Fix libgcrypt soname in mkportable headers
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99 \newcommand{\Email}{E-Mail}
100 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
101 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
102 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
103 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
104 \newcommand{\IncludeImage}[2][]{
105 \begin{center}
106 \texorhtml{%
107   \includegraphics[#1]{images-compendium/#2}%
108 }{%
109   \htmlimg{../images-compendium/#2.png}%
110 }
111 \end{center}
112 }
113
114 % custom colors
115 \definecolor{gray}{rgb}{0.4,0.4,0.4}
116 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
117
118 \T\parindent 0cm
119 \T\parskip\medskipamount
120
121 % Get the version information from another file.
122 % That file is created by the configure script.
123 \input{version.tex}
124
125
126 % Define universal url command.
127 % Used for latex _and_ hyperlatex (redefine see below).
128 % 1. parameter = link text (optional);
129 % 2. parameter = url
130 % e.g.: \uniurl[example link]{http:\\example.com}
131 \newcommand{\uniurl}[2][]{%
132 \ifthenelse{\equal{#1}{}}
133 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
134 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
135
136 %%% HYPERLATEX %%%
137 \begin{ifhtml}
138     % HTML title
139     \htmltitle{Gpg4win-Kompendium}
140     % TOC link in panel
141     \htmlpanelfield{Inhalt}{hlxcontents}
142     % link to EN version    
143     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
144         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
145     % name of the html files
146     \htmlname{gpg4win-compendium}
147     % redefine bmod
148     \newcommand{\bmod}{mod}
149     % use hlx icons (default path)
150     \newcommand{\HlxIcons}{../images-hyperlatex}
151
152     % Footer
153     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
154     \html{br/}
155     \html{small}
156     Das Gpg4win-Kompendium ist unter der
157     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
158     \html{/small}}
159
160     % Changing the formatting of footnotes
161     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
162
163     % redefine universal url for hyperlatex (details see above)
164     \newcommand{\linktext}{0}
165     \renewcommand{\uniurl}[2][]{%
166         \renewcommand{\linktext}{1}%
167         % link text is not set
168         \begin{ifequal}{#1}{}%
169             \xlink{#2}{#2}%
170             \renewcommand{linktext}{0}%
171         \end{ifequal}
172         % link text is set
173         \begin{ifset}{linktext}%
174              \xlink{#1}{#2}%
175     \end{ifset}}
176
177     % german style
178     \htmlpanelgerman
179     \extrasgerman
180     \dategerman
181     \captionsgerman
182
183
184     % SECTIONING:
185     %
186     % on _startpage_: show short(!) toc (only part+chapter)
187     \setcounter {htmlautomenu}{1}
188     % chapters should be <H1>, Sections <H2> etc.
189     % (see hyperlatex package book.hlx)
190     \setcounter{HlxSecNumBase}{-1}
191     % show _numbers_ of parts, chapters and sections in toc
192     \setcounter {secnumdepth}{1}
193     % show parts, chapters and sections in toc (no subsections, etc.)
194     \setcounter {tocdepth}{2}
195     % show every chapter (with its sections) in _one_ html file
196     \setcounter{htmldepth}{2}
197
198     % set counters and numberstyles
199     \newcounter{part}
200     \renewcommand{\thepart}{\arabic{part}}
201     \newcounter{chapter}
202     \renewcommand{\thecapter}{\arabic{chapter}}
203     \newcounter{section}[chapter]
204     \renewcommand{\thesection}{\thechapter.\arabic{section}}
205 \end{ifhtml}
206
207
208 %%% TITLEPAGE %%%
209
210 \title{
211     \htmlattributes*{img}{width=300}
212     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
213     \T~\newline
214     \T\ifthenelse{\boolean{DIN-A5}}%
215     % DIN A5:
216     {\begin{latexonly}
217         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
218         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
219         \\[-0.3cm] mit GnuPG für Windows}
220      \end{latexonly}  
221     }%
222     % DIN A4:
223     {Das Gpg4win-Kompendium \\
224       \texorhtml{\Large \textmd}{\large}
225       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
226       Windows}
227     }
228 }
229 \author{
230     % Hyperlatex: Add links to pdf versions and Homepage
231     \htmlonly{
232         \xml{p}\small
233         \xlink{PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}
234         \xml{br}
235         \xlink{\htmlattributes*{img}{style=border:none title=English}
236            \htmlimg{../images-hyperlatex/english.png}{} 
237            English Version}{../en/\HlxThisUrl}
238         \xml{br}
239         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}
240         \xml{p}
241     }
242     % Authors
243     \T\\[-1cm]
244       \small Basierend auf einer Fassung von
245     \T\\[-0.2cm]
246       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
247       \small Isabel Kramer und Dr. Francis Wray.
248       \texorhtml{\\[0.2cm]}{\\}
249       \small Grundlegend überarbeitet von
250     \T\\[-0.2cm]
251       \small Werner Koch, Florian v. Samson, Emanuel Schütze und Dr. Jan-Oliver Wagner.
252     \T\\[0.4cm]
253 }
254
255 \date{
256     \T\ifthenelse{\boolean{DIN-A5}}%
257     % DIN A5:
258     {\begin{latexonly}
259         \large Eine Veröffentlichung der Gpg4win-Initiative
260         \\[0.2cm]
261         Version \compendiumVersionDE~vom \compendiumDateDE 
262      \end{latexonly}
263     }%
264     % DIN A4:
265     {Eine Veröffentlichung der Gpg4win-Initiative
266       \\[0.2cm]
267       Version \compendiumVersionDE~vom \compendiumDateDE\\
268       \small\compendiuminprogressDE%
269     }
270 }
271
272
273 %%% BEGIN DOCUMENT %%%
274
275 \begin{document}
276 \T\pdfbookmark[0]{Titelseite}{titel}
277 % set title page
278 \texorhtml{
279     \ifthenelse{\boolean{DIN-A5}}
280     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
281     {\maketitle}
282 }
283 {\maketitle}
284
285
286 % improved handling of long (outstanding) lines
287 \T\setlength\emergencystretch{3em} \tolerance=1000
288
289
290 \T\section*{Impressum}
291 \W\chapter*{Impressum}\\
292
293 \thispagestyle{empty}
294 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
295 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
296 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
297 Eindruck eines Zusammenhanges
298 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
299 werden.}\\
300 Copyright \copyright{} 2005 g10 Code GmbH\\
301 Copyright \copyright{} 2009, 2010 Intevation GmbH
302
303 Permission is granted to copy, distribute and/or modify this document
304 under the terms of the GNU Free Documentation License, Version 1.2 or
305 any later version published by the Free Software Foundation; with no
306 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
307 copy of the license is included in the section entitled "`GNU Free
308 Documentation License"'.
309
310 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
311 oben stehenden Hinweises.]}\\
312 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
313 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
314 Documentation License, Version 1.2 oder einer späteren, von der Free
315 Software Foundation veröffentlichten Version.  Es gibt keine
316 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
317 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
318 License"' findet sich im Anhang mit dem gleichnamigen Titel.
319 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
320 http://www.gnu.org/licenses/translations.html.
321
322
323
324 \clearpage
325 \chapter*{Über dieses Kompendium}
326 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
327
328 Das Gpg4win-Kompendium besteht aus drei Teilen:
329
330 \begin{itemize}
331 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
332     Schnelleinstieg in Gpg4win.
333
334 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
335     Fortgeschrittene"'}:
336     Das Hintergrundwissen zu Gpg4win.
337
338 \item \textbf{Anhang}: Weiterführende technische Informationen zu
339     Gpg4win.\\
340 \end{itemize}
341
342 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
343 und knapp durch die Installation und die alltägliche Benutzung der
344 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
345 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
346 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
347 vertraut im Umgang mit Gpg4win gemacht haben.
348
349 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
350 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
351 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
352
353 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
354 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
355 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
356 erläutert.
357
358 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
359 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
360 angegebenen Reihenfolge lesen.\\
361
362 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
363 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
364 GpgOL.\\
365
366 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
367 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
368 geschrieben, sondern \textbf{für jedermann.}\\
369
370 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
371 verfügbar unter: \\
372 \uniurl{http://www.gpg4win.de}
373
374 \clearpage
375 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
376
377 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
378 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
379         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
380         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
381         eckige Klammern benutzt.
382
383         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
384         wenn deren Bedeutung in einem Satz betont, das
385         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
386         werden soll (z.B.: \textit{nur} OpenPGP).
387
388     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
389         die besonders wichtig und damit hervorzuheben sind.  Diese
390         Auszeichnung unterstützt den Leser bei der schnelleren
391         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
392         Passagen.
393
394     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
395         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
396         von Kommandozeilen) verwendet.
397 \end{itemize}
398
399 \cleardoublepage
400 \T\pdfbookmark[0]{\contentsname}{toc}
401 \tableofcontents
402
403 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
404 % Part I
405 \clearpage
406 \T\part{Für Einsteiger}
407 \W\part*{\textbf{I Für Einsteiger}}
408 \label{part:Einsteiger}
409 \addtocontents{toc}{\protect\vspace{0.3cm}}
410 \addtocontents{toc}{\protect\vspace{0.3cm}}
411
412
413 \chapter{Gpg4win -- Kryptografie für alle}
414 \index{Kryptografie}
415
416 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage so: 
417 \begin{quote}
418     \textit{Gpg4win ist ein Installationspaket für Windows (2000/XP/2003/Vista)
419 mit Computer-Programmen und Handbüchern zur \Email{}- und
420 Dateiverschlüsselung.  Dazu gehören die Verschlüsselungs-Soft\-ware
421 GnuPG sowie mehrere Anwendungen und die Dokumentation.  Gpg4win selbst
422 und die in Gpg4win enthaltenen Programme sind Freie
423 Software.}
424
425 \end{quote}
426
427 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
428 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
429 Gpg4win umfasst in Version 2 die folgenden Programme:
430
431 \begin{itemize}
432     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
433         Gpg4win -- die eigentliche Verschlüsselungs-Software.
434     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
435         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
436         Gpg4win, die für eine einheitliche Benutzerführung bei allen
437         kryptografischen Operationen sorgt.  
438     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
439         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
440         von Zertifikaten neben Kleopatra.
441     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
442         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
443         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
444         verschlüsseln.
445    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
446        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
447        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
448        über das Kontextmenü signieren bzw.  verschlüsseln kann.
449     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
450         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
451 \end{itemize}
452
453 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
454 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
455 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
456 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
457 sicher und kann nach dem heutigen Stand von Forschung und Technik
458 nicht gebrochen werden.
459
460 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
461 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
462 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
463 kann und darf den Quellcode der Programme untersuchen und -- sofern er
464 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
465 diese weitergeben.
466
467 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
468 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
469 lässt sich die Vertrauenswürdigkeit der Programmierung und des
470 Programmes wirklich prüfen.
471
472 GnuPG basiert auf dem internationalen Standard
473 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), ist vollständig kompatibel
474 zu PGP und benutzt auch die gleiche Infrastruktur (Zertifikatsserver
475 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
476 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
477 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
478
479 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
480 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
481 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
482 mehr dem Stand der Technik.
483
484 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
485 Wirtschaft und Technologie \index{Bundesministerium für
486 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
487 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
488 Bundesamt für Sicherheit in der Informationstechnik (BSI)
489 \index{Bundesamt für Sicherheit in der Informationstechnik}
490 unterstützt.
491
492 Weitere Informationen zu GnuPG und weiteren Projekten der
493 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
494 \uniurl[www.bsi.de]{http://www.bsi.de} und
495 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
496 Bundesamtes für Sicherheit in der Informationstechnik.
497
498
499 \clearpage
500 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
501 \label{ch:why}
502 \index{Briefumschlag}
503
504 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
505 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
506 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
507 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
508 jedermann frei und kostenlos zugänglich.
509
510 \htmlattributes*{img}{width=300}
511 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
512
513 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
514 um rund um den Globus miteinander zu kommunizieren und uns zu
515 informieren. Aber Rechte und Freiheiten, die in anderen
516 Kommunikationsformen längst selbstverständlich sind, muss man sich in
517 den neuen Technologien erst sichern. Das Internet ist so schnell und
518 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
519 Rechte noch nicht so recht nachgekommen ist.
520
521 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
522 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
523 Umschlag schützt die Nachrichten vor fremden Blicken, eine
524 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
525 nicht so wichtig ist, schreibt man es auf eine ungeschützte
526 Postkarte, die auch der Briefträger oder andere lesen können.
527
528 \clearpage
529 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
530 Sie selbst und niemand sonst.
531
532 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
533 \Email{} ist immer offen wie eine Postkarte, und der elektronische
534 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
535 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
536 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
537 zu verteilen, sondern sie auch zu kontrollieren.
538
539 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
540 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
541 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
542 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
543 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
544 schon im großen Stil mit \Email{} geschieht. Ein Artikel der
545 Wikipedia über das 
546 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
547 \index{Echelon-System}
548 liefert dazu interessantes Hintergrundwissen.
549
550 Denn: der Umschlag fehlt.
551
552 \htmlattributes*{img}{width=300}
553 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
554
555 \clearpage
556 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
557 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
558 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
559 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
560 für wichtig und schützenswert halten oder nicht.
561
562 Das ist der Kern des Rechts auf Brief-, Post- und
563 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
564 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
565 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
566 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
567 ist Ihr gutes Recht.
568
569 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
570 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
571 bekannten Mittel zu knacken. In vielen Ländern waren starke
572 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
573 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
574 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
575 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
576 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
577 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
578 in aller Welt als eine praktikable und sichere Software angesehen.
579
580 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
581 Hand.}
582
583 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
584 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
585 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
586 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
587 dieses Vorgehen Schritt für Schritt erläutern.
588
589
590 \clearpage
591 \chapter{So funktioniert Gpg4win}
592 \label{ch:FunctionOfGpg4win}
593 Das Besondere an Gpg4win und der zugrundeliegenden
594 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
595 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
596 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
597
598 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
599 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
600 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
601 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
602 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
603 Vertrauen in die Sicherheit von Gpg4win gewinnen.
604
605 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
606 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
607 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
608 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
609 knacken sind.
610
611 \clearpage
612 \subsubsection{Der Herr der Schlüsselringe}
613 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
614 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
615 nur einmal gibt und den man ganz sicher aufbewahrt.
616
617 \htmlattributes*{img}{width=300}
618 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
619
620 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
621 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
622 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
623 man den Schlüssel mindestens genauso gut absichern, wie das zu
624 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
625 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
626 werden.
627
628 \clearpage
629 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
630 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
631 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
632 dazu auch sehr fehleranfällig.
633
634 \htmlattributes*{img}{width=300}
635 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
636
637 Das Grundproblem bei der "`gewöhnlichen"' geheimen
638 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
639 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
640 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
641 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
642 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
643
644 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
645 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
646 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
647 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
648 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
649 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
650 abgefangen werden darf.
651
652
653 \clearpage
654 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
655 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
656 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
657 von einem "`Public-Key"'-Verschlüsselungssystem.
658
659 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
660 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
661 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
662 Weitergegeben wird nur der öffentliche Schlüssel (im öffentlichen
663 Zertifikat)~-- und den darf sowieso jeder kennen.
664
665 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
666 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
667 Schlüsselteile sind durch eine komplexe mathematische Formel
668 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
669 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
670 anderen zu berechnen und damit das Verfahren zu knacken. 
671
672 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
673
674 \htmlattributes*{img}{width=300}
675 \IncludeImage[width=0.5\textwidth]{verleihnix}
676
677
678 \clearpage
679 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
680 ist recht einfach:
681
682 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
683 key'' oder ,,private key'') muss geheim gehalten werden.
684
685 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
686 öffentlich wie möglich gemacht werden.
687
688 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
689
690 \bigskip
691
692 \begin{quote}
693     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
694 \end{quote}
695
696 \htmlattributes*{img}{width=300}
697 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
698
699 \begin{quote}
700     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
701 \end{quote}
702
703
704 \clearpage
705 \subsubsection{Der öffentliche Brieftresor}
706 \index{Brieftresor}
707
708 In einem kleinen Gedankenspiel wird die Methode des
709 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
710 Verschlüsselung\index{Symmetrische Verschlüsselung}
711 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
712 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
713
714 \bigskip
715
716 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
717
718 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
719 auf, über den Sie geheime Nachrichten übermitteln wollen.
720
721 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
722 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
723 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
724 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
725 Tresor.
726
727 \htmlattributes*{img}{width=300}
728 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
729
730 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
731 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
732 zuschließen und eine geheime Nachricht deponieren zu können.
733
734 \clearpage
735 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
736 Wege übergeben.
737
738 \bigskip
739 \bigskip
740
741 \htmlattributes*{img}{width=300}
742 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
743
744 \clearpage
745 Erst wenn der andere den geheimen Schlüssel hat, kann er den
746 Brieftresor öffnen und die geheime Nachricht lesen.
747
748 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
749 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
750 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
751 austauschen wie die Botschaft selbst.
752
753 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
754 gleich die geheime Mitteilung übergeben ...
755
756 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
757 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
758 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
759 könnten.
760
761 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
762
763 \htmlattributes*{img}{width=300}
764 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
765
766 \clearpage
767 \textbf{Nun zur "`Public-Key"'-Methode:}
768
769 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
770 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
771 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
772 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
773 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
774 \index{Asymmetrische Verschlüsselung}
775
776 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
777
778 \htmlattributes*{img}{width=300}
779 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
780
781 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
782 öffentlicher Schlüssel.
783
784 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
785 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
786 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
787 frei zugänglich.
788
789 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
790 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
791 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
792 nachträglich zu verändern.
793
794 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
795
796 Aufschließen kann man den Brieftresor nur mit einem einzigen
797 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
798
799 \clearpage
800 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
801 kann eine \Email{} an Sie verschlüsseln. 
802
803 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
804 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
805 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
806 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
807
808 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
809
810 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
811 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
812 verfügbaren Schlüssel.
813
814 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
815 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
816 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
817 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
818 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
819 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
820 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
821 und die Nachricht lesen.
822
823 \T\enlargethispage{2\baselineskip}
824
825 \htmlattributes*{img}{width=300}
826 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
827
828 \clearpage
829 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
830 einen geheimen Schlüssel!?
831
832 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
833 allerdings ein gewaltiger:
834
835 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
836 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
837 Übergabe entfällt, sie verbietet sich sogar.
838
839 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
840 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
841 geheimes Codewort.
842
843 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
844 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
845 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
846 bringen kann.
847
848 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
849 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
850 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
851 eigenen Gedächtnis.
852
853 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
854 öffentlichen, sowie einem geheimen und privaten Schlüsselteil nennt man auch
855 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
856
857
858 \clearpage
859 \chapter{Die Passphrase}
860 \label{ch:passphrase}
861 \index{Passphrase}
862
863 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
864 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
865 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
866 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
867 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
868 "`ganzen"' Kryptografieverfahrens.
869
870 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
871 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
872 diese Datei auszuschließen, wird sie zweifach gesichert:
873
874 \htmlattributes*{img}{width=300}
875 \IncludeImage[width=0.5\textwidth]{think-passphrase}
876
877 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
878 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
879 der Administrator des Computers immer auf alle Dateien zugreifen kann,
880 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
881 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
882
883 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
884 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
885 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
886 "`im Kopf"' behalten und niemals aufschreiben müssen.
887
888 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
889 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
890 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
891 und nur sehr schwer zu erratende Passphrase ausdenken können.
892
893 \clearpage
894 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
895
896 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
897
898 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
899
900 $\qquad$\verb-nieufdahnlnr- 
901 \texttt{\scriptsize{(Ei\textbf{n}
902 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
903 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
904 Ko\textbf{r}n.)}}
905
906 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
907 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
908 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
909 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
910 kann diese Passphrase niemand.
911
912 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
913 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
914 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
915 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
916 einem für Sie wichtigen Lied.
917
918 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
919 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
920 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
921 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
922 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
923 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
924 einer deutschen Tastatur finden.
