichzeitig signieren und verschlüsseln}
2688
2689 Diese Option ist Ihnen sicher schon in den entsprechenden Dialogen
2690 aufgefallen.  Wählen Sie sie aus, dann kombiniert GpgEX beide
2691 Krypto-Operationen in einem Schritt.
2692
2693 Beachten Sie, dass immer {\em zuerst signiert}, erst danach
2694 verschlüsselt wird.
2695
2696 Die Signatur wird also immer als geheim mitverschlüsselt.  Sie kann
2697 nur von denjenigen gesehen und geprüft werden, die die Datei
2698 erfolgreich entschlüsseln konnten.
2699
2700 %Möchten Sie Dateien signieren \textit{und} verschlüsseln, ist das
2701 %derzeit nur mit OpenPGP möglich.
2702
2703
2704 \clearpage
2705 \chapter{Öffentliche Schlüssel veröffentlichen}
2706 %TODO: Die Möglichkeiten aufzählen (Mail, eigene Website etc.) und auf Keyserver weiter eingehen
2707 \label{ch:publishCertificate}
2708 \index{Zertifikat!verbreiten}
2709 Um Ihren Schlüssel anderen Korrespondenzpartnern zur Verfügung zu stellen,
2710 müssen Sie Ihren öffentlichen Schlüssel verbreiten. Sie haben in Kapitel 
2711 \ref{sec:mailEncryption} bereits gelesen, wie man einen öffentlichen Schlüssel 
2712 exportiert und ihn versendet, in diesem Abschnitt gehen wir nun auf die 
2713 Veröffentlichung Ihres öffentlichen Schlüssels auf einem Schlüsselserver ein.
2714
2715 Mehr zu diesem Thema finden Sie unter Abschnitt \ref{ch:keyserver}.
2716 \section{Veröffentlichen auf OpenPGP-Schlüsselservern}
2717 \label{sec_publishPerKeyserver}
2718 Wählen Sie in der Schlüsselübersicht in Kleopatra Ihren Schlüssel aus. Über \Menu{Datei $\to$ Auf Server veröffentlichen..} öffnet sich folgender Dialog
2719
2720 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-publishKey_de}
2721
2722 Lesen Sie die Meldung aufmerksam und bestätigen Sie den Dialog. Wenn der
2723 Schlüssel erfolgreich auf den Schlüsselserver exportiert wurde. Erhalten Sie
2724 folgende Nachricht:
2725
2726 \IncludeImage[width=0.3\textwidth]{sc-kleopatra-publishKey1_de}
2727
2728 Ihr Schlüssel ist nun erfolgreich auf dem Schlüsselserver veröffentlicht und
2729 Korrespondenzpartner können ihn einfach über die Schlüsselsuche finden.
2730 \section{Veröffentlichen von X.509-Zertifikaten}
2731 \label{publishPerEmailx509}
2732 Für das Veröffentlichen von X.509-Zertifikaten ist der Anbieter zuständig. Wenn
2733 Sie Ihre Zertifikatsanfrage zum Anbieter geschickt haben und ein gültiges
2734 Zertifikat erhalten haben, ist dies im Normalfall über den Schlüsselserver des
2735 Anbieters verfügbar. Dies ist jedoch von Anbieter zu Anbieter unterschiedlich.
2736 Wie man einen Schlüsselsever für X.509 Zertifikate hinzufügt, wird in Abschnitt 
2737 \ref{ch:keyserver} besprochen.
2738
2739 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2740 % Part II
2741
2742 % page break in toc
2743 \addtocontents{toc}{\protect\newpage}
2744
2745 \clearpage
2746 \T\part{Für Fortgeschrittene}
2747 \W\part*{\textbf{II Für Fortgeschrittene}}
2748 \label{part:Fortgeschrittene}
2749 \addtocontents{toc}{\protect\vspace{0.3cm}}
2750
2751
2752 \clearpage
2753 \chapter{Schlüssel im Detail}
2754 \label{ch:CertificateDetails}
2755 \index{Zertifikatsdetails}
2756
2757 In Kapitel \ref{ch:CreateKeyPair} haben Sie sich schon den
2758 Detaildialog Ihres erzeugten Schlüsselpaares angesehen. Viele Angaben zu
2759 Ihrem Schlüsselpaar sind dort aufgelistet. Nachfolgend die Wichtigsten,
2760 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP-Schlüsseln und
2761 X.509-Zertifikaten:
2762
2763 % TODO: Screenshot vom Detaildialog OpenPGP + ggf. zusätzlich X.509 wäre sehr hilfreich zur
2764 % Veranschaulichung
2765
2766 \begin{description}
2767
2768     \item[Die Benutzerkennung\index{Zertifikat!Benutzerkennung}] besteht aus dem Namen und der
2769     \Email{}-Adresse, die Sie während der Schlüsselpaarerzeugung
2770     eingegeben haben, also z.B.: \Filename{Alice
2771     <alice@gpg4win.de>}
2772
2773     Für OpenPGP-Schlüssel können Sie mit Kleopatra über den
2774     %TODO: Oder Schlüssel? - Dann in Kleo anpassen
2775     Menüpunkt \Menu{Zertifikate$\rightarrow$%
2776     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
2777     Benutzerkennung hinzufügen...} 
2778     Ihr Schlüsselpaar um weitere Benutzerkennungen
2779     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
2780     \Email{}-Adresse den Schlüssel nutzen möchten.
2781
2782     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
2783     nur für OpenPGP-Schlüssel möglich, nicht aber für X.509-Zertifikate.
2784
2785 \item[Der Fingerabdruck] wird verwendet, um mehrere Schlüssel
2786     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
2787     (öffentlichen) Schlüsseln suchen, die z.B. auf einem weltweit
2788     verfügbaren OpenPGP-Schlüsselserver (engl. "`key server"')
2789     oder auf einem X.509-Zertifikats\-server liegen.  Was
2790     Schlüsselserver sind, erfahren Sie im folgenden Kapitel.
2791
2792 \item[Die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}] (auch Schlüsselkennung genannt) besteht aus
2793     den letzten acht Stellen des Fingerabdrucks. Die wesentlich geringere Länge 
2794     macht die Schlüsselkennung einfacher handhabbar, 
2795     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
2796     Schlüssel mit derselben Kennung).
2797
2798 \item[Die Gültigkeit\index{Zertifikat!Gültigkeit}] von Schlüsseln bezeichnet die Dauer ihrer
2799     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
2800     
2801     Für OpenPGP-Schlüssel ist die Gültigkeit normalerweise auf
2802     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
2803     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
2804     Details klicken -- oder das Menü
2805     %TODO: Menü in Schlüssel ändern? - Dann in Kleo ändern
2806     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
2807     ein neues Datum eintragen. Damit können Sie Schlüssel für eine
2808     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
2809     auszugeben.
2810
2811     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
2812     Ausstellung von der Beglaubigungsinstanz (CA)
2813     festgelegt und kann nicht vom Nutzer geändert werden.
2814
2815 \item[Das Vertrauen in den Schlüsselinhaber (nur OpenPGP)] %\T\marginOpenpgp
2816     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
2817     des OpenPGP-Schlüssels echt (authentisch) ist und auch andere
2818     OpenPGP-Schlüssel korrekt beglaubigen wird.  Sie können das
2819     Vertrauen über die Schaltfläche \Button{Vertrauen in den
2820     Schlüsselinhaber ändern} in den Details oder über das
2821         %TODO: Menü in Schlüssel ändern? - Dann in Kleo ändern
2822     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
2823     einstellen.
2824
2825     Der Vertrauensstatus ist nur für OpenPGP-Schlüssel relevant.
2826     Für X.509-Zerti\-fikate gibt es diese Methode der
2827     Vertrauensstellung nicht.
2828
2829 \item[Die Beglaubigungen (nur OpenPGP)] %\T\marginOpenpgp
2830     Ihres OpenPGP-Schlüssels beinhalten die
2831     Benutzerkennungen derjenigen Schlüsselinhaber, die
2832     sich von der Echtheit Ihres Schlüssels überzeugt und es dann auch
2833     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Schlüssels
2834     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
2835     Nutzern erhalten.
2836
2837     Beglaubigungen sind nur für OpenPGP-Schlüssel relevant.  Für
2838     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
2839     nicht.
2840
2841 \end{description}
2842
2843 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
2844 ~\\
2845 Diese Details müssen Sie für die tagtägliche Benutzung von
2846 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
2847 neue Schlüssel erhalten oder ändern wollen.
2848
2849
2850 \clearpage
2851 \chapter{Die Schlüsselserver}
2852 \label{ch:keyserver}
2853 \index{Zertifikatsserver}
2854
2855 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres öffentlichen
2856 (OpenPGP- oder X.509-) Schlüssel wurde bereits im
2857 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
2858 Kapitel beschäftigt sich mit den Details von Schlüsselservern und
2859 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
2860
2861 Schlüsselserver können von allen Programmen benutzt werden, die die
2862 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
2863 beide Arten, also sowohl OpenPGP-Schlüsselserver als auch
2864 X.509-Zerti\-fi\-katsserver.
2865
2866
2867 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2868
2869 \begin{description}
2870
2871 \item[OpenPGP-Schlüsselserver]%\T\marginOpenpgp
2872     \index{Zertifikatsserver!OpenPGP}
2873     (im Englischen auch "`key server"' genannt) sind dezentral
2874     organisiert und synchronisieren sich weltweit miteinander.
2875     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
2876     liegenden OpenPGP-Schlüssel gibt es nicht.  Dieses verteilte
2877     Netz von OpenPGP-Schlüsselserver sorgt für eine bessere
2878     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
2879     Schlüssel löschen, um so die sichere Kommunikation unmöglich zu
2880     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
2881
2882     \htmlattributes*{img}{width=300}
2883     \IncludeImage[width=0.5\textwidth]{keyserver-world}
2884
2885 \item[X.509-Zertifikatsserver] \T\marginSmime
2886     \index{Zertifikatsserver!X.509}
2887     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
2888     LDAP\index{LDAP} bereitgestellt und manchmal auch als
2889     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
2890
2891 \end{description}
2892
2893
2894 \clearpage
2895 \section{Schlüsselserver einrichten}
2896 \label{configureCertificateServer}
2897 \index{Zertifikatsserver!einrichten}
2898
2899 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
2900 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
2901
2902 %TODO: Heißt es in Kleo wirklich überall Schlüsselserver?
2903 Legen Sie unter der Gruppe \Menu{Schlüsselserver} einen neuen
2904 Schlüsselserver an, indem Sie auf die Schaltfläche \Menu{Neu}
2905 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
2906
2907 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
2908 OpenPGP-Schlüsselserver mit der Serveradresse
2909 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
2910 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
2911 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
2912 nächsten Seite.
2913
2914 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
2915 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
2916 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
2917 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
2918 Server-Port.
2919
2920 Sollte Ihr Schlüsselserver Benutzername und Passwort fordern, so
2921 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
2922 tragen Ihre gewünschten Angaben ein.
2923
2924
2925 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2926 Der folgende Screenshot zeigt einen konfigurierten
2927 OpenPGP"=Schlüsselserver:
2928
2929 % screenshot: Kleopatra OpenPGP certificate server config dialog
2930 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
2931
2932 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
2933 Schlüsselserver ist nun erfolgreich eingerichtet.
2934
2935 Um sicherzugehen, dass Sie den Schlüsselserver korrekt konfiguriert
2936 haben, ist es hilfreich, z.B. eine Schlüsselserver auf dem Server zu
2937 starten (Anleitung siehe
2938 Abschnitt~\ref{searchAndImportCertificateFromServer}).
2939
2940 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
2941 nutzen, müssen Sie die Schlüsselserver-Adresse in der Datei:\\
2942 \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
2943 ergänzen.