925
926 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
927 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
928 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
929
930 $\qquad$\verb-In München steht ein Hofbräuhaus.-
931
932 könnte man beispielsweise diese Passphrase machen:
933
934 $\qquad$\verb-inMinschen stet 1h0f breuhome-
935
936 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
937 sich aber doch merken können, wie z.B.:
938
939 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
940
941 $\qquad$\verb-Taschengeld, auch im Winter.-
942
943 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
944 geheimen Schlüssel.
945
946 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
947 z.B. so:
948
949 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
950
951 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
952 eine noch kürzere Passphrase verwenden, indem Sie hier und da
953 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
954 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
955 vergessen, wird dabei größer.
956
957 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
958 sichere Passphrase ist dieses hier:
959
960 $\qquad$\verb-R!Qw"s,UIb *7\$-
961
962 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
963 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
964 für die Erinnerung hat.
965
966 \clearpage
967 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
968 sie ...
969
970 \begin{itemize}
971     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
972         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
973         wäre damit bereits einer anderen, möglicherweise unsicheren
974         Software bekannt.  Falls hier ein Hacker erfolgreich
975         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
976
977     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
978         können in Minutenschnelle komplette digitale Wörterbücher über
979         ein Passwort laufen lassen -- bis eines der Wörter passt.
980
981     \item ... aus einem Geburtsdatum, einem Namen oder anderen
982         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
983         zu entschlüsseln, wird sich diese Daten beschaffen.
984
985     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
986         enden"' oder "`to be or not to be"'. Auch mit derartigen
987         gängigen Zitaten testen Passphrase-Knackprogramme eine
988         Passphrase.
989
990     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
991         besteht.  Denken Sie sich unbedingt eine längere Passphrase
992         aus.
993 \end{itemize}
994
995 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
996 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
997 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
998 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
999 nicht eines dieser Beispiele genommen haben.
1000
1001 \bigskip
1002
1003 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
1004 Unvergesslich und unknackbar.
1005
1006 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1007 Erzeugung Ihres Schlüsselpaars benötigen.
1008
1009 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1010 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1011 Nachrichten schicken will, auch tatsächlich echt ist.
1012
1013
1014 \clearpage
1015 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1016 \label{ch:openpgpsmime}
1017 \index{OpenPGP} \index{S/MIME}
1018
1019 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1020 wie man ihn mit den Mitteln der modernen Informationstechnologie
1021 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1022 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1023 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1024 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1025
1026 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1027 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1028 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1029 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1030 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1031 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1032 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1033 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1034 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1035 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1036 -- die \textbf{Authentizität}. \index{Authentizität}
1037
1038 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1039 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1040 Alltagsleben dient zu dieser
1041 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1042 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1043 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1044 Institution von einer übergeordneten Behörde und letztendlich vom
1045 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1046 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1047 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1048 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1049
1050 Dieses Konzept findet sich bei Gpg4win oder anderen
1051 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1052 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1053 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1054 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1055 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1056 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1057 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1058 können Sie mit Gpg4win beide Verfahren einsetzen.
1059
1060
1061 \clearpage
1062 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1063 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1064 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1065 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1066 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1067 wiederum mit dem Zertifikat einer höher stehenden Organisation
1068 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1069 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1070 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1071 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1072 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1073 das Anwenderzertifikat.
1074
1075 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1076 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1077 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1078 \index{Web of Trust}
1079 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1080 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1081 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1082 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1083 dieser Schlüssel durch A beglaubigt wurde.
1084
1085 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1086 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1087 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1088 Zertifikat Ihres Kommunikationspartners vertrauen.
1089
1090 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1091 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1092 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1093 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1094 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1095 installieren und die folgenden Kapitel zu verstehen:
1096
1097 \begin{itemize}
1098     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1099         bieten die notwendige Sicherheit.
1100     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1101         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1102         geheimen Kommunikation. Man sagt somit, sie sind nicht
1103         interoperabel.
1104     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1105         beider Verfahren -- Sie müssen sich aber bei jeder
1106         Verschlüsselung/Signierung für eines der beiden entscheiden.
1107 \end{itemize}
1108
1109 Kapitel~\ref{ch:CreateKeyPair} dieses Kompendiums zur Erzeugung des
1110 Schlüsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende
1111 von Kapitel~\ref{ch:CreateKeyPair} fließen die Informationen wieder
1112 zusammen.
1113
1114 \begin{latexonly} %no hyperlatex
1115 Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden 
1116 Symbolen auf die beiden Alternativen hin:
1117
1118 \begin{center}
1119 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1120 \hspace{1cm}
1121 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1122 \end{center}
1123 \end{latexonly}
1124
1125
1126 \clearpage
1127 \chapter{Installation von Gpg4win}
1128 \index{Installation}
1129
1130 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1131 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1132 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1133 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1134 sollten Sie schon wissen, was vor sich geht.
1135
1136 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1137 Schlüsselpaar einzurichten.
1138
1139 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1140 installiert sein (wie z.B.  GnuPP, GnuPT, WinPT oder GnuPG Basics), 
1141 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1142 vorhandenen Zertifikate übernehmen können.
1143
1144 Sie können Gpg4win aus dem Internet oder von einer CD laden und
1145 installieren.  Sie benötigen dafür Administratorrechte in Ihrem
1146 Windows-Betriebssystem. 
1147
1148 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1149 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1150 \uniurl[www.gpg4win.de]{http://www.gpg4win.de}. Zum Start der
1151 Installation klicken Sie nach dem Download auf die Datei:
1152
1153 \Filename{gpg4win-2.0.0.exe} (oder mit einer höheren Versionsnummer).
1154
1155 Falls Sie Gpg4win auf einer CD-ROM erhalten haben, öffnen Sie sie und
1156 klicken Sie auf das Installations-Icon "`Gpg4win"'.
1157 Die weitere Installation ist dann identisch.
1158
1159 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1160 mit \Button{Ja}.
1161
1162 \clearpage
1163 Der Installationsassistent startet und befragt Sie zuerst nach der
1164 Sprache für den Installationsvorgang:
1165
1166 % screenshot: Installer Sprachenauswahl
1167 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1168
1169 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1170
1171 Anschließend begrüßt Sie dieser Willkommensdialog:
1172
1173 % screenshot: Installer Willkommensseite
1174 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1175
1176 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1177 Sie dann auf \Button{Weiter}.
1178
1179 \clearpage
1180 Die nächste Seite präsentiert das  \textbf{Lizenzabkommen} -- es ist
1181 nur dann wichtig, wenn Sie Gpg4win verändern oder weitergeben wollen.
1182 Wenn Sie die Software einfach nur benutzen wollen, dann können Sie das
1183 sofort tun -- auch ohne die Lizenz zu lesen.
1184
1185 % screenshot: Lizenzseite des Installers
1186 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1187
1188 Klicken Sie auf \Button{Weiter}.
1189
1190 \clearpage
1191 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1192 entscheiden, welche Programme Sie installieren möchten.
1193
1194 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1195 Komponenten auch später installieren. 
1196
1197 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1198 Kurzbeschreibung. Hilfreich ist auch die Anzeige des benötigten
1199 Festplatten-Platzes aller ausgewählten Komponenten.
1200
1201 % screenshot: Auswahl zu installierender Komponenten
1202 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1203
1204 Klicken Sie auf \Button{Weiter}.
1205
1206 \clearpage
1207 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1208 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1209
1210 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1211 in dem Sie Gpg4win installieren wollen.
1212
1213 % screenshot: Auswahl des Installationsverzeichnis.
1214 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1215
1216 Klicken Sie anschließend auf \Button{Weiter}.
1217
1218 \clearpage
1219 Jetzt können Sie festlegen, welche \textbf{Verknüpfungen} installiert
1220 werden -- voreingestellt ist eine Verknüpfung mit dem Startmenü.  Diese
1221 Verknüpfungen können Sie später mit den Bordmitteln von Windows
1222 verändern.
1223
1224 % screenshot: Auswahl der Startlinks
1225 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1226
1227 Klicken Sie anschließend auf \Button{Weiter}.
1228
1229 \clearpage
1230 Wenn Sie die Voreinstellung -- \textbf{Verknüpfung mit dem Startmenü}
1231 -- ausgewählt haben, dann können Sie auf der Folgeseite den Namen
1232 dieses Startmenüs festlegen oder einfach übernehmen.
1233
1234 % screenshot:  Startmenu auswählen
1235 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1236
1237 Klicken Sie dann auf \Button{Installieren}.
1238
1239 \clearpage
1240 Während der nun folgenden \textbf{Installation} sehen Sie einen
1241 Fortschrittsbalken und Informationen, welche Datei momentan
1242 installiert wird.  Sie können jederzeit auf \Button{Details~anzeigen}
1243 drücken, um ein Protokoll der Installation sichtbar zu machen.
1244
1245 % screenshot: Ready page Installer
1246 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1247
1248 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1249 \Button{Weiter}.
1250
1251 \clearpage
1252 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1253 Installationsvorgangs angezeigt:
1254
1255 % screenshot: Finish page Installer
1256 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1257
1258 Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die
1259 wichtige Informationen zu der soeben installierten Gpg4win-Version
1260 enthält.  Sofern Sie die README-Datei nicht ansehen wollen,
1261 deaktivieren Sie diese Option.
1262
1263 Klicken Sie schließlich auf \Button{Fertig stellen}.
1264
1265 \clearpage
1266 In einigen Fällen kann es vorkommen, dass Windows neu gestartet werden
1267 muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
1268
1269 % screenshot: Finish page Installer with reboot
1270 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1271
1272 Sie können hier auswählen, ob Windows sofort oder später manuell neu
1273 gestartet werden soll.
1274
1275 Klicken Sie auf \Button{Fertig stellen}.
1276
1277 %TODO: NSIS-Installer anpassen, dass vor diesem
1278 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1279 %erscheint.
1280 Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der
1281 soeben installierten Gpg4win-Version. Sie finden diese Datei z.B.
1282 über das Startmenü:\\
1283 \Menu{Start$\rightarrow$Programme$\rightarrow$Gpg4win$\rightarrow$Dokumentation$\rightarrow$Gpg4win README}
1284
1285 \clearpage
1286 \textbf{Das war's schon!}
1287
1288 Sie haben Gpg4win erfolgreich installiert und können es gleich zum
1289 ersten Mal starten.
1290
1291 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1292 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1293 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1294 von Gpg4win"' weiter.
1295
1296
1297 \clearpage
1298 \chapter{Erstellung eines Zertifikats}
1299 \label{ch:CreateKeyPair}
1300 \index{Zertifikat!erstellen}
1301 \index{Schlüssel!erzeugen}
1302
1303 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1304 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1305 Schutz Ihres geheimen Schlüssels entsteht
1306 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1307 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1308
1309 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1310 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1311 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1312 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1313 geheimes Zertifikat mit dem öffentlichen \textit{und} dem geheimen
1314 Schlüssel.
1315
1316 Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME
1317 (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1318 "`X.509"'\index{X.509}).
1319
1320 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1321 Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1322
1323 \T\marginOpenpgp
1324 Genau das können Sie tun -- allerdings nur für OpenPGP:
1325
1326 Wenn Sie sich für die OpenPGP-Methode der Beglaubigung
1327 \index{Beglaubigung} entscheiden,
1328 das "`Web of Trust"', dann können Sie den gesamten Ablauf der
1329 Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung
1330 durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.
1331
1332 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1333 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1334 wird danach kein Problem mehr sein.
1335
1336 Ihr Partner bei diesen Übungen wird \textbf{Adele} sein.  Adele ist
1337 ein Testservice, der noch aus dem Vorgänger-Projekt GnuPP\index{GnuPP}
1338 stammt und bis auf Weiteres in Betrieb ist.  Auch in diesem Kompendium
1339 können wir die Benutzung des Übungsroboters nur empfehlen. Wir
1340 bedanken uns bei den Inhabern von gnupp.de für den Betrieb von Adele.
1341
1342 Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie
1343 gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst
1344 machen. Doch dazu später mehr.
1345
1346 \clearpage
1347 \textbf{Los geht's!}
1348 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:
1349
1350 % screenshot Startmenu with Kleopatra highlighted
1351 \htmlattributes*{img}{width=400}
1352 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1353
1354 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra} --
1355 die Zertifikatsverwaltung:
1356 \index{Zertifikatsverwaltung}
1357
1358 % screenshot: Kleopatra main window
1359 \htmlattributes*{img}{width=508}
1360 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1361
1362 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1363 Zertifikate erstellt (oder importiert) haben. 
1364
1365 \clearpage
1366 Klicken Sie auf \Menu{Datei$\rightarrow$Neues~Zertifikat}. 
1367
1368 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1369 anschließend ein Zertifikat erstellt werden soll.  Sie haben die Wahl
1370 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1371 Die Unterschiede und Gemeinsamkeiten wurden bereits in
1372 Kapitel~\ref{ch:openpgpsmime} erläutert.
1373
1374 \label{chooseCertificateFormat}
1375 % screenshot: Kleopatra - New certificate - Choose format
1376 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1377
1378 ~\\Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden
1379 Methoden.  Am Ende des Kapitels fließen die Informationen wieder
1380 zusammen.
1381
1382 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1383 haben, lesen Sie nun also bitte entweder:
1384 \begin{itemize}
1385     \item Abschnitt \ref{createKeyPairOpenpgp}:
1386         \textbf{OpenPGP-Zertifikat erstellen} \T(siehe nächste
1387         Seite) oder
1388     \item Abschnitt \ref{createKeyPairX509}:
1389         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1390         \pageref{createKeyPairX509}).
1391 \end{itemize}
1392
1393
1394
1395 \clearpage
1396 \section{OpenPGP-Zertifikat erstellen}
1397 \label{createKeyPairOpenpgp}
1398 \index{OpenPGP!Zertifikat erstellen}
1399
1400 \T\marginOpenpgp
1401 Klicken Sie im Zertifikats-Auswahldialog auf \Button{Persönliches
1402 OpenPGP-Schlüsselpaar erzeugen}.
1403
1404
1405 Geben Sie im nun folgenden Fenster Ihren Namen und Ihre
1406 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1407 sichtbar.
1408
1409 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1410 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1411 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1412 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1413 Name und die \Email{}-Adresse später öffentlich sichtbar.
1414
1415 % screenshot: Creating OpenPGP Certificate - Personal details
1416 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1417
1418 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1419 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1420 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1421 \Filename{Heinrich Heine} und \Filename{heinrich@gpg4win.de}
1422
1423 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1424 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1425 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1426 informieren.
1427
1428 Klicken Sie auf \Button{Weiter}.
1429
1430 \clearpage
1431 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1432 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1433 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1434 über die Option \Menu{Alle Details} einsehen.
1435
1436 % screenshot: Creating OpenPGP Certificate - Review Parameters
1437 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1438
1439 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1440 erzeugen}.
1441
1442 \clearpage Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1443 \textbf{Passphrase}!
1444
1445 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1446 Passphrase eingeben:
1447
1448 % screenshot: New certificate - pinentry
1449 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1450
1451 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1452 jetzt eine einfach zu merkende und schwer zu knackende geheime
1453 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1454 ein!
1455
1456 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1457 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1458
1459 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1460 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1461 hingewiesen.
1462
1463 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1464 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1465
1466 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1467 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1468 \Button{OK}.
1469
1470 \clearpage
1471 Nun wird Ihr OpenPGP-Schlüsselpaar angelegt: 
1472 % screenshot: Creating OpenPGP Certificate - Create Key
1473 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1474
1475 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1476 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1477 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1478 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1479 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1480 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1481 Qualität des erzeugten Schlüsselpaars.
1482
1483 \clearpage
1484 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1485 erhalten Sie folgenden Dialog:
1486
1487 % screenshot: Creating OpenPGP certificate - key successfully created
1488 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1489
1490 Im Ergebnis-Textfeld wird der 40-stellige
1491 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1492 generierten OpenPGP-Zertifikats angezeigt. Dieser Fingerabdruck (engl.
1493 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1494 besitzt ein Zertifikat mit identischem Fingerabdruck. Es ist sogar
1495 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1496 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1497 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1498 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1499 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1500 Dieser Fingerabdruck identifiziert die Identität des Zertifikats wie
1501 der Fingerabdruck einer Person.
1502
1503 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1504 abzuschreiben. In den Zertifikatsdetails von Kleopatra können Sie
1505 sich ihn jederzeit später anzeigen lassen.
1506
1507 \clearpage
1508 Als Nächstes können Sie eine oder auch hintereinander mehrere der
1509 folgenden drei Schaltflächen betätigen:
1510
1511 \begin{description}
1512
1513 \item[Sicherheitskopie Ihres (geheimen) Zertifikats erstellen...]~\\
1514     Geben Sie hier den Pfad an, unter dem Ihr vollständiges Zertifikat
1515     (das Ihr neues Schlüsselpaar enthält, also den geheimen
1516     \textit{und} öffentlichen Schlüssel) exportiert werden soll:
1517
1518     % screenshot: New OpenPGP certificate - export key
1519     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1520
1521     Kleopatra wählt automatisch den Dateityp und speichert Ihr
1522     Zertifikat als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1523     abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1524     "`ASCII armor"') ein- bzw. ausschalten.
1525
1526     Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1527
1528     \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1529     abspeichern, so sollten Sie diese Datei schnellstens auf einen
1530     anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1531     die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1532     belassen!  Bewahren Sie diesen Datenträger mit der
1533     Sicherheitskopie sicher auf.
1534
1535     Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1536     Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1537     \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1538     Kapitel \ref{ch:ImExport}).
1539
1540 \item[Zertifikat per \Email{} versenden...]~\\ Nach dem Klick auf
1541     diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1542     mit Ihrem neuen öffentlichen Zertifikat im Anhang.  Ihr geheimer
1543     OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1544     versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1545     ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1546
1547     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1548     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1549     kein neues \Email{}-Fenster öffnen, so beenden Sie den
1550     Zertifikats\-erstellungs-Assistenten, speichern Ihr öffentliches
1551     Zertifikat durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1552     und versenden diese Datei per \Email{} an Ihre
1553     Korrespondenzpartner. Weitere Details finden Sie im
1554     Abschnitt~\ref{sec_publishPerEmail}.
1555
1556 \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1557     weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1558     einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1559     auf diesem Server veröffentlichen, erfahren Sie in
1560     Kapitel~\ref{ch:keyserver}.
1561
1562 \end{description}
1563
1564 Ihr OpenPGP-Zertifikat ist damit fertig erstellt.  Beenden Sie
1565 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1566
1567 Weiter geht's mit dem Abschnitt~\ref{sec_finishKeyPairGeneration} 
1568 auf Seite~\pageref{sec_finishKeyPairGeneration}. Von dort an
1569 sind die Erklärungen für OpenPGP und X.509 wieder identisch.
1570
1571
1572 \clearpage
1573 \section{X.509-Zertifikat erstellen}
1574 \label{createKeyPairX509}
1575 \index{X.509!Zertifikat erstellen}
1576
1577 \T\marginSmime
1578 Klicken Sie im Zertifikatsformat-Auswahldialog von
1579 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1580 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1581 erstellen}.
1582
1583
1584 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1585 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1586 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1587 = locality) und Abteilung (OU = organizational unit) ergänzen.
1588
1589 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1590 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1591 Organisation sowie Ländercode und geben irgendeine ausgedachte
1592 \Email{}-Adresse ein, z.B.: \Filename{CN=Heinrich
1593 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1594
1595 % screenshot: New X.509 Certificate - Personal details
1596 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1597
1598 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1599 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1600 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1601 informieren.
1602
1603 Klicken Sie auf \Button{Weiter}.
1604
1605 \clearpage
1606 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1607 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1608 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1609 über die Option \Menu{Alle Details} einsehen.
1610
1611 % screenshot: New X.509 Certificate - Review Parameters
1612 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1613
1614 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1615
1616 \clearpage
1617 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1618
1619 Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1620 Passphrase einzugeben:
1621
1622 % screenshot: New X.509 certificate - pinentry
1623 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1624
1625 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1626 jetzt eine einfach zu merkende und schwer zu knackende geheime
1627 Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1628 ein!
1629
1630 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1631 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1632
1633 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1634 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1635 hingewiesen.