2944 Fügen Sie dazu in der Datei eine weitere Zeile ein, mit dem Inhalt: \\
2945 \Filename{keyserver-options http-proxy=<proxy-address>}
2946
2947 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
2948 finden Sie im Abschnitt~\ref{x509CertificateServers}.
2949
2950 \subsubsection{OpenPGP-Schlüsselserver-Adressen}
2951 %TODO: Eventuell Outdated
2952
2953 %\T\marginOpenpgp
2954 Es wird empfohlen, nur moderne OpenPGP-Schlüsselserver zu verwenden,
2955 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
2956
2957 Hier eine Auswahl von gut funktionierenden Schlüsselserver:
2958 \begin{itemize}
2959 \item hkp://blackhole.pca.dfn.de
2960 \item hkp://pks.gpg.cz
2961 \item hkp://pgp.cns.ualberta.ca
2962 \item hkp://minsky.surfnet.nl
2963 \item hkp://keyserver.ubuntu.com
2964 \item hkp://keyserver.pramberger.at
2965 \item http://keyserver.pramberger.at
2966 \item http://gpg-keyserver.de
2967 \end{itemize}
2968
2969 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
2970 besten mit Schlüsselserver, deren URL mit \Filename{http://}
2971 beginnen.
2972
2973 Die Schlüsselserver unter den Adressen
2974 \begin{itemize}
2975     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
2976         siehe Bildschirmfoto auf vorheriger Seite)
2977 \item hkp://subkeys.pgp.net
2978 \end{itemize}
2979 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
2980 dann zufällig ein konkreter Server ausgewählt.
2981
2982 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
2983 Schlüsselserver benutzen, weil dieser sich nicht mit den anderen Servern
2984 synchronisiert (Stand: Mai 2010).
2985
2986 \clearpage
2987
2988 \section{X.509 Schlüsselserver einrichten}
2989 \label{sec:x509Keyserver}
2990 Wenn Sie einen S/MIME Schlüssel importieren wollen, müssen Sie sich zunächst
2991 über die Adresse des Schlüsselservers und der Basis-DN (Basis Domain-Name)
2992 Informieren. Diese erhalten Sie von Ihrem System-Administrator oder
2993 Kommunikations-Partner. Sobald Sie diese Informationen haben, öffnen Sie unter
2994 \Menu{Einstellungen $\to$ Kleopatra einrichten ...} das
2995 \Menu{Schlüsselserver}-Menü. Dort fügen Sie mit der Schaltfläche \Menu{Neu}
2996 einen neuen Eintrag der Liste hinzu. Sie können die vorausgwählten
2997 Informationen durch Ihre ersetzen. Wenn Sie z.B. Die Informationen erhalten
2998 haben, dass der Schlüsselserver die URL \texttt{ldap://ca.gnupg.org:389/} und
2999 die Basis-DN \texttt{o="GnuPG", C=DE} besitzt, dann wählen Sie als
3000 \Menu{Protokoll} \glqq{}\texttt{ldap}\grqq{} aus, tragen unter \Menu{Server}
3001 \glqq{}ca.gnupg.org\grqq{} ein, unter \Menu{Port} tragen
3002 Sie\glqq{}\texttt{389}\grqq{} ein, bei \Menu{Basis-DN} tragen Sie
3003 \glqq{}\texttt{o="GnuPG", C=DE}\grqq{} ein und setzen am Ende einen Haken unter
3004 der \Menu{X.509}-Option. Bestätigen Sie abschließend Ihren Eintrag mit
3005 \Menu{OK}.
3006
3007 \section{Schlüssel auf Schlüsselservern suchen und importieren}
3008 \label{searchAndImportCertificateFromServer}
3009 \index{Zertifikatsserver!Suche nach Zertifikaten}
3010 \index{Zertifikat!importieren}
3011 Nachdem Sie mindestens einen Schlüsselserver eingerichtet haben,
3012 können Sie nun dort nach Schlüsseln suchen und diese anschließend
3013 importieren.
3014
3015 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Auf Server suchen...}.
3016
3017 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3018 Schlüsselbesitzers -- oder eindeutiger und daher besser geeignet --
3019 seine \Email{}-Adresse seines Schlüssels eingeben können.
3020
3021 % screenshot: Kleopatra certification search dialog
3022 %TODO: Neuer Screenshot (Close)
3023 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3024
3025 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3026 auf die Schaltfläche \Button{Details...}.
3027
3028 Wenn Sie nun eines der gefundenen Schlüssel in Ihre lokale
3029 Schlüsselsammlung einfügen möchten, selektieren Sie das
3030 Schlüssel aus der Liste der Suchergebnisse und klicken Sie auf
3031 \Button{Importieren}.
3032
3033 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3034 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3035
3036 War der Import erfolgreich, finden Sie nun das ausgewählte Schlüssel
3037 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung?
3038 in der Zertifikatsverwaltung von Kleopatra.
3039
3040
3041 % Section Doppelt zu Kapitel 13
3042 %\section{Schlüssel auf OpenPGP-Schlüsselserver exportieren}
3043 %\index{Zertifikat!exportieren}
3044
3045 %\T\marginOpenpgp
3046 %Wenn Sie einen OpenPGP-Schlüsselserver wie im Abschnitt
3047 %\ref{configureCertificateServer} beschrieben eingerichtet haben,
3048 %genügt ein Maus\-klick, und Ihr öffentlicher OpenPGP-Schlüssel ist
3049 %unterwegs rund um die Welt.
3050
3051 %Wählen Sie Ihren OpenPGP-Schlüssel in Kleopatra aus und klicken Sie
3052 %TODO: Müsste nun anders heißen
3053 %anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3054 %nach Server exportieren...}.
3055
3056 %Sie brauchen Ihren Schlüssel nur an irgendeinen der verfügbaren
3057 %OpenPGP-Schlüsselserver zu senden, denn fast alle synchronisieren
3058 %sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3059 %OpenPGP-Schlüssel wirklich überall verfügbar ist, aber dann haben Sie
3060 %einen "`globales"' Schlüssel.
3061
3062 %Sollten Sie Ihren Schlüssel exportieren, ohne zuvor einen
3063 %OpenPGP-Schlüsselserver eingerichtet zu haben, so schlägt Ihnen
3064 %Kleopatra den bereits voreingestellten Server
3065 %\Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3066
3067
3068
3069 \clearpage
3070 \chapter{Dateianhänge verschlüsseln}
3071 \index{Dateianhänge verschlüsseln}
3072
3073 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3074 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3075 verschlüsselt werden.
3076
3077 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3078 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3079 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3080
3081 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3082 Anhängen automatisch.}
3083
3084 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3085 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3086 unverschlüsselt mitgesendet.
3087
3088 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3089 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3090 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3091 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3092 beschrieben ist.
3093
3094
3095 \clearpage
3096 \chapter{Im- und Export eines geheimen Schlüssels}
3097 \label{ch:ImExport}
3098
3099 In den Kapiteln \ref{ch:publishCertificate} und
3100 \ref{sec_importfromfile} wurde der Im- und Export von Schlüsseln
3101 erläutert. Sie haben Ihren eigenen Schlüssel exportiert, um ihn zu
3102 veröffentlichen, und den Schlüssel Ihres Korrespondenzpartners
3103 importiert und so "`an Ihrem Schlüsselbund\index{Schlüsselbund}
3104 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung
3105 befestigt"' (d.h. in Ihre Schlüsselverwaltung aufgenommen).
3106
3107 Dabei ging es stets um \textbf{öffentliche} Schlüssel. Es gibt
3108 aber auch hin und wieder die Notwendigkeit, einen \textbf{geheimen}
3109 Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits
3110 vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win
3111 weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie
3112 Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls
3113 zunächst das gesamte Schlüsselpaar dorthin transferiert werden --~der
3114 öffentliche und der geheime Schlüssel.
3115
3116 \clearpage
3117 \section{Export}
3118 \index{Zertifikat!exportieren}
3119 Immer, wenn Sie einen geheimen Schlüssel auf einen anderen Rechner
3120 transferieren oder auf einer anderen Festplattenpartition bzw. einem
3121 Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
3122 Sicherungskopie erstellen.
3123
3124 Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
3125 OpenPGP-Schlüsselpaar\-erzeu\-gung angelegt. Da Ihr OpenPGP-Schlüssel
3126 aber inzwischen weitere Beglaubigungen haben kann, sollten Sie ihn ggf.
3127 erneut sichern.
3128
3129 Öffnen Sie Kleopatra, selektieren Sie Ihren eigenen Schlüsseln und
3130 %TODO: Auf Schlüssel ändern? - dann in Kleo anpassen
3131 klicken Sie auf \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren}.
3132
3133 % screenshot kleopatra export secret key
3134 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3135
3136 Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.  Der Dateityp
3137 wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen
3138 OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig
3139 die Dateiendung \Filename{.gpg} (OpenPGP) oder \Filename{.p12}
3140 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um
3141 Binärdateien, die Ihr Schlüsselpaar (inkl. geheimem Schlüssel)
3142 verschlüsselt enthalten.
3143
3144 Bei Aktivierung der Option \Menu{ASCII-geschützt (ASCII armor\index{ASCII armor})}
3145 erhalten Sie die Dateiendung \Filename{.asc} (OpenPGP) bzw.
3146 \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3147 Texteditor geöffnet werden -- Sie sehen dort allerdings nur den
3148 Buchstaben- und Ziffernsalat, den Sie schon kennen. 
3149
3150 Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei
3151 mit der Endung \Filename{.gpg} (OpenPGP) oder \Filename{.p12} (S/MIME)
3152 angelegt.  Diese Dateien sind Binärdateien, sie können also nicht mit
3153 einem Texteditor angesehen werden. 
3154
3155 Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
3156 Kleopatra in \textbf{einem} einzigen geheimen Schlüsselpaar
3157 abgespeichert.
3158
3159 \textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie
3160 enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische
3161 Informationen!
3162
3163 \clearpage
3164 \section{Import}
3165 \index{Zertifikat!importieren}
3166 Zum Importieren Ihres zuvor exportierten geheimen Schlüssels in
3167 Kleopatra gehen Sie so vor, wie Sie es vom Import fremder
3168 öffentlicher Schlüssel gewohnt sind (vgl.
3169 Kapitel~\ref{ch:importCertificate}):
3170
3171 %TODO: Menü anpassen in Kleo?
3172 Klicken Sie auf \Menu{Datei$\rightarrow$Schlüssel importieren...} und
3173 wählen Sie die zu importierende Datei aus.  Handelt es sich um eine
3174 PKCS12-Datei (z.B. vom Typ \Filename{.p12}), so werden Sie zunächst
3175 nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:
3176
3177 % screenshot pinentry p12 import (I)
3178 % TODO: Neuer Screenshot (Cancel)
3179 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-a_de}
3180
3181 Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der
3182 nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:
3183
3184 % screenshot pinentry p12 import (II)
3185 % TODO: Neuer Screenshot - alles Englisch
3186 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3187
3188 Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu
3189 kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend
3190 gewarnt.
3191
3192 %\clearpage
3193 %Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
3194 %das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am
3195 %Beispiel eines geheimen OpenPGP-Schlüssels:
3196
3197 % screenshot kleopatra import secret key - status
3198 %\IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3199
3200 Kleopatra hat damit sowohl den geheimen als auch den öffentlichen
3201 Schlüssel aus der Sicherungsdatei importiert. Ihr Schlüssel ist damit
3202 %TODO: Die Reiter heißen immernoch komisch - evtl in Kleo ändern
3203 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung
3204 unter "`Meine Zertifikate"' in der Zertifikatsverwaltung von Kleopatra
3205 sichtbar.
3206
3207 Sichern Sie die Sicherungskopie Ihres
3208 geheimen Schlüssels -- möglichst auf einem physikalisch gesicherten
3209 (z.B. in einem Tresor) externen Medium. Löschen Sie
3210 sie danach von Ihrer Festplatte und denken Sie auch daran, die
3211 gelöschte Datei aus Ihrem "`Papierkorb"' zu entfernen. Andernfalls
3212 stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime
3213 \Email{}-Verschlüsselung dar.\\
3214
3215 \clearpage
3216 %TODO: Eventuell outdated
3217 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3218 %\T\marginOpenpgp
3219 Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP ("`Pretty
3220 Good Privacy"') exportierten Schlüssel nicht importieren können:  Sie
3221 geben zwar die richtige Passphrase ein, diese wird aber nicht
3222 akzeptiert.  Der Grund ist, dass bestimmte Versionen von PGP intern
3223 einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen
3224 nicht unterstützen kann.  
3225
3226 Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase
3227 und exportieren/importieren Sie das OpenPGP-Schlüssel erneut.  Sollte dies
3228 auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3229 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie
3230 wieder -- in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl
3231 die \textbf{Datei sicher löschen} als auch in PGP und in
3232 Gpg4win danach wieder eine echte \textbf{Passphrase setzen.}
3233
3234 ~\\ \textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr
3235 Schlüsselpaar exportiert und wieder importiert.}
3236
3237 \clearpage
3238 \section{Paperkey} \label{paperkey}
3239 Mit Paperkey haben Sie die Möglichkeit Ihren privaten Schlüssel nicht nur
3240 auf digitale Medien zu sichern, sondern auf analoge, so können Sie ihn z.B.
3241 in einem Bankschließfach hinterlegen und von diesem analogen Medium auch wieder 
3242 herstellen.
3243
3244 \textbf{Wichtig:} Dies ist nur für OpenPGP-Schlüssel möglich.
3245
3246 \subsection{Export mit Paperkey}
3247 Wählen Sie dazu das zu exportierende Schlüsselpaar in der Übersicht aus. Über
3248 \Menu{Datei $\to$ Geheimen Schlüssel drucken...} öffnen Sie den Dialog zum
3249 drucken Ihres Schlüssels. Geben Sie zunächst die Passphrase Ihres
3250 Schlüssels ein.
3251
3252 % TODO: Neuer Screenshot (Cancel)
3253 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-paperkey1_de}
3254
3255 Anschließend öffnet sich ein Druck-Dialog. Über diesen wählen Sie Ihren Drucker
3256 aus und drucken Ihren privaten Schlüssel.
3257
3258 Heften Sie dieses Dokument an einen sicheren Ort zur Verwahrung. Es sollte nicht
3259 in fremde Hände gelangen!
3260 \subsection{Import mit Paperkey}
3261 Um den zuvor exportierten Schlüssel wieder zu importieren, müssen Sie zunächst
3262 sicherstellen, dass Ihr öffentlicher Schlüssel bereits in Kleopatra
3263 vorhanden ist.
3264
3265 Anschließend öffnen Sie ein Textdokument und tippen den Paperkey ab.
3266
3267 Machen Sie einen Rechtsklick auf Ihren öffentlichen Schlüssel und klicken
3268 Sie auf \Menu{Details}. Wählen Sie im nun auftauchenden Schlüsseldialog
3269 den Knopf \Button{Weitere Details...}.
3270
3271 Abschließend tätigen Sie einen Rechtsklick auf einen der angezeigten Einträge.
3272 Nun wählen sie die Option zum importieren aus und navigieren im Dateidialog
3273 zu ihrem abgetippten Paperkey.
3274 \clearpage
3275 \chapter{Konfiguration von Smartcards \label{Smartcards}}
3276 Smartcards oder auch Chipkarten sind kleine Plastikkarten mit Chips auf ihnen,
3277 die einen kleinen Mikroprozessor enthalten. Sie kennen wahrscheinlich bereits
3278 einige Smartcards, wie zum Beispiel Simkarten in Handys oder
3279 Krankenkassenkarten. Zur Verwendung mit OpenPGP oder X.509 gibt es spezielle
3280 Karten, die mit GnuPG genutzt werden können.
3281
3282 Ähnlich wie Krankenkassenkarten oder Simkarten haben die Smartcards, die mit
3283 GnuPG verwendet werden können, bestimmte Eigenschaften. Die Smartcards
3284 fungieren dabei als Speicher für den privaten Schlüssel und führen alle
3285 kryptografischen Operationen auf der Karte selbst durch. Dies kann für
3286 einige Szenarien sehr spannend sein, denn so muss der private Schlüssel
3287 selbst nicht mehr auf dem Computer, mit dem Sie arbeiten, nicht mehr
3288 vorhanden sein.
3289
3290 \section{Nutzung von Smartcards mit OpenPGP 
3291 \label{OpenPGPSmartcard}}
3292
3293 Zunächst muss die Frage beantwortet werden, ob eine Sicherheitskopie des
3294 Schlüssel behalten werden soll oder ob der Schlüssel ausschließlich auf
3295 der Smartcard existieren soll. Beide Möglichkeiten haben Ihre Vor- und
3296 Nachteile. Wenn der Schlüssel ausschließlich auf der Karte existieren soll,
3297 kann er nachträglich nicht mehr von der Karte kopiert werden. Dies bringt
3298 zusätzliche Sicherheit, sobald die Karte jedoch defekt ist oder abhanden
3299 kommt, haben Sie keinen Zugriff mehr auf den Schlüssel. Für die meisten
3300 Fälle bietet es sich an, den Schlüssel auf einem Rechner zu erstellen, mit
3301 Hilfe von Paperkey\ref{paperkey} zu exportieren und den erstellten
3302 Schlüssel auf die Smartcard zu übertragen. Im Folgenden werden wir auf
3303 beide Fälle eingehen.
3304
3305 \subsection{Erstellen des OpenPGP-Schlüssels auf der SmartCard}
3306 Schließen Sie das Smartcard-Lesegerät an Ihren Computer an. In Kleopatra
3307 finden Sie unter dem Punkt \Menu{Extras $\to$ SmartCards verwalten} die
3308 Einstellungen für Ihre Smartcard. Stecken Sie die zu benutzende SmartCard
3309 in das Lesegerät und drücken Sie \Button{F5} und warten Sie, dass die
3310 SmartCard erkannt wird.
3311 %TODO: Eventuell Screenshot einfügen - Habe aber keine Leere Karte
3312 Klicken Sie in SmartCard-Übersicht auf die Schaltfläche
3313 \Button{Neue Schlüssel erzeugen}. Anschließend geben Sie die Informationen
3314 für die Schlüsselerzeugung ein.
3315 % screenshot kleopatra user information for smartcard
3316 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-smartCard1_de}
3317
3318 Achten Sie dabei auf das Feld \Menu{Verschlüsselungs Schlüssel extern sichern}.
3319 Dieses Feld sollte aktiv bleiben, damit Sie abschließend eine Sicherheitskopie
3320 Ihres Schlüssels machen können.
3321
3322 Anschließend werden die Schlüssel auf der Karte erzeugt.
3323
3324 % screenshot kleopatra loading card screen
3325 \IncludeImage[width=0.3\textwidth]{sc-kleopatra-smartCard2_de}
3326
3327 Je nach verwendetem SmartCard-Leser kann es während der Erzeugung zu
3328 einer Abfrage des Administrations-PINs der Karte kommen. Dieser liegt der
3329 Kartenanleitung bei.
3330
3331 Während der Schlüsselerzeugung werden Sie gebeten eine Passphrase einzugeben,
3332 hierbei gelten die gleichen Richtlinien wie auch bei der Erstellung des
3333 herkömmlichen Schlüssels.
3334
3335 % screenshot kleopatra passphrase
3336 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-smartCard3_de}
3337
3338 Abschließend können Sie Ihren erstellen Schlüssel sichern. Beachten Sie dabei:
3339 Wenn der Schlüssel nicht gesichert wird und sie den Zugang zu Ihrer SmartCard
3340 verlieren, gibt es keine andere Möglichkeit mehr an Ihr Schlüsselpaar zu
3341 gelangen!
3342
3343 \clearpage
3344
3345 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-smartCard4_de}
3346
3347 \textbf{Herzlichen Glückwunsch!} Sie haben erfolgreich einen Schlüssel auf Ihrer
3348 SmartCard erstellen.
3349
3350 Bei zukünftigen kryptografischen Operationen werden Sie nun immer gebeten Ihre
3351 Smartcard in das Lesegerät einzuführen und ggf. eine PIN oder Passphrase darüber
3352 einzugeben.
3353
3354 %TODO: Option gibt es noch nicht
3355 %\subsection{Kopieren eines vorhandenen Schlüssels auf die SmartCard}
3356 \clearpage
3357
3358 \section{Nutzung von NetKey-Cards mit X.509}
3359 \label{X509Smartcard}
3360 X.509 Smartcards kommen im Unterschied zu OpenPGP Karten üblicherweise
3361 mit vorkonfigurierten Zertifikaten, welche von der Zertifizierungstelle
3362 eingerichtet wurden. Kleopatra unterstützt die NetKey Karten
3363 der Telekom.
3364
3365 Bei der ersten Verwendung einer X.509 Smartcard muss eine PIN für
3366 die jeweiligen Zertifikate gesetzt werden. Zudem müssen die Zertifikate
3367 der Karte im Gpg4win-System registriert werden damit diese für Kryptographie-
3368 Aktionen zur Auswahl stehen.
3369
3370 Legt man eine, unbekannte, unterstützte X.509 Smartcard in einen Kartenleser ein
3371 blinkt das Systemtray Icon von Kleopatra. Nach einem Linksklick öffnet sich der
3372 Einrichtungsdialog um eine anfängliche PIN zu setzen:
3373
3374 \IncludeImage[width=0.8\textwidth]{sc-kleopatra-smartCard_netkey_1_de}
3375
3376 Dabei ist ein Spezialfall bei NetKey Karten das diese zwei Zertifikate
3377 unterstützen. Ein gewöhnliches und ein weiteres für qualifizierte Signaturen.\footnote{
3378  \url{https://de.wikipedia.org/wiki/Signaturgesetz_(Deutschland)}}
3379
3380 Nachdem die anfänglichen PINs eingerichtet sind können die Zertifikate registriert
3381 werden. Dazu kann man erneut auf das blinkende Symbol klicken. Es folgen
3382 einige Diagnoseausgaben. Diese können ignoriert werden. Anschließend sind die
3383 Zertifikate im System registriert.
3384
3385 Alternativ zum Tray Icon können beide Aktionen auch über die SmartCard-Verwaltung
3386 angestoßen werden. Das Menü erreichen Sie über \Menu{Extras $\to$ SmartCards verwalten}.
3387
3388 Ansicht einer nicht initialisierten NetKey Karte:
3389 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_2_de}
3390
3391 Mit ``Zertifikate neu Laden" werden die Zertifikate der SmartCard registriert:
3392 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_4_de}
3393
3394 Ist alles eingerichtet werden die auf der Karte vorhandenen Zertifikate in
3395 der SmartCard-Verwaltung angezeigt.
3396
3397 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_3_de}
3398
3399 \clearpage
3400 \chapter{Systemweite Konfiguration und Vorbelegung für
3401 \protect{S/MIME}}
3402 \label{ch:smime-configuration}
3403
3404 \T\enlargethispage{\baselineskip}
3405 \T\marginSmime
3406 Im Rahmen einer zentralen Softwareverteilung oder in Umgebungen, in denen
3407 viele Anwender auf einem gemeinsamen Rechner arbeiten, ist es sinnvoll, einige
3408 systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.
3409
3410 Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten
3411 ist es sinnvoll, dass die Anwender die Informationen dazu miteinander
3412 teilen.