1636
1637 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1638 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1639
1640 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1641 Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1642 Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1643 Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1644 Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1645 \Button{OK}.
1646
1647 \clearpage
1648 Nun wird Ihr X.509-Schlüsselpaar angelegt:
1649 % screenshot: New  X.509 Certificate - Create Key
1650 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1651
1652 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1653 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1654 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1655 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1656 einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1657 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1658 Qualität des erzeugten Schlüsselpaars.
1659
1660 \clearpage
1661 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1662 erhalten Sie folgenden Dialog:
1663
1664 % screenshot: New X.509 certificate - key successfully created
1665 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1666
1667 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1668
1669 \begin{description}
1670
1671 \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1672     unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1673     bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1674     automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1675     kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1676     Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1677     cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1678     die kostenlos X.509-Zertifikate ausstellt.
1679
1680 \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1681     erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1682     Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1683     Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1684     den vorbereiteten Text dieser \Email{}.
1685
1686     \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1687     diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1688     kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1689     Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1690     Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1691     Authority, CA).
1692
1693     Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1694     Ihrem zuständigen CA-Systemadministrator das fertige und von der
1695     CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1696     noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1697
1698 \end{description}
1699
1700 Beenden Sie anschließend den Kleopatra-Assistenten mit
1701 \Button{Fertigstellen}.
1702
1703
1704 \clearpage
1705 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1706
1707 \T\marginSmime
1708 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1709 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1710 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1711 für ihre Zertifikate erheben.
1712
1713 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1714 müssen Sie sich zunächst bei
1715 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1716
1717 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1718 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1719 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1720 sichere Pass\-phrase für Ihr Zertifikat fest.
1721
1722 Ihr Client-Zertifikat wird nun erstellt.
1723
1724 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1725 neu erstellten X.509-Zertifikat und dem dazugehörigen
1726 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1727
1728 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1729 Browser. Bei Firefox können Sie danach z.B. über
1730 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1731 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1732 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1733
1734 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1735 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1736 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1737 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1738 Internetseiten von CAcert.
1739
1740 Speichern Sie abschließend eine Sicherungskopie Ihres
1741 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1742 erhält automatisch die Endung \Filename{.p12}.
1743
1744 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1745 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1746 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1747 gelangt.
1748
1749 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1750 erfahren Sie in Kapitel \ref{ch:ImExport}.
1751
1752 ~\\
1753 Weiter geht's mit Abschnitt \ref{sec_finishKeyPairGeneration} auf der
1754 nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509
1755 wieder identisch.
1756
1757
1758 \clearpage
1759 \section{Zertifikatserstellung abgeschlossen}
1760 \label{sec_finishKeyPairGeneration}
1761
1762 \textbf{Damit ist die Erzeugung Ihres OpenPGP- bzw.
1763 X.509-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1764 einzigartigen elektronischen Schlüssel.}
1765
1766 Im weiteren Verlauf des Kompendiums wird nur noch ein
1767 OpenPGP-Zertifikat als Beispiel verwendet -- alles Gesagte gilt aber
1768 auch entsprechend für ein X509-Zertifikat.
1769
1770 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1771
1772 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1773 Das soeben erzeugte OpenPGP-Zertifikat finden Sie in der
1774 Zertifikatsverwaltung unter dem Reiter \Menu{Meine Zertifikate}:
1775
1776 % screenshot: Kleopatra with new openpgp certificate
1777 \htmlattributes*{img}{width=508}
1778 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1779
1780 \clearpage
1781 Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails
1782 sehen zu können:
1783
1784 % screenshot: details of openpgp certificate
1785 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1786
1787 Was bedeuten die einzelnen Zertifikatsdetails?
1788
1789 Ihr Zertifikat ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1790 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1791 Sie auf \Button{Ablaufdatum ändern}.
1792
1793 \textbf{Weitere Details zum Zertifikat finden Sie im
1794 Kapitel~\ref{ch:CertificateDetails}.}
1795
1796
1797 \clearpage
1798 \chapter{Verbreitung des öffentlichen Zertifikats}
1799 \label{ch:publishCertificate}
1800 \index{Zertifikat!verbreiten}
1801
1802 Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es
1803 beim Verschlüsseln und Signaturprüfen stets nur mit "`ungeheimen"'
1804 (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche
1805 Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die
1806 ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur
1807 Geheimhaltung bereits erledigt.
1808
1809 Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie
1810 können und sollen öffentliche Zertifikate von Ihren
1811 Korrespondenzpartnern haben -- je mehr, desto besser.
1812
1813 Denn:
1814
1815 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide
1816 Partner jeweils das öffentliche Zertifikat des anderen besitzen und
1817 benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit
1818 Zertifikaten umgehen kann -- wie z.B. das Softwarepaket Gpg4win mit
1819 der Zertifikatsverwaltung Kleopatra.}
1820
1821 Wenn Sie also an jemanden verschlüsselte \Email{}s schicken wollen,
1822 müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln
1823 benutzen.
1824
1825 Wenn -- andersherum -- jemand Ihnen verschlüsselte \Email{}s schicken
1826 will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln
1827 benutzen.
1828
1829 Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen.
1830 Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und
1831 welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene
1832 Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat
1833 beispielsweise ...
1834
1835 \begin{itemize}
1836     \item ... direkt per \textbf{\Email{}} an bestimmte
1837     Korrespondenzpartner -- siehe Abschnitt~\ref{sec_publishPerEmail}.
1838     \item ... auf einem \textbf{OpenPGP-Zertifikatsserver} 
1839         (gilt \textit{nur} für OpenPGP) -- siehe Abschnitt~\ref{sec_publishPerKeyserver}.
1840     \item ... über die eigene Homepage.
1841     \item ... persönlich, z.B. per USB-Stick.
1842 \end{itemize}
1843
1844 Die ersten beiden Varianten können Sie sich nun auf den folgenden
1845 Seiten näher anschauen.
1846
1847 \clearpage
1848 \section{Veröffentlichen per \Email{}, mit Übung für OpenPGP}
1849 \label{sec_publishPerEmail}
1850
1851 Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
1852 bekannt machen?  Schicken Sie ihm doch einfach Ihr exportiertes
1853 öffentliches Zertifikat per \Email{}. Wie das genau funktioniert,
1854 erfahren Sie in diesem Abschnitt.\\ 
1855
1856 \T\marginOpenpgp
1857 Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
1858 OpenPGP-Zertifikat!  Adele soll Ihnen dabei behilflich sein. Die
1859 folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
1860 Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
1861 Seite~\pageref{publishPerEmailx509}.
1862
1863 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1864 zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen
1865 und netten jungen Dame lieber korrespondiert als mit einem Stück
1866 Software (was sie in Wirklichkeit natürlich ist), können Sie sich
1867 Adele so vorstellen:
1868
1869 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail"'
1870 \IncludeImage[width=0.5\textwidth]{adele01}
1871
1872 Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit
1873 Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele
1874 eine verschlüsselte \Email{} an Sie zurück.
1875
1876 Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1877 Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können,
1878 legt Adele ihr eigenes öffentliches Zertifikat bei.
1879
1880 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1881 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1882 interessant wie die Ihrer echten Korrespondenzpartner. Andererseits
1883 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1884 menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
1885
1886 Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und
1887 senden dieses per \Email{} an Adele. Wie das geht, erfahren Sie auf
1888 den nächsten Seiten.
1889
1890
1891 \clearpage
1892 \subsubsection{Exportieren Ihres öffentlichen OpenPGP-Zertifikats}
1893 \index{Zertifikat!exportieren}
1894
1895 Selektieren Sie in Kleopatra das zu exportierende öffentliche
1896 Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der
1897 Zertifikate) und klicken Sie dann auf
1898 \Menu{Datei$\rightarrow$Zertifikate exportieren...} im Menü.  Wählen
1899 Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie
1900 das öffentliche Zertifikat im Dateityp \Filename{.asc} ab, z.B.:
1901 \Filename{mein-OpenPGP-Zertifikat.asc}.  Die beiden anderen zur
1902 Auswahl stehenden Dateitypen, \Filename{.gpg} oder \Filename{.pgp},
1903 speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als
1904 eine \Filename{.asc}-Datei, nicht im Texteditor lesbar.
1905
1906 Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie
1907 auch wirklich nur Ihr öffentliches Zertifikat exportieren -- und
1908 \textit{nicht} aus Versehen das Zertifikat Ihres kompletten
1909 Schlüsselpaars mit zugehörigem geheimen Schlüssel.
1910
1911 Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu
1912 den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim
1913 Exportieren angegeben haben.
1914
1915 \textbf{Öffnen} Sie die exportierte Zertifikats-Datei mit einem
1916 Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches
1917 OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht -- ein
1918 ziemlich wirrer Text- und Zahlenblock:
1919 \T\enlargethispage{\baselineskip}
1920
1921 % screenshot: Editor mit ascii armored key
1922 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1923
1924 \clearpage
1925 Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per \Email{} gibt es
1926 zwei Varianten, die berücksichtigen, ob ein \Email{}-Programm Anhänge
1927 versenden kann oder nicht.
1928
1929 \subsubsection{Variante 1: Öffentliches OpenPGP-Zertifikat als
1930 \Email{}-Text versenden}
1931
1932 Diese Möglichkeit funktioniert immer, selbst wenn Sie ­-- z.B. bei
1933 manchen \Email{}-Diensten im Web ­-- keine Dateien anhängen können.\\
1934 Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
1935 Gesicht und wissen, was sich dahinter verbirgt und woraus das
1936 Zertifikat eigentlich besteht.
1937
1938 \textbf{Markieren} Sie nun im Texteditor das gesamte öffentliche
1939 Zertifikat von
1940
1941 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1942 bis\\
1943 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1944
1945 und \textbf{kopieren} Sie es mit dem Menübefehl oder mit dem
1946 Tastaturkürzel \Filename{Strg+C}. Damit haben Sie das Zertifikat in
1947 den Speicher Ihres Rechners (bei Windows Zwischenablage genannt)
1948 kopiert.
1949
1950 Nun starten Sie Ihr \Email{}-Programm ­-- es spielt keine Rolle,
1951 welches Sie benutzen -- und fügen Ihr öffentliches Zertifikat in eine
1952 leere \Email{} ein.  Der Tastaturbefehl zum Einfügen ("`Paste"')
1953 lautet bei Windows \Filename{Strg+V}. Diesen Vorgang ­-- Kopieren und
1954 Einfügen ­-- kennen Sie vielleicht als "`Copy \& Paste"'.
1955
1956 Das \Email{}-Programm  sollte so eingestellt sein, dass reine
1957 Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten
1958 (vgl. Abschnitt \ref{sec_brokenSignature} und Anhang
1959 \ref{appendix:gpgol}).
1960
1961 \textbf{Adressieren} Sie nun diese \Email{} an
1962 \Filename{adele@gnupp.de} und schreiben Sie in die Betreffzeile z.B.
1963 \Menu{Mein öffentliches OpenPGP-Zertifikat}.
1964
1965 \clearpage
1966 So etwa sollte Ihre \Email{} nun aussehen:
1967
1968 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1969 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1970
1971 Schicken Sie die \Email{} an Adele ab.
1972
1973 Nur zur Vorsicht: Natürlich sollten Ihre \Email{}s Ihre
1974 \textit{eigene} \Email{}-Adresse als Absender haben. Andernfalls werden
1975 Sie nie Antwort von Adele bekommen ...
1976
1977 \clearpage
1978 \subsubsection{Variante 2: Öffentliches OpenPGP-Zertifikat als \Email{}-Anhang
1979 versenden}
1980
1981 Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes
1982 öffentliches OpenPGP-Zertifikat auch direkt als
1983 \textbf{\Email{}-Dateianhang} versenden. Das ist oftmals das
1984 einfachere und gebräuchlichere Verfahren. Sie haben oben die "`Copy \&
1985 Paste"'-Methode zuerst kennengelernt, weil sie transparenter und
1986 leichter nachzuvollziehen ist.
1987
1988 Schreiben Sie Adele nun noch einmal eine neue \Email{} -- diesmal mit
1989 der Zertifikatsdatei im Anhang:
1990
1991 Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer
1992 neuen \Email{} hinzu -- genauso wie Sie es mit jeder anderen Datei
1993 auch machen (z.B. durch Ziehen der Datei in das leere \Email-Fenster).
1994 Ergänzen Sie den Empfänger (\Filename{adele@gnupp.de}) und einen
1995 Betreff, z.B.: \Menu{Mein öffentliches OpenPGP-Zertifikat - als
1996 Dateianhang}.
1997
1998 Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze
1999 dazuschreiben.  Adele braucht diese Erklärung jedoch nicht, denn sie
2000 ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
2001
2002 Ihre fertige \Email{} sollte dann etwa so aussehen:
2003 \T\enlargethispage{2\baselineskip}
2004
2005 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
2006 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
2007
2008 Senden Sie nun die \Email{} mit Anhang an Adele ab.
2009
2010 \clearpage
2011 \subsubsection{Kurz zusammengefasst}
2012
2013 Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine
2014 Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei
2015 direkt in eine \Email{} kopiert und einmal die komplette Datei als
2016 \Email{}-Anhang beigefügt. Beide \Email{}s haben Sie an einen
2017 Korrespondenzpartner geschickt -- in Ihrem Fall also an Adele.
2018
2019 Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine
2020 echte \Email{}-Adresse senden. In der Regel sollten Sie öffentliche
2021 Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert.
2022 Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den
2023 Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege)
2024 in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
2025
2026 \clearpage
2027 \section{Veröffentlichen per OpenPGP-Zertifikatsserver}
2028 \label{sec_publishPerKeyserver}
2029
2030 \T\marginOpenpgp
2031 \textbf{Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über
2032 einen OpenPGP-Zertifikats\-server verbreiten.}
2033
2034 Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem
2035 öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst
2036 wenn Sie nur mit wenigen Partnern verschlüsselte \Email{}s
2037 austauschen. Ihr öffentliches Zertifikat ist dann für jedermann
2038 zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich
2039 dadurch das Versenden Ihres Zertifikats per \Email{} an jeden Ihrer
2040 Korrespondenzpartner.
2041
2042 Allerdings kann die Veröffentlichung Ihrer \Email{}-Adresse auf einem
2043 Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für
2044 diese \Email{}-Adresse erhöht. Dagegen hilft nur ein wirksamer
2045 Spam-Schutz.
2046
2047 ~\\ \textbf{Und so geht's:} Wählen Sie Ihr öffentliches
2048 OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
2049 \Menu{Datei$\rightarrow$Zertifikate nach Server exportieren...}.
2050
2051 Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie
2052 eine Warnmeldung:
2053
2054 % screenshot: Kleopatra keyserver export warning
2055 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
2056
2057 Es ist der öffentliche OpenPGP-Zertifikatsserver
2058 \Filename{keys.gnupg.net} bereits voreingestellt.  Klicken Sie auf
2059 \Button{Fortsetzen}, um Ihr ausgewähltes öffentliches Zertifikat an
2060 diesen Server zu schicken. Von dort aus wird Ihr öffentliches
2061 Zertifikat an alle weltweit verbundenen Zertifikatsserver
2062 weitergereicht.  Jedermann kann Ihr öffentliches Zertifikat dann von
2063 einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu
2064 benutzen, Ihnen eine sichere \Email{} zu schreiben.
2065
2066 Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat
2067 bitte \textit{nicht} ab: Klicken Sie im obigen Dialog auf
2068 \Button{Abbrechen}.  Das Testzertifikat ist wertlos und kann nicht
2069 mehr vom Zertifikatsserver entfernt werden.  Sie glauben nicht, wie
2070 viele Testzertifikate mit Namen wie "`Julius Caesar"', "`Helmut Kohl"'
2071 oder "`Bill Clinton"' dort schon seit Jahren herumliegen ...
2072
2073 \clearpage
2074 \subsubsection{Kurz zusammengefasst}
2075 Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem
2076 OpenPGP-Zertifikatsserver im Internet veröffentlichen.
2077
2078 \textbf{Wie Sie das öffentliche OpenPGP-Zertifikat eines
2079 Korrespondenzpartners auf Zertifikatsservern suchen und importieren,
2080 erfahren Sie im Kapitel~\ref{ch:keyserver}.  Sie können dieses Kapitel
2081 jetzt lesen oder später, wenn Sie diese Funktion benötigen.}
2082
2083
2084 \clearpage
2085 \section{Veröffentlichen von X.509-Zertifikaten}
2086 \label{publishPerEmailx509}
2087
2088 \T\marginSmime
2089 Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch
2090 einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine
2091 signierte S/MIME-\Email{} senden. Ihr öffentliches X.509-Zertifikat
2092 ist in dieser Signatur enthalten und kann von dem Empfänger in seine
2093 Zertifikatsverwaltung importiert werden.
2094
2095 Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit
2096 Adele verzichten, denn Adele unterstützt nur OpenPGP.  Zum Üben
2097 sollten Sie sich also einen anderen Korrespondenzpartner aussuchen
2098 oder testweise an sich selbst schreiben.
2099
2100 Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen
2101 Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise
2102 über X.509-Zertifikatsserver, die sich im Unterschied zu den
2103 OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
2104
2105 Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die
2106 vollständige öffentliche Zertifikatskette\index{Zertifikatskette}
2107 markieren und in einer Datei
2108 abspeichern -- in der Regel also Wurzelzertifikat,
2109 CA-Zertifikat\index{CA-Zertifikat} und
2110 Persönliches Zertifikat --  oder nur Ihr öffentliches Zertifikat.
2111
2112 Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen
2113 möglicherweise Teile der Kette, die er sonst zusammensuchen müsste.
2114 Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit
2115 gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten
2116 Zertifikate gemeinsam in eine Datei.
2117
2118 Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so
2119 muss er diesem das Vertrauen aussprechen bzw. durch einen
2120 Administrator aussprechen lassen, um letztlich auch Ihnen zu
2121 vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu
2122 der selben  "`Wurzel"' gehören), dann besteht diese
2123 Vertrauensstellung bereits.
2124
2125
2126 \clearpage
2127 \chapter{\Email{}s entschlüsseln, mit Übung für OpenPGP}
2128 \label{ch:decrypt}
2129 \index{E-Mail!entschlüsseln}
2130
2131 Alles, was Sie zum Entschlüsseln von \Email{}s benötigen, ist Gpg4win,
2132 das Zertifikat Ihres Schlüsselpaars und natürlich Ihre Passphrase.
2133
2134 In diesem Kapitel wird Schritt für Schritt erklärt, wie Sie Ihre
2135 \Email{}s in Microsoft Outlook mit der Gpg4win-Programmkomponente
2136 GpgOL entschlüsseln. \index{Outlook}
2137
2138 \T\marginOpenpgp
2139 Zunächst können Sie diesen Vorgang wieder mit Adele und Ihrem
2140 öffentlichen OpenPGP-Zertifikat üben. Die folgenden Übungen gelten
2141 wieder nur für OpenPGP -- Anmerkungen zur Entschlüsselung von
2142 S/MIME-\Email{}s finden Sie am Ende dieses Kapitels auf Seite
2143 \pageref{encrypt-smime}.
2144
2145 Abschnitt~\ref{sec_publishPerEmail} haben Sie Ihr öffentliches
2146 OpenPGP-Zertifikat an Adele geschickt. Mit Hilfe dieses Zertifikats
2147 verschlüsselt Adele nun eine \Email{} und sendet die Nachricht an Sie
2148 zurück. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
2149
2150 \T\enlargethispage{\baselineskip}
2151
2152 % cartoon: Adele typing and sending a mail
2153 \IncludeImage[width=0.5\textwidth]{adele02}
2154
2155 \clearpage
2156 \subsubsection{Nachricht mit MS Outlook und GpgOL entschlüsseln}
2157
2158 Für die meisten \Email{}-Programme gibt es spezielle
2159 Programmerweiterungen (engl. "`plugins"'), mit denen die Ver- und
2160 Entschlüsselung direkt im jeweiligen \Email{}-Programm erledigt werden
2161 kann.  \textbf{GpgOL} ist eine solche Programmerweiterung für MS
2162 Outlook, das in diesem Abschnitt benutzt wird, um die \Email{} von
2163 Adele zu entschlüsseln. Hinweise zu weiteren Software-Lösungen finden
2164 Sie im Anhang~\ref{ch:plugins}.  Sie können diesen Abschnitt jetzt
2165 lesen oder später, wenn Sie diese Funktion benötigen.