3413
3414 Einige typische systemweite Einstellungen sind:
3415
3416 \begin{description}
3417 \item[Vertrauenswürdige Wurzelzertifikate:]
3418     \index{Vertrauenswürdige Wurzelzertifikate}
3419     \index{Wurzelzertifikat}
3420     Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3421     Wurzelzertifikate suchen und installieren sowie deren
3422     Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl.
3423     Abschnitt \ref{sec_allow-mark-trusted}), ist eine systemweite
3424     Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.
3425
3426     Dazu sollten die Wurzelzertifikate abgelegt -- wie in Abschnitt
3427     \ref{trustedrootcertsdirmngr} beschrieben -- und die
3428     vertrauenswürdigen Wurzelzertifikate definiert werden -- wie in
3429     Abschnitt \ref{sec_systemtrustedrootcerts} beschrieben.
3430
3431 \item[Direkt verfügbare CA-Zertifikate:] \index{CA-Zertifikat}
3432     Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate
3433     der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu
3434     suchen und zu importieren, ist auch hier eine systemweite
3435     Vorbelegung der wichtigsten CA-Zertifikate sinnvoll.  Eine
3436     Beschreibung hierzu finden Sie im Abschnitt
3437     \ref{extracertsdirmngr}.
3438
3439
3440 \item[Proxy für Zertifikatsserver- und Sperrlisten-Suche:]
3441     \index{Proxy}
3442
3443     Für die Gültigkeitsinformationen bieten die X.509-Protokolle
3444     verschiedene Möglichkeiten an. Von den meisten
3445     Zertifizierungsstellen werden Sperrlisten\index{Sperrlisten} (auch
3446     CRLs \index{CRLs|see{Sperrlisten}} genannt, nach RFC5280) und
3447     OSCP\index{OSCP} (Online Certificate Status Protocol, nach RFC2560) 
3448     unterstützt. OSCP bringt zeitnähere Informationen, hat aber den Nachteil, 
3449     dass Netzverkehr bis zum OSCP-Dienst erfolgt und daran auch
3450     gut erkannt werden kann, mit welchen Partnern gerade Nachrichten
3451     ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es
3452     ist die Komponente "`DirMngr"' \index{Directory Manager|see{DirMngr}}
3453     \index{DirMngr}, welche als systemweiter Dienst läuft.
3454
3455     Es können interne Netzwerke keine direkten Verbindungen der
3456     einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern
3457     einen Stellvertreterdienst (einen sogenannten "`Proxy"') vorsehen. 
3458     Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies
3459     \index{LDAP} \index{HTTP} umgehen.
3460
3461     S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste
3462     extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch
3463     Verzeichnisdienste über LDAP\index{LDAP}. Anders als bei OpenPGP kann sich der
3464     Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den
3465     verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich
3466     Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich
3467     sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern
3468     möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen,
3469     dass X.509-Sperrlisten ausschließlich mit korrekten Informationen
3470     übermittelt werden.  
3471
3472     \clearpage
3473     Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen
3474     HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie
3475     folgende Schritte durch:
3476
3477     \begin{enumerate}
3478         \item Stellen Sie X.509-Zertifikatsserver-Suche auf einen
3479             Proxy ein, wie in Abschnitt~\ref{x509CertificateServers}
3480             beschrieben.
3481
3482         \item Stellen Sie Sperrlisten-Suche auf einen Proxy ein,
3483             wie ebenfalls in Abschnitt~\ref{x509CertificateServers}
3484             beschrieben.
3485            
3486         \item Starten Sie den DirMngr neu (siehe
3487             Abschnitt~\ref{dirmngr-restart}).
3488     \end{enumerate}
3489 \end{description}
3490
3491
3492 \clearpage
3493 \chapter{Bekannte Probleme und Abhilfen}
3494 \index{Problembehebungen}
3495
3496 \section{GpgOL-Menüs und -Dialoge nicht mehr in Outlook zu finden} 
3497 \index{Outlook}
3498 Es kann vorkommen, dass die von GpgOL zu Outlook hinzugefügten Menüs
3499 und Dialoge nicht mehr zu finden sind.
3500
3501 Das kann dann passieren, wenn ein technisches Problem auftrat und
3502 Outlook aus diesem Grund die GpgOL-Komponente deaktiviert hat.
3503
3504 Reaktivieren Sie GpgOL über das Outlook-Menü:\\ Outlook2007:
3505 \Menu{?$\rightarrow$Deaktivierte Elemente}\\ Outlook2003:
3506 \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}
3507
3508 Um  GpgOL manuell zu (de-)aktivieren, nutzen Sie den Add-In-Manager von
3509 Outlook:
3510 \begin{itemize}
3511     \item \textbf{Outlook2003:}
3512         \Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
3513         Optionen... $\rightarrow$ Add-In-Manager...}
3514     \item \textbf{Outlook2007:}
3515         \Menu{Extras$\rightarrow$Vertrauensstellungscenter$\rightarrow$Add-Ins}
3516         -- dann unter \Menu{Verwalten} die \Menu{Exchange-Clienterweiterungen} auswählen 
3517         und auf \Button{Gehe zu...} klicken.
3518 \end{itemize}
3519
3520 \section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}
3521
3522 Wenn bereits viele Schaltflächen in der Symbolleiste des
3523 Nachrichtenfensters vorhanden sind, so stellt Outlook2003 die
3524 Signieren-/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort
3525 sichtbar dar.
3526
3527 Sie können diese Schaltflächen aber anzeigen lassen, indem Sie in der
3528 Symbolleiste auf das kleine Icon mit dem Pfeil nach unten klicken
3529 (\Menu{Optionen für Symbolleiste}):  Sie erhalten eine Übersicht aller
3530 nicht angezeigten Schaltflächen. Ein Klick auf einen dieser Einträge
3531 verschiebt ihn in den sichtbaren Teil der Symbolleiste.
3532
3533
3534 \section{GpgOL-Schaltflächen sind in Outlook2007 unter "`Add-Ins"'}
3535
3536 Mit Outlook2007 wurde die sogenannte "`Ribbon"'-Oberfläche eingeführt.
3537 Diese Multifunktionsleis\-te im Outlook-Nachrichtenfenster besitzt
3538 verschiedene Registerkarten.  Die GpgOL-Schaltflächen (für
3539 Verschlüsseln, Signieren etc.) sind unter der Registerkarte
3540 "`Add-Ins"' eingeordnet; so wie alle Schaltflächen von Erweiterungen
3541 durch Outlook dort angelegt werden.  Eine Integration der   
3542 GpgOL-Schalt\-flächen z.B. unter "`Nachrichten"' ist nicht möglich.
3543
3544 Sie können Ihre \Menu{Symbolleiste für den Schnellzugriff} anpassen
3545 und dort die Symbolleistenbefehle der Add-In-Registerkarte aufnehmen.
3546
3547
3548 \section{Fehler beim Start von GpgOL}
3549
3550 Haben Sie Gpg4win (und damit die Programmkomponente GpgOL) erst auf einem
3551 Laufwerk installiert, anschließend wieder deinstalliert und auf
3552 einem anderen Laufwerk erneut installiert? Dann kann es sein, dass
3553 Outlook weiterhin den GpgOL-Pfad auf dem ersten (alten) Laufwerk
3554 sucht.
3555
3556 Dabei wird beim Start von Outlook die Programmerweiterung GpgOL nicht
3557 mehr gestartet und folgende Fehlermeldung erscheint:
3558
3559 \Menu{Die Erweiterung '\Filename{<alter-Pfad-zu-gpgol.dll>}' konnte
3560 nicht installiert oder geladen werden. Das Problem kann u.U. durch das
3561 Benutzen von 'Erkennen und Reparieren' in der Hilfe behoben werden.}
3562
3563 Lösen können Sie dieses Problem, in dem Sie den Outlook-internen
3564 (zwischengespeicherten) Programmerweiterungs-Pfad
3565 zurücksetzen.  Löschen Sie dazu bitte folgende Datei:\\
3566 \Filename{\%APPDATA\%\back{}Lokale
3567 Einstellungen\back{}Anwendungsdaten\back{}Microsoft\back{}\T\\
3568 Outlook\back{}extend.dat}
3569
3570 \textbf{Dabei sollte Outlook nicht laufen.} Anschließend starten Sie
3571 Outlook erneut. Outlook mit GpgOL sollten nun problemlos funktionieren.
3572
3573
3574 \section{Installation von Gpg4win auf einem virtuellen Laufwerk}
3575
3576 Beachten Sie bitte, dass eine Installation von Gpg4win auf einem
3577 (mit dem Befehl \Filename{subst} simulierten) \textbf{virtuellen
3578 Laufwerk} nicht möglich ist. Diese virtuellen Laufwerke sind nur lokal
3579 für den aktuellen Benutzer nutzbar. Systemdienste (wie der DirMngr)
3580 sehen diese Laufwerke nicht. Der Installationspfad ist damit ungültig
3581 -- die Installation stoppt mit einem Fehler in der Art \linebreak
3582 \Filename{error:StartService: ec=3}.  Installieren Sie bitte Gpg4win
3583 auf einem systemweit verfügbaren Laufwerk.
3584
3585
3586 \section{GpgOL überprüft keine InlinePGP"=\Email{}s von "`CryptoEx"'}
3587 \index{CryptoEx}
3588
3589 Um signierte bzw. verschlüsselte InlinePGP-\Email{}s zu prüfen bzw. zu
3590 entschlüsseln, die von der Outlook-Programmerweiterung "`CryptoEx"'
3591 versendet wurden, muss in den GpgOL-Optionen die 
3592 S/MIME-Unterstützung eingeschaltet sein.
3593
3594 Versichern Sie sich, dass die folgende Option in Outlook unter
3595 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} aktiv ist:\\
3596 \Menu{S/MIME Unterstützung einschalten}.
3597
3598 \clearpage
3599 \section{Keine S/MIME-Operationen möglich (Systemdienst
3600 "`DirMngr"' läuft nicht)}
3601 \label{dirmngr-restart}
3602 \index{DirMngr}
3603
3604 \T\marginSmime
3605 Der "`Directory Manager"' (DirMngr) ist ein durch Gpg4win installierter
3606 %TODO: Oder Schlüsselserver? Kontext.
3607 Dienst, der die Zugriffe auf Zertifikatsserver verwaltet. Eine Aufgabe
3608 des DirMngr ist das Laden von Sperrlisten (CRLs) für
3609 S/MIME-Zertifikate.
3610
3611 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
3612 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können,
3613 weil DirMngr nicht verfügbar ist. In der Voreinstellung von Gpg4win
3614 ist es zwingend notwendig, dass DirMngr die Sperrlisten prüft --
3615 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3616 werden, da möglicherweise ein kompromittiertes Zertifikat genutzt
3617 wird.
3618
3619 Abhilfe schafft ein Neustart des DirMngr durch den
3620 Systemadministrator.  Dies erfolgt über
3621 \Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.  In
3622 der Liste finden Sie DirMngr -- über das Kontextmenü kann der Dienst
3623 neu gestartet werden.
3624
3625
3626 %\clearpage
3627 \section{Keine S/MIME-Operationen möglich (CRLs nicht verfügbar)}
3628 \label{smime-problem-crl}
3629
3630 \T\marginSmime
3631 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
3632 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3633 CRLs nicht verfügbar sind. In der Voreinstellung von 
3634 \T\ifthenelse{\boolean{DIN-A5}}{\linebreak}{}
3635 Gpg4win ist es zwingend notwendig, dass Sperrlisten\index{Sperrlisten} geprüft werden
3636 -- geschieht das nicht, darf die jeweilige Operation nicht
3637 ausgeführt werden, da möglicherweise ein kompromittiertes Zertifikat
3638 genutzt wird.
3639
3640 Abhilfe schafft das Einrichten eines Stellvertreterdienstes
3641 ("`Proxies"') für das Abholen der Sperrlisten (vgl.
3642 Abschnitt~\ref{x509CertificateServers}).
3643
3644 Im Notfall (oder zum Testen) lassen sich die CRL-Prüfungen auch
3645 abschalten. Öffnen Sie dafür das Kleopatra-Menü
3646 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
3647 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
3648 \Menu{Nie Sperrlisten zu Rate ziehen}.\\
3649 \textbf{Achtung:} Machen Sie sich bewusst, dass in diesem Fall ein
3650 wesentlich höheres Risiko besteht, ein kompromittiertes Zertifikat zu
3651 nutzen. Das Abschalten der Sperrlisten-Prüfung ist niemals einer Alternative
3652 zur Einrichtung eines Proxies.
3653
3654 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
3655
3656 \section{Keine S/MIME-Operationen möglich (Wurzelzertifikat
3657 nicht vertrauenswürdig)}
3658 \label{smime-problem-rootcertificate}
3659 \index{Wurzelzertifikate}
3660
3661 \T\marginSmime
3662 Für eine vollständige Prüfung von X.509-Zertifikatsketten
3663 \index{Zertifikatskette} muss dem jeweiligen Wurzelzertifikat vertraut
3664 werden.
3665 Andernfalls kann keine S/MIME-Operationen (Signaturerstellung und
3666 -prüfung, Ver- oder Entschlüsselung) durchgeführt werden.
3667
3668 Um einem Wurzelzertifikat das Vertrauen auszusprechen, haben Sie zwei 
3669 Möglichkeiten:
3670 \begin{itemize}
3671     \item Den Fingerabdruck des entsprechenden Wurzelzertifikats
3672         in eine \textit{systemweite} Konfigurationsdatei schreiben.
3673         Damit ist die Wurzel für alle Nutzer vertrauenswürdig. 
3674         Sie müssen hierfür Windows-Administratorrechte besitzen.
3675         Eine genaue Erläuterung finden Sie im 
3676         Abschnitt~\ref{sec_systemtrustedrootcerts}.
3677
3678     \item Das Wurzelzertifikat durch den Benutzer setzen (keine
3679         systemweite Anpassung nötig).
3680         Dazu müssen Sie einmalig die Option
3681         \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu
3682         markieren} in Kleopatras Einstellung aktivieren.
3683         Anschließend werden Sie nach jedem Importieren neuer
3684         Wurzelzertifikate gefragt, ob Sie diesem vertrauen wollen.
3685         Genaueres dazu im Abschnitt~\ref{sec_allow-mark-trusted}.
3686
3687 \end{itemize}
3688
3689 \clearpage
3690 \chapter{Dateien und Einstellungen von Gpg4win}
3691
3692 \section{Persönliche Einstellungen der Anwender}
3693
3694 Die persönlichen Einstellungen für jeden Anwender befinden sich im
3695 Dateiordner:\\ \Filename{\%APPDATA\%\back{}gnupg}\\ 
3696 Oft entspricht das dem Dateiordner: \\
3697 \Filename{C:\back{}Dokumente und
3698 Einstellungen\back{}<name>\back{}Anwendungsdaten\back{}%
3699 \T\ifthenelse{\boolean{DIN-A5}}{\\}{}%
3700 gnupg\back{}}
3701
3702 Beachten Sie, dass es sich um einen versteckten Dateiordner handelt.
3703 Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü
3704 \Menu{Extras$\rightarrow$Ordneroptionen} im Reiter \Menu{Ansicht} die
3705 Option \Menu{Alle Dateien und Ordner anzeigen} unter der Gruppe
3706 \Menu{Versteckte Dateien und Ordner} aktivieren.
3707
3708 In diesem Dateiordner befinden sich sämtliche persönlichen
3709 GnuPG-Daten, also die privaten Schlüssel, Schlüsselpaare,
3710 Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von
3711 Gpg4win wird dieser Ordner \textit{nicht} gelöscht. Denken Sie daran,
3712 regelmäßig Sicherheitskopien dieses Ordners anzulegen.
3713
3714
3715 \section{Zwischengespeicherte Sperrlisten}
3716 \index{Sperrlisten}
3717
3718 \T\marginSmime
3719 Der systemweite Dienst DirMngr (Directory Manager) \index{DirMngr}
3720 prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher
3721 nicht verwendet werden darf.  Dafür werden Sperrlisten (CRLs) von den
3722 Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer
3723 Gültigkeit zwischengespeichert.
3724
3725 Abgelegt werden diese Sperrlisten unter:\newline
3726 \Filename{C:\back{}Dokumente und
3727 Einstellungen\back{}LocalService\back{}Lokale\T\newline
3728 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3729
3730 Hierbei handelt es sich um \textit{geschützte} Dateien, die
3731 standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch
3732 die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option
3733 \Menu{Geschützte Systemdateien ausblenden} in den
3734 \Menu{Ansicht}-Einstellungen des Windows-Explorers.
3735
3736 In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
3737
3738 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
3739 \section{Vertrauenswürdige Wurzelzertifikate von DirMngr}
3740 \label{trustedrootcertsdirmngr}
3741 \index{DirMngr}
3742 \index{Vertrauenswürdige Wurzelzertifikate}
3743 \index{Wurzelzertifikate}
3744
3745 \T\marginSmime
3746 Für eine vollständige Prüfung von X.509-Zertifikaten muss den
3747 Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten
3748 signiert wurden.
3749
3750 Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen
3751 soll, werden im folgenden Dateiordner abgelegt:
3752
3753 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3754 Users\back{}Anwendungsdaten\back{}\T\newline
3755 GNU\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3756
3757 \W~\\\\
3758 \textbf{Wichtig:} Die entsprechenden Wurzelzertifikate müssen als
3759 Dateien im Dateiformat DER mit der Dateinamens"=Erweiterung
3760 \Filename{.crt} oder \Filename{.der} im o.g. Dateiordner vorliegen.
3761
3762 Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im
3763 "`trusted-certs"'-Dateiordner neu gestartet werden. Anschließend sind
3764 die dort abgelegten Wurzelzertifikate für alle Anwender als
3765 \textbf{vertrauenswürdig} gesetzt.
3766
3767 Beachten Sie auch Abschnitt \ref{sec_systemtrustedrootcerts}, um den
3768 Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
3769
3770
3771 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3772 \section{Weitere Zertifikate von DirMngr}
3773 \label{extracertsdirmngr}
3774
3775 \T\marginSmime
3776 Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft
3777 werden soll, muss somit auch das jeweilige Zertifikat der
3778 Beglaubigungsinstanz ("`Certificate Authority"', CA) geprüft werden.
3779
3780 Für eine direkte Verfügbarkeit können
3781 CA-Zertifikate\index{CA-Zertifikat} in diesem
3782 (systemweiten) Dateiordner abgelegt werden:\newline
3783 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3784 Users\back{}Anwendungsdaten\back{}\T\newline
3785 GNU\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3786
3787 Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen
3788 automatisch von X.509-Zer\-ti\-fi\-kats\-servern geladen werden.\\
3789 Diese CA-Zertifikate können aber auch immer manuell vom Anwender
3790 importiert werden.
3791
3792 Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die
3793 wichtigsten CA-Zertifikate abzulegen.
3794
3795 \clearpage
3796 \section{Systemweite Konfiguration zur Verwendung externer
3797 X.509-Zertifikatsserver \label{x509CertificateServers}}
3798
3799 \T\marginSmime
3800 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende
3801 X.509-Zertifikate oder Sperrlisten auf externen
3802 X.509-Zertifikatsservern gesucht werden (vgl. auch
3803 Kapitel~\ref{ch:smime-configuration}).\\
3804
3805 Für die \textbf{X.509-Zertifikatssuche} verwendet der Systemdienst DirMngr eine Liste
3806 von Zertifikatsservern, die in der Datei\newline
3807 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3808 Users\back{}Anwendungsdaten\back{}\T\\
3809 GNU\back{}etc\back{}dirmngr\back{}ldapservers.conf}\\ 
3810 angegeben werden können. Diese Zertifikatsserver werden für alle
3811 Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch
3812 weitere, benutzerspezifische Zertifikatsserver für die
3813 Zertifikatssuche einrichten -- z.B. direkt über Kleopatra (vgl.
3814 Kapitel~\ref{configureCertificateServer}).
3815
3816 Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g.
3817 Konfigurationsdatei lautet:
3818
3819 \Filename{HOSTNAME:PORT:USERNAME:PASSWORD:BASE\_DN}
3820
3821 Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern
3822 mittels Firewall gesperrt, so kann man in der
3823 \Filename{ldapservers.conf} einen Proxy-Dienst\index{Proxy} für
3824 die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie
3825 folgende Zeile im Beispiel illustriert:
3826
3827 \Filename{proxy.mydomain.example:389:::O=myorg,C=de}\\
3828
3829
3830 Für die Suche von \textbf{Sperrlisten}\index{Sperrlisten} (CRLs) gibt
3831 es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:
3832
3833 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3834 Users\back{}Anwendungsdaten\back{}\T\\
3835 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
3836
3837 Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.
3838
3839 Folgende Proxy-Optionen können Sie nach Bedarf in dieser
3840 Konfigurationsdatei ergänzen (jede Option in einer Zeile): 
3841 %TODO: Gilt das auch für Schlüsselserver?
3842 \begin{itemize}
3843     \item \Filename{http-proxy HOST[:PORT]}
3844         \index{HTTP}
3845         Diese Option verwendet \Filename{HOST} und
3846         \Filename{PORT} für den Zugang zum Zertifikatsserver. Die
3847         Umgebungsvariable \Filename{http\_proxy} wird bei Verwendung
3848         dieser Option überschrieben.
3849
3850         Ein Beispiel:\\
3851         \Filename{http-proxy http://proxy.mydomain.example:8080}
3852
3853     \item \Filename{ldap-proxy HOST[:PORT]}
3854         \index{LDAP}
3855         Diese Option verwendet \Filename{HOST} und
3856         \Filename{PORT} für den Zugang zum Zertifikatsserver.
3857         Ist keine Portnummer angegeben, wird der Standard LDAP-Port
3858         389 benutzt.
3859         Diese Option überschreibt die im Zertifikat enthaltene
3860         LDAP-URL bzw. nutzt \Filename{HOST} und \Filename{PORT}, wenn
3861         keine LDAP-URL angegeben ist.
3862
3863     \item \Filename{only-ldap-proxy}
3864
3865         Diese Option sorgt dafür, dass DirMngr
3866         niemals irgendetwas anderes nutzt als den unter
3867         \Filename{ldap-proxy} konfigurierten Proxy. Denn normalerweise
3868         versucht DirMngr andere konfigurierte Zertifikatsserver zu
3869         verwenden, wenn die Verbindung über \Filename{ldap-proxy} fehl schlägt.
3870
3871 \end{itemize}
3872
3873
3874 \clearpage
3875 \section{Systemweite vertrauenswürdige Wurzelzertifikate}
3876 \label{sec_systemtrustedrootcerts}
3877 \index{Wurzelzertifikate}
3878
3879 \T\marginSmime
3880 Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate
3881 werden definiert in der Datei\\ \Filename{C:\back{}Dokumente und
3882 Einstellungen\back{}All Users\back{}Anwendungsdaten\T\\
3883 \back{}GNU\back{}etc\back{}gnupg\back{}trustlist.txt} \index{trustlist.txt}
3884
3885 Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der
3886 entsprechende Fingerabdruck des Zertifikats, gefolgt von einem
3887 Leerzeichen und einem großen \Filename{S}, in die o.g. Datei
3888 eingetragen werden.  Ein Zertifikat wird explizit als nicht
3889 vertrauenswürdig markiert, wenn die Zeile mit dem Präfix
3890 "`\Filename{!}"' beginnt.  Sie können hier auch mehrere
3891 Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder
3892 Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem
3893 \texttt{\#} beginnt wird als Kommentar behandelt und ignoriert.