2166
2167 ~\\ Starten Sie MS Outlook und öffnen Sie die Antwort-\Email{} von
2168 Adele.
2169
2170 Kleopatra haben Sie bisher nur als Zertifikatsverwaltung
2171 kennengelernt.  Das Programm leistet aber weitaus mehr: Es kann die
2172 eigentliche Verschlüsselungs-Software GnuPG steuern und damit nicht
2173 nur Ihre Zertifikate verwalten, sondern auch sämtliche
2174 kryptografischen Aufgaben (eben mit Hilfe von GnuPG) erledigen.
2175 Kleopatra sorgt für die graphische Benutzeroberfläche, also die
2176 Dialoge, die Sie als Benutzer sehen, während Sie eine \Email{} ver-
2177 oder entschlüsseln.
2178
2179 Kleopatra bearbeitet also die verschlüsselte \Email{} von Adele. Diese
2180 \Email{} hat Adele mit \textit{Ihrem} öffentlichen OpenPGP-Schlüssel
2181 verschlüsselt.
2182
2183 Um die Nachricht zu entschlüsseln, fragt Kleopatra Sie nun nach Ihrer
2184 Passphrase, die Ihren privaten Schlüssel schützt. Geben Sie Ihre
2185 Passphrase ein.
2186
2187 Die Entschlüsselung war erfolgreich, wenn Sie keinen Fehlerdialog
2188 bekommen! Sie können nun die entschlüsselte \Email{} lesen.
2189
2190 Einen genauen Ergebnisdialog der Entschlüsselung können Sie manuell
2191 aufrufen, indem Sie im Menü der geöffneten \Email{}
2192 auf \Menu{Extras$\rightarrow$GpgOL Entschlüsseln/Prüfen} klicken.
2193
2194 Doch nun wollen Sie sicher das Ergebnis, die entschlüsselte Nachricht, endlich einmal sehen ...
2195
2196 \clearpage
2197 \subsubsection{Die entschlüsselte Nachricht}
2198
2199 Die entschlüsselte Antwort von Adele sieht in etwa so
2200 aus\footnote{Abhängig von der Softwareversion von Adele kann dies auch
2201 etwas unterschiedlich aussehen.}:
2202
2203 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2204 %TODO: Schlüssel -> Zertifikat
2205
2206 \begin{verbatim}
2207 Hallo Heinrich Heine,
2208
2209 hier ist die verschlüsselte Antwort auf Ihre E-Mail.
2210
2211 Ihr öffentlicher Schlüssel mit der Schlüssel-ID
2212 FE7EEC85C93D94BA und der Bezeichnung
2213 `Heinrich Heine <heinrich@gpg4win.de>'
2214 wurde von mir empfangen.
2215
2216 Anbei der öffentliche Schlüssel von adele@gnupp.de,
2217 dem freundlichen E-Mail-Roboter.
2218
2219 Viele Grüße,
2220 adele@gnupp.de
2221 \end{verbatim}
2222
2223 Der Textblock, der darauf folgt, ist das öffentliche Zertifikat von
2224 Adele.
2225
2226 Im nächsten Kapitel werden Sie dieses Zertifikat importieren und zu
2227 Ihrer Zertifikatsverwaltung hinzufügen. Importierte öffentliche
2228 Zertifikate können Sie jederzeit zum Verschlüsseln von Nachrichten an
2229 Ihren Korrespondenzpartner benutzen oder zum Prüfen dessen signierter
2230 \Email{}s verwenden.
2231
2232 \clearpage
2233 \subsubsection{Kurz zusammengefasst}
2234
2235 \begin{enumerate}
2236     \item Sie haben eine verschlüsselte \Email{} mit Ihrem geheimen
2237         Schlüssel entschlüsselt.
2238     \item Ihr Korrespondenzpartner hat sein eigenes öffentliches
2239         Zertifikat beigelegt, damit Sie ihm verschlüsselt antworten
2240         können.
2241 \end{enumerate}
2242
2243
2244 \subsubsection{\Email{}s entschlüsseln mit S/MIME}
2245 \label{encrypt-smime}
2246
2247 \T\marginSmime
2248 So werden also \Email{}s mit dem geheimen OpenPGP-Schlüssel
2249 entschlüsselt -- wie funktioniert das Ganze mit S/MIME?
2250
2251 Die Antwort lautet auch hier: genauso wie bei OpenPGP!
2252
2253 Zum Entschlüsseln einer S/MIME-verschlüsselten \Email{} öffnen Sie die
2254 Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein.
2255 Sie bekommen einen ähnlichen Statusdialog wie bei OpenPGP. Nach dem
2256 Schließen dieses Dialogs sehen Sie die entschlüsselte S/MIME-\Email{}.
2257
2258 Im Unterschied zu OpenPGP-Entschlüsselungen müssen Sie bei S/MIME
2259 allerdings auf ein paar Übungsrunden mit Adele verzichten, denn Adele
2260 unterstützt nur OpenPGP.
2261
2262 \clearpage
2263 \chapter{Öffentliches Zertifikat importieren}
2264 \label{ch:importCertificate}
2265 \index{Zertifikat!importieren}
2266
2267 Ihr Korrespondenzpartner muss nicht jedes Mal sein öffentliches
2268 Zertifikat mitschicken, wenn er Ihnen signiert schreibt.  Sie bewahren
2269 sein öffentliches Zertifikat einfach in Ihrer Zertifikatsverwaltung
2270 auf -- z.B. Kleopatra.
2271
2272 \subsubsection{Öffentliches Zertifikat abspeichern}
2273
2274 Bevor Sie ein öffentliches Zertifikat in Kleopatra importieren, müssen
2275 Sie es in einer Datei abspeichern. Abhängig davon, ob Sie das
2276 Zertifikat als \Email{}-Dateianhang oder als Textblock innerhalb Ihrer
2277 \Email{} bekommen haben, gehen Sie wie folgt vor:
2278
2279 \begin{itemize}
2280
2281 \item Liegt das öffentliche Zertifikat  als \textbf{Dateianhang} bei,
2282     speichern Sie es auf Ihrer Festplatte ab -- genau wie Sie es von
2283     Ihrem \Email{}-Programm gewohnt sind.
2284
2285 \item Wurde das öffentliche Zertifikat als \textbf{Textblock}
2286     innerhalb der \Email{} übermittelt, dann müssen Sie das
2287     vollständige Zertifikat markieren:
2288
2289     Bei (öffentlichen) OpenPGP-Zertifikaten markieren Sie den Bereich
2290     von
2291
2292     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ bis\\
2293     \Filename{-----END PGP PUBLIC KEY BLOCK-----}
2294
2295     so wie Sie es im Abschnitt~\ref{sec_publishPerEmail} schon
2296     getan haben.
2297
2298     Setzen Sie den markierten Abschnitt per Copy \& Paste in einen
2299     Texteditor ein und speichern Sie das öffentliche Zertifikat ab.
2300     Als Dateiendung sollten Sie für OpenPGP-Zertifikate
2301     \Filename{.asc} oder \Filename{.gpg} und für X.509-Zertifikate
2302     \Filename{.pem} oder \Filename{.der} wählen.
2303
2304 \end{itemize}
2305
2306 \clearpage
2307 \subsubsection{Öffentliches Zertifikat in Kleopatra importieren}
2308
2309 Ob Sie nun das öffentliche Zertifikat als \Email{}-Anhang oder als
2310 Textblock abgespeichert haben -- in beiden Fällen importieren
2311 Sie es in Ihre Zertifikatsverwaltung Kleopatra.
2312
2313 Starten Sie dafür Kleopatra, sofern das Programm noch nicht läuft.
2314
2315 Klicken Sie im Menü auf \Menu{Datei$\rightarrow$Zertifikat
2316 importieren...}, suchen das eben abgespeicherte öffentliche Zertifikat
2317 aus und importieren es.  Sie erhalten einen Informations-Dialog mit
2318 dem Ergebnis des Importvorgangs:
2319
2320 % screenshot: Kleopatra - certificate import dialog
2321 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2322
2323 Das erfolgreich importierte, öffentliche Zertifikat wird nun in
2324 Kleopatra angezeigt -- und zwar unter einem separaten Reiter
2325 \Menu{Importierte Zertifikate} von
2326 \Menu{<Pfad-zur-Zertifikatsdatei>}:
2327
2328 % screenshot Kleopatra with new certificate
2329 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2330
2331 Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr
2332 als nur ein Zertifikat enthalten kann. Schließen Sie diesen Reiter
2333 über das Menü \Menu{Fenster$\rightarrow$Reiter schließen} (oder über
2334 die "`Reiter schließen"'-Schaltfläche am rechten Fensterrand).
2335
2336 Wechseln Sie auf den Reiter "`Andere Zertifikate"'. Hier sollten Sie nun
2337 das von Ihnen importierte öffentliche Zertifikat ebenfalls sehen.
2338
2339 Damit haben Sie ein fremdes Zertifikat~-- in diesem Beispiel das
2340 öffentliche OpenPGP-Zertifikat von Adele -- in Ihre
2341 Zertifikatsverwaltung importiert. Sie können dieses Zertifikat nun
2342 jederzeit benutzen, um verschlüsselte Nachrichten an den Besitzer
2343 dieses Zertifikats zu senden und dessen Signaturen zu prüfen.
2344
2345 Sobald Sie \Email{}s häufiger und mit vielen Korrespondenzpartnern
2346 verschlüsselt austauschen, wollen Sie wahrscheinlich die Zertifikate
2347 über weltweit erreichbare Zertifikatsserver suchen und importieren
2348 wollen. Wie das geht, können Sie im Kapitel~\ref{ch:keyserver}
2349 nachlesen.\\
2350
2351 \subsubsection{Bevor Sie weitermachen, eine ganz wichtige Frage:}
2352 Woher wissen Sie eigentlich, dass das öffentliche OpenPGP-Zertifikat
2353 wirklich von Adele stammt? Man kann \Email{}s auch unter falschem
2354 Namen versenden -- die Absenderangabe besagt eigentlich gar nichts.
2355
2356 Wie können Sie also sichergehen, dass ein öffentliches Zertifikat auch
2357 wirklich seinem Absender gehört?
2358
2359 \textbf{Diese Kernfrage der Zertifikatsprüfung wird im nächsten
2360 Kapitel~\ref{ch:trust} erläutert.}
2361
2362 \clearpage
2363 \chapter{Die Zertifikatsprüfung}
2364 \label{ch:trust}
2365
2366 Woher wissen Sie eigentlich, dass das fremde Zertifikat wirklich vom
2367 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
2368 Korrespondenzpartner glauben, dass das Zertifikat, das Sie ihm
2369 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
2370 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
2371 Absenderangabe auf einem Briefumschlag.
2372
2373 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
2374 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
2375 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
2376 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
2377 Identität des Absenders.
2378
2379 \clearpage
2380 \subsubsection{Der Fingerabdruck}
2381 \index{Fingerabdruck}
2382 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
2383 die Sache mit der Identität schnell geregelt: Sie prüfen den
2384 Fingerabdruck des anderen Zertifikats.
2385
2386 Jedes Zertifikat trägt eine einmalige Kennzeichnung, die es
2387 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
2388 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
2389 "`Fingerabdruck"'.
2390
2391 Wenn Sie sich die Details eines Zertifikats in Kleopatra anzeigen
2392 lassen, z.B. durch Doppelklick auf das Zertifikat, sehen Sie u.a.
2393 dessen 40-stelligen Fingerabdruck:
2394
2395 % screenshot: GPA key listing with fingerprint
2396 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2397
2398 Der Fingerabdruck des oben dargestellten OpenPGP-Zertifikats ist
2399 also:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2400
2401 ~\\ Wie gesagt -- der Fingerabdruck identifiziert das Zertifikat und
2402 seinen Besitzer eindeutig.
2403
2404 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2405 von ihm den Fingerabdruck seines Zertifikats vorlesen. Wenn die
2406 Angaben mit dem Ihnen vorliegenden Zertifikat übereinstimmen, haben
2407 Sie eindeutig das richtige Zertifikat.
2408
2409 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2410 Zertifikats treffen oder auf einem anderen Wege sicherstellen, dass
2411 Zertifikat und Eigentümer zusammen gehören. Häufig ist der
2412 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2413 garantiert authentische Visitenkarte haben, so können Sie sich den
2414 Anruf ersparen.
2415
2416
2417 \clearpage
2418 \subsubsection{OpenPGP-Zertifikat beglaubigen}
2419 \index{Zertifikat!beglaubigen}
2420
2421 \T\marginOpenpgp
2422 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2423 Zertifikats überzeugt haben, können Sie es beglaubigen -- allerdings
2424 nur in OpenPGP.  Bei X.509 können Benutzer keine Zertifikate
2425 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2426 vorbehalten.
2427
2428
2429 Durch das Beglaubigen eines Zertifikats teilen Sie anderen
2430 (Gpg4win-)Benutzern mit, dass Sie dieses Zertifikat für echt -- also
2431 autentisch -- halten:
2432 Sie übernehmen so etwas wie die "`Patenschaft"' für dieses Zertifikat
2433 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2434
2435 ~\\
2436 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2437 Selektieren Sie in Kleopatra das OpenPGP-Zertifikat, das Sie für echt
2438 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2439 \Menu{Zertifikate$\rightarrow$Zertifikat beglaubigen...}
2440
2441 Im nachfolgenden Dialog bestätigen Sie nun noch einmal das zu
2442 beglaubigende OpenPGP-Zertifikat mit \Button{Weiter}:
2443
2444 % screenshot: Kleopatra certify certificate 1
2445 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2446
2447 \clearpage
2448 Im nächsten Schritt wählen Sie Ihr eigenes OpenPGP-Zertifikat aus, mit dem Sie das
2449 im letzten Schritt ausgewählte Zertifikat beglaubigen wollen:
2450
2451 % screenshot: Kleopatra certify certificate 2
2452 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2453
2454 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2455 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2456 Variante haben Sie die Option, das beglaubigte Zertifikat anschließend
2457 auf einen OpenPGP-Zertifikatsserver hochzuladen und damit der Welt
2458 ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertifikat zur
2459 Verfügung zu stellen.
2460
2461 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2462
2463 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2464 eines Zertifikats (mit Ihrem privaten Schlüssel) Ihre Passphrase
2465 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2466 abgeschlossen.
2467
2468 \clearpage
2469 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2470
2471 % screenshot: Kleopatra certify certificate 3
2472 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2473
2474 ~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2475 öffnen Sie die Zertifikatsdetails des eben beglaubigten Zertifikats.
2476 Wählen Sie den Reiter
2477 \Menu{Benutzer-Kennungen und
2478 Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2479 Beglaubigungen ein}.
2480
2481 Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2482 die in diesem Zertifikat enthalten sind. Hier sollten Sie auch Ihr
2483 Zertifikat wiederfinden, mit dem Sie soeben beglaubigt haben.
2484
2485 \clearpage
2486 \subsubsection{Das Netz des Vertrauens}
2487 \index{Netz des Vertrauens|see{Web of Trust}}
2488 \index{Web of Trust}
2489
2490 \T\marginOpenpgp
2491 Durch das Beglaubigen von Zertifikaten entsteht -- auch über den Kreis
2492 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2493 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2494 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Zertifikat
2495 direkt auf Echtheit (Autentizität) zu prüfen.
2496
2497 \htmlattributes*{img}{width=300}
2498 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2499
2500 Natürlich steigt das Vertrauen in ein Zertifikat, wenn mehrere Leute
2501 es beglaubigen. Ihr eigenes OpenPGP-Zertifikat wird im Laufe der Zeit
2502 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2503 immer mehr Menschen darauf vertrauen, dass dieses Zertifikat wirklich
2504 Ihnen und niemandem sonst gehört.
2505
2506 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2507 Beglaubigungs-Infra\-struktur.
2508
2509 Eine einzige Möglichkeit ist denkbar, mit der man diese
2510 Zertifikatsprüfung aushebeln kann: Jemand schiebt Ihnen ein falsches
2511 Zertifikat unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2512 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2513 wurde.  Wenn ein solches gefälschtes Zertifikat beglaubigt wird, hat
2514 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2515 wichtig, sich zu vergewissern, ob ein Zertifikat wirklich zu der
2516 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2517
2518 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2519 Zertifikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2520 nicht die Lösung sein~...
2521
2522
2523 \clearpage
2524 \subsubsection{Beglaubigungsinstanzen}
2525 \index{Beglaubigungsinstanzen}
2526 \index{Certificate Authority (CA)}
2527
2528 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2529 vertrauen können. Sie prüfen ja auch nicht persönlich den
2530 Personalausweis eines Unbekannten durch einen Anruf beim
2531 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2532 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2533 beglaubigt hat.
2534
2535 \T\marginOpenpgp
2536 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Zertifikate.
2537 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2538 lange einen solchen Dienst kostenlos an, ebenso wie viele
2539 Universitäten.
2540
2541 Wenn man also ein OpenPGP-Zertifikat erhält, das durch eine solche
2542 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2543 man sich darauf verlassen können.
2544  
2545 \T\marginSmime
2546 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2547 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2548 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2549 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2550 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2551 Benutzerzertifikate zu beglaubigen (vgl.
2552 Kapitel~\ref{ch:openpgpsmime}).
2553
2554 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2555 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2556 berechtigte Institution geben, die die Befugnis dazu wiederum von
2557 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2558 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2559 eines Zertifikates durch den Beglaubigenden.
2560
2561 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2562 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2563 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2564 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2565 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2566 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2567 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2568 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2569 entsprechen.
2570
2571
2572 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2573 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2574 sich z.B. bei folgenden Webadressen über dieses und viele andere
2575 IT-Sicherheits-Themen informieren:
2576 \begin{itemize}
2577     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2578     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2579     \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2580 \end{itemize}
2581
2582 Eine weitere, eher technische Informationsquelle zum Thema
2583 der Beglaubigungsinfrastrukturen bietet das 
2584 GnuPG Handbuch das Sie ebenfalls im Internet finden unter:\\
2585 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2586
2587 \clearpage
2588 \chapter{\Email{}s verschlüsseln}
2589 \label{ch:encrypt}
2590 \index{E-Mail!verschlüsseln}
2591
2592 Jetzt wird es noch einmal spannend: Sie versenden eine verschlüsselte
2593 \Email{}.
2594
2595 In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes
2596 \Email{}-Programm, das Kryptografie unterstützt), Kleopatra und
2597 natürlich ein öffentliches Zertifikat Ihres Korrespondenzpartners.
2598
2599
2600 \textbf{Hinweis für OpenPGP:}
2601
2602 \T\marginOpenpgp
2603 Zum Üben der Verschlüsselung mit OpenPGP können Sie wieder Adele
2604 nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht
2605 unterstützt.  Ihre zu verschlüsselnde \Email{} an \Filename
2606 {adele@gnupp.de}.  Der Inhalt der Nachricht ist beliebig -- Adele kann
2607 nicht wirklich lesen.
2608
2609 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2610
2611 \textbf{Hinweis für S/MIME:}
2612
2613 \T\marginSmime
2614 Nach der Installation von Gpg4win ist die S/MIME-Funktionalität in
2615 GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten
2616 wollen, um z.B. Outlooks eigene S/MIME-Funktionalität zu nutzen,
2617 müssen Sie in dem folgenden GpgOL-Optionsdialog unter
2618 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} die Option
2619 \Menu{S/MIME Unterstützung einschalten} deaktivieren:
2620
2621 % screenshot: GpgOL options
2622 \T\ifthenelse{\boolean{DIN-A5}}{
2623     \T\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_de}
2624 \T}
2625 \T{
2626     \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}
2627 \T}
2628
2629
2630 \clearpage
2631 \subsubsection{Nachricht verschlüsselt versenden}
2632
2633 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2634 Sie diese an Ihren Korrespondenzpartner.