3894
3895 Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile
3896 erfolgen.
3897
3898 Ein Beispiel:
3899 \T\ifthenelse{\boolean{DIN-A5}}{\scriptsize}{}
3900 \begin{verbatim}
3901 # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
3902 A6935DD34EF3087973C706FC311AA2CCF733765B S
3903
3904 # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
3905 DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
3906
3907 # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE
3908 !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S
3909
3910 \end{verbatim}
3911 \T\ifthenelse{\boolean{DIN-A5}}{\normalsize}{}
3912
3913 Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der
3914 Überprüfung der Wurzelzertifikate zu verringern.
3915 Sie können dazu hinter \Filename{S} eine weitere Flagge \Filename{relax}
3916 setzen: \Filename{<FINGERABDRUCK> S relax}
3917
3918 \textbf{Wichtig:} Die Verwendung von \Filename{relax} setzt die
3919 Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen
3920 verwendet werden.
3921
3922 Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation
3923 (Punkt "`trustlist.txt"'):\\
3924 \T\ifthenelse{\boolean{DIN-A5}}{
3925     \T\scriptsize
3926     \T\texttt{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
3927     \T\normalsize
3928 \T}
3929 \T{
3930     \uniurl{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
3931 \T}
3932
3933
3934 Die genaue Syntax für die Einträge in die trustlist.txt lautet also:\\
3935 \Filename{[!]<FINGERABDRUCK> S [relax]}\\
3936 wobei \Filename{!} und \Filename{relax} optional sind.
3937
3938 Anstelle der Flagge \Filename{S} sind noch die Werte \Filename{P} und
3939 \Filename{*} vorgesehen, die für zukünftigen Gebrauch reserviert sind.
3940
3941 \textbf{Wichtig:} Damit Wurzelzertifikate in Kleopatra vollständig als
3942 vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
3943 müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
3944 werden, wie unter Abschnitt \ref{trustedrootcertsdirmngr} beschrieben.
3945
3946 \clearpage
3947 \section{Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren}
3948 \label{sec_allow-mark-trusted}
3949 \index{Vertrauenswürdige Wurzelzertifikate}
3950 \index{Wurzelzertifikate}
3951
3952 \T\marginSmime
3953 Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als
3954 vertrauenswürdig markiert werden -- eine systemweite Konfiguration
3955 (siehe Abschnitt \ref{trustedrootcertsdirmngr} und
3956 \ref{sec_systemtrustedrootcerts}) ist dann nicht erforderlich.
3957
3958 Öffnen Sie das Kleopatra-Menü
3959 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
3960 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
3961 \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren}.
3962 Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig
3963 eingestuften Wurzelzertifikats gefragt, ob Sie es nun als
3964 vertrauenswürdig einstufen wollen.  Beachten Sie, dass der gpg-agent
3965 ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam
3966 wird (z.B. durch ausloggen und wieder einloggen).
3967
3968 Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht
3969 vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden
3970 automatisch in folgender Datei gespeichert:\\
3971 \Filename{C:\back{}Dokumente und
3972 Einstellungen\back{}<Nutzername>\back{}\T\\
3973 Anwendungsdaten\back{}gnupg\back{}trustlist.txt}
3974 \index{trustlist.txt}
3975
3976 Für die trustlist.txt gilt die gleiche Syntax wie im
3977 Abschnitt~\ref{sec_systemtrustedrootcerts} beschrieben.
3978
3979
3980 \clearpage
3981 \chapter{Probleme in den Gpg4win-Programmen aufspüren (Logdateien)}
3982 \index{Logdatei}
3983
3984 Es kann vorkommen, dass eine der Gpg4win-Programmkomponenten nicht wie
3985 erwartet zu funktionieren scheint.
3986
3987 Nicht selten ist dabei eine Besonderheit der Arbeitsumgebung
3988 verantwortlich, sodass die Softwareentwickler von Gpg4win das
3989 beobachtete Problem gar nicht selbst nachvollziehen können.
3990
3991 Um die Softwareentwickler bei der Problemsuche zu unterstützen oder
3992 auch, damit der Anwender selbst einmal in die technischen
3993 Detail-Abläufe hineinschnuppern kann, bieten die Gpg4win-Programme
3994 Unterstützung an.
3995
3996 In der Regel muss diese Unterstützung aber erst einmal eingeschaltet
3997 werden. Eine der wichtigsten Hilfsmittel sind Logdateien: Dort werden
3998 detaillierte Diagnose-Informationen zu den internen technischen
3999 Vorgängen festgehalten.  Ein Softwareentwickler kann ein Problem und
4000 die mögliche Lösung oft leicht anhand dieser Logdatei erkennen, auch
4001 wenn das Problem auf den ersten Blick unverständlich wirken mag.
4002
4003 Wenn Sie einen Fehler-Bericht an die Softwareentwickler senden wollen,
4004 so finden Sie auf dieser Web-Seite einige Hinweise:
4005
4006 \uniurl{http://www.gpg4win.de/reporting-bugs-de.html}
4007
4008 Logdateien -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
4009 bieten oft wertvolle Hinweise und sollten daher einem Fehlerbericht
4010 beigefügt werden.
4011
4012 In diesem Kapitel wird beschrieben, wie Sie
4013 Programmablauf-Informationen (darum handelt es sich letztlich bei den
4014 Logdateien) zu den einzelnen Gpg4win-Programmen einschalten können.
4015
4016 \clearpage
4017 \section{Logdateien von Kleopatra einschalten}
4018 \index{Logdatei!von Kleopatra}
4019
4020 Die Logdaten von Kleopatra bestehen aus vielen Dateien, daher besteht
4021 der erste Schritt darin, zunächst einen Dateiordner für die Logdateien
4022 zu erstellen. Denkbar ist z.B.:
4023 \Filename{C:\back{}TEMP\back{}kleologdir}
4024
4025 Bitte beachten Sie hierbei, dass es hier um Einstellungen des
4026 Anwenders, nicht des Systemadministrators geht.  Die Einstellungen
4027 müssen also für jeden Anwender, der Logdaten von Kleopatra erstellen möchte,
4028 separat vorgenommen werden und es muss darauf geachtet werden, dass
4029 unterschiedliche \Filename{kleologdir}-Dateiordner verwendet werden.
4030
4031 Der Pfad zu diesem Ordner muss nun in der neuen Umgebungsvariablen
4032 \Filename{KLEOPATRA\_LOGDIR} vermerkt werden:
4033
4034 Öffnen Sie dazu die Systemsteuerung, wählen Sie dort \Menu{System}, dann
4035 den Reiter \Menu{Erweitert} und schließlich den Knopf
4036 \Button{Umgebungsvariablen}.
4037
4038 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4039
4040 \begin{quote}
4041     Name der Variable: \Filename{KLEOPATRA\_LOGDIR}
4042
4043     Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
4044 \end{quote}
4045
4046 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4047 können ihn auch nachträglich erstellen.
4048
4049 Um die Logfunktion wirksam werden zu lassen, muss Kleopatra beendet
4050 und neu gestartet werden und der Dateiordner der Logdaten existieren
4051 sowie für Kleopatra beschreibbar sein.
4052
4053 Während Kleopatra verwendet wird, zeichnet es Ablauf-Informationen in
4054 der Datei \Filename{kleo-log} (Haupt-Logdatei) auf sowie
4055 möglicherweise viele Dateien mit einem Namen nach dem Schema:\\
4056 \Filename{pipe-input-<ZEITSTEMPEL>-<ZUFALLSZEICHEN>}
4057
4058 Möglicherweise reichen diese Informationen einem Softwareentwickler
4059 nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine
4060 weitere Umgebungsvariable anzulegen -- so wie Sie es schon oben getan
4061 haben:
4062
4063 \begin{quote}
4064     Name der Variable: \Filename{KLEOPATRA\_LOGOPTIONS}
4065
4066     Wert der Variable: ~~\Filename{all}
4067 \end{quote}
4068
4069 Möglicherweise werden die Logdateien sehr schnell sehr groß.  Sie
4070 sollten diese Logdaten\--Auf\-zeich\-nung nur einschalten, um ein
4071 bestimmtes Fehlverhalten zu provozieren und dabei aufzuzeichnen.
4072
4073 Anschließend schalten Sie die Aufzeichnung wieder aus, indem Sie die
4074 Umgebungsvariable löschen oder ihren Namen leicht variieren (für
4075 späteres leichtes Reaktivieren). Vergessen Sie nicht, die Logdateien
4076 zu löschen oder zu verschieben, gerade wenn sie sehr umfangreich geworden sind oder es sich
4077 um sehr viele Dateien handelt. Bevor Sie eine neue Aufzeichnung
4078 beginnen, ist es ebenfalls sinnvoll, die Logdateien zu entfernen.
4079
4080 \clearpage
4081 \section{Logdatei von GpgOL einschalten}
4082 \index{Logdatei!von GpgOL}
4083
4084 Um die Logdatei von GpgOL einzuschalten, müssen Sie einen
4085 "`Registry-Editor"' starten. Geben Sie dazu das Kommando
4086 \Filename{regedit} unter \Menu{Start$\rightarrow$Ausführen} oder in
4087 einer Eingabeaufforderung ein.
4088
4089 Wählen Sie nun aus der Baumstruktur auf der linken Seite den folgenden
4090 GpgOL-Schlüssel aus:\\
4091 \Filename{HKEY\_CURRENT\_USER\back{}Software\back{}GNU\back{}GpgOL}
4092
4093 Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
4094 (sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten
4095 Werten.  Diese Einträge werden nach dem ersten Start von Outlook mit
4096 GpgOL angelegt.
4097
4098 Zum Aktivieren der GpgOL-Logdatei führen Sie einen Doppelklick auf den
4099 Eintrag \Filename{enableDebug} aus und setzen Sie dessen Wert auf
4100 \Filename{1}.
4101
4102 Als Wert für \Filename{logFile} geben Sie nun einen Namen für die Datei an,
4103 in die die Logdatei geschrieben werden soll, z.B.:
4104 \Filename{C:\back{}TEMP\back{}gpgol.log}
4105
4106 Starten Sie Outlook neu, um die Aufzeichnung zu starten.
4107
4108 Bedenken Sie, dass diese Datei sehr umfangreich werden kann. Stellen
4109 Sie \Filename{enableDebug} auf \Filename{0}, sobald Sie die
4110 GpgOL-Logdatenaufzeichnung nicht mehr benötigen.
4111
4112 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4113 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4114 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4115 entfernen.
4116
4117 Fortgeschrittene technische Informationen zu GpgOL -- wie z.B. weitere
4118 mögliche Werte für \Filename{enableDebug} -- finden Sie im technischen
4119 (englischsprachigen) Handbuch von GpgOL.  Es befindet sich in Ihrem
4120 Gpg4win-Installations\-verzeichnis, in der Regel:\newline
4121 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}share\back{}doc\back{}gpgol\back{}gpgol.pdf}
4122
4123 \clearpage
4124 \section{Logdatei von DirMngr einschalten}
4125 \index{DirMngr}
4126 \index{Logdatei!von DirMngr}
4127
4128 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher ist
4129 das Einschalten der Logdatei nur mit Administratorrechten möglich.
4130
4131 Um die Logdatei einzuschalten, öffnen Sie zunächst folgende
4132 Konfigurationsdatei:\\ \Filename{C:\back{}Dokumente und
4133 Einstellungen\back{}All Users\back{}Anwendungsdaten\back{}\T\\
4134 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4135
4136 Fügen Sie die folgenden zwei Zeilen in die Konfigurationsdatei ein
4137 (den Pfad zur Logdatei können Sie natürlich anpassen):
4138
4139 \begin{quote}
4140     \Filename{debug-all} \\
4141     \Filename{log-file C:\back{}TEMP\back{}dirmngr.log}
4142 \end{quote}
4143
4144 Starten Sie anschließend den Dienst DirMngr unter
4145 \Menu{Systemsteuerung$\rightarrow$Ver\-waltung$\rightarrow$Dienste} neu,
4146 sodass die geänderte Konfigurationsdatei neu eingelesen wird und die
4147 vorgenommenen Einstellungen wirksam werden.
4148
4149 Kommentieren Sie Ihre Anpassung in o.g. Konfigurationsdatei aus (also
4150 \texttt{\#~debug-all}), sobald Sie die DirMngr-Logdtenaufzeichnung
4151 nicht mehr benötigen.
4152
4153 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4154 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4155 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4156 entfernen.
4157
4158 \clearpage
4159 \section{Logdatei von GnuPG einschalten}
4160 \index{Logdatei!von GnuPG}
4161
4162 Für folgende GnuPG-Komponenten können Sie jeweils einzeln das Anlegen
4163 einer Logdatei einschalten:
4164 \begin{itemize}
4165     \item GPG Agent
4166     \item GPG für S/MIME
4167     \item GPG für OpenPGP
4168     \item Smartcard Daemon
4169 \end{itemize}
4170
4171 Für diese Programme können Anwender persönliche Konfigurationen
4172 vornehmen.  Dazu gehört auch das Einstellen einer Protokolldatei für
4173 den Programmablauf.
4174
4175 Eingeschaltet wird die jeweilige Logdatei im GnuPG Backend --
4176 erreichbar über das Kleopatra-Menü \Menu{Einstellungen$\rightarrow$Kleopatra
4177 einrichten...$\rightarrow$GnuPG-System}.  Für jedes der o.g. vier
4178 Programme existieren in diesem Konfigurationsfenster zwei
4179 Debug-Optionen:
4180 \begin{itemize}
4181     \item Option \Menu{Setze die Debug-Stufe auf}\\ Hier definieren
4182         Sie die Ausführlichkeit der aufzuzeichnenden Informationen.
4183         Die Debug-Stufe \Menu{4 - Guru} ist die höchste Stufe und erzeugt
4184         dementsprechend große Dateien.  Schalten Sie daher die
4185         Logdateien wieder aus (Debug-Stufe \Menu{0 - Keine}), wenn Sie
4186         diese nicht mehr benötigen.
4187
4188     \item Option \Menu{Schreibe im Servermodus Logs auf DATEI}\\ Geben
4189         Sie hier die Logdatei an, in der alle Debug-Informationen
4190         gespeichert werden sollen, z.B.:
4191         \Filename{C:\back{}TEMP\back{}gpg-agent.log}
4192 \end{itemize}
4193
4194 Starten Sie anschließend Kleopatra neu (ggf. müssen Sie zuvor einen
4195 noch laufenden gpg-agent über den Task-Manager beenden), oder aber
4196 Sie loggen sich aus und melden sich neu an Ihrem Windows-System an.
4197
4198 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4199 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4200 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4201 entfernen.
4202
4203 \clearpage
4204 \section{Logdatei von GpgME einschalten}
4205 \index{Logdatei!von GpgME}
4206
4207 Die Logdatei-Einstellungen für GpgME ("`GnuPG Made Easy"')
4208 müssen -- ebenso wie bei Kleopatra -- für jeden Anwender separat
4209 vorgenommen werden.
4210
4211 Öffnen Sie die Windows-Systemsteuerung, wählen Sie dort \Menu{System}, dann
4212 den Reiter \Menu{Erweitert} und schließlich den Knopf
4213 \Button{Umgebungsvariablen}.
4214
4215 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4216
4217 \begin{quote}
4218     Name der Variable: \Filename{GPGME\_DEBUG}
4219
4220     Wert der Variable: ~\Filename{<DEBUGLEVEL;PFAD>}, also z.B.:
4221     \T\ifthenelse{\boolean{DIN-A5}}{\newline}{}
4222      \Filename{5;c:\back{}TEMP\back{}gpgme.log}
4223 \end{quote}
4224
4225 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4226 können ihn auch nachträglich erstellen.
4227
4228 Als Diagnosestufe\index{Diagnosestufe} wird hier der Wert \Filename{5} empfohlen. In den
4229 meisten Fällen liefert diese Stufe ausreichend Informationen. Falls
4230 nicht, können fortgeschrittene Nutzer diesen Wert schrittweise
4231 erhöhen.
4232
4233 Zum Ausschalten der Logdatenaufzeichnung setzen Sie die Diagnosestufe
4234 auf den Wert \Filename{0} oder entfernen Sie die Benutzervariable.
4235
4236 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4237 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4238 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4239 entfernen.
4240
4241 \clearpage
4242 \chapter{Warum Gpg4win nicht zu knacken ist ...}
4243 \label{ch:themath}
4244
4245 ..., jedenfalls nicht mit heute bekannten Methoden, und falls die
4246 Software frei von Fehlern ist.
4247
4248 In der Realität liefern allerdings genau diese Fehler in den
4249 Programmen, bei ihrer Benutzung oder im Betriebssystem die
4250 Möglichkeiten, um doch noch an die geheimen Informationen zu gelangen.
4251 Freie Software bietet allerdings die denkbar besten Voraussetzungen,
4252 um diese Fehler zu vermeiden.
4253
4254 In jedem Beispiel dieses Kompendiums haben Sie gesehen, dass zwischen
4255 dem geheimen und dem öffentlichen Schlüssel eine Verbindung besteht.
4256 Nur wenn beide zueinander passen, können geheime Botschaften
4257 entschlüsselt werden.
4258
4259 Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
4260 unbedingt kennen -- Gpg4win funktioniert für Sie auch so. Man kann
4261 diese komplexe mathematische Methode aber auch als Nichtmathematiker
4262 verstehen, da nur die Grundrechenarten (Addition, Subtraktion,
4263 Multiplikation, Division) benötigt werden, um eine spezielle Art der
4264 Addition und Multiplikation zu definieren.  Es gehört sowohl zur
4265 Sicherheitsphilosophie\index{Sicherheitsphilosophie} der Kryptografie
4266 wie auch zum Prinzip der Freien Software, dass es keine geheim
4267 gehaltenen Methoden und Algorithmen gibt. Letztendlich versteht man
4268 auch erst dadurch wirklich, warum GnuPG (die eigentliche Maschinerie
4269 hinter Gpg4win) sicher ist.
4270
4271 Hier beginnt also sozusagen die Kür nach dem Pflichtteil.
4272
4273
4274 % page break in toc
4275 %\addtocontents{toc}{\protect\newpage}
4276 \clearpage
4277 \chapter{GnuPG und das Geheimnis der großen Zahlen \htmlonly{\html{p}} }
4278 \label{ch:secretGnupg}
4279
4280 {\Large Kryptografie für Nicht-Mathematiker}\\
4281
4282 Es ist schon versucht worden, den
4283 RSA-Algorithmus\index{RSA-Algorithmus|(}, auf dem GnuPG
4284 basiert\footnote{Es wird hier RSA als Beispiel verwendet, da RSA als
4285 Voreinstellung von GnuPG verwendet wird und einfacher zu verstehen ist
4286 als der Elgamal-Algorithmus.}, zu "`knacken"', also einen privaten
4287 Schlüssel zu berechnen, wenn man lediglich den öffentlichen Schlüssel
4288 kennt.  Diese Berechnung ist aber noch nie für Schlüssellängen von
4289 1.024 Bit und mehr gelungen, wie sie in GnuPG verwendet werden.  Es
4290 ist zwar theoretisch möglich, aber praktisch nicht durchführbar.  Denn
4291 selbst bei vielen Jahren Rechenzeit und Abertausenden von vernetzten
4292 Rechnern würde nicht genügend Speicher zur Verfügung stehen, um den
4293 letzten Schritt dieser Berechnung
4294 durchführen zu können.
4295
4296 Es kann allerdings durchaus möglich sein, dass eines Tages eine
4297 geniale Idee die Mathematik revolutioniert und eine schnelle Lösung
4298 des mathematischen Problems liefert, welches hinter RSA steckt --
4299 allerdings wohl nicht sehr bald.
4300
4301 Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
4302 veröffentlicht von Zeit zu Zeit Prognosen und Einschätzungen, welche
4303 Schlüssellängen noch wie viele Jahre für absolute Geheimhaltung benutzt
4304 werden sollen.  GnuPG erfüllt mit seinen Standardeinstellungen
4305 diese Mindestanforderungen.  Wie im vorigen Kapitel schon angerissen,
4306 ist die Mathematik der mit Abstand sicherste Teil der praktisch
4307 angewandten Kryptografie.
4308
4309 \clearpage
4310 Im Folgenden erfahren Sie, wie diese mathematische Methode
4311 funktioniert. Nicht in allen Einzelheiten (das würde den Rahmen dieser
4312 Anleitung bei Weitem sprengen), aber doch so, dass Sie bei etwas
4313 Mitrechnen selbst mathematisch korrekt ver- und entschlüsseln können
4314 und dabei das "`Geheimnis der großen Zahlen"' entdecken.
4315
4316 Man kann diese komplexe mathematische Methode auch als
4317 Nichtmathematiker verstehen, da nur die Grundrechenarten benötigt
4318 werden. Wie gesagt: Hier
4319 beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
4320 Sache als im Pflichtprogramm.  Letztendlich versteht man dann aber,
4321 warum GnuPG sicher ist.
4322
4323 Zwei Begriffsklärungen vorneweg:
4324
4325 \begin{quote}
4326     Ein \textbf{Algorithmus} ist eine mathematische Prozedur zur
4327     Veränderung oder Transformation von Daten oder Informationen.
4328
4329     \textbf{Arithmetik} ist die Methode, nach der Sie Zahlen addieren
4330     und multiplizieren.
4331 \end{quote}
4332
4333 Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
4334 RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
4335 Patentgründen der Elgamal-Algorithmus, beruhend auf dem schwieriger zu
4336 erklärenden Problem des diskreten Logarithmus, als Standard in GnuPG
4337 verwendet wird.}.  RSA steht für die Nachnamen von Ron Rivest, Ami
4338 Shamir und Leonard Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
4339 haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
4340 Rechnen mit Restklassen oder "`Modulo-Arithmetik"'
4341 \index{Modulo-Arithmetik} heißt.
4342
4343 \clearpage
4344 \section{Das Rechnen mit Restklassen}
4345 \index{Restklassen}
4346
4347 Wenn man mit Restklassen rechnet, so bedeutet dies, dass man nur mit
4348 dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
4349 bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird, nennt
4350 man den "`Modul"' oder die "`Modulzahl"'. Wenn Sie beispielsweise mit
4351 dem Teiler oder der Modulzahl 5 rechnen, sagt man auch, "`ich rechne
4352 modulo 5"'.
4353
4354 Wie das Rechnen mit Restklassen -- auch Modulo-Arithmetik oder
4355 Kongruenzrechnung genannt -- funktioniert, kann man sich gut
4356 klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:
4357
4358 \htmlattributes*{img}{width=300}
4359 \IncludeImage[width=0.5\textwidth]{clock-face}
4360
4361 Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (die
4362 Modulzahl ist also 12) -- eine Uhr mit einem normalen Zifferblatt,
4363 allerdings mit einer 0 anstelle der 12. Sie können damit
4364 Modulo-Arithmetik betreiben, indem Sie einfach den gedachten Zeiger
4365 bewegen.
4366
4367 Um beispielsweise $3 + 2$ zu rechnen, beginnen Sie bei der Ziffer 2
4368 und drehen den Zeiger um 3 Striche weiter (oder Sie starten bei der 3
4369 und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft).
4370 Das Ergebnis ist 5.
4371
4372 Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
4373 der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt.  Um 5 mit 7 zu
4374 multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
4375 weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
4376 Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
4377 (also $7 * 5$) durch 12 geteilt wird.
4378
4379 \clearpage
4380 Beim Rechnen mit Restklassen addieren und teilen Sie Zahlen also nach
4381 den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
4382 immer nur den Rest nach der Teilung. Um anzuzeigen, dass Sie nach den
4383 Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
4384 Arithmetik rechnen, schreibt man den Modul (Sie wissen schon -- den
4385 Teiler) dazu. Man sagt dann z.B. "`4 modulo 5"', schreibt aber kurz
4386 "`$4 \bmod 5$"'. 
4387
4388 Bei Modulo-5 z.B. hat man dann eine Uhr, auf deren Zifferblatt es nur
4389 die 0, 1, 2, 3 und 4 gibt. Also:
4390
4391 \[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]
4392
4393 Anders ausgedrückt, ist in der Modulo-5-Arithmetik das Ergebnis
4394 aus 4 plus 3 gleich 2. \\
4395
4396 Ein weiteres Beispiel in Modulo-5-Arithmetik:
4397
4398 \[ 8 \bmod 5 + 6 \bmod 5 = 14 \bmod 5 = 4 \bmod 5 \]
4399
4400 Sie sehen auch, dass es egal ist, in welcher Reihenfolge Sie
4401 vorgehen, weil Sie nämlich auch schreiben können:
4402
4403 \[ 8 \bmod 5 + 6 \bmod 5 = 3 \bmod 5 + 1 \bmod 5 = 4 \bmod 5 \]
4404
4405 Denn 3 ist dasselbe wie 8, und 1 dasselbe wie 6, da Sie sich ja nur
4406 für den jeweiligen Rest nach der Teilung durch 5 interessieren.  
4407
4408 An den letzten Beispielen wird deutlich, dass bei der
4409 Modulo-Arithmetik jederzeit ein ganzzahliges Vielfaches der Modulzahl
4410 (hier 5) addiert werden kann, das Rechenergebnis aber stets dasselbe
4411 bleibt.
4412
4413
4414 \clearpage
4415 Dieses Schema funktioniert auch beim Multiplizieren.
4416
4417 Ein Beispiel:
4418
4419 \[ 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod 5  \]
4420
4421 Ebenso können Sie schreiben:
4422
4423 \[ 9 \bmod 5 * 7 \bmod 5 = 63 \bmod 5 = 3 \bmod 5 \]
4424
4425 da Sie einfach 60, also $5 * 12$, abziehen können.
4426
4427 Man könnte aber auch schreiben:
4428
4429 \[ 9 \bmod 5 * 7 \bmod 5 = 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod
4430 5 \]
4431
4432 denn 4 entspricht 9, und 2 entspricht 7, wenn Sie nur den Rest
4433 nach Teilung durch 5 betrachten.
4434
4435 Wiederum können Sie feststellen, dass es egal ist, wenn Sie das
4436 Vielfache von 5 einfach weglassen.
4437
4438 Da dadurch alles einfacher wird, machen Sie das, bevor Sie Zahlen
4439 addieren oder multiplizieren. Das bedeutet, dass Sie sich lediglich um
4440 die Zahlen 0, 1, 2, 3 und 4 kümmern müssen, wenn Sie mit der
4441 Modulo-5-Arithmetik rechnen. Denn Sie können ja alles, was durch 5
4442 teilbar ist, weglassen.
4443
4444 Noch drei Beispiele mit anderen Modulzahlen:
4445
4446 \begin{enumerate}
4447     \item[I.] $ 5 \bmod 11 * 3 \bmod 11 = 15 \bmod 11 = 4 \bmod 11 $
4448     \item[II.] $ 2 \bmod 7 * 4 \bmod 7 = 1 \bmod 7 $
4449     \item[III.] $ 13 \bmod 17 * 11 \bmod 17 = 7 \bmod 17 $\\ Das letzte
4450         Beispiel wird klar, wenn man bedenkt, dass in normaler
4451         Arithmetik gerechnet $ 13 * 11 = 143 $ und $ 143 = 8 * 17 + 7
4452         $ ist.
4453 \end{enumerate}
4454
4455
4456 \clearpage
4457 \section{RSA-Algorithmus und Rechnen mit Restklassen}
4458
4459 Computer speichern Buchstaben als Zahlen. Alle Buchstaben und Symbole
4460 auf der Computertastatur werden in Wirklichkeit als Zahlen
4461 gespeichert, die typisch zwischen 0 und 255 liegen.
4462
4463 Sie können also eine Nachricht auch in eine Zahlenfolge umwandeln.
4464 Nach welcher Methode (oder welchem Algorithmus) dies geschieht, wird im
4465 nächsten Abschnitt beschrieben. Darin wird die Methode
4466 vorgestellt, nach der die Verschlüsselung mit GnuPG funktioniert: den
4467 RSA-Algorithmus. Dieser Algorithmus wandelt eine Zahlenfolge (die ja
4468 eine Nachricht darstellen kann) so in eine andere Zahlenfolge um
4469 (also eine Transformation), dass die Nachricht dabei verschlüsselt wird.
4470 Wenn man dabei nach dem richtigen Verfahren vorgeht, wird die Nachricht
4471 sicher kodiert und kann nur noch vom rechtmäßigen Empfänger dekodiert
4472 werden.
4473
4474 Das sind die Grundlagen des RSA-Algorithmus:
4475
4476 Sie selbst haben bei der Erzeugung eines Schlüsselpaares während der Eingabe
4477 Ihrer Passphrase zwei große Primzahlen\index{Primzahlen|(} erzeugt, ohne es zu bemerken
4478 (dieser werden mit $p$ und $q$ bezeichnet). Nur Sie --­ oder in der
4479 Praxis Ihr Rechner --­ kennen diese beiden Primzahlen und Sie müssen
4480 für deren Geheimhaltung sorgen.
4481
4482 Es werden daraus nun drei weitere Zahlen erzeugt:
4483 \begin{description}
4484 \item [Die erste Zahl] ist das Ergebnis der Multiplikation der beiden
4485   Primzahlen, also ihr Produkt.  Dieses Produkt wird als
4486   \textit{Modulus} und mit dem Buchstaben $n$ bezeichnet.  Dies ist
4487   die Modulzahl, mit der Sie später immer rechnen werden.
4488
4489 \item [Die zweite Zahl] ist der sogenannte \textit{öffentliche
4490   Exponent} $e$  und eine Zahl, an die bestimmte Anforderungen
4491   gestellt werden: teilerfremd zu $(p-1)(q-1)$. Häufig wird hier 41
4492   oder 65537 benutzt.
4493
4494 \item [Die dritte Zahl] wird errechnet aus dem öffentlichen Exponent
4495   (der zweiten Zahl) und den beiden Primzahlen. Diese Zahl ist der
4496   \textit{geheime Exponent} und wird mit $d$ bezeichnet.  Die
4497   Formel zur Berechnung lautet:
4498       \[ d = e^{-1} \bmod (p - 1)(q -1) \]
4499 \end{description}
4500
4501
4502 Die erste und die zweite Zahl werden veröffentlicht ­-- das ist Ihr
4503 öffentlicher Schlüssel.  Beide werden dazu benutzt, Nachrichten zu
4504 verschlüsseln. Die dritte Zahl muss von Ihnen geheim gehalten werden
4505 ­-- es ist Ihr geheimer Schlüssel.  Die beiden Primzahlen ($p$ und $q$)
4506 werden danach nicht mehr benötigt.
4507
4508 Wenn eine verschlüsselte Nachricht empfangen wird, kann sie
4509 entschlüsselt werden mit Hilfe der ersten ($n$) und der dritten Zahl
4510 ($d$).  Nur der Empfänger kennt beide Schlüsselteile ­-- seinen
4511 öffentlichen und seinen geheimen Schlüssel. Der Rest der Welt kennt
4512 nur den öffentlichen Schlüssel ($n$ und $e$).
4513
4514 Die Trick des RSA-Algorithmus liegt nun darin, dass es unmöglich ist,
4515 aus dem öffentlichen Schlüsselteil ($n$ und $e$) den geheimen
4516 Schlüsselteil ($d$) zu errechnen und damit die Botschaft zu
4517 entschlüsseln -- denn: Nur wer im Besitz von $d$ ist, kann die
4518 Botschaft entschlüsseln.
4519
4520
4521 \clearpage 
4522 \section{RSA-Verschlüsselung mit kleinen Zahlen}
4523
4524 Sie verwenden hier erst einmal kleine Zahlen, um deutlich zu machen,
4525 wie die Methode funktioniert. In der Praxis verwendet man jedoch viel
4526 größere Primzahlen, die aus vielen Ziffern bestehen.
4527
4528 Nehmen Sie die Primzahlen 7 und 11. Damit verschlüsseln Sie Zahlen ­--
4529 oder Buchstaben, was für den Rechner dasselbe ist -- nach dem
4530 RSA-Algorithmus.
4531
4532 Und zwar erzeugen Sie zunächst den öffentlichen Schlüssel.
4533
4534 \begin{description}
4535
4536 \item [Die erste Zahl] ist 77, nämlich das Ergebnis der Multiplikation
4537     der beiden Primzahlen, 7 und 11. 77 dient Ihnen im weiteren
4538     Verlauf als Modulus zur Ver- und Entschlüsselung.
4539
4540 \item [Die zweite Zahl] ist der öffentliche Exponent. Sie wählen hier
4541     13.
4542
4543 \item [Die dritte Zahl] ist der geheime Schlüssel. Diese Zahl wird wie
4544     folgt errechnet:
4545
4546     Zunächst ziehen Sie von Ihren Primzahlen 7 und 11 jeweils die Zahl
4547     1 ab (also $7 - 1$ und $11 - 1$) und multiplizieren die beiden
4548     resultierenden Zahlen miteinander. In dem Beispiel ergibt das 60:
4549     $( 7 - 1 ) * ( 11 - 1) = 60$. 60 ist Ihre Modulzahl für die
4550     weiterführende Berechnung des geheimen Schlüssels (sie ist aber
4551     nicht mit dem eigentlichen Modulus 77 zu verwechseln).
4552
4553     Sie suchen jetzt eine Zahl, die multipliziert mit dem öffentlichen
4554     Schlüssel die Zahl 1 ergibt, wenn man mit dem Modul 60 rechnet:
4555
4556     \[ 13 \bmod 60 *~?~\bmod 60 = 1 \bmod 60 \]
4557
4558     Die einzige Zahl, die diese Bedingung erfüllt, ist 37, denn
4559
4560     \[ 13 \bmod 60 * 37 \bmod 60 = 481 \bmod 60 = 1 \bmod 60 \]
4561
4562     37 ist die einzige Zahl, die multipliziert mit 13 die Zahl 1
4563     ergibt, wenn man mit dem Modul 60 rechnet.
4564
4565 \end{description}
4566
4567
4568 \clearpage
4569 \subsubsection{Sie verschlüsseln mit dem öffentlichen Schlüssel eine Nachricht}
4570
4571 Nun zerlegen Sie die Nachricht in eine Folge von Zahlen zwischen 0 und
4572 76, also 77 Zahlen, denn sowohl Verschlüsselung als auch
4573 Entschlüsselung verwenden den Modul 77 (das Produkt aus den Primzahlen
4574 7 und 11).
4575
4576 Jede einzelne dieser Zahlen wird nun nach der Modulo-77-Arithmetik 13
4577 mal mit sich selbst multipliziert. Sie erinnern sich: Die 13 ist
4578 Ihr öffentlicher Schlüssel.
4579
4580 Nehmen Sie ein Beispiel mit der Zahl 2: Sie wird in die Zahl 30
4581 umgewandelt, weil
4582  $ 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2
4583  = 2^{13} = 8192 = 30 \bmod 77 $ sind.
4584
4585 Ein weiteres&nbs