2635
2636 Dann veranlassen Sie, dass Sie Ihre Nachricht verschlüsselt versendet
2637 wird: Wählen Sie im Menü des Nachrichtenfensters den Punkt
2638 \Menu{Extras$\rightarrow$Nachricht verschlüsseln}.  Die Schaltfläche
2639 mit dem Schloss-Icon in der Symbolleiste ist aktiviert -- Sie können
2640 auch direkt auf das Schloss klicken.
2641
2642 Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
2643
2644 % screenshot: OL composer with Adele's address and body text
2645 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2646
2647 Klicken Sie nun auf \Button{Senden}.
2648
2649 \label{encryptProtocol} ~\\Gpg4win erkennt nun automatisch, für
2650 welches Protokoll -- OpenPGP oder S/MIME -- das öffentliche Zertifikat
2651 Ihres Korrespondenzpartners vorliegt.
2652
2653 Sofern die Zertifikatsauswahl eindeutig ist -- d.h., Sie haben nur ein
2654 Zertifikat, dass zu der Empfänger-\Email{}-Adresse passt -- wird Ihre
2655 Nachricht verschlüsselt und versendet.
2656
2657
2658 \clearpage
2659 \subsubsection{Zertifikatsauswahl}
2660 \index{Zertifikat!Auswahl}
2661 Wenn Kleopatra das Empfängerzertifikat anhand der \Email{}-Adresse
2662 nicht eindeutig bestimmen kann, z.B. wenn Sie ein OpenPGP-
2663 \textit{und} ein S/MIME-Zertifikat von Ihrem Korrespondenzpartner
2664 haben, öffnet sich ein Auswahldialog, in dem Sie das Zertifikat
2665 selbstständig auswählen können.
2666
2667 % screenshot: kleopatra encryption dialog - certificate selection
2668 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2669
2670 Sollte Kleopatra das öffentliche Zertifikat Ihres
2671 Korrespondenzpartners nicht finden, haben Sie es vermutlich noch nicht
2672 in Ihre Zertifikatsverwaltung importiert (vgl.
2673 Kapitel~\ref{ch:importCertificate}) oder beglaubigt (bei OpenPGP;
2674 vgl. Kapitel~\ref{ch:trust}), bzw. dem Wurzelzertifikat der
2675 Zertifizierungskette das Vertrauen ausgesprochen (bei S/MIME; vgl.
2676 Kapitel~\ref{sec_allow-mark-trusted}).
2677
2678
2679 Sie benötigen das korrekte öffentliche Zertifikat Ihres
2680 Korrespondenzpartners, denn damit muss Ihre Nachricht schließlich
2681 verschlüsselt werden.
2682
2683 Erinnern Sie sich an den Grundsatz aus Kapitel~\ref{ch:FunctionOfGpg4win}:
2684 \begin{quote}
2685   \textbf{Wenn Sie einem anderen eine verschlüsselte \Email{}s
2686   schicken wollen, benutzen Sie dessen öffentliches Zertifikat.}
2687 \end{quote}
2688
2689
2690 \clearpage
2691 \subsubsection{Verschlüsselung abschließen}
2692 Wenn Ihre Nachricht erfolgreich verschlüsselt und versendet wurde,
2693 erhalten Sie eine Meldung, die Ihnen dies bestätigt:
2694
2695 % screenshot: kleopatra encryption successfully
2696 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2697
2698 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2699 verschlüsselt!}
2700
2701
2702 \chapter{\Email{}s signieren}
2703 \label{ch:sign}
2704 \index{E-Mail!signieren}
2705
2706 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2707 Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann
2708 mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
2709
2710 Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein
2711 Zertifikat, sondern auch eine komplette \textbf{\Email{}
2712 signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2713 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2714
2715 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2716 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2717 oder verändert wurde.
2718
2719 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2720 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2721 korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus
2722 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2723 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2724
2725 Sie haben sicher bemerkt, dass diese digitale
2726 Signatur\index{Signatur!digitale} nicht mit der
2727 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2728 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2729 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2730 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2731 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2732
2733 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2734 Übrigens ist die digitale Signatur auch nicht mit der
2735 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2736 elektronische} gleichzusetzen, wie sie im Signaturgesetz
2737 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2738 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2739 allerdings genau denselben Zweck.
2740
2741 % cartoon: Müller mit Schlüssel
2742 \htmlattributes*{img}{width=300}
2743 \T\ifthenelse{\boolean{DIN-A5}}{
2744     \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2745 \T}
2746 \T{
2747     \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2748 \T}
2749
2750 \clearpage
2751 \section{Signieren mit GpgOL}
2752 \T\enlargethispage{\baselineskip}
2753 Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2754 Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2755 \Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2756 folgende Schritte durch:
2757
2758 \begin{itemize}
2759     \item Nachricht signiert versenden
2760     \item Zertifikatsauswahl
2761     \item Signierung abschließen
2762 \end{itemize}
2763
2764 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2765
2766 %\clearpage
2767 \subsubsection{Nachricht signiert versenden}
2768
2769 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2770 Sie diese an Ihren Korrespondenzpartner.
2771
2772 Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2773 Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2774 Schaltfläche mit dem signierenden Stift oder alternativ den
2775 Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2776
2777 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2778
2779 % screenshot: OL composer with Adele's address and body text
2780 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2781
2782 Klicken Sie nun auf \Button{Senden}.
2783
2784 \clearpage
2785 \subsubsection{Zertifikatsauswahl}
2786
2787 Genauso wie beim Verschlüsseln von \Email{}s erkennt Gpg4win
2788 automatisch, für welches Protokoll -- OpenPGP oder S/MIME -- Ihr
2789 eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
2790
2791 Sollten Sie ein eigenes OpenPGP- \textit{und} S/MIME-Zertifikat mit
2792 der gleichen \Email{}-Adresse besitzen, fragt Sie Kleopatra vor dem
2793 Signieren nach dem gewünschten Protokollverfahren:
2794
2795 % screenshot: kleopatra format choice dialog
2796 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2797
2798 Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B.
2799 zwei OpenPGP-Zertifikate zu der gleichen \Email{}-Adresse), dann
2800 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier
2801 OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer
2802 Schlüssel vorliegt:
2803
2804 % screenshot: kleopatra format choice dialog
2805 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2806
2807 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2808
2809
2810 \clearpage
2811 \subsubsection{Signierung abschließen}
2812 Um die Signierung Ihrer \Email{} abzuschließen, werden Sie
2813 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2814
2815 % screenshot: kleopatra sign dialog 2 - choose certificate
2816 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2817
2818 Dies ist notwendig, denn Sie wissen:
2819 \begin{quote}
2820     \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2821 \end{quote}
2822 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2823 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Zertifikat, das
2824 er bereits hat oder sich besorgen kann, Ihre Identität prüfen.  Denn
2825 nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
2826
2827 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2828 Nachricht wird nun signiert und versendet.
2829
2830 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2831 Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden
2832 Ergebnisdialog:
2833
2834 % screenshot: kleopatra sign successful
2835 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2836
2837 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2838 signiert!}
2839
2840
2841 \clearpage
2842 \subsubsection{Kurz zusammengefasst}
2843 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem eigenen Zertifikat
2844 -- das Ihren geheimen Schüssel enthält -- \textbf{signieren}.
2845
2846 Sie wissen, wie Sie eine \Email{} mit dem öffentlichen Zertifikat
2847 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2848
2849 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2850 sicheren \Email{}-Versand: verschlüsseln und signieren.
2851
2852 Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie
2853 ab sofort bei jeder neuen \Email{}, wie Sie Ihre Nachricht versenden
2854 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2855 \Email{} ist:
2856
2857 \begin{itemize}
2858     \item unverschlüsselt
2859     \item verschlüsselt
2860     \item signiert
2861     \item signiert und verschlüsselt (mehr dazu im
2862         Abschnitt~\ref{sec_encsig})
2863 \end{itemize}
2864
2865 Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit
2866 S/MIME realisieren.
2867
2868 \clearpage
2869 \section{Signatur mit GpgOL prüfen}
2870 \index{Signatur!prüfen mit GpgOL}
2871
2872 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2873 Korrespondenzpartners.
2874
2875 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2876 Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder
2877 X.509-Zertifikat Ihres Korrespondenzpartners.  Dessen öffentliches
2878 Zertifikat sollten Sie vor der Überprüfung bereits in Ihre
2879 Zertifikatsverwaltung importiert haben (vgl.
2880 Kapitel~\ref{ch:importCertificate}).
2881
2882 Um eine signierte OpenPGP- oder S/MIME-\Email{} zu prüfen, gehen Sie
2883 genauso vor wie bei der Entschlüsselung einer \Email{} (vgl.
2884 Kapitel~\ref{ch:decrypt}):
2885
2886 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2887
2888 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2889 Signatur. Kleopatra  meldet das Ergebnis in einem Statusdialog, z.B.:
2890
2891 % screenshot: Kleopatra - successfully verify dialog
2892 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2893
2894 Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die
2895 signierte \Email{} zu lesen.
2896
2897 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2898 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2899 Entschlüsseln/Prüfen}.
2900
2901 Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass
2902 die Nachricht bei der Übertragung verändert wurde.  Aufgrund der
2903 technischen Gegebenheiten im Internet ist es nicht auszuschließen,
2904 dass die \Email{} durch eine fehlerhafte Übertragung unabsichtlich
2905 verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann
2906 jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
2907
2908 Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen
2909 sollten, erfahren Sie im Abschnitt~\ref{sec_brokenSignature}.
2910
2911 \clearpage
2912 \section{Gründe für eine gebrochene Signatur}
2913 \label{sec_brokenSignature}
2914 \index{Signatur!gebrochene}
2915
2916 Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen
2917 können:
2918
2919 Wenn Sie bei einer Signaturprüfung den Vermerk "`Bad signature"' oder
2920 "`Überprüfung fehlgeschlagen"' erhalten, ist das ein Warnsignal, dass
2921 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2922 Inhalt oder den Betreff der \Email{} verändert.
2923
2924 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2925 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2926 auszuschließen, dass die \Email{} durch eine fehlerhafte
2927 Übertragung verändert wurde.
2928
2929 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2930 Sie immer die \Email{} erneut beim Absender an!\\
2931
2932 Es ist empfehlenswert, Ihr \Email{}-Programm  so einzustellen, dass
2933 Sie \Email{}s nur im "`Text"'-Format und \textbf{nicht} im
2934 "`HTML"'-Format versenden.  Sollten Sie dennoch HTML für signierte
2935 oder verschlüsselte \Email{}s verwenden, können dabei beim Empfänger
2936 die Formatierungsinformationen verloren gehen, was zum Bruch der
2937 Signatur führen kann.
2938
2939 Bei Outlook 2003 und 2007 können Sie unter
2940 \Menu{Extras$\rightarrow$Optionen$\rightarrow$E-Mail-Format} das
2941 Nachrichtenformat auf \Menu{Nur Text} umstellen.
2942
2943
2944 \clearpage
2945 \section{Verschlüsseln und Signieren}
2946 \label{sec_encsig}
2947 \index{E-Mail!verschlüsseln und signieren}
2948
2949 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2950 des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit
2951 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2952
2953 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2954 Schlüssel -- macht keinen Sinn, weil alle Welt das dazugehörige
2955 öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln
2956 könnte.
2957
2958 Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein
2959 anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu
2960 erzeugen: die Signatur.
2961
2962 Solch eine digitale Signatur bestätigt eindeutig die
2963 Urheberschaft -- denn wenn jemand Ihr öffentliches Zertifikat auf
2964 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2965 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2966 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2967
2968 Sie können beide Möglichkeiten kombinieren, also die \Email{}
2969 verschlüsseln und signieren:
2970
2971 \begin{enumerate}
2972     \item Sie \textbf{signieren} die Botschaft mit Ihren eigenen
2973         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2974     \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2975         öffentlichen Zertifikat des Korrespondenzpartners.
2976 \end{enumerate}
2977
2978 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2979
2980 \begin{enumerate}
2981     \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2982         geheimen Schlüssel.
2983     \item Einen soliden äußeren Umschlag: die
2984         Verschlüsselung mit dem öffentlichen Zertifikat des
2985         Korrespondenzpartners.
2986 \end{enumerate}
2987
2988 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2989
2990 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2991 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2992 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2993 Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis
2994 Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann
2995 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
2996 Schlüssel kodiert worden sein.
2997
2998 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2999 ganz einfach.
3000
3001
3002 \clearpage
3003 \chapter{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
3004 \label{ch:archive}
3005 \index{E-Mail!verschlüsselt archivieren}
3006
3007 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
3008 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
3009
3010 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
3011 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
3012 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
3013 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
3014 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
3015 aufbewahren!
3016
3017 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
3018 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
3019 Empfängers -- und den haben Sie nicht und werden Sie nie haben ...
3020
3021 Also was tun?
3022
3023 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
3024 selbst!}
3025
3026 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
3027 -- z.B. Adele -- verschlüsselt und ein zweites Mal auch für Sie, mit
3028 Hilfe Ihres eigenen öffentlichen Zertifikats. So können Sie die
3029 \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel wieder
3030 lesbar machen.
3031
3032 Jede verschlüsselte Nachricht wird von Gpg4win automatisch auch an Ihr
3033 eigenes Zertifikat verschlüsselt. Dazu nutzt Gpg4win Ihre
3034 Absender-\Email{}-Adresse. Sollten Sie mehrere Zertifikate zu einer
3035 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
3036 entscheiden, an welches Zertifikat verschlüsselt werden soll.
3037
3038 \clearpage
3039 \subsubsection{Kurz zusammengefasst}
3040
3041 \begin{enumerate}
3042     \item Sie haben mit dem öffentlichen Zertifikat Ihres
3043         Korrespondenzpartners eine \Email{} verschlüsselt und ihm
3044         damit geantwortet.
3045     \item Kleopatra verschlüsselt Ihre gesendeten verschlüsselten
3046         \Email{}s auch zusätzlich mit Ihrem eigenen öffentlichen
3047         Zertifikat, sodass die Nachrichten für Sie lesbar bleiben.
3048 \end{enumerate}
3049
3050
3051 \vspace{1cm}
3052 \textbf{Das war's! Zum Ende dieses ersten Teils des Kompendiums
3053 besitzen Sie nun ein sehr fundiertes Einsteigerwissen über Gpg4win.}
3054
3055 \textbf{Willkommen in der Welt der freien und sicheren \Email{}"=Verschlüsselung!}
3056
3057 Für ein noch besseres Verständnis, wie Gpg4win im Hintergrund wirklich
3058 funktioniert, wird empfohlen, dass Sie sich nun mit dem zweiten
3059 Teil des Gpg4win-Kompendiums beschäftigten. Sie werden sehen,
3060 dass Sie viele spannende Dinge darin entdecken werden!
3061
3062
3063 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
3064 % Part II
3065
3066 % page break in toc
3067 \addtocontents{toc}{\protect\newpage}
3068
3069 \clearpage
3070 \T\part{Für Fortgeschrittene}
3071 \W\part*{\textbf{II Für Fortgeschrittene}}
3072 \label{part:Fortgeschrittene}
3073 \addtocontents{toc}{\protect\vspace{0.3cm}}
3074
3075
3076 \clearpage
3077 \chapter{Zertifikat im Detail}
3078 \label{ch:CertificateDetails}
3079 \index{Zertifikatsdetails}
3080
3081 In Kapitel \ref{sec_finishKeyPairGeneration} haben Sie sich schon den
3082 Detaildialog Ihres erzeugten Zertifikats angesehen. Viele Angaben zu
3083 Ihrem Zertifikat sind dort aufgelistet. Im folgenden Abschnitt
3084 erhalten Sie einen genaueren Überblick über die wichtigsten Punkte,
3085 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP- und
3086 X.509-Zertifikaten. Es geht hierbei um:
3087
3088 \begin{itemize}
3089 \item die Benutzerkennung\index{Zertifikat!Benutzerkennung}
3090 \item den Fingerabdruck
3091 \item die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}
3092 \item die Gültigkeit\index{Zertifikat!Gültigkeit}
3093 \item das Vertrauen in den Zertifikatsinhaber \textbf{(nur OpenPGP)}
3094 \item die Beglaubigungen \textbf{(nur OpenPGP)}
3095 \end{itemize}
3096
3097 \begin{description}
3098
3099 \item[Die Benutzerkennung] besteht aus dem Namen und der
3100     \Email{}-Adresse, die Sie während der Zertifikatserzeugung
3101     eingegeben haben, also z.B.: \\ \Filename{Heinrich Heine
3102     <heinrich@gpg4win.de>}
3103
3104     Für OpenPGP-Zertifikate können Sie mit Kleopatra über den
3105     Menüpunkt \Menu{Zertifikate$\rightarrow$%
3106     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
3107     Benutzerkennung hinzufügen...} 
3108     Ihr Zertifikat um weitere Benutzerkennungen
3109     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
3110     \Email{}-Adresse dasselbe Zertifikat nutzen möchten.
3111
3112     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
3113     nur für OpenPGP-Zerti\-fikate möglich, nicht aber für X.509.
3114
3115 \item[Der Fingerabdruck] wird verwendet, um mehrere Zertifikate
3116     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
3117     (öffentlichen) Zertifikaten suchen, die z.B. auf einem weltweit
3118     verfügbaren OpenPGP-Zertifikatsserver (engl. "`key server"')
3119     oder auf einem X.509-Zertifikats\-server liegen.  Was
3120     Zertifikatsserver sind, erfahren Sie im folgenden Kapitel.
3121
3122 \item[Die Schlüssel-ID] (auch Schlüsselkennung genannt) besteht aus
3123     den letzten acht Stellen des Fingerabdrucks und erfüllt denselben
3124     Zweck wie dieser. Die wesentlich geringere Länge macht die
3125     Schlüsselkennung einfacher handhabbar, 
3126     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
3127     Zertifikate mit derselben Kennung).
3128
3129 \item[Die Gültigkeit] von Zertifikaten bezeichnet die Dauer ihrer
3130     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
3131     
3132     Für OpenPGP-Zertifikate ist die Gültigkeit normalerweise auf
3133     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
3134     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
3135     Zertifikatsdetails klicken -- oder das Menü
3136     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
3137     ein neues Datum eintragen. Damit können Sie Zertifikate für eine
3138     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
3139     auszugeben.
3140
3141     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
3142     Zertifikatsausstellung von der Beglaubigungsinstanz (CA)
3143     festgelegt und kann nicht vom Nutzer geändert werden.
3144
3145 \item[Das Vertrauen in den Zertifikatsinhaber] \T\marginOpenpgp
3146     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
3147     des OpenPGP-Zertifikats echt (authentisch) ist und auch andere
3148     OpenPGP-Zertifikate korrekt beglaubigen wird.  Sie können das
3149     Vertrauen über die Schaltfläche \Button{Vertrauen in den
3150     Zertifikatsinhaber ändern} in den Zertifikatsdetails oder über das
3151     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
3152     einstellen.
3153
3154     Der Vertrauensstatus ist nur für OpenPGP-Zertifikate relevant.
3155     Für X.509-Zerti\-fikate gibt es diese Methode der
3156     Vertrauensstellung nicht.
3157
3158 \item[Die Beglaubigungen] \T\marginOpenpgp
3159     Ihres OpenPGP-Zertifikats beinhalten die
3160     Benutzerkennungen derjenigen Zertifikatsinhaber, die
3161     sich von der Echtheit Ihres Zertifikats überzeugt und es dann auch
3162     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Zertifikats
3163     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
3164     Nutzern erhalten.
3165
3166     Beglaubigungen sind nur für OpenPGP-Zertifikate relevant.  Für
3167     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
3168     nicht.
3169
3170 \end{description}
3171
3172 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3173 Diese Zertifikatsdetails müssen Sie für die tagtägliche Benutzung von
3174 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
3175 neue Zertifikate erhalten oder ändern wollen.
3176
3177 Wie Sie fremde Zertifikate prüfen und beglaubigen und was genau das
3178 "`Netz des Vertrauens"' ist, haben Sie bereits in Kapitel
3179 \ref{ch:trust} gelesen.
3180
3181
3182 \clearpage
3183 \chapter{Die Zertifikatsserver}
3184 \label{ch:keyserver}
3185 \index{Zertifikatsserver}
3186
3187 Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen
3188 (OpenPGP- oder X.509-) Zertifikats wurde bereits im
3189 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
3190 Kapitel beschäftigt sich mit den Details von Zertifikatsservern und
3191 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
3192
3193 Zertifikatsserver können von allen Programmen benutzt werden, die die
3194 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
3195 beide Arten, also sowohl OpenPGP- als auch X.509-Zerti\-fi\-katsserver.
3196
3197
3198 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3199
3200 \begin{description}
3201
3202 \item[OpenPGP-Zertifikatsserver]\T\marginOpenpgp
3203     \index{Zertifikatsserver!OpenPGP}
3204     (im Englischen auch "`key server"' genannt) sind dezentral
3205     organisiert und synchronisieren sich weltweit miteinander.
3206     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
3207     liegenden OpenPGP-Zertifikate gibt es nicht.  Dieses verteilte
3208     Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere
3209     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
3210     Zertifikate löschen, um so die sichere Kommunikation unmöglich zu
3211     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
3212
3213     \htmlattributes*{img}{width=300}
3214     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3215
3216 \item[X.509-Zertifikatsserver] \T\marginSmime
3217     \index{Zertifikatsserver!X.509}
3218     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
3219     LDAP\index{LDAP} bereitgestellt und manchmal auch als
3220     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
3221
3222 \end{description}
3223
3224
3225 \clearpage
3226 \section{Zertifikatsserver einrichten}
3227 \label{configureCertificateServer}
3228 \index{Zertifikatsserver!einrichten}
3229
3230 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
3231 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
3232
3233
3234 Legen Sie unter der Gruppe \Menu{Zertifikatsserver} einen neuen
3235 Zertifikatsserver an, indem Sie auf die Schaltfläche \Menu{Neu}
3236 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
3237
3238 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
3239 OpenPGP-Zertifikatsserver mit der Serveradresse
3240 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3241 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
3242 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
3243 nächsten Seite.
3244
3245 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
3246 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
3247 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
3248 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
3249 Server-Port.
3250
3251 Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so
3252 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
3253 tragen Ihre gewünschten Angaben ein.
3254
3255
3256 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3257 Der folgende Screenshot zeigt einen konfigurierten
3258 OpenPGP"=Zertifikatsserver:
3259
3260 % screenshot: Kleopatra OpenPGP certificate server config dialog
3261 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
3262
3263 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
3264 Zertifikatsserver ist nun erfolgreich eingerichtet.
3265
3266 Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert
3267 haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu
3268 starten (Anleitung siehe
3269 Abschnitt~\ref{searchAndImportCertificateFromServer}).
3270
3271 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
3272 nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
3273 \Menu{Servername} um den Parameter \Filename{http-proxy=<proxydomain>}
3274 ergänzen. Der vollständige Servername könnte also z.B. lauten:\\
3275 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ Kontrollieren und ggf.
3276 korrigieren können Sie die Zertifikatsserver"=Konfigurationen auch in
3277 der Datei: \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3278
3279 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
3280 finden Sie im Abschnitt~\ref{x509CertificateServers}.
3281
3282 \subsubsection{OpenPGP-Zertifikatsserver-Adressen}
3283
3284 \T\marginOpenpgp
3285 Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden,
3286 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
3287
3288 Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
3289 \begin{itemize}
3290 \item hkp://blackhole.pca.dfn.de
3291 \item hkp://pks.gpg.cz
3292 \item hkp://pgp.cns.ualberta.ca
3293 \item hkp://minsky.surfnet.nl
3294 \item hkp://keyserver.ubuntu.com
3295 \item hkp://keyserver.pramberger.at
3296 \item http://keyserver.pramberger.at
3297 \item http://gpg-keyserver.de
3298 \end{itemize}
3299
3300 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
3301 besten mit Zertifikatsservern, deren URL mit \Filename{http://}
3302 beginnen.
3303
3304 Die Zertifikatsserver unter den Adressen
3305 \begin{itemize}
3306     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
3307         siehe Bildschirmfoto auf vorheriger Seite)
3308 \item hkp://subkeys.pgp.net
3309 \end{itemize}
3310 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
3311 dann zufällig ein konkreter Server ausgewählt.
3312
3313 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
3314 Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern
3315 synchronisiert (Stand: Mai 2010).
3316
3317 \clearpage
3318 \section{Zertifikate auf Zertifikatsservern suchen und importieren}
3319 \label{searchAndImportCertificateFromServer}
3320 \index{Zertifikatsserver!Suche nach Zertifikaten}
3321 \index{Zertifikat!importieren}
3322 Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben,
3323 können Sie nun dort nach Zertifikaten suchen und diese anschließend
3324 importieren.
3325
3326 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Zertifikate
3327 auf Server suchen...}.
3328
3329 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3330 Zertifikatsbesitzers -- oder eindeutiger und daher besser geeignet --
3331 seine \Email{}-Adresse seines Zertifikats eingeben können.
3332
3333 % screenshot: Kleopatra certification search dialog
3334 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3335
3336 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3337 auf die Schaltfläche \Button{Details...}.
3338
3339 Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale
3340 Zertifikatssammlung einfügen möchten, selektieren Sie das
3341 Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf
3342 \Button{Importieren}.
3343
3344 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3345 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3346
3347 War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat
3348 in der Zertifikatsverwaltung von Kleopatra.
3349
3350 \section{Zertifikate auf OpenPGP-Zertifikatsserver exportieren}
3351 \index{Zertifikat!exportieren}
3352
3353 \T\marginOpenpgp
3354 Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt
3355 \ref{configureCertificateServer} beschrieben eingerichtet haben,
3356 genügt ein Maus\-klick, und Ihr öffentliches OpenPGP-Zertifikat ist
3357 unterwegs rund um die Welt.
3358
3359 Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie
3360 anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3361 nach Server exportieren...}.
3362
3363 Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren
3364 OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren
3365 sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3366 OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie
3367 ein "`globales"' Zertifikat.
3368
3369 Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen
3370 OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen
3371 Kleopatra den bereits voreingestellten Server
3372 \Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3373
3374
3375
3376 \clearpage
3377 \chapter{Dateianhänge verschlüsseln}
3378 \index{Dateianhänge verschlüsseln}
3379
3380 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3381 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3382 verschlüsselt werden.
3383
3384 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3385 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3386 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3387
3388 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3389 Anhängen automatisch.}
3390
3391 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3392 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3393 unverschlüsselt mitgesendet.
3394
3395 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3396 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3397 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3398 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3399 beschrieben ist.
3400
3401
3402 \clearpage
3403 \chapter{Dateien signieren und verschlüsseln}
3404 \label{ch:EncFiles}
3405 \index{GpgEX}
3406
3407 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
3408 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
3409
3410 \begin{itemize}
3411   \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
3412       Zertifikats, um sicherzugehen, dass die Datei unverändert
3413       bleibt.
3414
3415   \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
3416       öffentlichen Zertifikats, um die Datei vor unbefugten Personen
3417       geheim zu halten.
3418 \end{itemize}
3419
3420 Mit der Anwendung \textbf{GpgEX} können Sie Dateien ganz einfach aus
3421 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
3422 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
3423 genau funktioniert.
3424
3425 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
3426 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
3427 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
3428 gesondert darum zu kümmern.
3429
3430 \clearpage
3431 \section{Dateien signieren und prüfen}
3432 \label{sec_signFile}
3433 \index{Datei!signieren}
3434
3435 Beim Signieren einer Datei kommt es vorrangig nicht auf die
3436 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
3437 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
3438
3439 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
3440 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
3441 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
3442 Kontextmenü:
3443
3444 % screenshot GpgEX contextmenu sign/encrypt
3445 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3446
3447 Dort wählen Sie \Menu{Signieren und verschlüsseln} aus.
3448
3449 \clearpage
3450 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
3451
3452 % screenshot sign file, step 1
3453 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
3454
3455 Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII
3456 armor\index{ASCII armor})}
3457 aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
3458 \Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
3459 Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
3460 dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
3461 kennen.
3462
3463 Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
3464 einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
3465 Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
3466 angesehen werden.
3467
3468
3469 Klicken Sie anschließend auf \Button{Weiter}.
3470
3471 \clearpage
3472 Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
3473 Ihr geheimes (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die
3474 Datei signieren möchten.
3475
3476 % screenshot sign file, step 2: choose sign certificates
3477 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
3478
3479 Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
3480
3481 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
3482
3483 \clearpage
3484 Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:
3485
3486 % screenshot sign file, step 3: finish
3487 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
3488
3489 Sie haben damit Ihre Datei erfolgreich signiert.
3490
3491 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
3492 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
3493 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
3494 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
3495 notwendig.
3496
3497 Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
3498 wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
3499 OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
3500 Ergebnis möglich:
3501
3502 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3503
3504 \begin{description}
3505     \item[OpenPGP:]~\\
3506     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
3507     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3508     ~ \small (bei Ausgabe als Text/ASCII-armor)
3509     \normalsize
3510
3511     \item[S/MIME:]~\\
3512     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
3513     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3514     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3515     \normalsize
3516 \end{description}
3517
3518 \clearpage
3519 \subsubsection{Signatur prüfen}
3520 \index{Datei!Signatur prüfen}
3521
3522 Prüfen Sie nun, ob die eben signierte Datei integer
3523 -- d.h. korrekt -- ist!
3524
3525 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
3526 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
3527 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
3528 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
3529 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
3530 den Eintrag  \Menu{Entschlüsseln und prüfen}:
3531
3532 % screenshot GpgEX contextmenu verifiy/decrypt
3533 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3534
3535 \clearpage
3536 Daraufhin erhalten Sie folgendes Fenster:
3537
3538 % screenshot kleopatra verify file, step 1
3539 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
3540
3541 Kleopatra zeigt unter \Menu{Eingabe-Datei} den vollständigen Pfad zur
3542 ausgewählten Signatur-Datei an.
3543
3544 Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
3545 aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
3546 mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
3547 die zugehörige signierte Originaldatei in demselben Datei-Ordner.
3548
3549 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
3550 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
3551 gleichzeitig verarbeiten.
3552
3553 Bestätigen Sie die gegebenen Operationen mit
3554 \Button{Entschlüsseln/Prüfen}.
3555
3556 \clearpage
3557 Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
3558 Fenster:
3559
3560 % screenshot kleopatra verify file, step 2
3561 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
3562
3563 Das Ergebnis zeigt, dass die Signatur korrekt ist -- also die Datei
3564 integer ist und somit \textbf{nicht} verändert wurde.
3565
3566 \clearpage
3567 Selbst wenn nur ein Zeichen in der Originaldatei hinzugefügt, gelöscht
3568 oder geändert wurde, wird die Signatur als gebrochen angezeigt
3569 (Kleopatra stellt das Ergebnis als rote Warnung dar):
3570
3571 % screenshot kleopatra verify file, step 2a (bad signature)
3572 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
3573
3574
3575 \clearpage
3576 \section{Dateien verschlüsseln und entschlüsseln}
3577 \index{Datei!verschlüsseln}
3578
3579 Genauso wie \Email{}s lassen sich Dateien nicht nur signieren, sondern
3580 auch verschlüsseln. Das sollten Sie im folgenden Abschnitt mit GpgEX
3581 und Kleopatra einmal durchspielen.
3582
3583 Selektieren Sie eine (oder mehrere) Datei(en) und öffnen Sie mit der
3584 rechten Maustaste das Kontextmenü:
3585
3586 % screenshot GpgEX contextmenu sign/encrypt
3587 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
3588
3589 Wählen Sie hier wieder \Menu{Signieren und verschlüsseln} aus.
3590
3591 \clearpage
3592 Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl.
3593 Abschnitt~\ref{sec_signFile}) bereits kennen.
3594
3595 Wählen Sie im oberen Feld auf die Option \Menu{Verschlüsseln}:
3596
3597 % screenshot kleopatra encrypt file, step 1
3598 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
3599
3600 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3601
3602 Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf
3603 umstellen:
3604 \begin{description}
3605     \item[Ausgabe als Text (ASCII armor\index{ASCII armor}):] Bei
3606         Aktivierung dieser Option erhalten Sie die verschlüsselte
3607         Datei mit einer Dateiendung \Filename{.asc} (OpenPGP) bzw.
3608         \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3609         Texteditor geöffnet werden -- Sie sehen dort allerdings nur
3610         den Buchstaben- und Ziffernsalat, den Sie schon kennen.
3611
3612         Ist diese Option nicht ausgewählt, so wird eine verschlüsselte
3613         Datei mit der Endung \Filename{.gpg} (OpenPGP) bzw.
3614         \Filename{.p7m} (S/MIME) angelegt. Diese Dateien sind
3615         Binärdateien, sie können also nicht mit einem Texteditor
3616         angesehen werden.
3617
3618     \item[Unverschlüsseltes Original anschließend löschen:] Ist diese
3619         Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem
3620         Verschlüsseln gelöscht.
3621 \end{description}
3622
3623 Klicken Sie auf \Button{Weiter}.
3624
3625 \clearpage
3626 Für wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
3627 Dialog einen oder mehrere Empfänger-Zertifikate aus:
3628
3629 % screenshot kleopatra encrypt file, step 2
3630 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile2_de}
3631
3632 Zum Auswählen selektieren Sie im oberen Teil die gewünschten
3633 Zertifikate und drücken Sie auf \Button{Hinzufügen}.  Sie bekommen
3634 alle ausgewählten Zertifikate im unteren Dialogteil zur Kontrolle noch
3635 einmal angezeigt.
3636
3637 Abhängig vom gewählten Empfänger-Zertifikat und dessen Typ (OpenPGP
3638 oder S/MIME) wird Ihre Datei anschließend mit Hilfe von OpenPGP und/oder
3639 S/MIME verschlüsselt. Haben Sie also ein OpenPGP-Zertifikat
3640 \textit{und} ein S/MIME-Zertifikat ausgewählt, werden Sie zwei
3641 verschlüsselte Dateien erhalten.  Die möglichen Dateitypen der
3642 verschlüsselten Dateien finden Sie auf der nächsten Seite.
3643
3644 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{\baselineskip}}{}
3645
3646 Klicken Sie nun auf \Button{Verschlüsseln}: Die Datei wird
3647 verschlüsselt.
3648
3649 \clearpage
3650 Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
3651 aussehen:
3652 % screenshot kleopatra encrypt file, step 3: successful
3653 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
3654
3655 Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
3656
3657 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3658
3659 Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten
3660 Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.  Beim Verschlüsseln
3661 Ihrer Originaldatei (hier \Filename{<dateiname>.txt}) sind insgesamt
3662 vier Dateitypen als Ergebnis möglich:
3663
3664 \begin{description}
3665     \item[OpenPGP:]~\\
3666     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.gpg}}\\
3667     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
3668     ~ \small (bei Ausgabe als Text/ASCII-armor)
3669     \normalsize
3670
3671     \item[S/MIME:]~\\
3672     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7m}}\\
3673     \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
3674     ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
3675     \normalsize
3676 \end{description}
3677
3678 Eine dieser vier möglichen verschlüsselten Ergebnisdateien geben Sie
3679 nun an Ihren ausgewählten Empfänger weiter. Anders als beim Signieren
3680 einer Datei wird die unverschlüsselte Originaldatei natürlich
3681 \textbf{nicht} weitergegeben.
3682
3683 \clearpage
3684 \subsubsection{Datei entschlüsseln}
3685 \index{Datei!entschlüsseln}
3686 Nun kann die zuvor verschlüsselte Datei zum Testen einmal
3687 entschlüsselt werden.
3688
3689 Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes
3690 Zertifikat verschlüsselt haben -- andernfalls können Sie die Datei
3691 nicht mit Ihrem geheimen Schlüssel entschlüsseln (vgl.
3692 Kapitel~\ref{ch:archive}).
3693
3694 Selektieren Sie die verschlüsselte Datei -- also eine mit der Endung
3695 \Filename{.gpg}, \Filename{.asc}, \Filename{.p7m} oder \Filename{.pem}
3696 -- und wählen Sie im Kontextmenü des Windows-Explorers
3697 den Eintrag \Menu{Entschlüsseln und prüfen}:
3698
3699 % screenshot contextmenu verifiy/decrypt
3700 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3701
3702 \clearpage
3703 Im folgenden Entschlüsselungsdialog können Sie bei Bedarf noch den
3704 Ausgabe-Ordner verändern.
3705
3706 % screenshot kleopatra decrypt file, step 1
3707 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
3708
3709 Klicken Sie auf \Button{Entschlüsseln/Prüfen}.
3710
3711 Geben Sie anschließend Ihre Passphrase ein.
3712
3713 \clearpage
3714 Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:
3715
3716 % screenshot kleopatra decrypt file, step 2
3717 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile2_de}
3718
3719 Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit
3720 einem entsprechenden Programm verwenden können.
3721
3722 \clearpage
3723 \subsubsection{Kurz zusammengefasst}
3724 Sie haben gelernt, wie Sie mit GpgEX:
3725 \begin{itemize}
3726     \item Dateien signieren
3727     \item signierte Dateien prüfen
3728     \item Dateien verschlüsseln
3729     \item verschlüsselte Dateien entschlüsseln
3730 \end{itemize}
3731
3732 \subsubsection{Gleichzeitig signieren und verschlüsseln}
3733
3734 Diese Option ist Ihnen sicher schon in den entsprechenden Dialogen
3735 aufgefallen.  Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben
3736 in einem Schritt.
3737
3738 Beachten Sie, dass immer {\em zuerst signiert}, erst danach
3739 verschlüsselt wird.
3740
3741 Die Signatur wird also immer als geheim mitverschlüsselt.  Sie kann
3742 nur von denjenigen gesehen und geprüft werden, die die Datei
3743 erfolgreich entschlüsseln konnten.
3744
3745 Möchten Sie Dateien signieren \textit{und} verschlüsseln, ist das
3746 derzeit nur mit OpenPGP möglich.
3747
3748
3749 \clearpage
3750 \chapter{Im- und Export eines geheimen Zertifikats}
3751 \label{ch:ImExport}
3752
3753 In den Kapiteln \ref{ch:publishCertificate} und
3754 \ref{ch:importCertificate} wurde der Im- und Export von Zertifikaten
3755 erläutert. Sie haben Ihr eigenes Zertifikat exportiert, um es zu
3756 veröffentlichen, und das Zertifikat Ihres Korrespondenzpartners
3757 importiert und so "`an Ihrem Schlüsselbund\index{Schlüsselbund}
3758 befestigt"' (d.h. in Ihre Zertifikatsverwaltung aufgenommen).
3759
3760 Dabei ging es stets um \textbf{öffentliche} Schlüssel. Es gibt
3761 aber auch hin und wieder die Notwendigkeit, einen \textbf{geheimen}
3762 Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits
3763 vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win
3764 weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie
3765 Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls
3766 zunächst das gesamte Schlüsselpaar dorthin transferiert werden --~der
3767 öffentliche und der geheime Schlüssel.
3768
3769 \clearpage
3770 \section{Export}
3771 \index{Zertifikat!exportieren}
3772 Immer, wenn Sie ein geheimes Zertifikat auf einen anderen Rechner
3773 transferieren oder auf einer anderen Festplattenpartition bzw. einem
3774 Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
3775 Sicherungskopie erstellen.
3776
3777 Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
3778 OpenPGP-Zertifikats\-erzeu\-gung angelegt. Da Ihr OpenPGP-Zertifikat
3779 aber inzwischen weitere Beglaubigungen haben kann, sollten Sie es ggf.
3780 erneut sichern.
3781
3782 Öffnen Sie Kleopatra, selektieren Sie Ihr eigenes Zertifikat und
3783 klicken Sie auf \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren}.
3784
3785 % screenshot kleopatra export secret key
3786 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3787
3788 Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.  Der Dateityp
3789 wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen
3790 OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig
3791 die Dateiendung \Filename{.gpg} (OpenPGP) oder \Filename{.p12}
3792 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um
3793 Binärdateien, die Ihr Zertifikat (inkl. geheimem Schlüssel)
3794 verschlüsselt enthalten.
3795
3796 Bei Aktivierung der Option \Menu{ASCII-geschützt (ASCII armor\index{ASCII armor})}
3797 erhalten Sie die Dateiendung \Filename{.asc} (OpenPGP) bzw.
3798 \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3799 Texteditor geöffnet werden -- Sie sehen dort allerdings nur den
3800 Buchstaben- und Ziffernsalat, den Sie schon kennen. 
3801
3802 Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei
3803 mit der Endung \Filename{.gpg} (OpenPGP) oder \Filename{.p12} (S/MIME)
3804 angelegt.  Diese Dateien sind Binärdateien, sie können also nicht mit
3805 einem Texteditor angesehen werden. 
3806
3807 Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
3808 Kleopatra in \textbf{einem} einzigen geheimen Zertifikat
3809 abgespeichert.
3810
3811 \textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie
3812 enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische
3813 Informationen!
3814
3815 \clearpage
3816 \section{Import}
3817 \index{Zertifikat!importieren}
3818 Zum Importieren Ihres zuvor exportierten geheimen Zertifikats in
3819 Kleopatra gehen Sie so vor, wie Sie es vom Import fremder
3820 öffentlicher Zertifikate gewohnt sind (vgl.
3821 Kapitel~\ref{ch:importCertificate}):
3822
3823 Klicken Sie auf \Menu{Datei$\rightarrow$Zertifikat importieren...} und
3824 wählen Sie die zu importierende Datei aus.  Handelt es sich um eine
3825 PKCS12-Datei (z.B. vom Typ \Filename{.p12}), so werden Sie zunächst
3826 nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:
3827
3828 % screenshot pinentry p12 import (I)
3829 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-a_de}
3830
3831 Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der
3832 nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:
3833
3834 % screenshot pinentry p12 import (II)
3835 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3836
3837 Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu
3838 kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend
3839 gewarnt.
3840
3841 \clearpage
3842 Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
3843 das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am
3844 Beispiel eines geheimen OpenPGP-Zertifikats:
3845
3846 % screenshot kleopatra import secret key - status
3847 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3848
3849 Kleopatra hat damit sowohl den geheimen als auch den öffentlichen
3850 Schlüssel aus der Sicherungsdatei importiert. Ihr Zertifikat ist damit
3851 unter "`Meine Zertifikate"' in der Zertifikatsverwaltung von Kleopatra
3852 sichtbar.
3853
3854 Sichern Sie die Sicherungskopie Ihres
3855 geheimen Zertifikats -- möglichst auf einem physikalisch gesicherten
3856 (z.B. in einem Tresor) externen Medium. Löschen Sie
3857 sie danach von Ihrer Festplatte und denken Sie auch daran, die
3858 gelöschte Datei aus Ihrem "`Papierkorb"' zu entfernen. Andernfalls
3859 stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime
3860 \Email{}-Verschlüsselung dar.\\
3861
3862 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3863 \T\marginOpenpgp
3864 Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP ("`Pretty
3865 Good Privacy"') exportiertes Zertifikat nicht importieren können:  Sie
3866 geben zwar die richtige Passphrase ein, diese wird aber nicht
3867 akzeptiert.  Der Grund ist, dass bestimmte Versionen von PGP intern
3868 einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen
3869 nicht unterstützen kann.  
3870
3871 Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase
3872 und exportieren/importieren Sie das OpenPGP-Zertifikat erneut.  Sollte dies
3873 auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3874 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie
3875 wieder -- in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl
3876 die \textbf{Datei sicher löschen} als auch in PGP und in
3877 Gpg4win danach wieder eine echte \textbf{Passphrase setzen.}
3878
3879 ~\\ \textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr
3880 Schlüsselpaar exportiert und wieder importiert.}
3881
3882
3883 \clearpage
3884 \chapter{Systemweite Konfiguration und Vorbelegung für
3885 \protect{S/MIME}}
3886 \label{ch:smime-configuration}
3887
3888 \T\enlargethispage{\baselineskip}
3889 \T\marginSmime
3890 Im Rahmen einer zentralen Softwareverteilung oder Umgebungen, in denen
3891 viele Anwender auf einem Rechner arbeiten, ist es sinnvoll, einige
3892 systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.
3893
3894 Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten
3895 ist es sinnvoll, dass die Anwender die Informationen dazu miteinander
3896 teilen.
3897
3898 Einige typische systemweite Einstellungen sind:
3899
3900 \begin{description}
3901 \item[Vertrauenswürdige Wurzelzertifikate:]
3902     \index{Vertrauenswürdige Wurzelzertifikate}
3903     \index{Wurzelzertifikat}
3904     Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3905     Wurzelzertifikate suchen und installieren sowie deren
3906     Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl.
3907     Abschnitt \ref{sec_allow-mark-trusted}), ist eine systemweite
3908     Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.
3909
3910     Dazu sollten die Wurzelzertifikate abgelegt -- wie in Abschnitt
3911     \ref{trustedrootcertsdirmngr} beschrieben -- und die
3912     vertrauenswürdigen Wurzelzertifikate definiert werden -- wie in
3913     Abschnitt \ref{sec_systemtrustedrootcerts} beschrieben.
3914
3915 \item[Direkt verfügbare CA-Zertifikate:] \index{CA-Zertifikat}
3916     Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate
3917     der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu
3918     suchen und zu importieren, ist auch hier eine systemweite
3919     Vorbelegung der wichtigsten CA-Zertifikate sinnvoll.  Eine
3920     Beschreibung hierzu finden Sie im Abschnitt
3921     \ref{extracertsdirmngr}.
3922
3923
3924 \item[Proxy für Zertifikatsserver- und Sperrlisten-Suche:]
3925     \index{Proxy}
3926
3927     Für die Gültigkeitsinformationen bieten die X.509-Protokolle
3928     verschiedene Möglichkeiten an. Von den meisten
3929     Zertifizierungsstellen werden Sperrlisten\index{Sperrlisten} (auch
3930     CRLs \index{CRLs|see{Sperrlisten}} genannt, nach RFC5280) und
3931     OSCP\index{OSCP} (nach RFC2560) unterstützt. OSCP bringt
3932     zeitnähere Informationen, hat aber den Nachteil, dass Netzverkehr
3933     bis zum OSCP-Dienst erfolgt und daran auch
3934     gut erkannt werden kann, mit welchen Partnern gerade Nachrichten
3935     ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es
3936     ist die Komponente "`DirMngr"' \index{Directory Manager|see{DirMngr}}
3937     \index{DirMngr}, welche als systemweiter Dienst läuft.
3938
3939     Es können interne Netzwerke keine direkten Verbindungen der
3940     einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern
3941     einen Stellvertreterdienst (einen sogenannten "`Proxy"') vorsehen. 
3942     Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies
3943     \index{LDAP} \index{HTTP} umgehen.
3944
3945     S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste
3946     extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch
3947     Verzeichnisdienste über LDAP\index{LDAP}. Anders als bei OpenPGP kann sich der
3948     Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den
3949     verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich
3950     Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich
3951     sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern
3952     möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen,
3953     dass X.509-Sperrlisten ausschließlich mit korrekten Informationen
3954     übermittelt werden.  
3955
3956     \clearpage
3957     Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen
3958     HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie
3959     folgende Schritte durch:
3960
3961     \begin{enumerate}
3962         \item Stellen Sie X.509-Zertifikatsserver-Suche auf einen
3963             Proxy ein, wie in Abschnitt~\ref{x509CertificateServers}
3964             beschrieben.
3965
3966         \item Stellen Sie Sperrlisten-Suche auf einen Proxy ein,
3967             wie ebenfalls in Abschnitt~\ref{x509CertificateServers}
3968             beschrieben.
3969            
3970         \item Starten Sie den DirMngr neu (siehe
3971             Abschnitt~\ref{dirmngr-restart}).
3972     \end{enumerate}
3973 \end{description}
3974
3975
3976
3977 \clearpage
3978 \chapter{Bekannte Probleme und Abhilfen}
3979 \index{Problembehebungen}
3980
3981 \section{GpgOL-Menüs und -Dialoge nicht mehr in Outlook zu finden} 
3982 \index{Outlook}
3983 Es kann vorkommen, dass die von GpgOL zu Outlook hinzugefügten Menüs
3984 und Dialoge nicht mehr zu finden sind.
3985
3986 Das kann dann passieren, wenn ein technisches Problem auftrat und
3987 Outlook aus diesem Grund die GpgOL-Komponente deaktiviert hat.
3988
3989 Reaktivieren Sie GpgOL über das Outlook-Menü:\\ Outlook2007:
3990 \Menu{?$\rightarrow$Deaktivierte Elemente}\\ Outlook2003:
3991 \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}
3992
3993 Um  GpgOL manuell zu (de-)aktivieren, nutzen Sie den Add-In-Manager von
3994 Outlook:
3995 \begin{itemize}
3996     \item \textbf{Outlook2003:}
3997         \Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
3998         Optionen... $\rightarrow$ Add-In-Manager...}
3999     \item \textbf{Outlook2007:}
4000         \Menu{Extras$\rightarrow$Vertrauensstellungscenter$\rightarrow$Add-Ins}
4001         -- dann unter \Menu{Verwalten} die \Menu{Exchange-Clienterweiterungen} auswählen 
4002         und auf \Button{Gehe zu...} klicken.
4003 \end{itemize}
4004
4005 \section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}
4006
4007 Wenn bereits viele Schaltflächen in der Symbolleiste des
4008 Nachrichtenfensters vorhanden sind, so stellt Outlook2003 die
4009 Signieren-/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort
4010 sichtbar dar.
4011
4012 Sie können diese Schaltflächen aber anzeigen lassen, indem Sie in der
4013 Symbolleiste auf das kleine Icon mit dem Pfeil nach unten klicken
4014 (\Menu{Optionen für Symbolleiste}):  Sie erhalten eine Übersicht aller
4015 nicht angezeigten Schaltflächen. Ein Klick auf einen dieser Einträge
4016 verschiebt ihn in den sichtbaren Teil der Symbolleiste.
4017
4018
4019 \section{GpgOL-Schaltflächen sind in Outlook2007 unter "`Add-Ins"'}
4020
4021 Mit Outlook2007 wurde die sogenannte "`Ribbon"'-Oberfläche eingeführt.
4022 Diese Multifunktionsleis\-te im Outlook-Nachrichtenfenster besitzt
4023 verschiedene Registerkarten.  Die GpgOL-Schaltflächen (für
4024 Verschlüsseln, Signieren etc.) sind unter der Registerkarte
4025 "`Add-Ins"' eingeordnet; so wie alle Schaltflächen von Erweiterungen
4026 durch Outlook dort angelegt werden.  Eine Integration der   
4027 GpgOL-Schalt\-flächen z.B. unter "`Nachrichten"' ist nicht möglich.
4028
4029 Sie können Ihre \Menu{Symbolleiste für den Schnellzugriff} anpassen
4030 und dort die Symbolleistenbefehle der Add-In-Registerkarte aufnehmen.
4031
4032
4033 \section{Fehler beim Start von GpgOL}
4034
4035 Haben Sie Gpg4win (und damit die Programmkomponente GpgOL) erst auf einem
4036 Laufwerk installiert, anschließend wieder deinstalliert und auf
4037 einem anderen Laufwerk erneut installiert? Dann kann es sein, dass
4038 Outlook weiterhin den GpgOL-Pfad auf dem ersten (alten) Laufwerk
4039 sucht.
4040
4041 Dabei wird beim Start von Outlook die Programmerweiterung GpgOL nicht
4042 mehr gestartet und folgende Fehlermeldung erscheint:
4043
4044 \Menu{Die Erweiterung '\Filename{<alter-Pfad-zu-gpgol.dll>}' konnte
4045 nicht installiert oder geladen werden. Das Problem kann u.U. durch das
4046 Benutzen von 'Erkennen und Reparieren' in der Hilfe behoben werden.}
4047
4048 Lösen können Sie dieses Problem, in dem Sie den Outlook-internen
4049 (zwischengespeicherten) Programmerweiterungs-Pfad
4050 zurücksetzen.  Löschen Sie dazu bitte folgende Datei:\\
4051 \Filename{\%APPDATA\%\back{}Lokale
4052 Einstellungen\back{}Anwendungsdaten\back{}Microsoft\back{}\T\\
4053 Outlook\back{}extend.dat}
4054
4055 \textbf{Dabei sollte Outlook nicht laufen.} Anschließend starten Sie
4056 Outlook erneut. Outlook mit GpgOL sollten nun problemlos funktionieren.
4057
4058
4059 \section{Installation von Gpg4win auf einem virtuellen Laufwerk}
4060
4061 Beachten Sie bitte, dass eine Installation von Gpg4win auf einem
4062 (mit dem Befehl \Filename{subst} simulierten) \textbf{virtuellen
4063 Laufwerk} nicht möglich ist. Diese virtuellen Laufwerke sind nur lokal
4064 für den aktuellen Benutzer nutzbar. Systemdienste (wie der DirMngr)
4065 sehen diese Laufwerke nicht. Der Installationspfad ist damit ungültig
4066 -- die Installation stoppt mit einem Fehler in der Art \linebreak
4067 \Filename{error:StartService: ec=3}.  Installieren Sie bitte Gpg4win
4068 auf einem systemweit verfügbaren Laufwerk.
4069
4070
4071 \section{GpgOL überprüft keine InlinePGP"=\Email{}s von "`CryptoEx"'}
4072 \index{CryptoEx}
4073
4074 Um signierte bzw. verschlüsselte InlinePGP-\Email{}s zu prüfen bzw. zu
4075 entschlüsseln, die von der Outlook-Programmerweiterung "`CryptoEx"'
4076 versendet wurden, muss in den GpgOL-Optionen die 
4077 S/MIME-Unterstützung eingeschaltet sein.
4078
4079 Versichern Sie sich, dass die folgende Option in Outlook unter
4080 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} aktiv ist:\\
4081 \Menu{S/MIME Unterstützung einschalten}.
4082
4083 \clearpage
4084 \section{Keine S/MIME-Operationen möglich (Systemdienst
4085 "`DirMngr"' läuft nicht)}
4086 \label{dirmngr-restart}
4087 \index{DirMngr}
4088
4089 \T\marginSmime
4090 Der "`Directory Manager"' (DirMngr) ist ein durch Gpg4win installierter
4091 Dienst, der die Zugriffe auf Zertifikatsserver verwaltet. Eine Aufgabe
4092 des DirMngr ist das Laden von Sperrlisten (CRLs) für
4093 S/MIME-Zertifikate.
4094
4095 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
4096 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können,
4097 weil DirMngr nicht verfügbar ist. In der Voreinstellung von Gpg4win
4098 ist es zwingend notwendig, dass DirMngr die Sperrlisten prüft --
4099 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
4100 werden, da möglicherweise ein kompromittiertes Zertifikat genutzt
4101 wird.
4102
4103 Abhilfe schafft ein Neustart des DirMngr durch den
4104 Systemadministrator.  Dies erfolgt über
4105 \Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.  In
4106 der Liste finden Sie DirMngr -- über das Kontextmenü kann der Dienst
4107 neu gestartet werden.
4108
4109
4110 %\clearpage
4111 \section{Keine S/MIME-Operationen möglich (CRLs nicht verfügbar)}
4112 \label{smime-problem-crl}
4113
4114 \T\marginSmime
4115 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
4116 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
4117 CRLs nicht verfügbar sind. In der Voreinstellung von 
4118 \T\ifthenelse{\boolean{DIN-A5}}{\linebreak}{}
4119 Gpg4win ist es zwingend notwendig, dass Sperrlisten\index{Sperrlisten} geprüft werden
4120 -- geschieht das nicht, darf die jeweilige Operation nicht
4121 ausgeführt werden, da möglicherweise ein kompromittiertes Zertifikat
4122 genutzt wird.
4123
4124 Abhilfe schafft das Einrichten eines Stellvertreterdienstes
4125 ("`Proxies"') für das Abholen der Sperrlisten (vgl.
4126 Abschnitt~\ref{x509CertificateServers}).
4127
4128 Im Notfall (oder zum Testen) lassen sich die CRL-Prüfungen auch
4129 abschalten. Öffnen Sie dafür das Kleopatra-Menü
4130 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
4131 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
4132 \Menu{Nie Sperrlisten zu Rate ziehen}.\\
4133 \textbf{Achtung:} Machen Sie sich bewusst, dass in diesem Fall ein
4134 wesentlich höheres Risiko besteht, ein kompromittiertes Zertifikat zu
4135 nutzen. Das Abschalten der Sperrlisten-Prüfung ist niemals einer Alternative
4136 zur Einrichtung eines Proxies.
4137
4138 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
4139
4140 \section{Keine S/MIME-Operationen möglich (Wurzelzertifikat
4141 nicht vertrauenswürdig)}
4142 \label{smime-problem-rootcertificate}
4143 \index{Wurzelzertifikate}
4144
4145 \T\marginSmime
4146 Für eine vollständige Prüfung von X.509-Zertifikatsketten
4147 \index{Zertifikatskette} muss dem jeweiligen Wurzelzertifikat vertraut
4148 werden.
4149 Andernfalls kann keine S/MIME-Operationen (Signaturerstellung und
4150 -prüfung, Ver- oder Entschlüsselung) durchgeführt werden.
4151
4152 Um einem Wurzelzertifikat das Vertrauen auszusprechen, haben Sie zwei 
4153 Möglichkeiten:
4154 \begin{itemize}
4155     \item Den Fingerabdruck des entsprechenden Wurzelzertifikats
4156         in eine \textit{systemweite} Konfigurationsdatei schreiben.
4157         Damit ist die Wurzel für alle Nutzer vertrauenswürdig. 
4158         Sie müssen hierfür Windows-Administratorrechte besitzen.
4159         Eine genaue Erläuterung finden Sie im 
4160         Abschnitt~\ref{sec_systemtrustedrootcerts}.
4161
4162     \item Das Wurzelzertifikat durch den Benutzer setzen (keine
4163         systemweite Anpassung nötig).
4164         Dazu müssen Sie einmalig die Option
4165         \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu
4166         markieren} in Kleopatras Einstellung aktivieren.
4167         Anschließend werden Sie nach jedem Importieren neuer
4168         Wurzelzertifikate gefragt, ob Sie diesem vertrauen wollen.
4169         Genaueres dazu im Abschnitt~\ref{sec_allow-mark-trusted}.
4170
4171 \end{itemize}
4172
4173
4174
4175 \clearpage
4176 \chapter{Dateien und Einstellungen von Gpg4win}
4177
4178 \section{Persönliche Einstellungen der Anwender}
4179
4180 Die persönlichen Einstellungen für jeden Anwender befinden sich im
4181 Dateiordner:\\ \Filename{\%APPDATA\%\back{}gnupg}\\ 
4182 Oft entspricht das dem Dateiordner: \\
4183 \Filename{C:\back{}Dokumente und
4184 Einstellungen\back{}<name>\back{}Anwendungsdaten\back{}%
4185 \T\ifthenelse{\boolean{DIN-A5}}{\\}{}%
4186 gnupg\back{}}
4187
4188 Beachten Sie, dass es sich um einen versteckten Dateiordner handelt.
4189 Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü
4190 \Menu{Extras$\rightarrow$Ordneroptionen} im Reiter \Menu{Ansicht} die
4191 Option \Menu{Alle Dateien und Ordner anzeigen} unter der Gruppe
4192 \Menu{Versteckte Dateien und Ordner} aktivieren.
4193
4194 In diesem Dateiordner befinden sich sämtliche persönlichen
4195 GnuPG-Daten, also die privaten Schlüssel, Zertifikate,
4196 Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von
4197 Gpg4win wird dieser Ordner \textit{nicht} gelöscht. Denken Sie daran,
4198 regelmäßig Sicherheitskopien dieses Ordners anzulegen.
4199
4200
4201 \section{Zwischengespeicherte Sperrlisten}
4202 \index{Sperrlisten}
4203
4204 \T\marginSmime
4205 Der systemweite Dienst DirMngr (Directory Manager) \index{DirMngr}
4206 prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher
4207 nicht verwendet werden darf.  Dafür werden Sperrlisten (CRLs) von den
4208 Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer
4209 Gültigkeit zwischengespeichert.
4210
4211 Abgelegt werden diese Sperrlisten unter:\newline
4212 \Filename{C:\back{}Dokumente und
4213 Einstellungen\back{}LocalService\back{}Lokale\T\newline
4214 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
4215
4216 Hierbei handelt es sich um \textit{geschützte} Dateien, die
4217 standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch
4218 die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option
4219 \Menu{Geschützte Systemdateien ausblenden} in den
4220 \Menu{Ansicht}-Einstellungen des Windows-Explorers.
4221
4222 In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
4223
4224 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
4225 \section{Vertrauenswürdige Wurzelzertifikate von DirMngr}
4226 \label{trustedrootcertsdirmngr}
4227 \index{DirMngr}
4228 \index{Vertrauenswürdige Wurzelzertifikate}
4229 \index{Wurzelzertifikate}
4230
4231 \T\marginSmime
4232 Für eine vollständige Prüfung von X.509-Zertifikaten muss den
4233 Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten
4234 signiert wurden.
4235
4236 Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen
4237 soll, werden im folgenden Dateiordner abgelegt:
4238
4239 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4240 Users\back{}Anwendungsdaten\back{}\T\newline
4241 GNU\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
4242
4243 \W~\\\\
4244 \textbf{Wichtig:} Die entsprechenden Wurzelzertifikate müssen als
4245 Dateien im Dateiformat DER mit der Dateinamens"=Erweiterung
4246 \Filename{.crt} oder \Filename{.der} im o.g. Dateiordner vorliegen.
4247
4248 Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im
4249 "`trusted-certs"'-Dateiordner neu gestartet werden. Anschließend sind
4250 die dort abgelegten Wurzelzertifikate für alle Anwender als
4251 \textbf{vertrauenswürdig} gesetzt.
4252
4253 Beachten Sie auch Abschnitt \ref{sec_systemtrustedrootcerts}, um den
4254 Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
4255
4256
4257 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
4258 \section{Weitere Zertifikate von DirMngr}
4259 \label{extracertsdirmngr}
4260
4261 \T\marginSmime
4262 Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft
4263 werden soll, muss somit auch das jeweilige Zertifikat der
4264 Beglaubigungsinstanz ("`Certificate Authority"', CA) geprüft werden.
4265
4266 Für eine direkte Verfügbarkeit können
4267 CA-Zertifikate\index{CA-Zertifikat} in diesem
4268 (systemweiten) Dateiordner abgelegt werden:\newline
4269 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4270 Users\back{}Anwendungsdaten\back{}\T\newline
4271 GNU\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
4272
4273 Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen
4274 automatisch von X.509-Zer\-ti\-fi\-kats\-servern geladen werden.\\
4275 Diese CA-Zertifikate können aber auch immer manuell vom Anwender
4276 importiert werden.
4277
4278 Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die
4279 wichtigsten CA-Zertifikate abzulegen.
4280
4281 \clearpage
4282 \section{Systemweite Konfiguration zur Verwendung externer
4283 X.509-Zertifikatsserver \label{x509CertificateServers}}
4284
4285 \T\marginSmime
4286 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende
4287 X.509-Zertifikate oder Sperrlisten auf externen
4288 X.509-Zertifikatsservern gesucht werden (vgl. auch
4289 Kapitel~\ref{ch:smime-configuration}).\\
4290
4291 Für die \textbf{X.509-Zertifikatssuche} verwendet der Systemdienst DirMngr eine Liste
4292 von Zertifikatsservern, die in der Datei\newline
4293 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4294 Users\back{}Anwendungsdaten\back{}\T\\
4295 GNU\back{}etc\back{}dirmngr\back{}ldapservers.conf}\\ 
4296 angegeben werden können. Diese Zertifikatsserver werden für alle
4297 Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch
4298 weitere, benutzerspezifische Zertifikatsserver für die
4299 Zertifikatssuche einrichten -- z.B. direkt über Kleopatra (vgl.
4300 Kapitel~\ref{configureCertificateServer}).
4301
4302 Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g.
4303 Konfigurationsdatei lautet:
4304
4305 \Filename{HOSTNAME:PORT:USERNAME:PASSWORD:BASE\_DN}
4306
4307 Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern
4308 mittels Firewall gesperrt, so kann man in der
4309 \Filename{ldapservers.conf} einen Proxy-Dienst\index{Proxy} für
4310 die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie
4311 folgende Zeile im Beispiel illustriert:
4312
4313 \Filename{proxy.mydomain.example:389:::O=myorg,C=de}\\
4314
4315
4316 Für die Suche von \textbf{Sperrlisten}\index{Sperrlisten} (CRLs) gibt
4317 es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:
4318
4319 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
4320 Users\back{}Anwendungsdaten\back{}\T\\
4321 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4322
4323 Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.
4324
4325 Folgende Proxy-Optionen können Sie nach Bedarf in dieser
4326 Konfigurationsdatei ergänzen (jede Option in einer Zeile): 
4327 \begin{itemize}
4328     \item \Filename{http-proxy HOST[:PORT]}
4329         \index{HTTP}
4330         Diese Option verwendet \Filename{HOST} und
4331         \Filename{PORT} für den Zugang zum Zertifikatsserver. Die
4332         Umgebungsvariable \Filename{http\_proxy} wird bei Verwendung
4333         dieser Option überschrieben.
4334
4335         Ein Beispiel:\\
4336         \Filename{http-proxy http://proxy.mydomain.example:8080}
4337
4338     \item \Filename{ldap-proxy HOST[:PORT]}
4339         \index{LDAP}
4340         Diese Option verwendet \Filename{HOST} und
4341         \Filename{PORT} für den Zugang zum Zertifikatsserver.
4342         Ist keine Portnummer angegeben, wird der Standard LDAP-Port
4343         389 benutzt.
4344         Diese Option überschreibt die im Zertifikat enthaltene
4345         LDAP-URL bzw. nutzt \Filename{HOST} und \Filename{PORT}, wenn
4346         keine LDAP-URL angegeben ist.
4347
4348     \item \Filename{only-ldap-proxy}
4349
4350         Diese Option sorgt dafür, dass DirMngr
4351         niemals irgendetwas anderes nutzt als den unter
4352         \Filename{ldap-proxy} konfigurierten Proxy. Denn normalerweise
4353         versucht DirMngr andere konfigurierte Zertifikatsserver zu
4354         verwenden, wenn die Verbindung über \Filename{ldap-proxy} fehl schlägt.
4355
4356 \end{itemize}
4357
4358
4359 \clearpage
4360 \section{Systemweite vertrauenswürdige Wurzelzertifikate}
4361 \label{sec_systemtrustedrootcerts}
4362 \index{Wurzelzertifikate}
4363
4364 \T\marginSmime
4365 Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate
4366 werden definiert in der Datei\\ \Filename{C:\back{}Dokumente und
4367 Einstellungen\back{}All Users\back{}Anwendungsdaten\T\\
4368 \back{}GNU\back{}etc\back{}gnupg\back{}trustlist.txt} \index{trustlist.txt}
4369
4370 Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der
4371 entsprechende Fingerabdruck des Zertifikats, gefolgt von einem
4372 Leerzeichen und einem großen \Filename{S}, in die o.g. Datei
4373 eingetragen werden.  Ein Zertifikat wird explizit als nicht
4374 vertrauenswürdig markiert, wenn die Zeile mit dem Präfix
4375 "`\Filename{!}"' beginnt.  Sie können hier auch mehrere
4376 Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder
4377 Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem
4378 \texttt{\#} beginnt wird als Kommentar behandelt und ignoriert.
4379
4380 Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile
4381 erfolgen.
4382
4383 Ein Beispiel:
4384 \T\ifthenelse{\boolean{DIN-A5}}{\scriptsize}{}
4385 \begin{verbatim}
4386 # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
4387 A6935DD34EF3087973C706FC311AA2CCF733765B S
4388
4389 # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
4390 DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
4391
4392 # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE
4393 !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S
4394
4395 \end{verbatim}
4396 \T\ifthenelse{\boolean{DIN-A5}}{\normalsize}{}
4397
4398 Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der
4399 Überprüfung der Wurzelzertifikate zu verringern.
4400 Sie können dazu hinter \Filename{S} eine weitere Flagge \Filename{relax}
4401 setzen: \Filename{<FINGERABDRUCK> S relax}
4402
4403 \textbf{Wichtig:} Die Verwendung von \Filename{relax} setzt die
4404 Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen
4405 verwendet werden.
4406
4407 Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation
4408 (Punkt "`trustlist.txt"'):\\
4409 \T\ifthenelse{\boolean{DIN-A5}}{
4410     \T\scriptsize
4411     \T\texttt{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
4412     \T\normalsize
4413 \T}
4414 \T{
4415     \uniurl{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
4416 \T}
4417
4418
4419 Die genaue Syntax für die Einträge in die trustlist.txt lautet also:\\
4420 \Filename{[!]<FINGERABDRUCK> S [relax]}\\
4421 wobei \Filename{!} und \Filename{relax} optional sind.
4422
4423 Anstelle der Flagge \Filename{S} sind noch die Werte \Filename{P} und
4424 \Filename{*} vorgesehen, die für zukünftigen Gebrauch reserviert sind.
4425
4426 \textbf{Wichtig:} Damit Wurzelzertifikate in Kleopatra vollständig als
4427 vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
4428 müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
4429 werden, wie unter Abschnitt \ref{trustedrootcertsdirmngr} beschrieben.
4430
4431 \clearpage
4432 \section{Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren}
4433 \label{sec_allow-mark-trusted}
4434 \index{Vertrauenswürdige Wurzelzertifikate}
4435 \index{Wurzelzertifikate}
4436
4437 \T\marginSmime
4438 Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als
4439 vertrauenswürdig markiert werden -- eine systemweite Konfiguration
4440 (siehe Abschnitt \ref{trustedrootcertsdirmngr} und
4441 \ref{sec_systemtrustedrootcerts}) ist dann nicht erforderlich.
4442
4443 Öffnen Sie das Kleopatra-Menü
4444 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
4445 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
4446 \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren}.
4447 Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig
4448 eingestuften Wurzelzertifikats gefragt, ob Sie es nun als
4449 vertrauenswürdig einstufen wollen.  Beachten Sie, dass der gpg-agent
4450 ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam
4451 wird (z.B. durch ausloggen und wieder einloggen).
4452
4453 Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht
4454 vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden
4455 automatisch in folgender Datei gespeichert:\\
4456 \Filename{C:\back{}Dokumente und
4457 Einstellungen\back{}<Nutzername>\back{}\T\\
4458 Anwendungsdaten\back{}gnupg\back{}trustlist.txt}
4459 \index{trustlist.txt}
4460
4461 Für die trustlist.txt gilt die gleiche Syntax wie im
4462 Abschnitt~\ref{sec_systemtrustedrootcerts} beschrieben.
4463
4464
4465 \clearpage
4466 \chapter{Probleme in den Gpg4win-Programmen aufspüren (Logdateien)}
4467 \index{Logdatei}
4468
4469 Es kann vorkommen, dass eine der Gpg4win-Programmkomponenten nicht wie
4470 erwartet zu funktionieren scheint.
4471
4472 Nicht selten ist dabei eine Besonderheit der Arbeitsumgebung
4473 verantwortlich, sodass die Softwareentwickler von Gpg4win das
4474 beobachtete Problem gar nicht selbst nachvollziehen können.
4475
4476 Um die Softwareentwickler bei der Problemsuche zu unterstützen oder
4477 auch, damit der Anwender selbst einmal in die technischen
4478 Detail-Abläufe hineinschnuppern kann, bieten die Gpg4win-Programme
4479 Unterstützung an.
4480
4481 In der Regel muss diese Unterstützung aber erst einmal eingeschaltet
4482 werden. Eine der wichtigsten Hilfsmittel sind Logdateien: Dort werden
4483 detaillierte Diagnose-Informationen zu den internen technischen
4484 Vorgängen festgehalten.  Ein Softwareentwickler kann ein Problem und
4485 die mögliche Lösung oft leicht anhand dieser Logdatei erkennen, auch
4486 wenn das Problem auf den ersten Blick unverständlich wirken mag.
4487
4488 Wenn Sie einen Fehler-Bericht an die Softwareentwickler senden wollen,
4489 so finden Sie auf dieser Web-Seite einige Hinweise:
4490
4491 \uniurl{http://www.gpg4win.de/reporting-bugs-de.html}
4492
4493 Logdateien -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
4494 bieten oft wertvolle Hinweise und sollten daher einem Fehlerbericht
4495 beigefügt werden.
4496
4497 In diesem Kapitel wird beschrieben, wie Sie
4498 Programmablauf-Informationen (darum handelt es sich letztlich bei den
4499 Logdateien) zu den einzelnen Gpg4win-Programmen einschalten können.
4500
4501 \clearpage
4502 \section{Logdateien von Kleopatra einschalten}
4503 \index{Logdatei!von Kleopatra}
4504
4505 Die Logdaten von Kleopatra bestehen aus vielen Dateien, daher besteht
4506 der erste Schritt darin, zunächst einen Dateiordner für die Logdateien
4507 zu erstellen. Denkbar ist z.B.:
4508 \Filename{C:\back{}TEMP\back{}kleologdir}
4509
4510 Bitte beachten Sie hierbei, dass es hier um Einstellungen des
4511 Anwenders, nicht des Systemadministrators geht.  Die Einstellungen
4512 müssen also für jeden Anwender, der Logdaten von Kleopatra erstellen möchte,
4513 separat vorgenommen werden und es muss darauf geachtet werden, dass
4514 unterschiedliche \Filename{kleologdir}-Dateiordner verwendet werden.
4515
4516 Der Pfad zu diesem Ordner muss nun in der neuen Umgebungsvariablen
4517 \Filename{KLEOPATRA\_LOGDIR} vermerkt werden:
4518
4519 Öffnen Sie dazu die Systemsteuerung, wählen Sie dort \Menu{System}, dann
4520 den Reiter \Menu{Erweitert} und schließlich den Knopf
4521 \Button{Umgebungsvariablen}.
4522
4523 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4524
4525 \begin{quote}
4526     Name der Variable: \Filename{KLEOPATRA\_LOGDIR}
4527
4528     Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
4529 \end{quote}
4530
4531 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4532 können ihn auch nachträglich erstellen.
4533
4534 Um die Logfunktion wirksam werden zu lassen, muss Kleopatra beendet
4535 und neu gestartet werden und der Dateiordner der Logdaten existieren
4536 sowie für Kleopatra beschreibbar sein.
4537
4538 Während Kleopatra verwendet wird, zeichnet es Ablauf-Informationen in
4539 der Datei \Filename{kleo-log} (Haupt-Logdatei) auf sowie
4540 möglicherweise viele Dateien mit einem Namen nach dem Schema:\\
4541 \Filename{pipe-input-<ZEITSTEMPEL>-<ZUFALLSZEICHEN>}
4542
4543 Möglicherweise reichen diese Informationen einem Softwareentwickler
4544 nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine
4545 weitere Umgebungsvariable anzulegen -- so wie Sie es schon oben getan
4546 haben:
4547
4548 \begin{quote}
4549     Name der Variable: \Filename{KLEOPATRA\_LOGOPTIONS}
4550
4551     Wert der Variable: ~~\Filename{all}
4552 \end{quote}
4553
4554 Möglicherweise werden die Logdateien sehr schnell sehr groß.  Sie
4555 sollten diese Logdaten\--Auf\-zeich\-nung nur einschalten, um ein
4556 bestimmtes Fehlverhalten zu provozieren und dabei aufzuzeichnen.
4557
4558 Anschließend schalten Sie die Aufzeichnung wieder aus, indem Sie die
4559 Umgebungsvariable löschen oder ihren Namen leicht variieren (für
4560 späteres leichtes Reaktivieren). Vergessen Sie nicht, die Logdateien
4561 zu löschen oder zu verschieben, gerade wenn sie sehr umfangreich geworden sind oder es sich
4562 um sehr viele Dateien handelt. Bevor Sie eine neue Aufzeichnung
4563 beginnen, ist es ebenfalls sinnvoll, die Logdateien zu entfernen.
4564
4565 \clearpage
4566 \section{Logdatei von GpgOL einschalten}
4567 \index{Logdatei!von GpgOL}
4568
4569 Um die Logdatei von GpgOL einzuschalten, müssen Sie einen
4570 "`Registry-Editor"' starten. Geben Sie dazu das Kommando
4571 \Filename{regedit} unter \Menu{Start$\rightarrow$Ausführen} oder in
4572 einer Eingabeaufforderung ein.
4573
4574 Wählen Sie nun aus der Baumstruktur auf der linken Seite den folgenden
4575 GpgOL-Schlüssel aus:\\
4576 \Filename{HKEY\_CURRENT\_USER\back{}Software\back{}GNU\back{}GpgOL}
4577
4578 Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
4579 (sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten
4580 Werten.  Diese Einträge werden nach dem ersten Start von Outlook mit
4581 GpgOL angelegt.
4582
4583 Zum Aktivieren der GpgOL-Logdatei führen Sie einen Doppelklick auf den
4584 Eintrag \Filename{enableDebug} aus und setzen Sie dessen Wert auf
4585 \Filename{1}.
4586
4587 Als Wert für \Filename{logFile} geben Sie nun einen Namen für die Datei an,
4588 in die die Logdatei geschrieben werden soll, z.B.:
4589 \Filename{C:\back{}TEMP\back{}gpgol.log}
4590
4591 Starten Sie Outlook neu, um die Aufzeichnung zu starten.
4592
4593 Bedenken Sie, dass diese Datei sehr umfangreich werden kann. Stellen
4594 Sie \Filename{enableDebug} auf \Filename{0}, sobald Sie die
4595 GpgOL-Logdatenaufzeichnung nicht mehr benötigen.
4596
4597 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4598 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4599 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4600 entfernen.
4601
4602 Fortgeschrittene technische Informationen zu GpgOL -- wie z.B. weitere
4603 mögliche Werte für \Filename{enableDebug} -- finden Sie im technischen
4604 (englischsprachigen) Handbuch von GpgOL.  Es befindet sich in Ihrem
4605 Gpg4win-Installations\-verzeichnis, in der Regel:\newline
4606 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}share\back{}doc\back{}gpgol\back{}gpgol.pdf}
4607
4608 \clearpage
4609 \section{Logdatei von DirMngr einschalten}
4610 \index{DirMngr}
4611 \index{Logdatei!von DirMngr}
4612
4613 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher ist
4614 das Einschalten der Logdatei nur mit Administratorrechten möglich.
4615
4616 Um die Logdatei einzuschalten, öffnen Sie zunächst folgende
4617 Konfigurationsdatei:\\ \Filename{C:\back{}Dokumente und
4618 Einstellungen\back{}All Users\back{}Anwendungsdaten\back{}\T\\
4619 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4620
4621 Fügen Sie die folgenden zwei Zeilen in die Konfigurationsdatei ein
4622 (den Pfad zur Logdatei können Sie natürlich anpassen):
4623
4624 \begin{quote}
4625     \Filename{debug-all} \\
4626     \Filename{log-file C:\back{}TEMP\back{}dirmngr.log}
4627 \end{quote}
4628
4629 Starten Sie anschließend den Dienst DirMngr unter
4630 \Menu{Systemsteuerung$\rightarrow$Ver\-waltung$\rightarrow$Dienste} neu,
4631 sodass die geänderte Konfigurationsdatei neu eingelesen wird und die
4632 vorgenommenen Einstellungen wirksam werden.
4633
4634 Kommentieren Sie Ihre Anpassung in o.g. Konfigurationsdatei aus (also
4635 \texttt{\#~debug-all}), sobald Sie die DirMngr-Logdtenaufzeichnung
4636 nicht mehr benötigen.
4637
4638 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4639 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4640 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdat