Remove unnecessary empty flags in vsnfd profile
[gpg4win.git] / doc / manual / gpg4win-compendium-de.tex
1 % gpg4win-compendium-de.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18
19 % define packages
20 \usepackage{times}
21 \usepackage[latin1]{inputenc}
22 \usepackage[T1]{fontenc}
23 \T\usepackage[ngerman]{babel}
24 \W\usepackage[german]{babel}
25 \usepackage{ifpdf}
26 \usepackage{graphicx}
27 \usepackage{alltt}
28 \usepackage{moreverb}
29 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
30 \usepackage{microtype}
31 \W\usepackage{rhxpanel}
32 \W\usepackage{sequential}
33 \usepackage[table]{xcolor}
34 \usepackage{color}
35
36 \usepackage{fancyhdr}
37 \usepackage{makeidx}
38
39
40 % write any html files directly into this directory
41 % XXX: This is currently deactivated, but sooner or later
42 % we need this to not let smae filenames overwrite each other
43 % when we have more than one compendium. The Makefile.am needs
44 % to be updated for this as well - not a trivial change.
45 \W\htmldirectory{compendium-html/de}
46
47 % Hyperref should be among the last packages loaded
48 \usepackage[breaklinks,
49     bookmarks,
50     bookmarksnumbered,
51     pdftitle={Das Gpg4win-Kompendium},
52     pdfauthor={Jochen Saalfeld, Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
53       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
54       Isabel Kramer, Dr. Francis Wray},
55     pdfsubject={Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für Windows},
56     pdfkeywords={Gpg4win, E-Mail, Datei, verschlüsseln, entschlüsseln,
57     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
58     GpgEX, GnuPG, sicher, E-Mail-Sicherheit, Kryptografie, Public-Key,
59     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
60 ]{hyperref}
61
62 % set graphic extension
63 \begin{latexonly}
64     \ifpdf
65         \DeclareGraphicsExtensions{.png}
66     \else
67         \DeclareGraphicsExtensions{.eps}
68     \fi
69 \end{latexonly}
70
71 % set page header/footer
72 \T\ifthenelse{\boolean{DIN-A5}}
73 {% DIN A5
74     \T\fancyhead{} % clear all fields
75     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
76     \T\fancyhead[RO,LE]{\large\thepage}
77     \T\fancyfoot[CE]{www.bomots.de}
78     \T\fancyfoot[CO]{Sichere E-Mail}
79     \T\pagestyle{fancy}
80     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
81     \renewcommand{\footrulewidth}{0.2pt} 
82 }
83 {% DIN A4 
84     \T\fancyhead{} % clear all fields
85     \T\fancyhead[LO,RE]{Das Gpg4win-Kompendium \compendiumVersionDE
86         \T\\
87         \T\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
89     \T\fancyfoot[C]{\thepage}
90     \T\pagestyle{fancy}
91 }
92
93 \makeindex
94
95 % define custom commands
96 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
97 \newcommand{\Menu}[1]{\textit{#1}}
98 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
99
100 \DeclareOldFontCommand{\bf}{\normalfont\bfseries}{\textbf}
101 \renewcommand{\back}{\textbackslash}
102
103 \newcommand{\Email}{E-Mail}
104 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
105 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
106 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
107 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
108 \newcommand{\IncludeImage}[2][]{
109 \begin{center}
110 \texorhtml{%
111   \includegraphics[#1]{images-compendium/#2}%
112 }{%
113   \htmlimg{../images-compendium/#2.png}%
114 }
115 \end{center}
116 }
117
118 % custom colors
119 \definecolor{gray}{rgb}{0.4,0.4,0.4}
120 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
121
122 \T\parindent 0cm
123 \T\parskip\medskipamount
124
125 % Get the version information from another file.
126 % That file is created by the configure script.
127 \input{version.tex}
128
129
130 % Define universal url command.
131 % Used for latex _and_ hyperlatex (redefine see below).
132 % 1. parameter = link text (optional);
133 % 2. parameter = url
134 % e.g.: \uniurl[example link]{http:\\example.com}
135 \newcommand{\uniurl}[2][]{%
136 \ifthenelse{\equal{#1}{}}
137 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
138 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
139
140 %%% HYPERLATEX %%%
141 \begin{ifhtml}
142     % HTML title
143     \htmltitle{Gpg4win-Kompendium}
144     % TOC link in panel
145     \htmlpanelfield{Inhalt}{hlxcontents}
146     % link to EN version    
147     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=English}
148         \htmlimg{../images-hyperlatex/english.png}{English}}{../en/\HlxThisUrl}
149     % name of the html files
150     \htmlname{gpg4win-compendium}
151     % redefine bmod
152     \newcommand{\bmod}{mod}
153     % use hlx icons (default path)
154     \newcommand{\HlxIcons}{../images-hyperlatex}
155
156     % Footer
157     \htmladdress{$\copyright$ \compendiumDateDE, v\compendiumVersionDE~\compendiuminprogressDE
158     \html{br/}
159     \html{small}
160     Das Gpg4win-Kompendium ist unter der
161     \link{GNU Free Documentation License v1.2}{fdl} lizensiert.
162     \html{/small}}
163
164     % Changing the formatting of footnotes
165     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
166
167     % redefine universal url for hyperlatex (details see above)
168     \newcommand{\linktext}{0}
169     \renewcommand{\uniurl}[2][]{%
170         \renewcommand{\linktext}{1}%
171         % link text is not set
172         \begin{ifequal}{#1}{}%
173             \xlink{#2}{#2}%
174             \renewcommand{linktext}{0}%
175         \end{ifequal}
176         % link text is set
177         \begin{ifset}{linktext}%
178              \xlink{#1}{#2}%
179     \end{ifset}}
180
181     % german style
182     \htmlpanelgerman
183     \extrasgerman
184     \dategerman
185     \captionsgerman
186
187
188     % SECTIONING:
189     %
190     % on _startpage_: show short(!) toc (only part+chapter)
191     \setcounter {htmlautomenu}{1}
192     % chapters should be <H1>, Sections <H2> etc.
193     % (see hyperlatex package book.hlx)
194     \setcounter{HlxSecNumBase}{-1}
195     % show _numbers_ of parts, chapters and sections in toc
196     \setcounter {secnumdepth}{1}
197     % show parts, chapters and sections in toc (no subsections, etc.)
198     \setcounter {tocdepth}{2}
199     % show every chapter (with its sections) in _one_ html file
200     \setcounter{htmldepth}{2}
201
202     % set counters and numberstyles
203     \newcounter{part}
204     \renewcommand{\thepart}{\arabic{part}}
205     \newcounter{chapter}
206     \renewcommand{\thecapter}{\arabic{chapter}}
207     \newcounter{section}[chapter]
208     \renewcommand{\thesection}{\thechapter.\arabic{section}}
209 \end{ifhtml}
210
211
212 %%% TITLEPAGE %%%
213
214 \title{
215     \htmlattributes*{img}{width=300}
216     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
217     \T~\newline
218     \T\ifthenelse{\boolean{DIN-A5}}%
219     % DIN A5:
220     {\begin{latexonly}
221         \LARGE Das Gpg4win-Kompendium \\[0.3cm]
222         \large \textmd{Sichere E-Mail- und Datei-Verschlüsselung
223         \\[-0.3cm] mit GnuPG für Windows}
224      \end{latexonly}  
225     }%
226     % DIN A4:
227     {Das Gpg4win-Kompendium \\
228       \texorhtml{\Large \textmd}{\large}
229       {Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG für
230       Windows}
231     }
232 }
233 \author{
234     % Hyperlatex: Add links to pdf versions and Homepage
235     \htmlonly{
236         \xml{p}\small
237         \xlink{PDF-Version zum Download}{http://wald.intevation.org/frs/?group_id=11}
238         \xml{br}
239         \xlink{\htmlattributes*{img}{style=border:none title=English}
240            \htmlimg{../images-hyperlatex/english.png}{} 
241            English Version}{../en/\HlxThisUrl}
242         \xml{br}
243         Zur \xlink{Gpg4win-Homepage}{http://www.gpg4win.de/}
244         \xml{p}
245     }
246     % Authors
247     \T\\[-1cm]
248       \small Basierend auf einer Fassung von
249     \T\\[-0.2cm]
250       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
251       \small Isabel Kramer und Dr. Francis Wray.
252       \texorhtml{\\[0.2cm]}{\\}
253       \small Grundlegend überarbeitet von
254     \T\\[-0.2cm]
255       \small Werner Koch, Jochen Saalfeld, Florian v. Samson, Emanuel Schütze
256       und Dr. Jan-Oliver Wagner.
257     \T\\[0.4cm]
258 }
259
260 \date{
261     \T\ifthenelse{\boolean{DIN-A5}}%
262     % DIN A5:
263     {\begin{latexonly}
264         \large Eine Veröffentlichung der Gpg4win-Initiative
265         \\[0.2cm]
266         Version \compendiumVersionDE~vom \compendiumDateDE 
267      \end{latexonly}
268     }%
269     % DIN A4:
270     {Eine Veröffentlichung der Gpg4win-Initiative
271       \\[0.2cm]
272       Version \compendiumVersionDE~vom \compendiumDateDE\\
273       \small\compendiuminprogressDE%
274     }
275 }
276
277
278 %%% BEGIN DOCUMENT %%%
279
280 \begin{document}
281 \T\pdfbookmark[0]{Titelseite}{titel}
282 % set title page
283 \texorhtml{
284     \ifthenelse{\boolean{DIN-A5}}
285     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
286     {\maketitle}
287 }
288 {\maketitle}
289
290
291 % improved handling of long (outstanding) lines
292 \T\setlength\emergencystretch{3em} \tolerance=1000
293
294
295 \T\section*{Impressum}
296 \W\chapter*{Impressum}\\
297
298 \thispagestyle{empty}
299 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
300 Technologie\footnote{Wenn dieses Dokument kopiert, verteilt und/oder
301 verändert wird, soll außer dieser Copyright-Notiz in keiner Form der
302 Eindruck eines Zusammenhanges
303 mit dem Bundesministerium für Wirtschaft und Technologie erweckt
304 werden.}\\
305 Copyright \copyright{} 2005 g10 Code GmbH\\
306 Copyright \copyright{} 2009, 2010, 2017 Intevation GmbH
307
308 Permission is granted to copy, distribute and/or modify this document
309 under the terms of the GNU Free Documentation License, Version 1.2 or
310 any later version published by the Free Software Foundation; with no
311 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
312 copy of the license is included in the section entitled "`GNU Free
313 Documentation License"'.
314
315 {\small [Dieser Absatz ist eine unverbindliche Übersetzung des
316 oben stehenden Hinweises.]}\\
317 Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu
318 verteilen und/oder zu verändern unter den Bedingungen der GNU Free
319 Documentation License, Version 1.2 oder einer späteren, von der Free
320 Software Foundation veröffentlichten Version.  Es gibt keine
321 unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen
322 hinteren Umschlagtext.  Eine Kopie der "`GNU Free Documentation
323 License"' findet sich im Anhang mit dem gleichnamigen Titel.
324 Inoffizielle Übersetzungen dieser Lizenz finden Sie unter
325 http://www.gnu.org/licenses/translations.html.
326
327
328
329 \clearpage
330 \chapter*{Über dieses Kompendium}
331 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
332
333 Das Gpg4win-Kompendium besteht aus drei Teilen:
334
335 \begin{itemize}
336 \item \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'}: Der
337     Schnelleinstieg in Gpg4win.
338
339 \item \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für
340     Fortgeschrittene"'}:
341     Das Hintergrundwissen zu Gpg4win.
342
343 \item \textbf{Anhang}: Weiterführende technische Informationen zu
344     Gpg4win.\\
345 \end{itemize}
346
347 \textbf{Teil~\link*{1}[\ref{part:Einsteiger}]{part:Einsteiger} "`Für Einsteiger"'} führt Sie kurz
348 und knapp durch die Installation und die alltägliche Benutzung der
349 Gpg4win-Programmkomponenten.  Der Übungsroboter \textbf{Adele} wird
350 Ihnen dabei behilflich sein und ermöglicht Ihnen, die \Email{}-Ver-
351 und Entschlüsselung (mit OpenPGP) so lange zu üben, bis Sie sich
352 vertraut im Umgang mit Gpg4win gemacht haben.
353
354 Der Zeitbedarf für das Durcharbeiten des Schnelleinstiegs hängt unter
355 anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen.
356 Sie sollten sich in etwa eine Stunde Zeit nehmen.\\
357
358 \textbf{Teil~\link*{2}[\ref{part:Fortgeschrittene}]{part:Fortgeschrittene} "`Für Fortgeschrittene"'}
359 liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von
360 Gpg4win verdeutlicht und die etwas seltener benutzten Fähigkeiten
361 erläutert.
362
363 Teil I und II können unabhängig voneinander benutzt werden. Zu Ihrem
364 besseren Ver\-ständnis sollten Sie aber möglichst beide Teile in der
365 angegebenen Reihenfolge lesen.\\
366
367 Im \textbf{Anhang} finden Sie Details zu spezifischen technischen
368 Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung
369 GpgOL.\\
370
371 Genau wie das Kryptografie-Programmpaket Gpg4win, wurde dieses
372 Kompendium nicht für Mathematiker, Geheimdienstler und Kryptografen
373 geschrieben, sondern \textbf{für jedermann.}\\
374
375 Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind
376 verfügbar unter: \\
377 \uniurl{http://www.gpg4win.de}
378
379 \clearpage
380 \chapter*{Legende \htmlonly{\html{br}\html{br}}}
381
382 In diesem Kompendium werden folgende Textauszeichnungen benutzt:
383 \begin{itemize} \item \textit{Kursiv} wird dann verwendet, wenn etwas
384         auf dem Bildschirm erscheint (z.B. in Menüs oder Dialogen).
385         Zum Kennzeichnen von \Button{Schaltflächen} werden zusätzlich
386         eckige Klammern benutzt.
387
388         Kursiv werden vereinzelt auch einzelne Wörter im Text gesetzt,
389         wenn deren Bedeutung in einem Satz betont, das
390         Schriftbild aber nicht durch die Auszeichnung \textbf{fett} gestört
391         werden soll (z.B.: \textit{nur} OpenPGP).
392
393     \item \textbf{Fett} werden einzelne Wörter oder Sätze gesetzt,
394         die besonders wichtig und damit hervorzuheben sind.  Diese
395         Auszeichnung unterstützt den Leser bei der schnelleren
396         Erfassung hervorgehobener Schlüsselbegriffe und wichtiger
397         Passagen.
398
399     \item \texttt{Feste Laufweite} wird für alle Dateinamen,
400         Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B.
401         von Kommandozeilen) verwendet.
402 \end{itemize}
403 Im folgenden werden die Ausdrücke und Kennzeichnungen verwendet:
404 \begin{itemize}
405         %TODO: Dieser Punkt muss noch überarbeitet und agepasst werden
406     \item Sie werden im folgenden immer wieder von
407         \glqq{}Schlüsseln\grqq{} und \glqq{}Zertifikaten\grqq{} lesen.
408         In der OpenPGP-Welt hat sich der Begriff
409         \glqq{}Schlüssel\grqq{} durchgesetzt. Für die Nutzung von
410         S/MIME wird der Begriff \glqq{}Zertifikat\grqq{} verwendet.
411         In diesem Kompendium wird primär Schlüssel verwendet. Nur wenn
412         es explizit um S/MIME geht, wird Zertifikat genutzt.
413
414         Die Software \textit{Kleopatra} war einst ein reines Verwaltungsprogramm
415         für S/MIME-Zertifikate. Erst nachträglich wurde es um die Verwaltung für
416         OpenPGP-Schlüssel erweitert.
417
418         \item Wenn in einem Kapitel explizit auf die Nutzung mit S/MIME eingegangen wird,
419             wird darauf am Rand mit diesem Symbol hingewiesen:
420             \begin{latexonly} %no hyperlatex
421                     \begin{center}
422                             %\includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
423                             %\hspace{1cm}
424                             \includegraphics[width=2.5cm]{images-compendium/smime-icon}
425                     \end{center}
426             \end{latexonly}
427 \end{itemize}
428
429 \cleardoublepage
430 \T\pdfbookmark[0]{\contentsname}{toc}
431 \tableofcontents
432
433 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
434 % Part I
435 \clearpage
436 \T\part{Für Einsteiger}
437 \W\part*{\textbf{I Für Einsteiger}}
438 \label{part:Einsteiger}
439 \addtocontents{toc}{\protect\vspace{0.3cm}}
440 \addtocontents{toc}{\protect\vspace{0.3cm}}
441
442
443 \chapter{Gpg4win -- Kryptografie für alle}
444 \index{Kryptografie}
445
446 Was ist Gpg4win?\index{Gpg4win} Die deutsche Wikipedia beantwortet diese Frage
447 so: 
448 \begin{quote}
449         \textit{Gpg4win (GNU Privacy Guard for Windows) ist ein Installationspaket
450                 für Windows zur E-Mail- und Datei-Verschlüsselung. Gpg4win ermöglicht 
451                 das einfache und kostenfreie Ver- und Entschlüsseln von E-Mails, 
452                 Dateien und Datei-Ordnern. Ebenso kann mittels digitaler Signaturen die 
453                 Integrität und die Authentizität der verschlüsselten E-Mails und 
454                 Dateien überprüft werden. Das Paket besteht aus verschiedenen 
455                 Programmkomponenten und einem Handbuch. }
456
457 \end{quote}
458
459 Die Handbücher "`Einsteiger"' und "`Durchblicker"' wurden für die vorliegende
460 zweite Version unter der Bezeichnung "`Kompendium"' zusammengeführt.
461 Gpg4win umfasst in Version 2 die folgenden Programme:
462
463 \begin{itemize}
464     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG ist das Kernstück von
465         Gpg4win -- die eigentliche Verschlüsselungs-Software.
466     \item \textbf{Kleopatra}\index{Kleopatra}\\ Die zentrale
467         Zertifikatsverwaltung\index{Zertifikatsverwaltung} von
468         Gpg4win, die für eine einheitliche Benutzerführung bei allen
469         kryptografischen Operationen sorgt.  
470     \item \textbf{GNU Privacy Assistent (GPA)}\index{GNU Privacy
471         Assistent|see{GPA}}\index{GPA}\\ ist ein alternatives Programm zum Verwalten
472         von Zertifikaten neben Kleopatra.
473     \item \textbf{GnuPG für Outlook (GpgOL)}\index{GnuPG für
474         Outlook|see{GpgOL}}\index{GpgOL}\\ ist eine Erweiterung für Microsoft Outlook 2003 und
475         2007, die verwendet wird, um Nachrichten zu signieren bzw. zu
476         verschlüsseln.
477    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
478        eXtension|see{GpgEX}}\index{GpgEX}\\ ist eine Erweiterung für den
479        Windows-Explorer\index{Windows-Explorer}, mit der man Dateien
480        über das Kontextmenü signieren bzw.  verschlüsseln kann.
481     \item \textbf{Claws Mail}\index{Claws Mail}\\ ist ein vollständiges
482         \Email{}-Programm mit sehr guter Unterstützung für GnuPG.
483 \end{itemize}
484
485 Mit dem Verschlüsselungsprogramm GnuPG (GNU Privacy Guard) kann
486 jedermann \Email{}s  sicher, einfach und kostenlos verschlüsseln.
487 GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt
488 werden. Die von GnuPG eingesetzte Verschlüsselungstechnologie ist
489 sicher und kann nach dem heutigen Stand von Forschung und Technik
490 nicht gebrochen werden.
491
492 GnuPG ist \textbf{Freie Software}\footnote{Oft auch als Open Source
493 Software (OSS) bezeichnet.}.\index{Freie Software} Das bedeutet, dass jedermann das Recht
494 hat, sie nach Belieben kommerziell oder privat zu nutzen.  Jeder
495 kann und darf den Quellcode der Programme untersuchen und -- sofern er
496 das notwendige Fachwissen dazu hat -- Änderungen daran durchführen und
497 diese weitergeben.
498
499 Für eine Sicherheits-Software ist diese Transparenz -- der garantierte
500 Einblick in den Quellcode -- eine unverzichtbare Grundlage. Nur so
501 lässt sich die Vertrauenswürdigkeit der Programmierung und des
502 Programmes wirklich prüfen.
503
504 GnuPG basiert auf dem internationalen Standard
505 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), ist vollständig kompatibel
506 zu PGP und benutzt auch die gleiche Infrastruktur (Schlüsselserver
507 etc.) wie dieser. Seit Version 2 von GnuPG wird auch der
508 kryptografische Standard \textbf{S/MIME}\index{S/MIME} (IETF RFC 3851,
509 ITU-T X.509\index{X.509} und ISIS-MTT/Common PKI) unterstützt.
510
511 PGP ("`Pretty Good Privacy"')\index{PGP} ist keine Freie Software, sie war
512 lediglich vor vielen Jahren kurzzeitig zu ähnlichen Bedingungen wie
513 GnuPG erhältlich.  Diese Version entspricht aber schon lange nicht
514 mehr dem Stand der Technik.
515
516 Die Vorläufer von Gpg4win wurden durch das Bundesministerium für
517 Wirtschaft und Technologie \index{Bundesministerium für
518 Wirtschaft und Technologie} im Rahmen der Aktion "`Sicherheit im
519 Internet"' unterstützt.  Gpg4win und Gpg4win2 wurden durch das
520 Bundesamt für Sicherheit in der Informationstechnik (BSI)
521 \index{Bundesamt für Sicherheit in der Informationstechnik}
522 unterstützt.
523
524 Weitere Informationen zu GnuPG und weiteren Projekten der
525 Bundesregierung zum Schutz im Internet finden Sie auf den Webseiten
526 \uniurl[www.bsi.bund.de]{http://www.bsi.bund.de} und
527 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} des
528 Bundesamtes für Sicherheit in der Informationstechnik.
529
530
531 \clearpage
532 \chapter{\Email{}s verschlüsseln: weil der Briefumschlag fehlt}
533 \label{ch:why}
534 \index{Briefumschlag}
535
536 Die Verschlüsselung von Nachrichten wird manchmal als das zweitälteste
537 Gewerbe der Welt bezeichnet. Verschlüsselungstechniken benutzten schon
538 der Pharao Khnumhotep II, Herodot und Cäsar.  Dank Gpg4win ist
539 Verschlüsselung nunmehr nicht mehr nur für Könige, sondern für
540 jedermann frei und kostenlos zugänglich.
541
542 \htmlattributes*{img}{width=300}
543 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
544
545 Die Computertechnik hat uns phantastische Mittel in die Hand gegeben,
546 um rund um den Globus miteinander zu kommunizieren und uns zu
547 informieren. Aber Rechte und Freiheiten, die in anderen
548 Kommunikationsformen längst selbstverständlich sind, muss man sich in
549 den neuen Technologien erst sichern. Das Internet ist so schnell und
550 massiv über uns hereingebrochen, dass man mit der Wahrung unserer
551 Rechte noch nicht so recht nachgekommen ist.
552
553 Beim altmodischen Briefschreiben schützen Sie die Inhalte von
554 Mitteilungen ganz selbstverständlich mit einem Briefumschlag.  Der
555 Umschlag schützt die Nachrichten vor fremden Blicken, eine
556 Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas
557 nicht so wichtig ist, schreibt man es auf eine ungeschützte
558 Postkarte, die auch der Briefträger oder andere lesen können.
559
560 \clearpage
561 Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen
562 Sie selbst und niemand sonst.
563
564 Diese Entscheidungsfreiheit haben Sie bei \Email{}s nicht. Eine normale
565 \Email{} ist immer offen wie eine Postkarte, und der elektronische
566 "`Briefträger"' -- und andere -- können sie jederzeit lesen. Die Sache ist
567 sogar noch schlimmer: Die Computertechnik bietet nicht nur die
568 Möglichkeiten, die vielen Millionen \Email{}s täglich zu befördern und
569 zu verteilen, sondern sie auch zu kontrollieren.
570
571 Niemand hätte je ernsthaft daran gedacht, alle Briefe und Postkarten
572 zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfänger zu
573 protokollieren. Das wäre einfach nicht machbar gewesen oder es hätte
574 zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch
575 möglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute
576 schon im großen Stil mit \Email{} geschieht. Ein Artikel über das 
577 Echelon-System\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
578 \index{Echelon-System}
579 liefert dazu interessantes Hintergrundwissen.
580
581 Denn: der Umschlag fehlt.
582
583 \htmlattributes*{img}{width=300}
584 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
585
586 \clearpage
587 Was Ihnen hier vorgeschlagen wird, ist ein "`Umschlag"' für Ihre
588 elektronischen Briefe. Ob Sie ihn benutzen, wann, für wen und wie oft,
589 ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich
590 die Wahlfreiheit zurück. Die Wahl, ob Sie persönlich eine Nachricht
591 für wichtig und schützenswert halten oder nicht.
592
593 Das ist der Kern des Rechts auf Brief-, Post- und
594 Fernmeldegeheimnis\index{Fernmeldegeheimnis}\index{Postgeheimnis}\index{Briefgeheimnis}
595 im Grundgesetz, und dieses Recht können Sie mit Hilfe des
596 Programmpakets Gpg4win wahrnehmen. Sie müssen diese Software nicht
597 benutzen -- Sie müssen ja auch keinen Briefumschlag benutzen. Aber es
598 ist Ihr gutes Recht.
599
600 Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte
601 "`starke Verschlüsselungstechnik"'. "`Stark"' bedeutet hier: mit keinem
602 bekannten Mittel zu knacken. In vielen Ländern waren starke
603 Verschlüsselungsmethoden bis vor ein paar Jahren den Militärs und
604 Regierungsbehörden vorbehalten. Das Recht, sie für jeden Bürger
605 nutzbar zu machen, haben sich die Internetnutzer mühsam erobert;
606 manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in
607 Regierungsinstitutionen, wie im Falle der Unterstützung von Freier
608 Software für die Verschlüsselung.  GnuPG wird von Sicherheitsexperten
609 in aller Welt als eine praktikable und sichere Software angesehen.
610
611 \textbf{Wie wertvoll diese Sicherheit für Sie ist, liegt ganz in Ihrer
612 Hand.}
613
614 Sie allein bestimmen das Verhältnis zwischen Bequemlichkeit bei der
615 Verschlüsselung und größtmöglicher Sicherheit.  Dazu gehören die
616 wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen müssen,
617 um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen
618 dieses Vorgehen Schritt für Schritt erläutert.
619
620
621 \clearpage
622 \chapter{So funktioniert Gpg4win}
623 \label{ch:FunctionOfGpg4win}
624 Das Besondere an Gpg4win und der zugrundeliegenden
625 \textbf{"`Public-Key"'"=Methode}\index{Public-Key-Methode@""`Public-Key""'-Methode}
626 ist, dass sie jeder verstehen kann und soll. Nichts daran ist
627 Geheimwissen ­-- es ist nicht einmal besonders schwer zu begreifen.
628
629 Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr
630 einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden
631 in diesem Kapitel erklärt bekommen, wie Gpg4win funktioniert ­-- nicht
632 in allen Details, aber so, dass die Prinzipien dahinter deutlicher
633 werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes
634 Vertrauen in die Sicherheit von Gpg4win gewinnen.
635
636 Am Ende dieses Buches, in Kapitel \ref{ch:themath}, können Sie ­--
637 wenn Sie wollen ­-- auch noch die letzten Geheimnisse um die
638 "`Public-Key"'-Kryptografie lüften und entdecken, warum mit Gpg4win
639 verschlüsselte Nachrichten nach heutigem Stand der Technik nicht zu
640 knacken sind.
641
642 \clearpage
643 \subsubsection{Der Herr der Schlüsselringe}
644 Wenn man etwas sehr Wertvolles sichern will, schließt man es am besten
645 ein -- mit einem Schlüssel. Noch besser mit einem Schlüssel, den es
646 nur einmal gibt und den man ganz sicher aufbewahrt.
647
648 \htmlattributes*{img}{width=300}
649 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
650
651 Denn wenn dieser Schlüssel in die falschen Hände fällt, ist es um die
652 Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und
653 fällt mit der Sicherheit und Einmaligkeit des Schlüssels.  Also muss
654 man den Schlüssel mindestens genauso gut absichern, wie das zu
655 sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch
656 die genaue Beschaffenheit des Schlüssels völlig geheim gehalten
657 werden.
658
659 \clearpage
660 Geheime Schlüssel sind in der Kryptografie ein alter Hut: Schon immer
661 hat man Botschaften geheim zu halten versucht, indem man den Schlüssel
662 verbarg.  Dies wirklich sicher zu machen, ist sehr umständlich und
663 dazu auch sehr fehleranfällig.
664
665 \htmlattributes*{img}{width=300}
666 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
667
668 Das Grundproblem bei der "`gewöhnlichen"' geheimen
669 Nachrichtenübermittlung ist, dass für Ver- und Entschlüsselung
670 derselbe Schlüssel benutzt wird und dass sowohl der Absender als auch
671 der Em\-pfänger diesen geheimen Schlüssel kennen müssen. Aus diesem
672 Grund nennt man solche Verschlüsselungssysteme auch \textbf{"`symmetrische
673 Verschlüsselung"'}.\index{Symmetrische Verschlüsselung}
674
675 Dies führt zu einer ziemlich paradoxen Situation: Bevor man mit einer
676 solchen Methode ein Geheimnis (eine verschlüsselte Nachricht)
677 mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt
678 haben: den Schlüssel. Und da liegt der Hase im Pfeffer: Man muss sich
679 ständig mit dem Problem herumärgern, dass der Schlüssel unbedingt
680 ausgetauscht werden muss, aber auf keinen Fall von einem Dritten
681 abgefangen werden darf.
682
683
684 \clearpage
685 Gpg4win dagegen arbeitet ­-- außer mit dem geheimen Schlüssel -- mit
686 einem weiteren Schlüssel (engl. "`key"'), der vollkommen frei und
687 öffentlich (engl. "`public"') zugänglich ist.  Man spricht daher auch
688 von einem "`Public-Key"'-Verschlüsselungssystem.
689
690 Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es
691 muss kein geheimer Schlüssel mehr ausgetauscht werden. Im Gegenteil:
692 Der geheime Schlüssel darf auf keinen Fall ausgetauscht werden!
693 Weitergegeben wird nur der öffentliche Schlüssel~-- und den darf sowieso jeder
694 kennen.
695
696 Mit Gpg4win benutzen Sie also ein Schlüsselpaar\index{Schlüsselpaar}
697 -- einen geheimen und einen zweiten öffentlichen Schlüssel.  Beide
698 Schlüsselteile sind durch eine komplexe mathematische Formel
699 untrennbar miteinander verbunden.  Nach heutiger wissenschaftlicher
700 und technischer Kenntnis ist es unmöglich, einen Schlüsselteil aus dem
701 anderen zu berechnen und damit das Verfahren zu knacken. 
702
703 In Kapitel \ref{ch:themath} bekommen Sie erklärt, warum das so ist.
704
705 \htmlattributes*{img}{width=300}
706 \IncludeImage[width=0.5\textwidth]{verleihnix}
707
708
709 \clearpage
710 Das Prinzip der Public-Key-Verschlüsselung\index{Public-Key-Methode@""`Public-Key""'-Methode}
711 ist recht einfach:
712
713 Der \textbf{geheime} oder \textbf{private Schlüssel} (engl. ,,secret
714 key'' oder ,,private key'') muss geheim gehalten werden.
715
716 Der \textbf{öffentliche Schlüssel} (engl. "`public key"') soll so
717 öffentlich wie möglich gemacht werden.
718
719 Beide Schlüsselteile haben ganz und gar unterschiedliche Aufgaben:
720
721 \bigskip
722
723 \begin{quote}
724     Der geheime Schlüsselteil \textbf{entschlüsselt} Nachrichten.
725 \end{quote}
726
727 \htmlattributes*{img}{width=300}
728 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
729
730 \begin{quote}
731     Der öffentliche Schlüsselteil \textbf{verschlüsselt} Nachrichten.
732 \end{quote}
733
734 \clearpage
735 \subsubsection{Der öffentliche Brieftresor}
736 \index{Brieftresor}
737
738 In einem kleinen Gedankenspiel wird die Methode des
739 "`Public-Key"'-Verschlüsselungssystems und ihr Unterschied zur symmetrischen
740 Verschlüsselung\index{Symmetrische Verschlüsselung}
741 ("`Geheimschlüssel-Methode"' oder engl. "`Non-Public-Key"'-Methode)
742 \index{Non-Public-Key-Methode@""`Non-Public-Key""'-Methode|see{Symmetrische Verschlüsselung}} deutlicher ...
743
744 \bigskip
745
746 \textbf{Die "`Geheimschlüssel-Methode"' geht so:}
747
748 Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus
749 auf, über den Sie geheime Nachrichten übermitteln wollen.
750
751 Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur
752 einen einzigen Schlüssel gibt. Niemand kann ohne diesen Schlüssel
753 etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen
754 Nachrichten zunächst einmal gut gesichert -- so sicher wie in einem
755 Tresor.
756
757 \htmlattributes*{img}{width=300}
758 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
759
760 Da es nur einen Schlüssel gibt, muss Ihr Korrespondenzpartner
761 denselben Schlüssel wie Sie haben, um den Brieftresor damit auf- und
762 zuschließen und eine geheime Nachricht deponieren zu können.
763
764 \clearpage
765 Diesen Schlüssel müssen Sie Ihrem Korrespondenzpartner auf geheimem
766 Wege übergeben.
767
768 \bigskip
769 \bigskip
770
771 \htmlattributes*{img}{width=300}
772 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
773
774 \clearpage
775 Erst wenn der andere den geheimen Schlüssel hat, kann er den
776 Brieftresor öffnen und die geheime Nachricht lesen.
777
778 Alles dreht sich also um diesen Schlüssel: Wenn ein Dritter ihn kennt,
779 ist es sofort aus mit den geheimen Botschaften. Sie und Ihr
780 Korrespondenzpartner müssen ihn also \textbf{genauso} geheim
781 austauschen wie die Botschaft selbst.
782
783 Aber ­-- eigentlich könnten Sie ihm bei dieser Gelegenheit ja auch
784 gleich die geheime Mitteilung übergeben ...
785
786 \textbf{Übertragen auf die \Email{}-Verschlüsselung:} Weltweit müssten
787 alle \Email{}-Teilnehmer geheime Schlüssel besitzen und auf geheimem
788 Wege austauschen, bevor sie geheime Nachrichten per \Email{} versenden
789 könnten.
790
791 Vergessen Sie diese Möglichkeit am besten sofort wieder ...
792
793 \htmlattributes*{img}{width=300}
794 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
795
796 \clearpage
797 \textbf{Nun zur "`Public-Key"'-Methode:}
798
799 Sie installieren wieder einen Brieftresor \index{Brieftresor} vor
800 Ihrem Haus.  Aber: Dieser Brieftresor ist ­-- ganz im Gegensatz zu dem
801 ersten Beispiel -- stets offen.  Direkt daneben hängt --­ weithin
802 öffentlich sichtbar -- ein Schlüssel, mit dem jedermann den
803 Brieftresor zuschließen kann (asymmetrisches Verschlüsselungsverfahren).
804 \index{Asymmetrische Verschlüsselung}
805
806 \textbf{Zuschließen, aber nicht aufschließen:} das ist der Trick!
807
808 \htmlattributes*{img}{width=300}
809 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
810
811 Dieser Schlüssel gehört Ihnen und -- Sie ahnen es: Es ist Ihr
812 öffentlicher Schlüssel.
813
814 Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er
815 sie in den Brieftresor und schließt mit Ihrem öffentlichen Schlüssel
816 ab.  Jedermann kann das tun, denn der Schlüssel dazu ist ja völlig
817 frei zugänglich.
818
819 Kein anderer kann den Brieftresor nun öffnen und die Nachricht lesen.
820 Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen
821 hat, kann ihn nicht wieder aufschließen, z.B. um die Botschaft
822 nachträglich zu verändern.
823
824 Denn die öffentliche Schlüsselhälfte taugt ja nur zum Abschließen.
825
826 Aufschließen kann man den Brieftresor nur mit einem einzigen
827 Schlüssel: Ihrem eigenen geheimen, privaten Schlüsselteil.
828
829 \clearpage
830 \textbf{Wieder übertragen auf die \Email{}-Verschlüsselung:} Jedermann
831 kann eine \Email{} an Sie verschlüsseln. 
832
833 Er benötigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil
834 einen vollkommen öffentlichen\index{Schlüssel!öffentlicher}, "`ungeheimen"' Schlüssel. Nur ein
835 einziger Schlüssel entschlüsselt die \Email{} wieder: Ihr privater,
836 geheimer Schlüssel\index{Schlüssel!geheimer}\index{Schlüssel!privater}.
837
838 Spielen Sie das Gedankenspiel noch einmal anders herum durch:
839
840 Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen,
841 benutzen Sie dessen Brieftresor mit seinem öffentlichen, frei
842 verfügbaren Schlüssel.
843
844 Sie müssen Ihren Briefpartner dazu nicht persönlich kennen, ihn
845 getroffen oder je mit ihm gesprochen haben, denn sein öffentlicher
846 Schlüssel ist überall und jederzeit zugänglich. Wenn Sie Ihre
847 Nachricht hinterlegt und den Brieftresor des Empfängers mit seinem
848 öffentlichen Schlüssel wieder verschlossen haben, ist sie völlig
849 unzugänglich für jeden anderen, auch für Sie selbst.  Nur der
850 Empfänger kann den Brieftresor mit seinem privaten Schlüssel öffnen
851 und die Nachricht lesen.
852
853 \T\enlargethispage{2\baselineskip}
854
855 \htmlattributes*{img}{width=300}
856 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
857
858 \clearpage
859 \textbf{Aber was ist nun eigentlich gewonnen:} Es gibt doch immer noch
860 einen geheimen Schlüssel!?
861
862 Der Unterschied gegenüber der "`Non-Public-Key"'-Methode ist
863 allerdings ein gewaltiger:
864
865 Ihren privater Schlüssel kennen und benutzen nur Sie selbst.  Er wird
866 niemals einem Dritten mitgeteilt ­-- die Notwendigkeit einer geheimen
867 Übergabe entfällt, sie verbietet sich sogar.
868
869 Es muss überhaupt nichts Geheimes mehr zwischen Absender und Empfänger
870 ausgetauscht werden -- weder eine geheime Vereinbarung noch ein
871 geheimes Codewort.
872
873 Das ist ­-- im wahrsten Sinne des Wortes -- der Knackpunkt: Alle
874 symmetrischen Verschlüsselungsverfahren können geknackt werden, weil
875 ein Dritter sich beim Schlüsselaustausch in den Besitz des Schlüssels
876 bringen kann.
877
878 Dieses Risiko entfällt, weil ein geheimer Schlüssel nicht ausgetauscht
879 wird und sich nur an einem einzigen, sehr sicheren Ort befindet: dem
880 eigenen Schlüsselbund\index{Schlüsselbund} -- letztendlich Ihrem
881 eigenen Gedächtnis.
882
883 Diese moderne Methode der Verschlüsselung mit einem nicht geheimen und
884 öffentlichen sowie einem geheimen und privaten Schlüsselteil nennt man auch
885 "`asymmetrische Verschlüsselung"'. \index{Asymmetrische Verschlüsselung}
886
887
888 \clearpage
889 \chapter{Die Passphrase}
890 \label{ch:passphrase}
891 \index{Passphrase}
892
893 Wie Sie im letzten Kapitel gelesen haben, ist der private Schlüssel
894 eine der wichtigsten Komponenten beim "`Public-Key"'- oder
895 asymmetrischen Verschlüsselungsverfahren. Man muss ihn zwar nicht mehr
896 auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber
897 nach wie vor ist seine Sicherheit der Schlüssel zur Sicherheit des
898 "`ganzen"' Kryptografieverfahrens.
899
900 Technisch gesehen ist der private Schlüssel einfach eine Datei, die
901 auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf
902 diese Datei auszuschließen, wird sie zweifach gesichert:
903
904 \htmlattributes*{img}{width=300}
905 \IncludeImage[width=0.5\textwidth]{think-passphrase}
906
907 Zunächst darf kein anderer Benutzer des Rechners die Datei lesen oder
908 in sie schreiben können -- was kaum zu garantieren ist, da zum einen
909 der Administrator des Computers immer auf alle Dateien zugreifen kann,
910 zum anderen der Rechner verloren oder durch Viren\index{Viren}, 
911 Würmer\index{Würmer} oder Trojaner\index{Trojaner} ausspioniert werden kann.
912
913 Daher ist ein weiterer Schutz notwendig: eine Passphrase.  Kein
914 Passwort -- die Passphrase sollte nicht nur aus einem Wort bestehen,
915 sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich
916 "`im Kopf"' behalten und niemals aufschreiben müssen.
917
918 Trotzdem darf sie nicht erraten werden können. Das klingt vielleicht
919 widersprüchlich, ist es aber nicht. Es gibt einige erprobte Tricks,
920 mit deren Hilfe Sie sich eine völlig individuelle, leicht zu merkende
921 und nur sehr schwer zu erratende Passphrase ausdenken können.
922
923 \clearpage
924 Denken Sie an einen Ihnen gut bekannten Satz, z.B.: 
925
926 $\qquad$\verb-Ein blindes Huhn findet auch einmal ein Korn.-
927
928 Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben:
929
930 $\qquad$\verb-nieufdahnlnr- 
931 \texttt{\scriptsize{(Ei\textbf{n}
932 bl\textbf{i}nd\textbf{e}s H\textbf{u}hn \textbf{f}in\textbf{d}et
933 \textbf{a}uc\textbf{h} ei\textbf{n}ma\textbf{l} ei\textbf{n}
934 Ko\textbf{r}n.)}}
935
936 Diesen Buchstabensalat können Sie sich zunächst sicher nicht gut
937 merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den
938 ursprünglichen Satz im Kopf haben. Im Laufe der Zeit und je öfter Sie
939 ihn benutzen, prägt sich so eine Passphrase in Ihr Gedächtnis. Erraten
940 kann diese Passphrase niemand.
941
942 Denken Sie an ein Ereignis, das sich bereits fest in Ihrem
943 persönlichen Langzeitgedächtnis verankert hat.  Vielleicht gibt es
944 einen Satz, mit dem sich Ihr Kind oder Ihr Partner "`unvergesslich"'
945 gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus
946 einem für Sie wichtigen Lied.
947
948 Verwenden Sie kleine und große Buchstaben, Nummern, Sonder- und
949 Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute,
950 Sonderzeichen, Ziffern usw. Aber Vorsicht -- falls Sie Ihren geheimen
951 Schlüssel im Ausland an einem fremden Rechner benutzen wollen,
952 bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft
953 nicht haben. Beispielsweise werden Sie Umlaute (ä, ö, ü usw.) nur auf
954 einer deutschen Tastatur finden.
955
956 Machen Sie Rechtschreibfehler, z.B. "`feLer"' statt "`Fehler"'.
957 Natürlich müssen Sie sich diese "`feLer"' gut merken können.  Oder
958 wechseln Sie mittendrin die Sprache.  Aus dem schönen Satz:
959
960 $\qquad$\verb-In München steht ein Hofbräuhaus.-
961
962 könnte man beispielsweise diese Passphrase machen:
963
964 $\qquad$\verb-inMinschen stet 1h0f breuhome-
965
966 Denken Sie sich einen Satz aus, der möglichst unsinnig ist, den Sie
967 sich aber doch merken können, wie z.B.:
968
969 $\qquad$\verb-Es blaut so garstig beim Walfang, neben-
970
971 $\qquad$\verb-Taschengeld, auch im Winter.-
972
973 Eine Passphrase in dieser Länge ist ein sicherer Schutz für Ihren
974 geheimen Schlüssel.
975
976 Sie darf auch kürzer sein, wenn Sie einige Buchstaben groß schreiben,
977 z.B. so:
978
979 $\qquad$\verb-Es blAut nEBen TaschengeLd auch im WiNter.-
980
981 Das ist nun kürzer, aber nicht mehr so leicht zu merken.  Wenn Sie
982 eine noch kürzere Passphrase verwenden, indem Sie hier und da
983 Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu
984 tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase
985 vergessen, wird dabei größer.
986
987 Ein extremes Beispiel für eine möglichst kurze, aber dennoch sehr
988 sichere Passphrase ist dieses hier:
989
990 $\qquad$\verb-R!Qw"s,UIb *7\$-
991
992 In der Praxis haben sich solche Zeichenfolgen allerdings als recht
993 wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte
994 für die Erinnerung hat.
995
996 \clearpage
997 Eine \textbf{schlechte Passphrase} ist blitzschnell "`geknackt"', wenn
998 sie ...
999
1000 \begin{itemize}
1001     \item ... schon für einen anderen Zweck benutzt wird (z.B. für
1002         einen \Email{}-Account oder Ihr Handy). Die gleiche Passphrase
1003         wäre damit bereits einer anderen, möglicherweise unsicheren
1004         Software bekannt.  Falls hier ein Hacker erfolgreich
1005         zuschlägt, ist Ihre Passphrase so gut wie nichts mehr wert.
1006
1007     \item ... aus einem Wörterbuch stammt. Passphrase-Knackprogramme
1008         können in Minutenschnelle komplette digitale Wörterbücher über
1009         ein Passwort laufen lassen -- bis eines der Wörter passt.
1010
1011     \item ... aus einem Geburtsdatum, einem Namen oder anderen
1012         öffentlichen Informationen besteht. Wer vorhat, Ihre \Email{}
1013         zu entschlüsseln, wird sich diese Daten beschaffen.
1014
1015     \item ... ein landläufiges Zitat ist; wie z.B. "`das wird böse
1016         enden"' oder "`to be or not to be"'. Auch mit derartigen
1017         gängigen Zitaten testen Passphrase-Knackprogramme eine
1018         Passphrase.
1019
1020     \item ... aus nur einem Wort oder aus weniger als 8 Zeichen
1021         besteht.  Denken Sie sich unbedingt eine längere Passphrase
1022         aus.
1023 \end{itemize}
1024
1025 Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie
1026 \textbf{auf gar keinen Fall} eines der oben angeführten Beispiele.
1027 Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemüht,
1028 Ihre Passphrase herauszubekommen, würde er zuerst ausprobieren, ob Sie
1029 nicht eines dieser Beispiele genommen haben.
1030
1031 \bigskip
1032
1033 \textbf{Seien Sie kreativ!} Denken Sie sich jetzt eine Passphrase aus!
1034 Unvergesslich und unknackbar.
1035
1036 In Kapitel~\ref{ch:CreateKeyPair} werden Sie diese Passphrase bei der
1037 Erzeugung Ihres Schlüsselpaars benötigen.
1038
1039 Vorher müssen Sie aber noch ein weiteres Problem aus dem Weg räumen:
1040 Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime
1041 Nachrichten schicken will, auch tatsächlich echt ist.
1042
1043
1044 \clearpage
1045 \chapter{Zwei Wege, ein Ziel: OpenPGP \& S/MIME}
1046 \label{ch:openpgpsmime}
1047 \index{OpenPGP} \index{S/MIME}
1048
1049 Sie haben gesehen, wie wichtig der "`Umschlag"' um Ihre \Email{} ist und
1050 wie man ihn mit den Mitteln der modernen Informationstechnologie
1051 bereitstellt: ein Brieftresor, \index{Brieftresor} in den jedermann verschlüsselte Mails
1052 legen kann, die nur Sie als Besitzer des Brieftresors entschlüsseln
1053 können.  Es ist unmöglich, die Verschlüsselung zu knacken, solange der
1054 private Schlüssel zum "`Tresor"' Ihr Geheimnis bleibt.
1055
1056 Allerdings: Wenn man genauer darüber nachdenkt, gibt es noch ein
1057 zweites Problem. Weiter oben haben Sie gelesen, dass man -- im
1058 Gegensatz zur Geheimschlüssel-Methode -- den Briefpartner nicht
1059 persönlich treffen muss, damit er eine geheime Nachricht übermitteln
1060 kann. Wie kann man dann aber sicher sein, dass er auch tatsächlich
1061 derjenige ist, für den er sich ausgibt?  Beim \Email{}-Verkehr kennen
1062 Sie in den seltensten Fällen alle Ihre Briefpartner persönlich -- und
1063 wer sich wirklich hinter einer \Email{}-Adresse verbirgt, kann man nicht
1064 ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der
1065 Nachricht gewährleistet sein, sondern auch die Identität des Absenders
1066 -- die \textbf{Authentizität}. \index{Authentizität}
1067
1068 Irgendjemand muss also beglaubigen, dass die Person, die Ihnen
1069 geheime Nachrichten schicken will, auch tatsächlich echt ist.  Im
1070 Alltagsleben dient zu dieser
1071 "`Authentisierung"'\index{Authentisierung} ein Ausweis, eine
1072 Unterschrift oder eine Urkunde, die von einer Behörde oder einem Notar
1073 beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese
1074 Institution von einer übergeordneten Behörde und letztendlich vom
1075 Gesetzgeber. Anders betrachtet, handelt es sich um eine
1076 Vertrauenskette\index{Vertrauenskette}, die sich von "`oben"' nach
1077 "`unten"' verzweigt: man spricht von einem \textbf{"`hierarchischen
1078 Vertrauenskonzept"'}.  \index{Hierarchisches Vertrauenskonzept}
1079
1080 Dieses Konzept findet sich bei Gpg4win oder anderen
1081 \Email{}-Verschlüsselungsprogrammen fast spiegelbildlich in
1082 \textbf{S/MIME} wieder. Dazu kommt \textbf{OpenPGP}, ein weiteres
1083 Konzept, das so nur im Internet funktioniert.  S/MIME und OpenPGP
1084 haben beide die gleiche Aufgabe: das Verschlüsseln und Signieren von
1085 Daten.  Beide benutzen die bereits bekannte Public-Key-Methode.  Es
1086 gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner
1087 der Standards einen allgemeinen Vorteil gegenüber dem anderen. Deshalb
1088 können Sie mit Gpg4win beide Verfahren einsetzen.
1089
1090
1091 \clearpage
1092 Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schönen
1093 Namen "`Secure / Multipurpose Internet Mail Extension"' oder
1094 \textbf{S/MIME}. Mit S/MIME müssen Sie Ihren öffentlichen Schlüssel
1095 von einer dazu berechtigten Organisation beglaubigen lassen, bevor er
1096 wirklich nutzbar wird. Das Zertifikat dieser Organisation wurde
1097 wiederum mit dem Zertifikat einer höher stehenden Organisation
1098 beglaubigt, usw. --  bis man zu einem sogenannten Wurzelzertifikat
1099 kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das
1100 Wurzelzertifikat, das Zertifikat des Zertifikatsausstellers 
1101 \index{Zertifikatsaussteller} (auch CA\index{Certificate Authority
1102 (CA)} für Certificate Authority genannt) und schließlich Ihr eigenes,
1103 das Anwenderzertifikat.
1104
1105 Als zweite, alternative, nicht kompatible Methode der Beglaubigung
1106 dient der Standard \textbf{OpenPGP}, der keine Vertrauenshierarchie
1107 aufbaut, sondern ein \textbf{"`Netz des Vertrauens"'} (Web of Trust).
1108 \index{Web of Trust}
1109 Das Web of Trust bildet die Grundstruktur des nicht hierarchischen
1110 Internets und seiner Nutzer nach.  Vertraut zum Beispiel der
1111 Teilnehmer B dem Teilnehmer A, könnte B auch dem öffentlichen
1112 Schlüssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn
1113 dieser Schlüssel durch A beglaubigt wurde.
1114
1115 Mit OpenPGP besteht also die Möglichkeit, ohne die Beglaubigung einer
1116 höheren Stelle verschlüsselte Daten und \Email{}s auszutauschen.  Es
1117 reicht aus, wenn Sie der \Email{}-Adresse und dem dazugehörigen
1118 Schlüssel Ihres Kommunikationspartners vertrauen.
1119
1120 Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust -- die
1121 Authentisierung des Absenders ist mindestens ebenso wichtig wie der
1122 Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen
1123 wir auf diese wichtige Sicherheitsmaßnahme noch einmal zurück.  Im
1124 Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu
1125 installieren und die folgenden Kapitel zu verstehen:
1126
1127 \begin{itemize}
1128     \item Beide Verfahren -- \textbf{OpenPGP} und \textbf{S/MIME} --
1129         bieten die notwendige Sicherheit.
1130     \item Die Verfahren sind \textbf{nicht kompatibel} miteinander.
1131         Sie bieten zwei alternative Methoden zur Authentisierung Ihrer
1132         geheimen Kommunikation. Man sagt somit, sie sind nicht
1133         interoperabel.
1134     \item Gpg4win ermöglicht die bequeme \textbf{parallele} Nutzung
1135         beider Verfahren -- Sie müssen sich aber bei jeder
1136         Verschlüsselung/Signierung für eines der beiden entscheiden.
1137 \end{itemize}
1138
1139
1140 \clearpage
1141 \chapter{Installation von Gpg4win}
1142 \index{Installation}
1143
1144 In den Kapiteln 1 bis 5 haben Sie einiges über die Hintergründe der
1145 Verschlüsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass
1146 Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen
1147 Sie Gpg4win schließlich Ihre geheime Korrespondenz anvertrauen.  Da
1148 sollten Sie schon wissen, was vor sich geht.
1149
1150 Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr
1151 Schlüsselpaar einzurichten.
1152
1153 Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner
1154 installiert sein, 
1155 dann lesen bitte im Anhang \ref{ch:migration} nach, wie Sie Ihre
1156 vorhandenen Schlüssel übernehmen können.
1157
1158 Sie benötigen für die Installation auf Ihrem Windows 32 oder 64-bit
1159 System Administratorrechte. 
1160
1161 Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf,
1162 dass Sie die Datei von einer vertrauenswürdigen Seite erhalten, z.B.:
1163 \uniurl[https://www.gpg4win.de]{https://www.gpg4win.de}. Zum Start der
1164 Installation klicken Sie nach dem Download auf die Datei:
1165
1166 \Filename{gpg4win-3.0.0.exe} (oder mit einer höheren Versionsnummer).
1167
1168 % screenshot: UAT Abfrage beim starten des Installers
1169 \IncludeImage[width=0.85\textwidth]{sc-inst-uat_de}
1170
1171 Die Frage, ob Sie das Programm installieren wollen, beantworten Sie
1172 mit \Button{Ja}.
1173
1174 \clearpage
1175 Der Installationsassistent startet und befragt Sie zuerst nach der
1176 Sprache für den Installationsvorgang:
1177
1178 % screenshot: Installer Sprachenauswahl
1179 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1180
1181 Bestätigen Sie Ihre Sprachauswahl mit \Button{OK}.
1182
1183 Anschließend begrüßt Sie dieser Willkommensdialog:
1184
1185 % screenshot: Installer Willkommensseite
1186 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1187
1188 Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken
1189 Sie dann auf \Button{Weiter}.
1190
1191 \clearpage
1192 Auf der Seite mit der \textbf{Komponentenauswahl} können Sie
1193 entscheiden, welche Programme Sie installieren möchten.
1194 Eine Vorauswahl ist bereits getroffen. Sie können bei Bedarf einzelne
1195 Komponenten auch später installieren. 
1196
1197 Wenn Sie die Maus über eine Komponente ziehen, erscheint eine
1198 Kurzbeschreibung.
1199
1200 % screenshot: Auswahl zu installierender Komponenten
1201 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1202
1203 Klicken Sie auf \Button{Weiter}.
1204
1205 \clearpage
1206 Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.:
1207 \Filename{C:$\backslash$Programm Files(x86)$\backslash$Gpg4win}
1208
1209 Übernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus,
1210 in dem Sie Gpg4win installieren wollen.
1211
1212 % screenshot: Auswahl des Installationsverzeichnis.
1213 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1214
1215 Klicken Sie anschließend auf \Button{Installieren}.
1216
1217 \clearpage
1218 Während der nun folgenden \textbf{Installation} sehen Sie einen
1219 Fortschrittsbalken und Informationen, welche Datei momentan
1220 installiert wird.
1221
1222 % screenshot: Ready page Installer
1223 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1224
1225 Nachdem die Installation abgeschlossen ist, drücken Sie bitte auf
1226 \Button{Weiter}.
1227
1228 \clearpage
1229 Nach erfolgreicher Installation wird Ihnen diese letzte Seite des
1230 Installationsvorgangs angezeigt:
1231
1232 % screenshot: Finish page Installer
1233 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1234
1235 Es wird Ihnen angeboten Kleopatra direkt zu starten.
1236 Zudem haben Sie die Möglochkeit sich die README-Datei anzeigen zu lassen, die
1237 wichtige Informationen zu der soeben installierten Gpg4win-Version
1238 enthält.  Sofern Sie die README-Datei ansehen wollen,
1239 aktivieren Sie diese Option.
1240
1241 Klicken Sie schließlich auf \Button{Fertig stellen}.
1242
1243 \textbf{Das war's schon!}
1244
1245 Sie haben Gpg4win erfolgreich installiert und können nun loslegen.
1246
1247 Für Informationen zur \textbf{automatischen Installation} von Gpg4win,
1248 wie sie z.B. für Soft\-ware\-verteilungs-Systeme interessant ist,
1249 lesen Sie bitte im Anhang \ref{ch:auto} "`Automatische Installation
1250 von Gpg4win"' weiter.
1251
1252
1253 \clearpage
1254 \chapter{Erstellung eines Schlüsselpaars}
1255 \label{ch:CreateKeyPair}
1256 \index{Zertifikat!erstellen}
1257 \index{Schlüssel!erzeugen}
1258 %TODO : Vllt. Erklärung Zertifikat vs. Keypair erklären und woher das Wording
1259 %       kommt
1260 Nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist
1261 (Kapitel~\ref{ch:FunctionOfGpg4win}) und wie eine gute Passphrase als
1262 Schutz Ihres geheimen Schlüssels entsteht
1263 (Kapitel~\ref{ch:passphrase}), können Sie nun Ihr persönliches
1264 Schlüsselpaar\index{Schlüsselpaar} erzeugen.
1265
1266 Wie Sie im Kapitel~\ref{ch:FunctionOfGpg4win} gesehen haben, besteht
1267 ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel.
1268 Ergänzt durch \Email{}-Adresse, Benutzerkennung etc., die Sie bei der
1269 Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr
1270 Schlüsselpaar mit dem öffentlichen \textit{und} dem geheimen
1271 Schlüssel.
1272
1273 Diese Definition gilt sowohl für OpenPGP-Schlüssel wie auch für
1274 S/MIME-Zertifikate (S/MIME-Zertifikate entsprechen einem Standard mit der Bezeichnung
1275 "`X.509"'\index{X.509}).
1276
1277 ~\\ \textbf{Eigentlich müsste man diesen wichtigen Schritt der
1278         Schlüsselpaar-Erzeugung ein paar Mal üben können ...}
1279
1280 Genau das können Sie tun -- allerdings nur für OpenPGP:
1281
1282 Ihr Vertrauen in Gpg4win wird sich durch diese "`Trockenübung"'
1283 festigen, und die "`heiße Phase"' der OpenPGP-Schlüsselpaar-Erzeugung
1284 wird danach kein Problem mehr sein.
1285
1286 \clearpage
1287 \textbf{Los geht's!}
1288 Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf.
1289 Daraufhin sehen Sie das Hauptfenster von Kleopatra\index{Kleopatra}:
1290 \index{Zertifikatsverwaltung}
1291
1292 % screenshot: Kleopatra main window
1293 \htmlattributes*{img}{width=508}
1294 \IncludeImage[width=\textwidth]{sc-kleopatra-mainwindow-empty_de}
1295
1296 Zu Beginn ist diese Übersicht leer, da Sie noch keine
1297 Schlüssel erstellt (oder importiert) haben. 
1298
1299 Klicken Sie auf \Button{Schlüsselpaar erstellen} (oder alternativ
1300 \Menu{Datei$\rightarrow$Neues~Schlüsselpaar}).
1301
1302 Im folgenden Dialog entscheiden Sie sich für ein Format, in dem
1303 anschließend ein Schlüsselpaar erstellt werden soll. Sie haben die Wahl
1304 zwischen \textbf{OpenPGP} (PGP/MIME) oder \textbf{X.509} (S/MIME).
1305 Die Unterschiede und Gemeinsamkeiten beider Verfahren wurden bereits in
1306 Kapitel~\ref{ch:openpgpsmime} erläutert.
1307
1308 \label{chooseCertificateFormat}
1309 % screenshot: Kleopatra - New certificate - Choose format
1310 %TODO: Zertifikat steht drüber, aber alles heißt Schlüsselpaar? Konsistenz
1311 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1312
1313 \clearpage
1314 Je nachdem, ob Sie sich für OpenPGP oder X.509 (S/MIME) entschieden
1315 haben, lesen Sie nun also bitte entweder:
1316 \begin{itemize}
1317         \item Abschnitt \ref{createKeyPairOpenpgp}:
1318         \textbf{OpenPGP-Schlüsselpaar erstellen} oder
1319         \item Abschnitt \ref{createKeyPairX509}:
1320         \textbf{X.509-Zertifikat erstellen} \T (siehe Seite
1321         \pageref{createKeyPairX509}).
1322 \end{itemize}
1323
1324
1325
1326 \section{OpenPGP-Schlüsselpaar erstellen}
1327 \label{createKeyPairOpenpgp}
1328 \index{OpenPGP!Zertifikat erstellen}
1329
1330 %TODO: "Zertifikat" im Kleo-Dialog ändern in "Schlüsselpaar"
1331 %TODO: Neuer Screenshot (Next/Cancel)
1332 Klicken Sie im Auswahldialog auf \Button{Persönliches 
1333 OpenPGP-Schlüsselpaar erzeugen}.
1334
1335
1336 Geben Sie im nun folgenden Dialog Ihren Namen und Ihre
1337 \Email{}-Adresse an. Name und \Email{}-Adresse sind später öffentlich
1338 sichtbar.
1339
1340 Optional können Sie einen Kommentar zum Schlüsselpaar eingeben.
1341 Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlüssel
1342 zu Testzwecken erzeugen, sollten Sie dort als Erinnerung "`Test"'
1343 eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der
1344 Name und die \Email{}-Adresse später öffentlich sichtbar.
1345
1346 % screenshot: Creating OpenPGP Certificate - Personal details\\
1347 %TODO: Neuer Screenshot (Next/Cancel)
1348 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1349
1350 Wenn Sie die OpenPGP-Schlüsselpaar-Erzeugung zunächst einmal
1351 \textbf{testen} wollen, dann können Sie einfach einen beliebigen Namen
1352 und irgendeine ausgedachte \Email{}-Adresse eingeben, z.B.:\\
1353 \Filename{Alice} und \Filename{alice@gpg4win.de}
1354
1355 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1356 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1357 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1358 informieren.
1359
1360 Klicken Sie auf \Button{Weiter}.
1361
1362 \clearpage
1363 Es werden abschließend noch einmal alle wesentlichen Eingaben und Einstellungen
1364 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1365 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1366 über die Option \Menu{Alle Details} einsehen.
1367
1368 % screenshot: Creating OpenPGP Certificate - Review Parameters
1369 %TODO: Neuer Screenshot (Cancel)
1370 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1371
1372 Wenn alles korrekt ist, klicken Sie anschließend auf \Button{Schlüssel
1373         erzeugen}.
1374
1375 \clearpage 
1376 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer
1377 \textbf{Passphrase}!
1378
1379 Für die Schlüsselpaarerzeugung müssen Sie Ihre persönliche
1380 Passphrase eingeben:
1381
1382 % screenshot: New certificate - pinentry
1383 %TODO: Neuer Screenshot (Cancel)
1384 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1385
1386 Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1387 jetzt eine einfach zu merkende und schwer zu knackende geheime
1388 Passphrase parat haben.  Geben Sie diese in den oben gezeigten Dialog
1389 ein!
1390
1391 Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1392 geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1393
1394 Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1395 keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1396 hingewiesen.
1397
1398 Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1399 \textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1400
1401 Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1402 Passphrase zweimal eingeben. Bestätigen Sie Ihre Eingabe jeweils mit
1403 \Button{OK}.
1404
1405 \clearpage
1406 Nun wird Ihr OpenPGP-Schlüsselpaar erzeugt:
1407 % screenshot: Creating OpenPGP Certificate - Create Key
1408 %TODO: Neuer Screenshot (Next/Cancel)
1409 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1410
1411 Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1412 benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1413 irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1414 Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1415 einzelnen Tastendrücken.  Sie können auch mit einer anderen Anwendung
1416 Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1417 Qualität des erzeugten Schlüsselpaars.
1418
1419 \clearpage
1420 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1421 erhalten Sie folgenden Dialog:
1422
1423 % screenshot: Creating OpenPGP certificate - key successfully created
1424 %TODO: Neuer Screenshot (Next/Cancel)
1425 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1426
1427 Im Ergebnis-Textfeld wird der 40-stellige
1428 "`Fingerabdruck"'\index{Fingerabdruck} Ihres neu
1429 generierten OpenPGP-Schlüssels angezeigt. Dieser Fingerabdruck (engl.
1430 "`Fingerprint"') ist weltweit eindeutig, d.h. keine andere Person
1431 besitzt einen Schlüssel mit identischem Fingerabdruck. Es ist sogar
1432 vielmehr so, dass es schon mit 8 Zeichen ein außerordentlicher Zufall
1433 wäre, wenn diese weltweit ein zweites Mal vorkämen. Daher werden oft
1434 nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt
1435 und als Schlüsselkennung\index{Schlüsselkennung} (oder
1436 Schlüssel-ID)\index{Schlüssel!-ID} bezeichnet.
1437 Dieser Fingerabdruck identifiziert die Identität des Schlüssels wie
1438 der Fingerabdruck einer Person.
1439
1440 Sie brauchen sich den Fingerabdruck nicht zu merken oder
1441 %TODO: Zertifikatdetails in Kleo zu "Details" ändern
1442 abzuschreiben. In den Details von Kleopatra können Sie
1443 sich ihn jederzeit später anzeigen lassen.
1444
1445 \clearpage
1446 Als Nächstes können Sie eine oder auch (hintereinander) mehrere der
1447 folgenden drei Schaltflächen betätigen:
1448
1449 \begin{description}
1450         
1451         \item[Sicherheitskopie Ihres (geheimen) Schlüssels erstellen...]~\\
1452         Geben Sie hier den Pfad an, unter dem Ihr vollständiges Schlüsselpaars
1453         (also der geheime \textit{und} öffentliche Schlüssel) exportiert werden
1454         soll:
1455         
1456         % screenshot: New OpenPGP certificate - export key
1457         %TODO: Neuer Screenshot
1458         \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1459         
1460         Kleopatra wählt automatisch den Dateityp und speichert Ihren
1461         Schlüssel als \Filename{.asc} bzw. \Filename{.gpg} Datei ab --
1462         abhängig davon, ob Sie die Option \textbf{ASCII-geschützt} (engl.
1463         "`ASCII armor"') ein- bzw. ausschalten.
1464         
1465         Klicken Sie anschließend zum Exportieren auf \Button{OK}.
1466         
1467         \textbf{Wichtig:} Falls Sie die Datei auf der Festplatte
1468         abspeichern, so sollten Sie diese Datei schnellstens auf einen
1469         anderen Datenträger (USB-Stick, Diskette oder CD-ROM) kopieren und
1470         die Originaldatei rückstandslos löschen, d.h. nicht im Papierkorb
1471         belassen!  Bewahren Sie diesen Datenträger mit der
1472         Sicherheitskopie sicher auf.
1473         
1474         Sie können eine Sicherheitskopie auch noch später anlegen; wählen
1475         Sie hierzu aus dem Kleopa\-tra-Hauptmenü:
1476         %TODO: In Kleo evtl. anpassen?
1477         \Menu{Datei$\rightarrow$Geheimes Zertifikat exportieren...} (vgl.
1478         Kapitel \ref{ch:ImExport}).
1479         
1480         \item[Schlüssel per \Email{} versenden...]~\\ Nach dem Klick auf
1481         diese Schaltfläche sollte eine neue \Email{} erstellt werden --
1482         mit Ihrem neuen öffentlichen Schlüssel im Anhang.  Ihr geheimer
1483         OpenPGP-Schlüssel wird selbstverständlich \textit{nicht}
1484         versendet.  Geben Sie eine Empfänger-\Email{}-Adresse an und
1485         ergänzen Sie ggf. den vorbereiteten Text dieser \Email{}.
1486         
1487         \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1488         diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1489         kein neues \Email{}-Fenster öffnen, so beenden Sie den
1490         %TODO: Oder heißt es Schlüsselpaar-erstellungs-Assistent?
1491         Assistenten, speichern Ihren öffentlichen
1492         %TODO: In Kleo evtl auf Schlüssel exportieren ändern?
1493         Schlüssel durch \Menu{Datei$\rightarrow$Zertifikat exportieren}
1494         und versenden diese Datei per \Email{} an Ihre
1495         Korrespondenzpartner.
1496         
1497         \item[Zertifikate zu Zertifikatsserver senden...]~\\ Wie Sie einen
1498         weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra
1499         einrichten und wie Sie anschließend Ihr öffentliches Zertifikat
1500         auf diesem Server veröffentlichen, erfahren Sie in
1501         Kapitel~\ref{ch:keyserver}.
1502         
1503 \end{description}
1504
1505 Ihr OpenPGP-Schlüsselpaar ist damit fertig erstellt.  Beenden Sie
1506 anschließend den Kleopatra-Assistenten mit \Button{Fertigstellen}.
1507
1508
1509 \clearpage
1510 \textbf{Damit ist die Erzeugung Ihres OpenPGP-Schlüsselpaares abgeschlossen.  Sie besitzen nun einen
1511         einzigartigen elektronischen Schlüssel.}
1512
1513 Sie befinden sich nun wieder im Hauptfenster von Kleopatra. 
1514 Den soeben erzeugten OpenPGP-Schlüssel finden Sie in der Übericht:
1515
1516 % screenshot: Kleopatra with new openpgp certificate
1517 \htmlattributes*{img}{width=508}
1518 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1519
1520 Doppelklicken Sie auf Ihren neuen Schlüssel, um alle Details
1521 sehen zu können:
1522
1523 % screenshot: details of openpgp certificate
1524 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1525
1526 Was bedeuten die einzelnen Details?
1527
1528 Ihr Schlüssel ist unbegrenzt gültig, d.h. es hat kein "`eingebautes
1529 Verfallsdatum"'. Um die Gültigkeit nachträglich zu verändern, klicken
1530 Sie auf \Button{Ablaufdatum ändern}.
1531
1532 \textbf{Weitere Details zum Schlüssel finden Sie im
1533         Kapitel~\ref{ch:CertificateDetails}.}
1534 \clearpage
1535
1536
1537 \section{X.509-Zertifikat erstellen}
1538 \label{createKeyPairX509}
1539 \index{X.509!Zertifikat erstellen}
1540
1541 \T\marginSmime
1542 Klicken Sie im Schlüsselpaar-Auswahldialog von
1543 Seite~\pageref{chooseCertificateFormat} auf die Schaltfläche\\
1544 \Button{Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage
1545         erstellen}.
1546
1547 Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name),
1548 Ihre \Email{}-Adresse (EMAIL), Ihre Organisation (O = organization)
1549 und Ihren Ländercode (C = country) an. Optional können Sie noch Ort (L
1550 = locality) und Abteilung (OU = organizational unit) ergänzen.
1551
1552 Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal
1553 \textbf{testen} wollen, dann machen Sie beliebige Angaben für Name,
1554 Organisation sowie Ländercode und geben irgendeine ausgedachte
1555 \Email{}-Adresse ein, z.B.: \Filename{CN=Bob,O=Test,C=DE,EMAIL=bob@gpg4win.de}
1556
1557 % screenshot: New X.509 Certificate - Personal details
1558 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1559
1560 Die \textbf{erweiterten Einstellungen} benötigen Sie nur in
1561 Ausnahmefällen.  Sie können sich im Kleopatra-Handbuch (über
1562 \Menu{Hilfe$\rightarrow$Handbuch zu Kleopatra}) über die Details
1563 informieren.
1564
1565 Klicken Sie auf \Button{Weiter}.
1566
1567 \clearpage
1568 Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen
1569 zur \textbf{Kontrolle} aufgelistet. Falls Sie sich für die
1570 (vorbelegten) Experten-Einstellungen interessieren, können Sie diese
1571 über die Option \Menu{Alle Details} einsehen.
1572
1573 % screenshot: New X.509 Certificate - Review Parameters
1574 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1575
1576 Wenn alles korrekt ist, klicken Sie auf \Button{Schlüssel erzeugen}.
1577
1578 Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1579 Das Vorgehen ist analog zu OpenPGP aus dem vorherigen Abschnitt
1580 \ref{createKeyPairOpenpgp}.
1581
1582 \clearpage
1583 %Jetzt folgt der wichtigste Teil: die Eingabe Ihrer \textbf{Passphrase}!
1584
1585 %Für die Schlüsselpaarerzeugung werden Sie aufgefordert, Ihre
1586 %Passphrase einzugeben:
1587
1588 % screenshot: New X.509 certificate - pinentry
1589 %\IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1590
1591 %Wenn Sie Kapitel~\ref{ch:passphrase} gelesen haben, dann sollten Sie
1592 %jetzt eine einfach zu merkende und schwer zu knackende geheime
1593 %Passphrase parat haben.  Geben Sie sie in den oben gezeigten Dialog
1594 %ein!
1595
1596 %Beachten Sie bitte, dass dieses Fenster unter Umständen im Hintergrund
1597 %geöffnet wurde und damit auf den ersten Blick nicht sichtbar ist.
1598
1599 %Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder
1600 %keine Zahlen oder Sonderzeichen enthält, werden Sie darauf
1601 %hingewiesen.
1602
1603 %Auch an dieser Stelle können Sie ­-- wenn Sie wollen ­-- zunächst eine
1604 %\textbf{Test-Passphrase} eingeben oder auch gleich "`Ernst machen"'.
1605
1606 %Um sicherzugehen, dass Sie sich nicht vertippt haben, müssen Sie Ihre geheime
1607 %Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes
1608 %Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre
1609 %Zertifikatsanfrage\index{Zertifikatsanfrage} an die zuständige
1610 %Beglaubigungsinstanz.  Bestätigen Sie Ihre Eingaben jeweils mit
1611 %\Button{OK}.
1612
1613 %\clearpage
1614 %Nun wird Ihr X.509-Schlüsselpaar angelegt:
1615 % screenshot: New  X.509 Certificate - Create Key
1616 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1617
1618 %Dies kann u.U. einige Minuten dauern. Sie können die Erzeugung der
1619 %benötigten Zufallszahlen unterstützen, indem Sie im unteren Eingabefeld
1620 %irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was
1621 %Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den
1622 %einzelnen Tastendrücken. Sie können auch mit einer anderen Anwendung
1623 %Ihres Rechner weiterarbeiten und erhöhen damit ebenfalls leicht die
1624 %Qualität des erzeugten Schlüsselpaars.
1625
1626 %\clearpage
1627 Sobald die \textbf{Schlüsselpaarerzeugung erfolgreich} abgeschlossen ist,
1628 erhalten Sie folgenden Dialog:
1629
1630 % screenshot: New X.509 certificate - key successfully created
1631 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1632
1633 Die nächsten Schritte werden durch die beiden folgenden Schaltflächen ausgelöst:
1634
1635 \begin{description}
1636         
1637         \item[Anfrage in Datei speichern...]~\\ Geben Sie hier den Pfad an,
1638         unter dem Ihre X.509-Zertifikatsanfrage gesichert werden soll, und
1639         bestätigen Sie Ihre Eingabe.  Kleopatra fügt beim Speichern
1640         automatisch die Dateiendung \Filename{.p10} hinzu. Diese Datei
1641         kann später an eine Beglaubigungsinstanz (kurz CA für Certificate
1642         Authority\index{Certificate Authority (CA)}) gesendet werden. Etwas weiter unten weisen wir Sie auf
1643         cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA),
1644         die kostenlos X.509-Zertifikate ausstellt.
1645         
1646         \item[Anfrage per \Email{} versenden...]~\\ Es wird eine neue \Email{}
1647         erstellt -- mit der soeben erstellten Zertifikatsanfrage im Anhang.
1648         Geben Sie eine Empfänger-\Email{}-Adresse an -- in der Regel die
1649         Ihrer zuständigen Beglaubigungsinstanz -- und ergänzen Sie ggf.
1650         den vorbereiteten Text dieser \Email{}.
1651         
1652         \textbf{Beachten Sie:} Nicht alle \Email{}-Programme unterstützen
1653         diese Funktion.  Es geht aber natürlich auch manuell: Sollte sich
1654         kein neues \Email{}-Fenster öffnen, dann speichern Sie Ihre
1655         Anfrage zunächst in eine Datei (siehe oben) und versenden diese
1656         Datei per \Email{} an Ihre Beglaubigungsinstanz (Certificate
1657         Authority, CA).
1658         
1659         Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von
1660         Ihrem zuständigen CA-Systemadministrator das fertige und von der
1661         CA unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur
1662         noch in Kleopatra importieren (vgl. Kapitel \ref{ch:ImExport}).
1663         
1664 \end{description}
1665
1666 Beenden Sie anschließend den Kleopatra-Assistenten mit
1667 \Button{Fertigstellen}.
1668
1669
1670 \clearpage
1671 \subsubsection{Erstellung eines X.509-Zertifikats mit www.cacert.org}
1672
1673 CAcert\index{CAcert} ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die
1674 kostenlos X.509-Zertifikate ausstellt.  Damit wird eine Alternative zu
1675 den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebühren
1676 für ihre Zertifikate erheben.
1677
1678 Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können,
1679 müssen Sie sich zunächst bei
1680 \uniurl[www.cacert.org]{http://www.cacert.org} registrieren.
1681
1682 Sofort anschließend können Sie ein oder mehrere Client-Zertifikat(e)
1683 auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende
1684 Schlüssellänge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre
1685 sichere Pass\-phrase für Ihr Zertifikat fest.
1686
1687 Ihr Client-Zertifikat wird nun erstellt.
1688
1689 Im Anschluss daran erhalten Sie eine \Email{} mit zwei Links zu Ihrem
1690 neu erstellten X.509-Zertifikat und dem dazugehörigen
1691 CAcert-Root-Zertifikat.  Laden Sie sich beide Zertifikate herunter.
1692
1693 Folgen Sie den Anweisungen und installieren Sie Ihr Zertifikat in Ihrem
1694 Browser. Bei Firefox können Sie danach z.B. über
1695 \Menu{Bearbeiten$\rightarrow$Einstellungen$\rightarrow$Erweitert$\rightarrow$Zertifikate}
1696 Ihr installiertes Zertifikat unter dem ersten Reiter "`Ihre
1697 Zertifikate"' mit dem Namen (CN) \textbf{CAcert WoT User} finden.
1698
1699 Sie können nun ein persönliches X.509-Zertifikat ausstellen, das Ihren
1700 Namen im CN-Feld trägt. Dazu müssen Sie Ihren CAcert-Account von
1701 anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie
1702 eine derartige Bestätigung in die Wege leiten, erfahren Sie auf den
1703 Internetseiten von CAcert.
1704
1705 Speichern Sie abschließend eine Sicherungskopie Ihres
1706 persönlichen X.509-Zerti\-fikats.  Die Sicherungskopie
1707 erhält automatisch die Endung \Filename{.p12}.
1708
1709 \textbf{Achtung:} Diese \Filename{.p12} Datei enthält Ihren
1710 öffentlichen \textit{und} Ihren geheimen Schlüssel.  Achten Sie
1711 daher unbedingt darauf, dass diese Datei nicht in fremde Hände
1712 gelangt.
1713
1714 Wie Sie Ihr persönliches X.509-Zertifikat in Kleopatra importieren,
1715 erfahren Sie in Kapitel \ref{ch:ImExport}.
1716
1717
1718 \clearpage
1719 \chapter{Schnellstart mit Übungen für OpenPGP}
1720 \label{ch:quickstart}
1721 \label{ch:decrypt}
1722 In den folgenden zwei Unterkapiteln werden Ihnen zwei Anleitungen für
1723 einen Schnelleinstieg in die wichtigsten Funktionen gegeben. Sie werden
1724 lernen, wie man Dateien und \Email{}s ver- und entschlüsselt.
1725
1726 \section{Dateiverschlüsselung}
1727 \label{sec:quickfileencryption}
1728 \index{Datei!verschlüsseln}
1729
1730 Dateien lassen sich, wie \Email{}s, signieren und verschlüsseln. Das sollten 
1731 Sie im folgenden Abschnitt mit GpgEX und Kleopatra einmal durchspielen.
1732
1733 Selektieren Sie eine (oder mehrere) Datei(en), öffnen Sie mit der
1734 rechten Maustaste das Kontextmenü und wählen Sie hier \Menu{Signieren
1735 und verschlüsseln} aus:
1736
1737 % screenshot GpgEX contextmenu sign/encrypt
1738 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
1739
1740
1741 \clearpage
1742 Sie erhalten diesen Dialog zum Signieren/Verschlüsseln einer Datei:
1743
1744 %TODO: neuer Screenshot (cancel)
1745 % screenshot kleopatra encrypt file, step 1
1746 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
1747
1748 Für wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden
1749 Dialog einen oder mehrere Empfänger-Schlüssel aus. Lassen Sie aber 
1750 unbedingt die Option \Menu{Für mich verschlüsseln} aktiv.
1751
1752 Wie sie weitere Einstellungen ändern, können Sie unter Abschnitt
1753 \ref{sec_signFile} nachschlagen.
1754
1755 Klicken Sie abschließend auf \Button{Signieren / Verschlüsseln}.
1756
1757 Geben Sie nun Ihre geheime Passphrase ein.
1758
1759 \clearpage
1760 Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so
1761 aussehen:
1762 %TODO: Neuer Screenshot (Cancel/Finish)
1763 % screenshot kleopatra encrypt file, step 3: successful
1764 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
1765
1766 Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!
1767
1768 \clearpage
1769 \subsubsection{Datei entschlüsseln}
1770 \index{Datei!entschlüsseln}
1771 Nun kann die zuvor verschlüsselte Datei zum Testen einmal
1772 entschlüsselt werden.
1773
1774 Dazu sollten Sie vorher beim Verschlüsseln auch mit Ihrem eigenen
1775 Schlüssel verschlüsselt haben -- andernfalls können Sie die Datei
1776 nicht mit Ihrem geheimen Schlüssel entschlüsseln.
1777
1778 Selektieren Sie die verschlüsselte Datei und wählen Sie im Kontextmenü des
1779 Windows-Explorers den Eintrag \Menu{Entschlüsseln und prüfen}:
1780
1781 % screenshot contextmenu verifiy/decrypt
1782 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
1783
1784 \clearpage
1785 Im folgenden Entschlüsselungsdialog können Sie bei Bedarf noch den
1786 Ausgabe-Ordner verändern.
1787
1788 % screenshot kleopatra decrypt file, step 1
1789 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
1790
1791 Klicken Sie abschließend auf \Button{Entschlüsseln/Prüfen}.
1792
1793 Geben Sie anschließend Ihre Passphrase ein.
1794
1795 Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit
1796 einem entsprechenden Programm verwenden können.
1797
1798 \clearpage
1799
1800 \section{\Email{}-Verschlüsselung}
1801 \label{sec:mailEncryption}
1802
1803 Ihr Partner bei diesen Übungen wird \textbf{Edward} sein. Edward ist ein
1804 Testservice, der von der Free Software Foundation betrieben wird.
1805 Wir bedanken uns bei der Free Software Foundation für den Betrieb von Edward.
1806
1807 Der Vorgänger von Edward baut auf dem Projekt GnuPP\index{GnuPP} auf und
1808 hörte auf dem Namen \textbf{Adele}. Dieser Name wird in diesem
1809 Abschnitt weiterhin verwendet.
1810
1811 Das Gpg4win-Team hat keinen Einfluss auf den Betrieb von Adele/Edward und
1812 kann nicht gewährleisten, dass der Testservice antwortet. Sollte es
1813 Probleme mit Adele geben, schauen Sie bitte unter
1814 \url{https://wiki.gnupg.org/EmailExercisesRobot} nach.
1815
1816 Mit Hilfe von Adele können Sie Ihr erzeugtes OpenPGP-Schlüsselpaar
1817 ausprobieren und testen.
1818
1819 Nachdem Sie Ihren Schlüssel erstellt haben, wollen Sie direkt
1820 loslegen. Sie können das Prozedere zunächst mit einem freundlichen 
1821 \Email{}-Roboter üben. Adele soll Ihnen dabei behilflich sein. Die folgenden 
1822 Übungen gelten nur für OpenPGP. Anmerkungen zum Veröffentlichen von 
1823 öffentlichen X.509-Zertifikaten finden Sie auf
1824 Seite~\pageref{publishPerEmailx509}.
1825
1826 \textbf{Adele} ist ein sehr netter \Email{}-Roboter, mit dem Sie
1827 zwanglos korrespondieren können. Bitte beachten Sie, dass Adele
1828 eventuell nicht immer antwortet. Falls Sie nicht antwortet, üben Sie lieber
1829 mit einem Menschen. Weil man gewöhnlich mit einer klugen
1830 und netten jungen Frau lieber korrespondiert als mit einem Stück
1831 Software (was er in Wirklichkeit natürlich ist), können Sie sich
1832 Adele so vorstellen:
1833
1834 % Cartoon: Adele mit Buch in der Hand vor Rechner ``you have mail"'
1835 \IncludeImage[width=0.5\textwidth]{adele01}
1836
1837 Um mit Adele zu kommunizieren, müssen Sie ihr Ihren öffentlichen Schlüssel
1838 per \Email{} schicken. Außerdem müssen Sie Adeles Schlüssel
1839 importieren, um Adele eine verschlüsselte \Email{} zu senden.
1840
1841 \textbf{Um sichere \Email{}s austauschen zu können, müssen beide Partner
1842 jeweils den öffentlichen Schlüssel des anderen besitzen und benutzen.}
1843
1844 \index{Zertifikat!exportieren}
1845 Um Ihren Schlüssel zu exportieren selektieren Sie in Kleopatra den öffentlichen
1846 Schlüssel (durch Klicken auf die entsprechende Zeile in der Liste der
1847 Schlüssel) und klicken Sie dann auf
1848 \Menu{Datei$\rightarrow$Schlüssel exportieren...} im Menü.  Wählen
1849 Sie einen geeigneten Dateiort\index{Signatur!prüfen mit GpgOL}
1850
1851 Um Adeles Schlüssel zu erhalten, müssen Sie zunächst Adeles Schlüssel 
1852 importieren, denn ohne Adeles öffentlichen Schlüssel, können Sie ihr keine 
1853 verschlüsselten \Email{}s senden.
1854
1855 Wählen Sie im Kleopatra-Fenster die Schaltfläche \Button{Auf Server Suchen}.
1856 Geben Sie in die Suchfläche die \Email{}-Adresse von Adele ein
1857 (\texttt{edward-de@fsf.org}) und bestätigen Sie Ihre Suche. Unter den
1858 Suchergebnissen wählen Sie nun den Schlüssel mit den Schlüssel-ID
1859 \texttt{C09A61E8}. Abschließend wählen Sie unten im Fenster die
1860 Schaltfläche \Button{Importieren}.
1861 %TODO: Neuer Screenshot (Close)
1862 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-searchKeyEdward_de}
1863
1864 Den Anschließenden Dialog zur Schlüsselverfikation verlassen Sie mit
1865 \Menu{Nein}. Mehr zu diesem Thema finden Sie in Abschnitt \ref{ch:checkkey}.
1866
1867 Öffnen Sie eine neue \Email{} und füllen Sie etwas in die Betreffzeile, wie 
1868 \glqq{}Verschlüsselungstest\grqq{}. Fügen Sie als Anhang den gerade 
1869 exportierten Schlüssel hinzu und achten Sie darauf, dass das 
1870 Verschlüsseln-Symbol aktiv ist. Geben Sie als Zieladresse 
1871 \texttt{edward-de@fsf.org} an und senden Sie die \Email{} ab.
1872
1873 Nach einigen Minuten sollten Sie eine verschlüsselte Antwort von Adele 
1874 erhalten. Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen
1875 Schlüssel.
1876
1877 Adele verhält sich also genau wie ein richtiger Korrespondenzpartner.
1878 Allerdings sind Adeles \Email{}s leider bei weitem nicht so
1879 interessant, wie die Ihrer echten Korrespondenzpartner. Andererseits
1880 können Sie mit Adele so oft üben, wie Sie wollen -- was Ihnen ein
1881 menschlicher Adressat wahrscheinlich irgendwann ziemlich übel nehmen würde.
1882
1883 Herzlichen Glückwunsch! Sie haben erfolgreich verschlüsselt kommuniziert!
1884
1885 \T\enlargethispage{\baselineskip}
1886
1887 \clearpage
1888 \chapter{Öffentliche Schlüssel importieren}
1889
1890 In Kapitel \ref{ch:decrypt} wurde bereits kurz erläutert, wie man einen
1891 öffentlichen Schlüssel von einem Schlüsselserver importiert. Wenn Sie nun mit
1892 einer Person
1893 kommunizieren wollen, die ihren öffentlichen Schlüssel nicht auf einem
1894 Schlüsselserver hat, 
1895 so müssen Sie diesen Schlüssel auf anderen Wegen importieren. In
1896 diesem Kapitel werden die beiden Möglichkeiten beschrieben, wie Sie
1897 einen Schlüssel importieren können.
1898 Falls Sie sich im speziellen für das Importieren eines geheimen 
1899 Schlüssels interessieren, springen Sie direkt zu Kapitel \ref{ch:ImExport}.
1900
1901 Nach einem Schlüsselimport werden Sie immer gefragt ob und wie sie diesem
1902 Schlüssel vertrauen wollen. Diesen Dialog können Sie für Zunächst ignorieren
1903 und mit \Menu{Nein} verlassen. Auf Dieses Thema gehen wir näher im kommenden
1904 Abschnitt \ref{ch:checkkey} ein.
1905
1906 \section{Importieren aus Datei}
1907 \label{sec_importfromfile}
1908
1909 Zum Importieren eines zuvor exportierten oder als \Email{}-Anhang 
1910 zugesendeten öffentlichen Schlüssels, klicken Sie auf
1911 %TODO: Oder Schlüssel importieren? Oder generell "importieren" - Dann in Kleo ändern
1912 \Menu{Datei $\to$ Zertifikat importieren...} und
1913 wählen Sie die zu importierende Datei aus. Anschließend erhalten Sie einen
1914 Ergebnisdialog über den erfolgten Schlüsselimport.
1915 %TODO: Bild machen
1916 %TODO: Kören von Was ein Bild zu machen ist
1917
1918 %Ein Beispiel für ein solches
1919 %Informationsfenster finden Sie nach dem folgenden Absatz.
1920
1921 %Handelt es sich um eine PKCS12-Datei (z.B. vom Typ \texttt{.p12}), so werden 
1922 %Sie
1923 %zunächst nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt.
1924 %\IncludeImage[width=0.4\textwidth]{sc-pinentry-p12-import-a_de}
1925 %Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der nach dem
1926 %Importvorgang Ihr geheimer Schlüssel geschützt werden soll.
1927 %\IncludeImage[width=0.4\textwidth]{sc-pinentry-p12-import-b_de}
1928 %Wiederholen Sie Ihre Passphrase-Eingabe.
1929
1930 %\newpage
1931 %Nach dem importieren sehen Sie ein Informationsfenster, dass Ihnen die
1932 %Ergebnisse des Importvorgangs auflistet; hier am Beispiel eines geheimen
1933 %OpenPGP-Schlüssels.
1934 %\IncludeImage[width=0.4\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
1935 %Kleopatra hat damit den Schlüssel exportiert. Wenn es ein geheimer Schlüssel
1936 %TODO: oder Schlüssel? - Dann auch in Kleo ändern
1937 %war, finden Sie Ihn unter dem Reiter \glqq{}Meine Zertifikate\grqq{} in der
1938 %TODO: Oder Schlüsselverwaltung? - Dann auch in Kleo ändern
1939 %Zertifikatsverwaltung.
1940 \clearpage
1941 \section{Importieren vom Schlüsselserver}
1942 \label{sec_importfromkeyserver}
1943 %Um einen Schlüssel von einem Schlüsselserver zu importieren, müssen wir
1944 %zunächst einen Schlüsselserver hinzufügen. Dies richten wir zunächst für
1945 %OpenPGP-Schlüssel ein. Im kommenden Abschnitt wird näher auf S/MIME %eingegangen.
1946 %TODO: Screenhot machen udn die beiden Fenster erklären
1947 %TODO: keys.gnupg.net ist per Default nach Installation eingerichtet!
1948 %Bitte testen und beschreiben.
1949 Es gibt viele öffentliche Schlüsselserver,
1950 die alle untereinander synchronisiert sind. Diese sind zu einem Kollektiv unter
1951 der Adresse \texttt{keys.gnupg.net} erreichbar. Nach der Installation ist
1952 dieses bereits ein Schlüsselserver hinterlegt.
1953 Um einen anderen Server als
1954 Schlüsselserver hinzuzufügen, öffnen Sie das Schlüsselserver-Menü
1955 \Menu{Einstellungen $\to$ Kleopatra einrichten ...} und wählen Sie dort
1956 \Menu{Schlüsselserver}. Fügen Sie über die Schaltfläche \Menu{Neu} einen neuen
1957 Eintrag in die Liste hinzu. Dort erscheint nun ein vorkonfigurierter Eintrag
1958 für \texttt{keys.gnupg.net}. Diese Einstellung kann mit \Menu{OK} bestätigt
1959 werden.
1960 %TODO: erst Schlüsselserver hinzufügen, dann suche. Bei Schlüsselserver auf OPenPGP und SMIME unterscheiden.
1961
1962 Weitere Informationen zu diesem Thema finden Sie unter Kapitel 
1963 \ref{ch:keyserver}.
1964
1965 \textbf{Herzlichen Glückwunsch!} - Sie haben erfolgreich einen Schlüsselserver
1966 eingerichtet und können nun über die Schaltfläche \Button{Auf Server suchen} nach
1967 Namen oder \Email{}-Adressen von Kommunikationspartnern suchen. 
1968
1969
1970 %\clearpage
1971 \chapter{Öffentliche Schlüssel prüfen}
1972 \label{ch:checkkey}
1973 \label{ch:trust}
1974 Woher wissen Sie eigentlich, dass der fremde (öffentliche) Schlüssel wirklich vom
1975 genannten Absender stammt? Und umgekehrt -- warum sollte Ihr
1976 Korrespondenzpartner glauben, dass der öffentliche Schlüssel, den Sie ihm
1977 geschickt haben, auch wirklich von Ihnen stammt?  Die Absenderangabe
1978 auf einer \Email{} besagt eigentlich gar nichts, genauso wie die
1979 Absenderangabe auf einem Briefumschlag.
1980
1981 Wenn Ihre Bank z.B. eine \Email{} mit Ihrem Namen und der Anweisung
1982 erhält, Ihr sämtliches Guthaben auf ein Nummernkonto auf den Bahamas
1983 zu überweisen, wird sie sich hoffentlich weigern -- \Email{}-Adresse
1984 hin oder her.  Eine \Email{}-Adresse besagt überhaupt nichts über die
1985 Identität des Absenders.
1986
1987 \subsubsection{Der Fingerabdruck}
1988 \index{Fingerabdruck}
1989 Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist
1990 die Sache mit der Identität schnell geregelt: Sie prüfen den
1991 Fingerabdruck des anderen Schlüssels.
1992
1993 Jeder Schlüssel trägt eine einmalige Kennzeichnung, die es
1994 zweifelsfrei identifiziert; besser noch als ein Fingerabdruck eines
1995 Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als
1996 "`Fingerabdruck"'.
1997
1998 Wenn Sie sich die Details eines Schlüssels in Kleopatra anzeigen
1999 lassen, z.B. durch Doppelklick auf den Schlüssel, sehen Sie u.a.
2000 dessen 40-stelligen Fingerabdruck:
2001
2002 % screenshot: Kleopatra key details with fingerprint
2003 %TODO: neuer Screenshot (Cancel)
2004 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2005
2006 ~\\ Wie gesagt -- der Fingerabdruck identifiziert den Schlüssel und
2007 seinen Besitzer eindeutig.
2008
2009 Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich
2010 von ihm den Fingerabdruck seines Schlüssels vorlesen. Wenn die
2011 Angaben mit dem Ihnen vorliegenden Schlüssel übereinstimmen, haben
2012 Sie eindeutig den richtigen Schlüssel.
2013
2014 Natürlich können Sie sich auch persönlich mit dem Eigentümer des
2015 Schlüssels treffen oder auf einem anderen Wege sicherstellen, dass
2016 Schlüssel und Eigentümer zusammen gehören. Häufig ist der
2017 Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine
2018 garantiert authentische Visitenkarte haben, so können Sie sich den
2019 Anruf ersparen.
2020
2021
2022 \subsubsection{OpenPGP-Schlüssel beglaubigen}
2023 \index{Zertifikat!beglaubigen}
2024
2025 %\T\marginOpenpgp
2026 Nachdem Sie sich "`per Fingerabdruck"' von der Echtheit des
2027 Schlüssels überzeugt haben, können Sie ihn beglaubigen -- allerdings
2028 nur in OpenPGP.  Bei X.509 können Benutzer keine Schlüssel
2029 beglaubigen -- das bleibt den Beglaubigungsinstanzen (CAs)
2030 vorbehalten.
2031
2032
2033 Durch das Beglaubigen eines Schlüssels teilen Sie anderen
2034 (Gpg4win-)Benutzern mit, dass Sie diesen Schlüssel für echt -- also
2035 authentisch -- halten:
2036 Sie übernehmen so etwas wie die "`Patenschaft"' für diesen Schlüssel
2037 und erhöhen das allgemeine Vertrauen in seine Echtheit.
2038
2039 ~\\
2040 \textbf{Wie funktioniert das Beglaubigen nun genau?}\\
2041 Selektieren Sie in Kleopatra den OpenPGP-Schlüssel, den Sie für echt
2042 halten und beglaubigen möchten. Wählen Sie anschließend im Menü:
2043 \Menu{Zertifikate$\rightarrow$Schlüssel beglaubigen...}
2044 \clearpage
2045 Im nachfolgenden Dialog bestätigen Sie nun noch einmal den zu
2046 beglaubigenden OpenPGP-Schlüssel und den Fingerabdruck mit \Button{Weiter}:
2047
2048 % screenshot: Kleopatra certify certificate 1
2049 % TODO: Neuer Screenshot (Cancel Next)
2050 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2051
2052 Im nächsten Schritt wählen Sie Ihren eigenen OpenPGP-Schlüssel aus, mit dem Sie 
2053 den im letzten Schritt ausgewählten Schlüssel beglaubigen wollen:
2054
2055 % screenshot: Kleopatra certify certificate 2
2056 % TODO: Neuer Screenshot (Cancel)
2057 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2058
2059 Entscheiden Sie hier, ob Sie \Button{Nur für mich selbst beglaubigen}
2060 oder \Button{Für alle sichtbar beglaubigen} wollen. Bei letzterer
2061 Variante haben Sie die Option, den beglaubigten Schlüssel anschließend
2062 auf einen OpenPGP-Schlüsselserver hochzuladen und damit der Welt
2063 einen mit Ihrer Beglaubigung versehenen, aktualisierten Schlüssel zur
2064 Verfügung zu stellen.
2065
2066 Bestätigen Sie Ihre Auswahl mit \Button{Beglaubigen}.
2067
2068 Wie beim Signieren einer \Email{} müssen Sie auch beim Beglaubigen
2069 eines Schlüssel (mit Ihrem privaten Schlüssel) Ihre Passphrase
2070 eingeben. Erst nach korrekter Eingabe ist die Beglaubigung
2071 abgeschlossen.
2072
2073 Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
2074
2075 % screenshot: Kleopatra certify certificate 3
2076 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2077
2078 %~\\ Wollen Sie die erfolgte Beglaubigung nun einmal prüfen?\\ Dann
2079 %öffnen Sie die Schlüsseldetails des eben beglaubigten Schlüssels.
2080 % TODO: Dieses Feature mit 3.0 entfallen??
2081 %Wählen Sie den Reiter
2082 %\Menu{Benutzer-Kennungen und
2083 %       Beglaubigungen} und klicken Sie auf die Schaltfläche \Button{Hole
2084 %       Beglaubigungen ein}.
2085
2086 %Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen,
2087 %die in diesem Schlüssel enthalten sind. Hier sollten Sie auch Ihren Schlüssel
2088 %wiederfinden, mit dem Sie soeben beglaubigt haben.
2089
2090 \clearpage
2091 \subsubsection{Das Netz des Vertrauens in OpenPGP}
2092 \index{Netz des Vertrauens|see{Web of Trust}}
2093 \index{Web of Trust}
2094
2095 %\T\marginOpenpgp
2096 Durch das Beglaubigen von Schlüsseln entsteht -- auch über den Kreis
2097 von Gpg4win-Benutzern und Ihre täglichen Korrespondenz hinaus -- ein
2098 "`Netz des Vertrauens"' ("`Web of Trust"', WoT), bei dem Sie nicht
2099 mehr zwangsläufig darauf angewiesen sind, ein OpenPGP-Schlüssel
2100 direkt auf Echtheit (Autentizität) zu prüfen.
2101
2102 \htmlattributes*{img}{width=300}
2103 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2104
2105 Natürlich steigt das Vertrauen in einen Schlüssel, wenn mehrere Leute
2106 es beglaubigen. Ihren eigenen OpenPGP-Schlüssel wird im Laufe der Zeit
2107 die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit können
2108 immer mehr Menschen darauf vertrauen, dass dieser Schlüssel wirklich
2109 Ihnen und niemandem sonst gehört.
2110
2111 Wenn man dieses "`Web of Trust"' weiterspinnt, entsteht eine flexible
2112 Beglaubigungs-Infra\-struktur.
2113
2114 Eine einzige Möglichkeit ist denkbar, mit der man diese
2115 Schlüsselprüfung aushebeln kann: Jemand schiebt Ihnen einen falschen
2116 Schlüssel unter. Also einen öffentlichen OpenPGP-Schlüssel, der
2117 vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht
2118 wurde.  Wenn ein solcher gefälschter Schlüssel beglaubigt wird, hat
2119 das "`Netz des Vertrauens"' natürlich ein Loch. Deshalb ist es so
2120 wichtig, sich zu vergewissern, ob ein Schlüssel wirklich zu der
2121 Person gehört, der es zu gehören vorgibt, bevor man es beglaubigt.
2122
2123 Was aber, wenn eine Bank oder Behörde prüfen möchte, ob die
2124 Schlüssel ihrer Kunden echt sind? Alle anzurufen kann hier sicher
2125 nicht die Lösung sein~...
2126
2127
2128 \clearpage
2129 \subsubsection{Beglaubigungsinstanzen bei X.509}
2130 \index{Beglaubigungsinstanzen}
2131 \index{Certificate Authority (CA)}
2132
2133 Hier braucht man eine "`übergeordnete"' Instanz, der alle Benutzer
2134 vertrauen können. Sie prüfen ja auch nicht persönlich den
2135 Personalausweis eines Unbekannten durch einen Anruf beim
2136 Ein\-wohner\-melde\-amt, sondern vertrauen darauf, dass die
2137 ausstellende Behörde diese Überprüfung korrekt durchgeführt und
2138 beglaubigt hat.
2139
2140 %\T\marginOpenpgp
2141 Solche Beglaubigungsinstanzen gibt es auch für OpenPGP-Schlüssel.
2142 In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon
2143 lange einen solchen Dienst kostenlos an, ebenso wie viele
2144 Universitäten.
2145 Wenn man also einen OpenPGP-Schlüssel erhält, der durch eine solche
2146 Beglaubigungsinstanz per Beglaubigung seine Echtheit bestätigt, sollte
2147 man sich darauf verlassen können.
2148
2149 \T\marginSmime
2150 Derartige Beglaubigungsinstanzen oder "`Trust Center"' sind auch bei
2151 anderen Verschlüsselungsverfahren -- wie z.B. S/MIME  -- vorgesehen.
2152 Im Gegensatz zum ,,Web of Trust'' sind sie hierarchisch strukturiert:
2153 Es gibt eine "`Oberste Beglaubigungsinstanz"', die weitere
2154 "`Unterinstanzen"' beglaubigt und ihnen das Recht gibt,
2155 Benutzerzertifikate zu beglaubigen (vgl.
2156 Kapitel~\ref{ch:openpgpsmime}).
2157
2158 Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die
2159 Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu
2160 berechtigte Institution geben, die die Befugnis dazu wiederum von
2161 einer übergeordneten Stelle erhalten hat.  Technisch ist eine
2162 Beglaubigung \index{Beglaubigung} nichts anderes als eine Signatur
2163 eines Schlüssels durch den Beglaubigenden.
2164
2165 Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natürlich
2166 wesentlich besser den Bedürfnissen staatlicher und behördlicher
2167 Instanzen als das lose, auf gegenseitigem Vertrauen beruhende "`Web of
2168 Trust"' von GnuPG. Der Kern der Beglaubigung selbst ist allerdings
2169 völlig identisch: Gpg4win unterstützt neben dem "`Web of Trust"'
2170 (OpenPGP) zusätzlich auch eine hierarchische Beglaubigungsstruktur
2171 (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem
2172 Signaturgesetz\index{Signaturgesetz} der Bundesrepublik Deutschland zu
2173 entsprechen.
2174
2175
2176 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2177 Wenn Sie sich weiter für dieses Thema interessieren, dann können Sie
2178 sich z.B. bei folgenden Webadressen über dieses und viele andere
2179 IT-Sicherheits-Themen informieren:
2180 \begin{itemize}
2181         \item \uniurl[www.bsi.bund.de]{http://www.bsi.bund.de}
2182         \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2183         \item \uniurl[www.gpg4win.de]{http://www.gpg4win.de}
2184 \end{itemize}
2185
2186 Eine weitere, eher technische Informationsquelle zum Thema
2187 der Beglaubigungsinfrastrukturen bietet das 
2188 GnuPG-Handbuch, das Sie ebenfalls im Internet finden unter:\\
2189 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2190 \clearpage
2191
2192 \chapter{\Email{}s signieren und verschlüsseln}
2193 \label{ch:emailsignandencrypt}
2194 \label{sec_encsig}
2195 Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe
2196 des öffentlichen Schlüssels Ihres Korrespondenzpartners, der dann mit
2197 seinem geheimen Schlüssel die \Email{} entschlüsselt.
2198
2199 Die umgekehrte Möglichkeit -- Verschlüsselung mit dem geheimen
2200 Schlüssel -- macht keinen Sinn, weil alle Welt den dazugehörigen
2201 öffentlichen Schlüssel kennt und die Nachricht damit entschlüsseln
2202 könnte.
2203
2204 Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel
2205 eine Datei zu erzeugen: die Signatur.
2206
2207 Solch eine digitale Signatur bestätigt eindeutig die
2208 Urheberschaft -- denn wenn jemand Ihren öffentlichen Schlüssel auf
2209 diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist,
2210 so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden
2211 sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
2212
2213 Sie können beide Möglichkeiten kombinieren, also eine \Email{}
2214 signieren und verschlüsseln:
2215
2216 \begin{enumerate}
2217         \item Sie \textbf{signieren} die Botschaft mit Ihrem eigenen
2218         geheimen Schlüssel. Damit ist die Urheberschaft nachweisbar.
2219         \item Dann \textbf{verschlüsseln} Sie den Text mit dem
2220         öffentlichen Schlüssel des Korrespondenzpartners.
2221 \end{enumerate}
2222
2223 Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
2224
2225 \begin{enumerate}
2226         \item Ihr Siegel auf der Nachricht: die Signatur mit Ihrem
2227         geheimen Schlüssel.
2228         \item Einen soliden äußeren Umschlag: die
2229         Verschlüsselung mit dem öffentlichem Schlüssel des
2230         Korrespondenzpartners.
2231 \end{enumerate}
2232
2233 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2234
2235 Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem
2236 eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung
2237 gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das
2238 Siegel liest er mit Ihrem öffentlichem Schlüssel und hat den Beweis
2239 Ihrer Urheberschaft, denn wenn Ihr öffentlicher Schlüssel passt, kann
2240 das Siegel (die digitale Signatur) nur mit Ihrem geheimen
2241 Schlüssel kodiert worden sein.
2242
2243 Sehr trickreich und~-- wenn man ein wenig darüber nachdenkt -- auch
2244 ganz einfach.
2245
2246 Dieses Kapitel beschäftigt sich mit dem Signieren und
2247 Verschlüsseln von \Email{}s mit dem Outlook-Plugin GpgOL.
2248
2249 \clearpage
2250 \section{\Email{}s signieren und verschlüsseln mit GpgOL}
2251 %Tatsächlich ist die Signierung einer \Email{} noch einfacher als die
2252 %Verschlüsselung (vgl. Kapitel~\ref{ch:encrypt}). Nachdem Sie eine neue
2253 %\Email{} verfasst haben, gehen Sie -- analog zur Verschlüsselung --
2254 %folgende Schritte durch:
2255
2256 %\begin{itemize}
2257 %       \item Nachricht signiert versenden
2258 %       \item Schlüssel auswählen
2259 %       \item Signierung abschließen
2260 %\end{itemize}
2261 Das Signieren und Verschlüsseln einer \Email{} ist sehr einfach. Nachdem
2262 Sie eine neue \Email{} verfasst haben, gehen sie folgende Schritte durch:
2263
2264 \begin{itemize}
2265         \item Nachricht signiert und verschlüsselt senden
2266         \item Schlüssel auswählen
2267         \item Signierung und Verschlüsselung abschließen
2268 \end{itemize}
2269
2270 Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
2271
2272 ~\\
2273 Verfassen Sie zunächst in Outlook eine neue \Email{} und adressieren
2274 Sie diese an Ihren Korrespondenzpartner.
2275 Die Standardauswahl zum Signieren und Verschlüsseln ist bereits für Sie
2276 markiert.
2277
2278 %Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre
2279 %Nachricht signiert versendet werden soll: Dazu aktivieren Sie die
2280 %Schaltfläche mit dem signierenden Stift oder alternativ den
2281 %Menüeintrag \Menu{Format$\rightarrow$Nachricht signieren}.
2282 %Wenn Sie den Schlüssel ihrer Korrespondenzpartner bereits in Kleopatra
2283 %importiert haben, wählen Sie die 
2284 %GpgOL-Schaltfläche zum Signieren/Verschlüsseln aus. 
2285
2286
2287 Ihr \Email{}-Fenster sollte anschließend etwa so aussehen:
2288
2289 % screenshot: OL composer with example address and body text
2290 %TODO: Screenshot neu machen
2291 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2292
2293 Klicken Sie nun auf \Button{Senden}.
2294
2295 \clearpage
2296 \subsubsection{Schlüsselauswahl}
2297
2298 GpgOL erkennt automatisch, für welches Protokoll -- OpenPGP oder
2299 S/MIME -- Ihr eigner privater Schlüssel zum Signieren und Verschlüsseln
2300 vorliegt.
2301
2302 Sollten Sie gleichzeitig einen eigenen OpenPGP-Schlüssel \textit{und} ein 
2303 S/MIME-Zertifikat mit der gleichen \Email{}-Adresse besitzen, fragt Sie 
2304 Kleopatra vor dem Signieren nach dem gewünschten Protokollverfahren, oder haben 
2305 Sie vom gewählten Verfahren mehrere eigene Schlüssel (z.B.
2306 zwei OpenPGP-Schlüssel zu der gleichen \Email{}-Adresse), dann
2307 öffnet Kleopatra ein Fenster, in dem Ihre eigenen Schlüssel
2308 angezeigt werden, zu denen Ihnen jeweils ein geheimer
2309 Schlüssel vorliegt:
2310
2311 % screenshot: kleopatra format choice dialog
2312 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2313
2314 Bestätigen Sie Ihre Auswahl anschließend mit \Button{OK}.
2315
2316
2317 \clearpage
2318 \subsubsection{Signierung und Verschlüsselung abschließen}
2319 Um die Signierung und Verschlüsselung Ihrer \Email{} abzuschließen, werden Sie
2320 aufgefordert, im folgenden Pinentry-Fenster\index{Pinentry} Ihre geheime Passphrase einzugeben:
2321
2322 % screenshot: kleopatra sign dialog 2 - choose certificate
2323 %TODO: Neuer Screenhot!
2324 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2325
2326
2327 Dies ist notwendig, denn Sie wissen:
2328 \begin{quote}
2329         \textbf{Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.}
2330 \end{quote}
2331 Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der
2332 Kor\-res\-pon\-denz\-partner kann dann mit Ihrem öffentlichen Schlüssel, den
2333 er bereits hat oder sich besorgen kann, Ihre Identität prüfen und die \Email{} 
2334 entschlüsseln. Denn nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichem
2335 Schlüssel.
2336
2337 Bestätigen Sie Ihre Passphrase-Eingabe mit \Button{OK}.  Ihre
2338 Nachricht wird nun signiert, verschlüsselt und versendet.
2339
2340 %TODO: Passwort-Caching erklären
2341 Ihnen wird vielleicht schon aufgefallen sein, dass Sie nicht jedes mal
2342 Ihre Passphrase erneut eingeben müssen. Sie wird im Hintergrund für einige
2343 Zeit gespeichert.
2344
2345 \textbf{Herzlichen Glückwunsch! Sie haben Ihre erste \Email{}
2346         signiert und verschlüsselt!}
2347
2348 \textit{Übrigens}: Sie können eine Nachricht auch nur signieren oder nur 
2349 verschlüsseln. Klicken Sie dazu auf das GpgOL Symbol in der Nachricht. Der 
2350 Ablauf ist analog zu dem hier beschriebenen. Es wird aber davon abgeraten, eine 
2351 Nachricht nur zu verschlüsseln, da hierbei nicht die Urheberschaft der
2352 Nachricht geschützt wird.
2353
2354 \clearpage
2355 \subsection{Signatur prüfen mit GpgOL}
2356 \index{Signatur!prüfen mit GpgOL}
2357
2358 Angenommen, Sie erhalten eine signierte \Email{} Ihres
2359 Korrespondenzpartners.
2360
2361 Die Überprüfung dieser digitalen Signatur ist sehr einfach.
2362 Alles, was Sie dazu brauchen, ist der öffentliche Schlüssel
2363 Ihres Korrespondenzpartners, den Sie vor der Überprüfung in Ihre
2364 Schlüsselverwaltung importiert haben sollten (vgl.
2365 Kapitel~\ref{sec_importfromfile}).
2366
2367 Um eine signierte \Email{} zu prüfen, gehen Sie wie folgt
2368 vor:
2369
2370 Starten Sie Outlook und öffnen Sie eine signierte \Email{}.
2371
2372 GpgOL übergibt die \Email{} automatisch an Kleopatra zur Prüfung der
2373 Signatur. Kleopatra meldet das Ergebnis in einem Statusdialog, z.B.:
2374
2375 % screenshot: Kleopatra - successfully verify dialog
2376 % TODO: Screenshot erneuern
2377 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2378
2379 Die Signaturprüfung war erfolgreich!
2380
2381 %TODO: prüfen und ggf. anpassen
2382 Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen
2383 Sie im Menü der geöffneten \Email{} \Menu{Extras$\rightarrow$GpgOL
2384         Entschlüsseln/Prüfen}.
2385
2386 Sollte die Signaturprüfung fehlschlagen, ist das ein Warnsignal, dass
2387 Ihre \Email{} manipuliert sein könnte! D.h., jemand hat vielleicht den
2388 Inhalt oder den Betreff der \Email{} verändert.
2389 Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten,
2390 dass die \Email{} manipuliert wurde. Es ist ebenfalls nicht
2391 auszuschließen, dass die \Email{} durch eine fehlerhafte
2392 Übertragung verändert wurde.
2393 Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
2394 Sie immer die \Email{} erneut beim Absender an!
2395
2396 \clearpage
2397 \section{E-Mails signieren}
2398 \label{sec_emailsignonly}
2399 \label{ch:sign}
2400 \index{E-Mail!signieren}
2401 Sie haben in Kapitel~\ref{ch:trust} gelesen, wie Sie sich von der
2402 Echtheit eines öffentlichen Schlüssels überzeugen und es dann
2403 mit Ihrem eigenen geheimen Schlüssel signieren können.
2404
2405 Dieser Abschnitt beschäftigt sich damit, wie Sie nicht nur einen
2406 Schlüssel, sondern auch eine komplette \textbf{\Email{}
2407         signieren} können. Das bedeutet, dass Sie die \Email{} mit einer
2408 digitalen Signatur versehen -- einer Art elektronischem Siegel.
2409
2410 So "`versiegelt"' ist der Text dann zwar noch für jeden lesbar, aber
2411 der Empfänger kann feststellen, ob die \Email{} unterwegs manipuliert
2412 oder verändert wurde.
2413
2414 Die Signatur garantiert Ihrem Empfänger, dass die Nachricht
2415 tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem
2416 korrespondieren, dessen öffentlichen Schlüssel Sie nicht haben (aus
2417 welchem Grund auch immer), können Sie so die Nachricht wenigstens mit
2418 Ihrem eigenen privaten Schlüssel "`versiegeln"'.
2419
2420 Sie haben sicher bemerkt, dass diese digitale
2421 Signatur\index{Signatur!digitale} nicht mit der
2422 \Email{}-"`Signatur"' identisch ist, die man manchmal unter eine
2423 \Email{} setzt und die z.B. Telefonnummer, Adresse und Webseite
2424 nennt.  Während diese \Email{}-Signaturen einfach nur als eine Art
2425 Visitenkarte fungieren, schützt die digitale Signatur Ihre
2426 \Email{} vor Manipulationen und bestätigt den Absender eindeutig.
2427
2428 Übrigens ist die digitale Signatur auch nicht mit der
2429 qualifizierten elektronischen Signatur\index{Signatur!qualifizierte
2430         elektronische} gleichzusetzen, wie sie im Signaturgesetz
2431 \index{Signaturgesetz} vom 22.~Mai 2001 in Kraft getreten ist. Für
2432 die private oder berufliche \Email{}-Kommunikation erfüllt sie
2433 allerdings genau denselben Zweck.
2434
2435 % cartoon: Müller mit Schlüssel
2436 \htmlattributes*{img}{width=300}
2437 \T\ifthenelse{\boolean{DIN-A5}}{
2438         \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2439         \T}
2440 \T{
2441         \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2442         \T}
2443
2444
2445 \clearpage
2446 \section{\Email{}s verschlüsselt archivieren \htmlonly{\html{br}\html{br}}}
2447 \label{ch:archive}
2448 \index{E-Mail!verschlüsselt archivieren}
2449
2450 Ihre wichtigen -- und daher möglicherweise verschlüsselten --
2451 \Email{}s sollten Sie auch so archivieren: verschlüsselt. 
2452
2453 Natürlich können Sie einfach eine Klartext-Fassung Ihrer Texte
2454 aufbewahren, aber das wäre eigentlich nicht angebracht. Wenn Ihre
2455 Mitteilung geheimhaltungsbedürftig war, sollte sie auch nicht im
2456 Klartext auf Ihrem Rechner gespeichert sein.  Sie sollten also stets
2457 Ihre verschlüsselt gesendeten \Email{}s auch \textit{verschlüsselt}
2458 aufbewahren!
2459
2460 Sie ahnen das Problem: Zum Entschlüsseln Ihrer archivierten
2461 (versendeten) \Email{}s brauchen Sie aber den geheimen Schlüssel des
2462 Empfängers -- und den haben Sie nicht und werden ihn nie haben ...
2463
2464 Also was tun?
2465
2466 Ganz einfach: \textbf{Sie verschlüsseln zusätzlich auch an sich
2467         selbst!}
2468
2469 Die Nachricht wird einmal für Ihren eigentlichen Korrespondenzpartner
2470 verschlüsselt und ein zweites Mal auch für Sie selbst (mit Hilfe Ihres
2471 öffentlichen Schlüssels).
2472 So können Sie die \Email{} später einfach mit Ihrem eigenen geheimen Schlüssel 
2473 wieder lesbar machen.
2474
2475 Jede verschlüsselte Nachricht wird von GpgOL automatisch auch an Ihren
2476 eigenen öffentlichen Schlüssel verschlüsselt. Dazu nutzt GpgOL Ihre
2477 Absender-\Email{}-Adresse. Sollten Sie mehrere Schlüssel zu einer
2478 Adresse besitzen, so müssen Sie sich beim Verschlüsselungsvorgang
2479 entscheiden, mit welchem Schlüssel verschlüsselt werden soll.
2480
2481 \clearpage
2482 \subsubsection{Kurz zusammengefasst}
2483 Sie haben gelernt, wie Sie eine \Email{} mit Ihrem geheimen Schlüssel
2484 \textbf{signieren} -- und mit dem öffentlichen Schlüssel
2485 Ihres Korrespondenzpartners \textbf{verschlüsseln}.
2486
2487 Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen
2488 sicheren \Email{}-Versand: signieren und verschlüsseln.
2489 Sie sollten beide Techniken stets kombinieren. Sie können aber bei
2490 jeder neuen \Email{} entscheiden, wie Sie Ihre Nachricht versenden
2491 wollen -- je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer
2492 \Email{} ist.
2493
2494 Zusätzlich sollte jede verschlüsselte \Email{} auch zusätzlich an Sie
2495 selbst verschlüsselt sein. Dafür sorgt GpgOL automatisch.
2496
2497
2498 \clearpage
2499 \chapter{Dateien signieren und verschlüsseln}
2500 \label{ch:EncFiles}
2501 \index{GpgEX}
2502
2503 Nicht nur \Email{}s, sondern auch einzelne Dateien können Sie mit
2504 Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:
2505
2506 \begin{itemize}
2507         \item Sie \textbf{signieren} eine Datei mit Hilfe Ihres geheimen
2508         Schlüssels, um sicherzugehen, dass die Datei unverändert
2509         bleibt.
2510         
2511         \item Sie \textbf{verschlüsseln} eine Datei mit Hilfe eines
2512         öffentlichen Schlüssels, um die Datei vor unbefugten Personen
2513         geheim zu halten.
2514 \end{itemize}
2515
2516 Mit der Gpg4win-Programmkomponente \textbf{GpgEX} können Sie Dateien ganz einfach aus
2517 dem Windows-Explorer heraus signieren oder verschlüsseln -- egal, ob
2518 mit OpenPGP oder S/MIME.  Dieses Kapitel erläutert Ihnen, wie das
2519 genau funktioniert.
2520
2521 Sollten Sie eine Datei als \Email{}-Anhang verschicken, übernimmt z.B.
2522 GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei
2523 zusammen mit Ihrer \Email{}.  Sie brauchen sich in diesem Fall nicht
2524 gesondert darum zu kümmern.
2525
2526 \clearpage
2527 \section{Dateien signieren, verschlüsseln und prüfen}
2528 \label{sec_signFile}
2529 \index{Datei!signieren}
2530
2531 Beim Signieren einer Datei kommt es vorrangig nicht auf die
2532 Geheimhaltung, sondern auf die Unverändertheit\index{Unverändertheit}
2533 (Integrität)\index{Integrität|see{Unverändertheit}} der Datei an.
2534
2535 Die Signierung können Sie bequem mit \textbf{GpgEX} aus dem
2536 Kontextmenü des Windows-Explorers ausführen. Selektieren Sie eine (oder
2537 mehrere) Datei(en) oder Ordner und öffnen Sie mit der rechten Maustaste das
2538 Kontextmenü:
2539
2540 % screenshot GpgEX contextmenu sign/encrypt
2541 % TODO: Neuer Screenshot (Sign and Encrypt)
2542 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
2543
2544 Dort wählen Sie \Menu{Signieren} und \Menu{Für mich verschlüsseln} aus.
2545 In beiden Menüpunkten sollte ihr eigener Schlüssel ausgewählt sein. Unter dem
2546 Punkt \Menu{Für andere verschlüsseln} können Sie auch andere Schlüssel angeben.
2547
2548 \clearpage
2549 Selektieren Sie im erscheinenden Fenster die Option \Menu{Signieren}:
2550
2551 % screenshot sign file, step 1
2552 % TODO: Neuer Screenshot (Cancel)
2553 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
2554
2555 %Bei Bedarf können Sie die Option \Menu{Ausgabe als Text (ASCII
2556 %       armor\index{ASCII armor})}
2557 %aktivieren.  Die Signaturdatei erhält damit eine Dateiendung
2558 %\Filename{.asc} (OpenPGP) bzw.  \Filename{.pem} (S/MIME).  Diese
2559 %Dateitypen können mit jedem Texteditor geöffnet werden -- Sie sehen
2560 %dort allerdings nur den Buchstaben- und Ziffernsalat, den Sie schon
2561 %kennen.
2562
2563 %Ist diese Option nicht ausgewählt, so wird eine Signaturdatei mit
2564 %einer Endung \Filename{.sig} (OpenPGP) bzw. \Filename{.p7s} (S/MIME) erstellt.
2565 %Diese Dateien sind Binärdateien, sie können also nicht mit einem Texteditor
2566 %angesehen werden.
2567
2568
2569 Klicken Sie anschließend auf \Button{Weiter}.
2570
2571 %\clearpage
2572 %Im folgenden Dialog wählen Sie -- sofern nicht schon vorausgewählt --
2573 %Ihren geheimen (OpenPGP oder S/MIME) Schlüssel aus, mit dem Sie die
2574 %Datei signieren möchten.
2575
2576 % screenshot sign file, step 2: choose sign certificates
2577 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
2578
2579 %Bestätigen Sie Ihre Auswahl mit \Button{Signieren}.
2580
2581 Geben Sie nun Ihre Passphrase in den Pinentry-Dialog ein.
2582
2583 \clearpage
2584 Nach erfolgreicher Signierung und Verschlüsselung erhalten Sie folgendes Fenster:
2585
2586 % screenshot sign file, step 3: finish
2587 % TODO: Neuer Screenshot (Finish/Cancel)
2588 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
2589
2590 Sie haben damit Ihre Datei erfolgreich signiert und verschlüsselt.
2591
2592 Beim Signieren einer Datei wird stets eine "`abgetrennte"' (separate)
2593 Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei
2594 unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur
2595 erzeugt wird.  Um die Signatur später zu prüfen, sind beide Dateien
2596 notwendig.
2597
2598 %Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten,
2599 %wenn Sie Ihre ausgewählte Datei (hier \Filename{<dateiname>.txt}) mit
2600 %OpenPGP bzw. S/MIME signieren. Es sind insgesamt vier Dateitypen als
2601 %Ergebnis möglich:
2602
2603
2604 %\begin{description}
2605 %       \item[OpenPGP:]~\\
2606 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.sig}}\\
2607 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.asc}}
2608 %       ~ \small (bei Ausgabe als Text/ASCII-armor)
2609 %       \normalsize
2610         
2611 %       \item[S/MIME:]~\\
2612 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.p7s}}\\
2613 %       \Filename{<dateiname>.txt $\rightarrow$ <dateiname>.txt\textbf{.pem}}
2614 %       ~ \small{ (bei Ausgabe als Text/ASCII-armor)}
2615 %       \normalsize
2616 %\end{description}
2617
2618 \clearpage
2619 \subsubsection{Signatur prüfen}
2620 \index{Datei!Signatur prüfen}
2621
2622 Prüfen Sie nun, ob die eben signierte Datei integer
2623 -- d.h. korrekt -- ist!
2624
2625 Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität
2626 müssen die Signatur-Datei -- also die mit der Endung \Filename{.sig},
2627 \Filename{.asc}, \Filename{.p7s} oder \Filename{.pem} -- und die signierte Originaldatei
2628 (Originaldatei) in demselben Dateiordner liegen. Selektieren Sie die
2629 Signatur-Datei und wählen Sie aus dem Kontextmenü des Windows-Explorers
2630 den Eintrag  \Menu{Entschlüsseln und prüfen}:
2631
2632 % screenshot GpgEX contextmenu verifiy/decrypt
2633 % TODO: Neuer Screenshot (Decrypt and Verify)
2634 \IncludeImage[width=0.5\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
2635
2636 \clearpage
2637 Daraufhin erhalten Sie folgendes Fenster:
2638
2639 % screenshot kleopatra verify file, step 1
2640 % TODO: Neuer Screenshot (Save All/Cancel und Fensterüberschrift)
2641 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
2642
2643 Kleopatra zeigt unter \Menu{Ausgabe-Ordner} den vollständigen Pfad zur
2644 ausgewählten Signatur-Datei an. Dieser kann angepasst werden.
2645
2646 Das Ergebnis zeigt, dass die Signatur korrekt ist -- also die Datei
2647 integer ist und somit \textbf{nicht} verändert wurde.
2648
2649 %Die Option \Menu{Eingabe-Datei ist eine abgetrennte Signatur} ist
2650 %aktiviert, da Sie ja Ihre Originaldatei (hier: \Menu{Signierte Datei})
2651 %mit der Eingabe-Datei signiert haben.  Kleopatra findet automatisch
2652 %die zugehörige signierte Originaldatei in demselben Datei-Ordner.
2653
2654 Automatisch ist auch für den \Menu{Ausgabe-Ordner} der gleichen Pfad
2655 ausgewählt.  Dieser wird aber erst relevant, wenn Sie mehr als eine Datei
2656 gleichzeitig verarbeiten.
2657
2658 Die Signaturprüfung wird schon angezeigt und über \Button{Speichern} können Sie
2659 die entschlüsselte und geprüfte Datei sichern.
2660
2661 %Bestätigen Sie die gegebenen Operationen mit
2662 %\Button{Entschlüsseln/Prüfen}.
2663
2664 %\clearpage
2665 %Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes
2666 %Fenster:
2667
2668 % screenshot kleopatra verify file, step 2
2669 %\IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
2670
2671 \clearpage
2672 Selbst wenn nur ein Zeichen in der Originaldatei hinzugefügt, gelöscht
2673 oder geändert wurde, wird die Signatur als gebrochen angezeigt
2674 (Kleopatra stellt das Ergebnis als rote Warnung dar):
2675
2676 % screenshot kleopatra verify file, step 2a (bad signature)
2677 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
2678
2679
2680 \subsubsection{Kurz zusammengefasst}
2681 Sie haben gelernt, wie Sie mit GpgEX:
2682 \begin{itemize}
2683         \item Dateien signieren
2684         \item signierte Dateien prüfen
2685         \item Dateien verschlüsseln
2686         \item verschlüsselte Dateien entschlüsseln
2687 \end{itemize}
2688
2689 \subsubsection{Gleichzeitig signieren und verschlüsseln}
2690
2691 Diese Option ist Ihnen sicher schon in den entsprechenden Dialogen
2692 aufgefallen.  Wählen Sie sie aus, dann kombiniert GpgEX beide
2693 Krypto-Operationen in einem Schritt.
2694
2695 Beachten Sie, dass immer {\em zuerst signiert}, erst danach
2696 verschlüsselt wird.
2697
2698 Die Signatur wird also immer als geheim mitverschlüsselt.  Sie kann
2699 nur von denjenigen gesehen und geprüft werden, die die Datei
2700 erfolgreich entschlüsseln konnten.
2701
2702 %Möchten Sie Dateien signieren \textit{und} verschlüsseln, ist das
2703 %derzeit nur mit OpenPGP möglich.
2704
2705
2706 \clearpage
2707 \chapter{Öffentliche Schlüssel veröffentlichen}
2708 %TODO: Die Möglichkeiten aufzählen (Mail, eigene Website etc.) und auf Keyserver weiter eingehen
2709 \label{ch:publishCertificate}
2710 \index{Zertifikat!verbreiten}
2711 Um Ihren Schlüssel anderen Korrespondenzpartnern zur Verfügung zu stellen,
2712 müssen Sie Ihren öffentlichen Schlüssel verbreiten. Sie haben in Kapitel 
2713 \ref{sec:mailEncryption} bereits gelesen, wie man einen öffentlichen Schlüssel 
2714 exportiert und ihn versendet, in diesem Abschnitt gehen wir nun auf die 
2715 Veröffentlichung Ihres öffentlichen Schlüssels auf einem Schlüsselserver ein.
2716
2717 Mehr zu diesem Thema finden Sie unter Abschnitt \ref{ch:keyserver}.
2718 \section{Veröffentlichen auf OpenPGP-Schlüsselservern}
2719 \label{sec_publishPerKeyserver}
2720 Wählen Sie in der Schlüsselübersicht in Kleopatra Ihren Schlüssel aus. Über \Menu{Datei $\to$ Auf Server veröffentlichen..} öffnet sich folgender Dialog
2721
2722 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-publishKey_de}
2723
2724 Lesen Sie die Meldung aufmerksam und bestätigen Sie den Dialog. Wenn der
2725 Schlüssel erfolgreich auf den Schlüsselserver exportiert wurde. Erhalten Sie
2726 folgende Nachricht:
2727
2728 \IncludeImage[width=0.3\textwidth]{sc-kleopatra-publishKey1_de}
2729
2730 Ihr Schlüssel ist nun erfolgreich auf dem Schlüsselserver veröffentlicht und
2731 Korrespondenzpartner können ihn einfach über die Schlüsselsuche finden.
2732 \section{Veröffentlichen von X.509-Zertifikaten}
2733 \label{publishPerEmailx509}
2734 Für das Veröffentlichen von X.509-Zertifikaten ist der Anbieter zuständig. Wenn
2735 Sie Ihre Zertifikatsanfrage zum Anbieter geschickt haben und ein gültiges
2736 Zertifikat erhalten haben, ist dies im Normalfall über den Schlüsselserver des
2737 Anbieters verfügbar. Dies ist jedoch von Anbieter zu Anbieter unterschiedlich.
2738 Wie man einen Schlüsselsever für X.509 Zertifikate hinzufügt, wird in Abschnitt 
2739 \ref{ch:keyserver} besprochen.
2740
2741 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
2742 % Part II
2743
2744 % page break in toc
2745 \addtocontents{toc}{\protect\newpage}
2746
2747 \clearpage
2748 \T\part{Für Fortgeschrittene}
2749 \W\part*{\textbf{II Für Fortgeschrittene}}
2750 \label{part:Fortgeschrittene}
2751 \addtocontents{toc}{\protect\vspace{0.3cm}}
2752
2753
2754 \clearpage
2755 \chapter{Schlüssel im Detail}
2756 \label{ch:CertificateDetails}
2757 \index{Zertifikatsdetails}
2758
2759 In Kapitel \ref{ch:CreateKeyPair} haben Sie sich schon den
2760 Detaildialog Ihres erzeugten Schlüsselpaares angesehen. Viele Angaben zu
2761 Ihrem Schlüsselpaar sind dort aufgelistet. Nachfolgend die Wichtigsten,
2762 mit kurzen Hinweisen auf die Unterschiede zwischen OpenPGP-Schlüsseln und
2763 X.509-Zertifikaten:
2764
2765 % TODO: Screenshot vom Detaildialog OpenPGP + ggf. zusätzlich X.509 wäre sehr hilfreich zur
2766 % Veranschaulichung
2767
2768 \begin{description}
2769
2770     \item[Die Benutzerkennung\index{Zertifikat!Benutzerkennung}] besteht aus dem Namen und der
2771     \Email{}-Adresse, die Sie während der Schlüsselpaarerzeugung
2772     eingegeben haben, also z.B.: \Filename{Alice
2773     <alice@gpg4win.de>}
2774
2775     Für OpenPGP-Schlüssel können Sie mit Kleopatra über den
2776     %TODO: Oder Schlüssel? - Dann in Kleo anpassen
2777     Menüpunkt \Menu{Zertifikate$\rightarrow$%
2778     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
2779     Benutzerkennung hinzufügen...} 
2780     Ihr Schlüsselpaar um weitere Benutzerkennungen
2781     erweitern.  Das ist dann sinnvoll, wenn Sie z.B.  für eine weitere
2782     \Email{}-Adresse den Schlüssel nutzen möchten.
2783
2784     Beachten Sie: Hinzufügen neuer Benutzerkennungen ist in Kleopatra
2785     nur für OpenPGP-Schlüssel möglich, nicht aber für X.509-Zertifikate.
2786
2787 \item[Der Fingerabdruck] wird verwendet, um mehrere Schlüssel
2788     voneinander zu unterscheiden. Mit dieser Kennung können Sie nach
2789     (öffentlichen) Schlüsseln suchen, die z.B. auf einem weltweit
2790     verfügbaren OpenPGP-Schlüsselserver (engl. "`key server"')
2791     oder auf einem X.509-Zertifikats\-server liegen.  Was
2792     Schlüsselserver sind, erfahren Sie im folgenden Kapitel.
2793
2794 \item[Die Schlüssel-ID\index{Schlüsselkennung}\index{Schlüssel!-ID}] (auch Schlüsselkennung genannt) besteht aus
2795     den letzten acht Stellen des Fingerabdrucks. Die wesentlich geringere Länge 
2796     macht die Schlüsselkennung einfacher handhabbar, 
2797     erhöht aber das Risiko von Mehrdeutigkeiten (unterschiedliche
2798     Schlüssel mit derselben Kennung).
2799
2800 \item[Die Gültigkeit\index{Zertifikat!Gültigkeit}] von Schlüsseln bezeichnet die Dauer ihrer
2801     Gültigkeit und ggf. ihr Verfallsdatum.\index{Verfallsdatum}
2802     
2803     Für OpenPGP-Schlüssel ist die Gültigkeit normalerweise auf
2804     \Menu{Unbegrenzt} gesetzt.  Sie können dies mit Kleopatra ändern,
2805     indem Sie auf die Schaltfläche \Button{Ablaufdatum ändern} in den
2806     Details klicken -- oder das Menü
2807     %TODO: Menü in Schlüssel ändern? - Dann in Kleo ändern
2808     \Menu{Zertifikate$\rightarrow$Ablaufdatum ändern} auswählen -- und
2809     ein neues Datum eintragen. Damit können Sie Schlüssel für eine
2810     begrenzte Zeit gültig erklären, z.B. um sie an externe Mitarbeiter
2811     auszugeben.
2812
2813     Die Gültigkeitsdauer von X.509-Zertifikaten wird bei der
2814     Ausstellung von der Beglaubigungsinstanz (CA)
2815     festgelegt und kann nicht vom Nutzer geändert werden.
2816
2817 \item[Das Vertrauen in den Schlüsselinhaber (nur OpenPGP)] %\T\marginOpenpgp
2818     beziffert Ihre eigene, subjektive Zuversicht, dass der Besitzer
2819     des OpenPGP-Schlüssels echt (authentisch) ist und auch andere
2820     OpenPGP-Schlüssel korrekt beglaubigen wird.  Sie können das
2821     Vertrauen über die Schaltfläche \Button{Vertrauen in den
2822     Schlüsselinhaber ändern} in den Details oder über das
2823         %TODO: Menü in Schlüssel ändern? - Dann in Kleo ändern
2824     Menü \Menu{Zertifikate$\rightarrow$Vertrauens\-status ändern}
2825     einstellen.
2826
2827     Der Vertrauensstatus ist nur für OpenPGP-Schlüssel relevant.
2828     Für X.509-Zerti\-fikate gibt es diese Methode der
2829     Vertrauensstellung nicht.
2830
2831 \item[Die Beglaubigungen (nur OpenPGP)] %\T\marginOpenpgp
2832     Ihres OpenPGP-Schlüssels beinhalten die
2833     Benutzerkennungen derjenigen Schlüsselinhaber, die
2834     sich von der Echtheit Ihres Schlüssels überzeugt und es dann auch
2835     beglaubigt haben. Das Vertrauen in die Echtheit Ihres Schlüssels
2836     steigt mit der Anzahl an Beglaubigungen, die Sie von anderen
2837     Nutzern erhalten.
2838
2839     Beglaubigungen sind nur für OpenPGP-Schlüssel relevant.  Für
2840     X.509-Zertifi\-kate gibt es diese Methode der Vertrauensstellung
2841     nicht.
2842
2843 \end{description}
2844
2845 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
2846 ~\\
2847 Diese Details müssen Sie für die tagtägliche Benutzung von
2848 Gpg4win nicht unbedingt kennen, aber sie werden relevant, wenn Sie
2849 neue Schlüssel erhalten oder ändern wollen.
2850
2851
2852 \clearpage
2853 \chapter{Die Schlüsselserver}
2854 \label{ch:keyserver}
2855 \index{Zertifikatsserver}
2856
2857 Die Nutzung eines Schlüsselservers zum Verbreiten Ihres öffentlichen
2858 (OpenPGP- oder X.509-) Schlüssel wurde bereits im
2859 Abschnitt~\ref{sec_publishPerKeyserver} einführend erläutert. Dieses
2860 Kapitel beschäftigt sich mit den Details von Schlüsselservern und
2861 zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
2862
2863 Schlüsselserver können von allen Programmen benutzt werden, die die
2864 Standards OpenPGP bzw. X.509 unterstützen.  Kleopatra unterstützt
2865 beide Arten, also sowohl OpenPGP-Schlüsselserver als auch
2866 X.509-Zerti\-fi\-katsserver.
2867
2868
2869 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2870
2871 \begin{description}
2872
2873 \item[OpenPGP-Schlüsselserver]%\T\marginOpenpgp
2874     \index{Zertifikatsserver!OpenPGP}
2875     (im Englischen auch "`key server"' genannt) sind dezentral
2876     organisiert und synchronisieren sich weltweit miteinander.
2877     Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort
2878     liegenden OpenPGP-Schlüssel gibt es nicht.  Dieses verteilte
2879     Netz von OpenPGP-Schlüsselserver sorgt für eine bessere
2880     Verfügbarkeit und verhindert, dass einzelne Systemadministratoren
2881     Schlüssel löschen, um so die sichere Kommunikation unmöglich zu
2882     machen ("`Denial of Service"'-Angriff).\index{Denial of Service}
2883
2884     \htmlattributes*{img}{width=300}
2885     \IncludeImage[width=0.5\textwidth]{keyserver-world}
2886
2887 \item[X.509-Zertifikatsserver] \T\marginSmime
2888     \index{Zertifikatsserver!X.509}
2889     werden in der Regel von den Beglaubigungsinstanzen (CAs) über
2890     LDAP\index{LDAP} bereitgestellt und manchmal auch als
2891     Verzeichnisdienste für X.509-Zertifikate bezeichnet.
2892
2893 \end{description}
2894
2895
2896 \clearpage
2897 \section{Schlüsselserver einrichten}
2898 \label{configureCertificateServer}
2899 \index{Zertifikatsserver!einrichten}
2900
2901 Öffnen Sie den Konfigurationsdialog von Kleopatra:\\
2902 \Menu{Einstellungen $\rightarrow$ Kleopatra einrichten...}
2903
2904 %TODO: Heißt es in Kleo wirklich überall Schlüsselserver?
2905 Legen Sie unter der Gruppe \Menu{Schlüsselserver} einen neuen
2906 Schlüsselserver an, indem Sie auf die Schaltfläche \Menu{Neu}
2907 klicken. Wählen Sie zwischen \Menu{OpenPGP} oder \Menu{X.509}.
2908
2909 Bei \Menu{OpenPGP} wird in die Liste ein voreingestellter
2910 OpenPGP-Schlüsselserver mit der Serveradresse
2911 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
2912 hinzugefügt. Sie können diesen ohne Änderung direkt verwenden -- oder
2913 Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der
2914 nächsten Seite.
2915
2916 Bei \Menu{X.509} erhalten Sie folgende Vorbelegungen für einen
2917 X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server,
2918 Server-Port: 389).  Vervollständigen Sie die Angaben zu Servername und
2919 Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den
2920 Server-Port.
2921
2922 Sollte Ihr Schlüsselserver Benutzername und Passwort fordern, so
2923 aktivieren Sie die Option \Menu{Benutzerauthentisierung notwendig} und
2924 tragen Ihre gewünschten Angaben ein.
2925
2926
2927 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2928 Der folgende Screenshot zeigt einen konfigurierten
2929 OpenPGP"=Schlüsselserver:
2930
2931 % screenshot: Kleopatra OpenPGP certificate server config dialog
2932 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
2933
2934 Bestätigen Sie abschließend Ihre Konfiguration mit \Button{OK}. Ihr
2935 Schlüsselserver ist nun erfolgreich eingerichtet.
2936
2937 Um sicherzugehen, dass Sie den Schlüsselserver korrekt konfiguriert
2938 haben, ist es hilfreich, z.B. eine Schlüsselserver auf dem Server zu
2939 starten (Anleitung siehe
2940 Abschnitt~\ref{searchAndImportCertificateFromServer}).
2941
2942 \textbf{Proxy-Einstellung:}\index{Proxy} Falls Sie einen Proxy in Ihrem Netzwerk
2943 nutzen, müssen Sie die Schlüsselserver-Adresse in der Datei:\\
2944 \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
2945 ergänzen.
2946 Fügen Sie dazu in der Datei eine weitere Zeile ein, mit dem Inhalt: \\
2947 \Filename{keyserver-options http-proxy=<proxy-address>}
2948
2949 Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
2950 finden Sie im Abschnitt~\ref{x509CertificateServers}.
2951
2952 \subsubsection{OpenPGP-Schlüsselserver-Adressen}
2953 %TODO: Eventuell Outdated
2954
2955 %\T\marginOpenpgp
2956 Es wird empfohlen, nur moderne OpenPGP-Schlüsselserver zu verwenden,
2957 da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
2958
2959 Hier eine Auswahl von gut funktionierenden Schlüsselserver:
2960 \begin{itemize}
2961 \item hkp://blackhole.pca.dfn.de
2962 \item hkp://pks.gpg.cz
2963 \item hkp://pgp.cns.ualberta.ca
2964 \item hkp://minsky.surfnet.nl
2965 \item hkp://keyserver.ubuntu.com
2966 \item hkp://keyserver.pramberger.at
2967 \item http://keyserver.pramberger.at
2968 \item http://gpg-keyserver.de
2969 \end{itemize}
2970
2971 Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am
2972 besten mit Schlüsselserver, deren URL mit \Filename{http://}
2973 beginnen.
2974
2975 Die Schlüsselserver unter den Adressen
2976 \begin{itemize}
2977     \item hkp://keys.gnupg.net (Vorauswahl von Kleopatra,
2978         siehe Bildschirmfoto auf vorheriger Seite)
2979 \item hkp://subkeys.pgp.net
2980 \end{itemize}
2981 sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird
2982 dann zufällig ein konkreter Server ausgewählt.
2983
2984 \textbf{Achtung:} Nicht \Filename{ldap://keyserver.pgp.com} als
2985 Schlüsselserver benutzen, weil dieser sich nicht mit den anderen Servern
2986 synchronisiert (Stand: Mai 2010).
2987
2988 \clearpage
2989
2990 \section{X.509 Schlüsselserver einrichten}
2991 \label{sec:x509Keyserver}
2992 Wenn Sie einen S/MIME Schlüssel importieren wollen, müssen Sie sich zunächst
2993 über die Adresse des Schlüsselservers und der Basis-DN (Basis Domain-Name)
2994 Informieren. Diese erhalten Sie von Ihrem System-Administrator oder
2995 Kommunikations-Partner. Sobald Sie diese Informationen haben, öffnen Sie unter
2996 \Menu{Einstellungen $\to$ Kleopatra einrichten ...} das
2997 \Menu{Schlüsselserver}-Menü. Dort fügen Sie mit der Schaltfläche \Menu{Neu}
2998 einen neuen Eintrag der Liste hinzu. Sie können die vorausgwählten
2999 Informationen durch Ihre ersetzen. Wenn Sie z.B. Die Informationen erhalten
3000 haben, dass der Schlüsselserver die URL \texttt{ldap://ca.gnupg.org:389/} und
3001 die Basis-DN \texttt{o="GnuPG", C=DE} besitzt, dann wählen Sie als
3002 \Menu{Protokoll} \glqq{}\texttt{ldap}\grqq{} aus, tragen unter \Menu{Server}
3003 \glqq{}ca.gnupg.org\grqq{} ein, unter \Menu{Port} tragen
3004 Sie\glqq{}\texttt{389}\grqq{} ein, bei \Menu{Basis-DN} tragen Sie
3005 \glqq{}\texttt{o="GnuPG", C=DE}\grqq{} ein und setzen am Ende einen Haken unter
3006 der \Menu{X.509}-Option. Bestätigen Sie abschließend Ihren Eintrag mit
3007 \Menu{OK}.
3008
3009 \section{Schlüssel auf Schlüsselservern suchen und importieren}
3010 \label{searchAndImportCertificateFromServer}
3011 \index{Zertifikatsserver!Suche nach Zertifikaten}
3012 \index{Zertifikat!importieren}
3013 Nachdem Sie mindestens einen Schlüsselserver eingerichtet haben,
3014 können Sie nun dort nach Schlüsseln suchen und diese anschließend
3015 importieren.
3016
3017 Klicken Sie dazu in Kleopatra auf \Menu{Datei$\rightarrow$Auf Server suchen...}.
3018
3019 Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des
3020 Schlüsselbesitzers -- oder eindeutiger und daher besser geeignet --
3021 seine \Email{}-Adresse seines Schlüssels eingeben können.
3022
3023 % screenshot: Kleopatra certification search dialog
3024 %TODO: Neuer Screenshot (Close)
3025 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
3026
3027 Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie
3028 auf die Schaltfläche \Button{Details...}.
3029
3030 Wenn Sie nun eines der gefundenen Schlüssel in Ihre lokale
3031 Schlüsselsammlung einfügen möchten, selektieren Sie das
3032 Schlüssel aus der Liste der Suchergebnisse und klicken Sie auf
3033 \Button{Importieren}.
3034
3035 Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen
3036 des Importvorgangs an. Bestätigen Sie diesen mit \Button{OK}.
3037
3038 War der Import erfolgreich, finden Sie nun das ausgewählte Schlüssel
3039 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung?
3040 in der Zertifikatsverwaltung von Kleopatra.
3041
3042
3043 % Section Doppelt zu Kapitel 13
3044 %\section{Schlüssel auf OpenPGP-Schlüsselserver exportieren}
3045 %\index{Zertifikat!exportieren}
3046
3047 %\T\marginOpenpgp
3048 %Wenn Sie einen OpenPGP-Schlüsselserver wie im Abschnitt
3049 %\ref{configureCertificateServer} beschrieben eingerichtet haben,
3050 %genügt ein Maus\-klick, und Ihr öffentlicher OpenPGP-Schlüssel ist
3051 %unterwegs rund um die Welt.
3052
3053 %Wählen Sie Ihren OpenPGP-Schlüssel in Kleopatra aus und klicken Sie
3054 %TODO: Müsste nun anders heißen
3055 %anschließend auf den Menüeintrag: \Menu{Datei$\rightarrow$Zertifikate
3056 %nach Server exportieren...}.
3057
3058 %Sie brauchen Ihren Schlüssel nur an irgendeinen der verfügbaren
3059 %OpenPGP-Schlüsselserver zu senden, denn fast alle synchronisieren
3060 %sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr
3061 %OpenPGP-Schlüssel wirklich überall verfügbar ist, aber dann haben Sie
3062 %einen "`globales"' Schlüssel.
3063
3064 %Sollten Sie Ihren Schlüssel exportieren, ohne zuvor einen
3065 %OpenPGP-Schlüsselserver eingerichtet zu haben, so schlägt Ihnen
3066 %Kleopatra den bereits voreingestellten Server
3067 %\Filename{hkp://keys.gnupg.net} zur Verwendung vor.
3068
3069
3070
3071 \clearpage
3072 \chapter{Dateianhänge verschlüsseln}
3073 \index{Dateianhänge verschlüsseln}
3074
3075 Wenn Sie eine verschlüsselte \Email{} versenden und Dateien anhängen,
3076 so wollen Sie in der Regel sicherlich auch, dass diese Anhänge
3077 verschlüsselt werden.
3078
3079 Bei einer komfortablen Integration von GnuPG in Ihr \Email{}-Programm
3080 sollten Anhänge genauso behandelt werden wie der eigentliche Text
3081 Ihrer \Email{}, also signiert, verschlüsselt oder beides zusammen.
3082
3083 \textbf{GpgOL übernimmt die Verschlüsselung und Signierung von
3084 Anhängen automatisch.}
3085
3086 Bei weniger komfortabel in einem \Email{}-Programm integriertem
3087 Verschlüsselungswerkzeugen müssen Sie aufpassen: Die Anhänge werden oft
3088 unverschlüsselt mitgesendet.
3089
3090 Was kann man in so einem Fall tun?  Ganz einfach: Sie verschlüsseln
3091 den Anhang getrennt und hängen ihn dann in verschlüsseltem Zustand an
3092 die \Email{} an.  Dies läuft also auf ein ganz gewöhnliches
3093 Verschlüsseln von Dateien hinaus, das in Kapitel~\ref{ch:EncFiles}
3094 beschrieben ist.
3095
3096
3097 \clearpage
3098 \chapter{Im- und Export eines geheimen Schlüssels}
3099 \label{ch:ImExport}
3100
3101 In den Kapiteln \ref{ch:publishCertificate} und
3102 \ref{sec_importfromfile} wurde der Im- und Export von Schlüsseln
3103 erläutert. Sie haben Ihren eigenen Schlüssel exportiert, um ihn zu
3104 veröffentlichen, und den Schlüssel Ihres Korrespondenzpartners
3105 importiert und so "`an Ihrem Schlüsselbund\index{Schlüsselbund}
3106 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung
3107 befestigt"' (d.h. in Ihre Schlüsselverwaltung aufgenommen).
3108
3109 Dabei ging es stets um \textbf{öffentliche} Schlüssel. Es gibt
3110 aber auch hin und wieder die Notwendigkeit, einen \textbf{geheimen}
3111 Schlüssel zu im- oder exportieren. Wenn Sie z.B. ein bereits
3112 vorhandenes (OpenPGP oder S/MIME) Schlüsselpaar mit Gpg4win
3113 weiterbenutzen wollen, müssen Sie es importieren. Oder wenn Sie
3114 Gpg4win von einem anderen Rechner aus benutzen wollen, muss ebenfalls
3115 zunächst das gesamte Schlüsselpaar dorthin transferiert werden --~der
3116 öffentliche und der geheime Schlüssel.
3117
3118 \clearpage
3119 \section{Export}
3120 \index{Zertifikat!exportieren}
3121 Immer, wenn Sie einen geheimen Schlüssel auf einen anderen Rechner
3122 transferieren oder auf einer anderen Festplattenpartition bzw. einem
3123 Sicherungsmedium speichern wollen, müssen Sie mit Kleopatra eine
3124 Sicherungskopie erstellen.
3125
3126 Eine solche Sicherungskopie haben Sie evtl. schon einmal am Ende Ihrer
3127 OpenPGP-Schlüsselpaar\-erzeu\-gung angelegt. Da Ihr OpenPGP-Schlüssel
3128 aber inzwischen weitere Beglaubigungen haben kann, sollten Sie ihn ggf.
3129 erneut sichern.
3130
3131 Öffnen Sie Kleopatra, selektieren Sie Ihren eigenen Schlüsseln und
3132 %TODO: Auf Schlüssel ändern? - dann in Kleo anpassen
3133 klicken Sie auf \Menu{Datei$\rightarrow$Geheimen Schlüssel exportieren}.
3134
3135 % screenshot kleopatra export secret key
3136 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3137
3138 Wählen Sie den Pfad und den Dateinamen der Ausgabedatei.  Der Dateityp
3139 wird automatisch gesetzt. Abhängig davon, ob Sie einen geheimen
3140 OpenPGP- oder S/MIME-Schlüssel exportieren wollen, ist standardmäßig
3141 die Dateiendung \Filename{.gpg} (OpenPGP) oder \Filename{.p12}
3142 (S/MIME) ausgewählt. Bei diesen Dateien handelt es sich um
3143 Binärdateien, die Ihr Schlüsselpaar (inkl. geheimem Schlüssel)
3144 verschlüsselt enthalten.
3145
3146 Bei Aktivierung der Option \Menu{ASCII-geschützt (ASCII armor\index{ASCII armor})}
3147 erhalten Sie die Dateiendung \Filename{.asc} (OpenPGP) bzw.
3148 \Filename{.pem} (S/MIME).  Diese Dateitypen können mit jedem
3149 Texteditor geöffnet werden -- Sie sehen dort allerdings nur den
3150 Buchstaben- und Ziffernsalat, den Sie schon kennen. 
3151
3152 Ist diese Option nicht ausgewählt, so wird eine verschlüsselte Datei
3153 mit der Endung \Filename{.gpg} (OpenPGP) oder \Filename{.p12} (S/MIME)
3154 angelegt.  Diese Dateien sind Binärdateien, sie können also nicht mit
3155 einem Texteditor angesehen werden. 
3156
3157 Beide Schlüsselteile -- der öffentliche und der geheime -- werden von
3158 Kleopatra in \textbf{einem} einzigen geheimen Schlüsselpaar
3159 abgespeichert.
3160
3161 \textbf{Achtung:} Behandeln Sie diese Datei sehr sorgfältig. Sie
3162 enthält Ihren geheimen Schlüssel und damit sehr sicherheitskritische
3163 Informationen!
3164
3165 \clearpage
3166 \section{Import}
3167 \index{Zertifikat!importieren}
3168 Zum Importieren Ihres zuvor exportierten geheimen Schlüssels in
3169 Kleopatra gehen Sie so vor, wie Sie es vom Import fremder
3170 öffentlicher Schlüssel gewohnt sind (vgl.
3171 Kapitel~\ref{ch:importCertificate}):
3172
3173 %TODO: Menü anpassen in Kleo?
3174 Klicken Sie auf \Menu{Datei$\rightarrow$Schlüssel importieren...} und
3175 wählen Sie die zu importierende Datei aus.  Handelt es sich um eine
3176 PKCS12-Datei (z.B. vom Typ \Filename{.p12}), so werden Sie zunächst
3177 nach der Passphrase zum Entsperren des geheimen Schlüssels gefragt:
3178
3179 % screenshot pinentry p12 import (I)
3180 % TODO: Neuer Screenshot (Cancel)
3181 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-a_de}
3182
3183 Setzen Sie nun eine Passphrase, gegebenenfalls auch eine neue, mit der
3184 nach dem Importvorgang Ihr geheimer Schlüssel geschützt werden soll:
3185
3186 % screenshot pinentry p12 import (II)
3187 % TODO: Neuer Screenshot - alles Englisch
3188 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3189
3190 Wiederholen Sie Ihre Passphrase-Eingabe. Sollte Ihre Passphrase zu
3191 kurz sein oder nur aus Buchstaben bestehen, werden Sie entsprechend
3192 gewarnt.
3193
3194 %\clearpage
3195 %Nach dem erfolgreichen Importieren sehen Sie ein Informationsfenster,
3196 %das Ihnen die Ergebnisse des Importvorgangs auflistet; hier am
3197 %Beispiel eines geheimen OpenPGP-Schlüssels:
3198
3199 % screenshot kleopatra import secret key - status
3200 %\IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3201
3202 Kleopatra hat damit sowohl den geheimen als auch den öffentlichen
3203 Schlüssel aus der Sicherungsdatei importiert. Ihr Schlüssel ist damit
3204 %TODO: Die Reiter heißen immernoch komisch - evtl in Kleo ändern
3205 %TODO: Schlüsselverwaltung vs. Zertifikatsverwaltung
3206 unter "`Meine Zertifikate"' in der Zertifikatsverwaltung von Kleopatra
3207 sichtbar.
3208
3209 Sichern Sie die Sicherungskopie Ihres
3210 geheimen Schlüssels -- möglichst auf einem physikalisch gesicherten
3211 (z.B. in einem Tresor) externen Medium. Löschen Sie
3212 sie danach von Ihrer Festplatte und denken Sie auch daran, die
3213 gelöschte Datei aus Ihrem "`Papierkorb"' zu entfernen. Andernfalls
3214 stellt diese Datei ein großes Sicherheitsrisiko für Ihre geheime
3215 \Email{}-Verschlüsselung dar.\\
3216
3217 \clearpage
3218 %TODO: Eventuell outdated
3219 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3220 %\T\marginOpenpgp
3221 Es kann in einigen Fällen vorkommen, dass Sie ein mit PGP ("`Pretty
3222 Good Privacy"') exportierten Schlüssel nicht importieren können:  Sie
3223 geben zwar die richtige Passphrase ein, diese wird aber nicht
3224 akzeptiert.  Der Grund ist, dass bestimmte Versionen von PGP intern
3225 einen Algorithmus (IDEA) verwenden, den GnuPG aus rechtlichen Gründen
3226 nicht unterstützen kann.  
3227
3228 Um das Problem zu beheben, ändern Sie in PGP einfach die Passphrase
3229 und exportieren/importieren Sie das OpenPGP-Schlüssel erneut.  Sollte dies
3230 auch nicht funktionieren, so setzen Sie die Passphrase in PGP auf
3231 "`leer"'; d.h. auf keinen Schutz und exportieren/importieren Sie
3232 wieder -- in diesem Fall müssen Sie unbedingt sicherstellen, dass Sie sowohl
3233 die \textbf{Datei sicher löschen} als auch in PGP und in
3234 Gpg4win danach wieder eine echte \textbf{Passphrase setzen.}
3235
3236 ~\\ \textbf{Herzlichen Glückwunsch! Sie haben damit erfolgreich Ihr
3237 Schlüsselpaar exportiert und wieder importiert.}
3238
3239 \clearpage
3240 \section{Paperkey} \label{paperkey}
3241 Mit Paperkey haben Sie die Möglichkeit Ihren privaten Schlüssel nicht nur
3242 auf digitale Medien zu sichern, sondern auf analoge, so können Sie ihn z.B.
3243 in einem Bankschließfach hinterlegen und von diesem analogen Medium auch wieder 
3244 herstellen.
3245
3246 \textbf{Wichtig:} Dies ist nur für OpenPGP-Schlüssel möglich.
3247
3248 \subsection{Export mit Paperkey}
3249 Wählen Sie dazu das zu exportierende Schlüsselpaar in der Übersicht aus. Über
3250 \Menu{Datei $\to$ Geheimen Schlüssel drucken...} öffnen Sie den Dialog zum
3251 drucken Ihres Schlüssels. Geben Sie zunächst die Passphrase Ihres
3252 Schlüssels ein.
3253
3254 % TODO: Neuer Screenshot (Cancel)
3255 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-paperkey1_de}
3256
3257 Anschließend öffnet sich ein Druck-Dialog. Über diesen wählen Sie Ihren Drucker
3258 aus und drucken Ihren privaten Schlüssel.
3259
3260 Heften Sie dieses Dokument an einen sicheren Ort zur Verwahrung. Es sollte nicht
3261 in fremde Hände gelangen!
3262 \subsection{Import mit Paperkey}
3263 Um den zuvor exportierten Schlüssel wieder zu importieren, müssen Sie zunächst
3264 sicherstellen, dass Ihr öffentlicher Schlüssel bereits in Kleopatra
3265 vorhanden ist.
3266
3267 Anschließend öffnen Sie ein Textdokument und tippen den Paperkey ab.
3268
3269 Machen Sie einen Rechtsklick auf Ihren öffentlichen Schlüssel und klicken
3270 Sie auf \Menu{Details}. Wählen Sie im nun auftauchenden Schlüsseldialog
3271 den Knopf \Button{Weitere Details...}.
3272
3273 Abschließend tätigen Sie einen Rechtsklick auf einen der angezeigten Einträge.
3274 Nun wählen sie die Option zum importieren aus und navigieren im Dateidialog
3275 zu ihrem abgetippten Paperkey.
3276 \clearpage
3277 \chapter{Konfiguration von Smartcards \label{Smartcards}}
3278 Smartcards oder auch Chipkarten sind kleine Plastikkarten mit Chips auf ihnen,
3279 die einen kleinen Mikroprozessor enthalten. Sie kennen wahrscheinlich bereits
3280 einige Smartcards, wie zum Beispiel Simkarten in Handys oder
3281 Krankenkassenkarten. Zur Verwendung mit OpenPGP oder X.509 gibt es spezielle
3282 Karten, die mit GnuPG genutzt werden können.
3283
3284 Ähnlich wie Krankenkassenkarten oder Simkarten haben die Smartcards, die mit
3285 GnuPG verwendet werden können, bestimmte Eigenschaften. Die Smartcards
3286 fungieren dabei als Speicher für den privaten Schlüssel und führen alle
3287 kryptografischen Operationen auf der Karte selbst durch. Dies kann für
3288 einige Szenarien sehr spannend sein, denn so muss der private Schlüssel
3289 selbst nicht mehr auf dem Computer, mit dem Sie arbeiten, nicht mehr
3290 vorhanden sein.
3291
3292 \section{Nutzung von Smartcards mit OpenPGP 
3293 \label{OpenPGPSmartcard}}
3294
3295 Zunächst muss die Frage beantwortet werden, ob eine Sicherheitskopie des
3296 Schlüssel behalten werden soll oder ob der Schlüssel ausschließlich auf
3297 der Smartcard existieren soll. Beide Möglichkeiten haben Ihre Vor- und
3298 Nachteile. Wenn der Schlüssel ausschließlich auf der Karte existieren soll,
3299 kann er nachträglich nicht mehr von der Karte kopiert werden. Dies bringt
3300 zusätzliche Sicherheit, sobald die Karte jedoch defekt ist oder abhanden
3301 kommt, haben Sie keinen Zugriff mehr auf den Schlüssel. Für die meisten
3302 Fälle bietet es sich an, den Schlüssel auf einem Rechner zu erstellen, mit
3303 Hilfe von Paperkey\ref{paperkey} zu exportieren und den erstellten
3304 Schlüssel auf die Smartcard zu übertragen. Im Folgenden werden wir auf
3305 beide Fälle eingehen.
3306
3307 \subsection{Erstellen des OpenPGP-Schlüssels auf der SmartCard}
3308 Schließen Sie das Smartcard-Lesegerät an Ihren Computer an. In Kleopatra
3309 finden Sie unter dem Punkt \Menu{Extras $\to$ SmartCards verwalten} die
3310 Einstellungen für Ihre Smartcard. Stecken Sie die zu benutzende SmartCard
3311 in das Lesegerät und drücken Sie \Button{F5} und warten Sie, dass die
3312 SmartCard erkannt wird.
3313 %TODO: Eventuell Screenshot einfügen - Habe aber keine Leere Karte
3314 Klicken Sie in SmartCard-Übersicht auf die Schaltfläche
3315 \Button{Neue Schlüssel erzeugen}. Anschließend geben Sie die Informationen
3316 für die Schlüsselerzeugung ein.
3317 % screenshot kleopatra user information for smartcard
3318 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-smartCard1_de}
3319
3320 Achten Sie dabei auf das Feld \Menu{Verschlüsselungs Schlüssel extern sichern}.
3321 Dieses Feld sollte aktiv bleiben, damit Sie abschließend eine Sicherheitskopie
3322 Ihres Schlüssels machen können.
3323
3324 Anschließend werden die Schlüssel auf der Karte erzeugt.
3325
3326 % screenshot kleopatra loading card screen
3327 \IncludeImage[width=0.3\textwidth]{sc-kleopatra-smartCard2_de}
3328
3329 Je nach verwendetem SmartCard-Leser kann es während der Erzeugung zu
3330 einer Abfrage des Administrations-PINs der Karte kommen. Dieser liegt der
3331 Kartenanleitung bei.
3332
3333 Während der Schlüsselerzeugung werden Sie gebeten eine Passphrase einzugeben,
3334 hierbei gelten die gleichen Richtlinien wie auch bei der Erstellung des
3335 herkömmlichen Schlüssels.
3336
3337 % screenshot kleopatra passphrase
3338 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-smartCard3_de}
3339
3340 Abschließend können Sie Ihren erstellen Schlüssel sichern. Beachten Sie dabei:
3341 Wenn der Schlüssel nicht gesichert wird und sie den Zugang zu Ihrer SmartCard
3342 verlieren, gibt es keine andere Möglichkeit mehr an Ihr Schlüsselpaar zu
3343 gelangen!
3344
3345 \clearpage
3346
3347 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-smartCard4_de}
3348
3349 \textbf{Herzlichen Glückwunsch!} Sie haben erfolgreich einen Schlüssel auf Ihrer
3350 SmartCard erstellen.
3351
3352 Bei zukünftigen kryptografischen Operationen werden Sie nun immer gebeten Ihre
3353 Smartcard in das Lesegerät einzuführen und ggf. eine PIN oder Passphrase darüber
3354 einzugeben.
3355
3356 %TODO: Option gibt es noch nicht
3357 %\subsection{Kopieren eines vorhandenen Schlüssels auf die SmartCard}
3358 \clearpage
3359
3360 \section{Nutzung von NetKey-Cards mit X.509}
3361 \label{X509Smartcard}
3362 X.509 Smartcards kommen im Unterschied zu OpenPGP Karten üblicherweise
3363 mit vorkonfigurierten Zertifikaten, welche von der Zertifizierungstelle
3364 eingerichtet wurden. Kleopatra unterstützt die NetKey Karten
3365 der Telekom.
3366
3367 Bei der ersten Verwendung einer X.509 Smartcard muss eine PIN für
3368 die jeweiligen Zertifikate gesetzt werden. Zudem müssen die Zertifikate
3369 der Karte im Gpg4win-System registriert werden damit diese für Kryptographie-
3370 Aktionen zur Auswahl stehen.
3371
3372 Legt man eine, unbekannte, unterstützte X.509 Smartcard in einen Kartenleser ein
3373 blinkt das Systemtray Icon von Kleopatra. Nach einem Linksklick öffnet sich der
3374 Einrichtungsdialog um eine anfängliche PIN zu setzen:
3375
3376 \IncludeImage[width=0.8\textwidth]{sc-kleopatra-smartCard_netkey_1_de}
3377
3378 Dabei ist ein Spezialfall bei NetKey Karten das diese zwei Zertifikate
3379 unterstützen. Ein gewöhnliches und ein weiteres für qualifizierte Signaturen.\footnote{
3380  \url{https://de.wikipedia.org/wiki/Signaturgesetz_(Deutschland)}}
3381
3382 Nachdem die anfänglichen PINs eingerichtet sind können die Zertifikate registriert
3383 werden. Dazu kann man erneut auf das blinkende Symbol klicken. Es folgen
3384 einige Diagnoseausgaben. Diese können ignoriert werden. Anschließend sind die
3385 Zertifikate im System registriert.
3386
3387 Alternativ zum Tray Icon können beide Aktionen auch über die SmartCard-Verwaltung
3388 angestoßen werden. Das Menü erreichen Sie über \Menu{Extras $\to$ SmartCards verwalten}.
3389
3390 Ansicht einer nicht initialisierten NetKey Karte:
3391 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_2_de}
3392
3393 Mit ``Zertifikate neu Laden" werden die Zertifikate der SmartCard registriert:
3394 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_4_de}
3395
3396 Ist alles eingerichtet werden die auf der Karte vorhandenen Zertifikate in
3397 der SmartCard-Verwaltung angezeigt.
3398
3399 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-smartCard_netkey_3_de}
3400
3401 \clearpage
3402 \chapter{Systemweite Konfiguration und Vorbelegung für
3403 \protect{S/MIME}}
3404 \label{ch:smime-configuration}
3405
3406 \T\enlargethispage{\baselineskip}
3407 \T\marginSmime
3408 Im Rahmen einer zentralen Softwareverteilung oder in Umgebungen, in denen
3409 viele Anwender auf einem gemeinsamen Rechner arbeiten, ist es sinnvoll, einige
3410 systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.
3411
3412 Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten
3413 ist es sinnvoll, dass die Anwender die Informationen dazu miteinander
3414 teilen.
3415
3416 Einige typische systemweite Einstellungen sind:
3417
3418 \begin{description}
3419 \item[Vertrauenswürdige Wurzelzertifikate:]
3420     \index{Vertrauenswürdige Wurzelzertifikate}
3421     \index{Wurzelzertifikat}
3422     Um zu vermeiden, dass jeder Anwender selbst die notwendigen
3423     Wurzelzertifikate suchen und installieren sowie deren
3424     Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl.
3425     Abschnitt \ref{sec_allow-mark-trusted}), ist eine systemweite
3426     Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.
3427
3428     Dazu sollten die Wurzelzertifikate abgelegt -- wie in Abschnitt
3429     \ref{trustedrootcertsdirmngr} beschrieben -- und die
3430     vertrauenswürdigen Wurzelzertifikate definiert werden -- wie in
3431     Abschnitt \ref{sec_systemtrustedrootcerts} beschrieben.
3432
3433 \item[Direkt verfügbare CA-Zertifikate:] \index{CA-Zertifikat}
3434     Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate
3435     der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu
3436     suchen und zu importieren, ist auch hier eine systemweite
3437     Vorbelegung der wichtigsten CA-Zertifikate sinnvoll.  Eine
3438     Beschreibung hierzu finden Sie im Abschnitt
3439     \ref{extracertsdirmngr}.
3440
3441
3442 \item[Proxy für Zertifikatsserver- und Sperrlisten-Suche:]
3443     \index{Proxy}
3444
3445     Für die Gültigkeitsinformationen bieten die X.509-Protokolle
3446     verschiedene Möglichkeiten an. Von den meisten
3447     Zertifizierungsstellen werden Sperrlisten\index{Sperrlisten} (auch
3448     CRLs \index{CRLs|see{Sperrlisten}} genannt, nach RFC5280) und
3449     OSCP\index{OSCP} (Online Certificate Status Protocol, nach RFC2560) 
3450     unterstützt. OSCP bringt zeitnähere Informationen, hat aber den Nachteil, 
3451     dass Netzverkehr bis zum OSCP-Dienst erfolgt und daran auch
3452     gut erkannt werden kann, mit welchen Partnern gerade Nachrichten
3453     ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es
3454     ist die Komponente "`DirMngr"' \index{Directory Manager|see{DirMngr}}
3455     \index{DirMngr}, welche als systemweiter Dienst läuft.
3456
3457     Es können interne Netzwerke keine direkten Verbindungen der
3458     einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern
3459     einen Stellvertreterdienst (einen sogenannten "`Proxy"') vorsehen. 
3460     Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies
3461     \index{LDAP} \index{HTTP} umgehen.
3462
3463     S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste
3464     extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch
3465     Verzeichnisdienste über LDAP\index{LDAP}. Anders als bei OpenPGP kann sich der
3466     Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den
3467     verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich
3468     Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich
3469     sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern
3470     möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen,
3471     dass X.509-Sperrlisten ausschließlich mit korrekten Informationen
3472     übermittelt werden.  
3473
3474     \clearpage
3475     Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen
3476     HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie
3477     folgende Schritte durch:
3478
3479     \begin{enumerate}
3480         \item Stellen Sie X.509-Zertifikatsserver-Suche auf einen
3481             Proxy ein, wie in Abschnitt~\ref{x509CertificateServers}
3482             beschrieben.
3483
3484         \item Stellen Sie Sperrlisten-Suche auf einen Proxy ein,
3485             wie ebenfalls in Abschnitt~\ref{x509CertificateServers}
3486             beschrieben.
3487            
3488         \item Starten Sie den DirMngr neu (siehe
3489             Abschnitt~\ref{dirmngr-restart}).
3490     \end{enumerate}
3491 \end{description}
3492
3493
3494 \clearpage
3495 \chapter{Bekannte Probleme und Abhilfen}
3496 \index{Problembehebungen}
3497
3498 \section{GpgOL-Menüs und -Dialoge nicht mehr in Outlook zu finden} 
3499 \index{Outlook}
3500 Es kann vorkommen, dass die von GpgOL zu Outlook hinzugefügten Menüs
3501 und Dialoge nicht mehr zu finden sind.
3502
3503 Das kann dann passieren, wenn ein technisches Problem auftrat und
3504 Outlook aus diesem Grund die GpgOL-Komponente deaktiviert hat.
3505
3506 Reaktivieren Sie GpgOL über das Outlook-Menü:\\ Outlook2007:
3507 \Menu{?$\rightarrow$Deaktivierte Elemente}\\ Outlook2003:
3508 \Menu{?$\rightarrow$Info$\rightarrow$Deaktivierte Elemente}
3509
3510 Um  GpgOL manuell zu (de-)aktivieren, nutzen Sie den Add-In-Manager von
3511 Outlook:
3512 \begin{itemize}
3513     \item \textbf{Outlook2003:}
3514         \Menu{Extras$\rightarrow$Optionen$\rightarrow$Weitere$\rightarrow$Erweiterte
3515         Optionen... $\rightarrow$ Add-In-Manager...}
3516     \item \textbf{Outlook2007:}
3517         \Menu{Extras$\rightarrow$Vertrauensstellungscenter$\rightarrow$Add-Ins}
3518         -- dann unter \Menu{Verwalten} die \Menu{Exchange-Clienterweiterungen} auswählen 
3519         und auf \Button{Gehe zu...} klicken.
3520 \end{itemize}
3521
3522 \section{GpgOL-Schaltflächen sind in Outlook2003 nicht in der Symbolleiste}
3523
3524 Wenn bereits viele Schaltflächen in der Symbolleiste des
3525 Nachrichtenfensters vorhanden sind, so stellt Outlook2003 die
3526 Signieren-/Verschlüsseln-Icons von GpgOL nicht unbedingt sofort
3527 sichtbar dar.
3528
3529 Sie können diese Schaltflächen aber anzeigen lassen, indem Sie in der
3530 Symbolleiste auf das kleine Icon mit dem Pfeil nach unten klicken
3531 (\Menu{Optionen für Symbolleiste}):  Sie erhalten eine Übersicht aller
3532 nicht angezeigten Schaltflächen. Ein Klick auf einen dieser Einträge
3533 verschiebt ihn in den sichtbaren Teil der Symbolleiste.
3534
3535
3536 \section{GpgOL-Schaltflächen sind in Outlook2007 unter "`Add-Ins"'}
3537
3538 Mit Outlook2007 wurde die sogenannte "`Ribbon"'-Oberfläche eingeführt.
3539 Diese Multifunktionsleis\-te im Outlook-Nachrichtenfenster besitzt
3540 verschiedene Registerkarten.  Die GpgOL-Schaltflächen (für
3541 Verschlüsseln, Signieren etc.) sind unter der Registerkarte
3542 "`Add-Ins"' eingeordnet; so wie alle Schaltflächen von Erweiterungen
3543 durch Outlook dort angelegt werden.  Eine Integration der   
3544 GpgOL-Schalt\-flächen z.B. unter "`Nachrichten"' ist nicht möglich.
3545
3546 Sie können Ihre \Menu{Symbolleiste für den Schnellzugriff} anpassen
3547 und dort die Symbolleistenbefehle der Add-In-Registerkarte aufnehmen.
3548
3549
3550 \section{Fehler beim Start von GpgOL}
3551
3552 Haben Sie Gpg4win (und damit die Programmkomponente GpgOL) erst auf einem
3553 Laufwerk installiert, anschließend wieder deinstalliert und auf
3554 einem anderen Laufwerk erneut installiert? Dann kann es sein, dass
3555 Outlook weiterhin den GpgOL-Pfad auf dem ersten (alten) Laufwerk
3556 sucht.
3557
3558 Dabei wird beim Start von Outlook die Programmerweiterung GpgOL nicht
3559 mehr gestartet und folgende Fehlermeldung erscheint:
3560
3561 \Menu{Die Erweiterung '\Filename{<alter-Pfad-zu-gpgol.dll>}' konnte
3562 nicht installiert oder geladen werden. Das Problem kann u.U. durch das
3563 Benutzen von 'Erkennen und Reparieren' in der Hilfe behoben werden.}
3564
3565 Lösen können Sie dieses Problem, in dem Sie den Outlook-internen
3566 (zwischengespeicherten) Programmerweiterungs-Pfad
3567 zurücksetzen.  Löschen Sie dazu bitte folgende Datei:\\
3568 \Filename{\%APPDATA\%\back{}Lokale
3569 Einstellungen\back{}Anwendungsdaten\back{}Microsoft\back{}\T\\
3570 Outlook\back{}extend.dat}
3571
3572 \textbf{Dabei sollte Outlook nicht laufen.} Anschließend starten Sie
3573 Outlook erneut. Outlook mit GpgOL sollten nun problemlos funktionieren.
3574
3575
3576 \section{Installation von Gpg4win auf einem virtuellen Laufwerk}
3577
3578 Beachten Sie bitte, dass eine Installation von Gpg4win auf einem
3579 (mit dem Befehl \Filename{subst} simulierten) \textbf{virtuellen
3580 Laufwerk} nicht möglich ist. Diese virtuellen Laufwerke sind nur lokal
3581 für den aktuellen Benutzer nutzbar. Systemdienste (wie der DirMngr)
3582 sehen diese Laufwerke nicht. Der Installationspfad ist damit ungültig
3583 -- die Installation stoppt mit einem Fehler in der Art \linebreak
3584 \Filename{error:StartService: ec=3}.  Installieren Sie bitte Gpg4win
3585 auf einem systemweit verfügbaren Laufwerk.
3586
3587
3588 \section{GpgOL überprüft keine InlinePGP"=\Email{}s von "`CryptoEx"'}
3589 \index{CryptoEx}
3590
3591 Um signierte bzw. verschlüsselte InlinePGP-\Email{}s zu prüfen bzw. zu
3592 entschlüsseln, die von der Outlook-Programmerweiterung "`CryptoEx"'
3593 versendet wurden, muss in den GpgOL-Optionen die 
3594 S/MIME-Unterstützung eingeschaltet sein.
3595
3596 Versichern Sie sich, dass die folgende Option in Outlook unter
3597 \Menu{Extras$\rightarrow$Optionen$\rightarrow$GpgOL} aktiv ist:\\
3598 \Menu{S/MIME Unterstützung einschalten}.
3599
3600 \clearpage
3601 \section{Keine S/MIME-Operationen möglich (Systemdienst
3602 "`DirMngr"' läuft nicht)}
3603 \label{dirmngr-restart}
3604 \index{DirMngr}
3605
3606 \T\marginSmime
3607 Der "`Directory Manager"' (DirMngr) ist ein durch Gpg4win installierter
3608 %TODO: Oder Schlüsselserver? Kontext.
3609 Dienst, der die Zugriffe auf Zertifikatsserver verwaltet. Eine Aufgabe
3610 des DirMngr ist das Laden von Sperrlisten (CRLs) für
3611 S/MIME-Zertifikate.
3612
3613 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
3614 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können,
3615 weil DirMngr nicht verfügbar ist. In der Voreinstellung von Gpg4win
3616 ist es zwingend notwendig, dass DirMngr die Sperrlisten prüft --
3617 geschieht das nicht, darf die jeweilige Operation nicht ausgeführt
3618 werden, da möglicherweise ein kompromittiertes Zertifikat genutzt
3619 wird.
3620
3621 Abhilfe schafft ein Neustart des DirMngr durch den
3622 Systemadministrator.  Dies erfolgt über
3623 \Menu{Systemsteuerung$\rightarrow$Verwaltung$\rightarrow$Dienste}.  In
3624 der Liste finden Sie DirMngr -- über das Kontextmenü kann der Dienst
3625 neu gestartet werden.
3626
3627
3628 %\clearpage
3629 \section{Keine S/MIME-Operationen möglich (CRLs nicht verfügbar)}
3630 \label{smime-problem-crl}
3631
3632 \T\marginSmime
3633 Es kann vorkommen, dass die S/MIME-Operationen (Signaturerstellung und
3634 -prüfung, Ver- oder Entschlüsselung) nicht durchgeführt werden können, weil
3635 CRLs nicht verfügbar sind. In der Voreinstellung von 
3636 \T\ifthenelse{\boolean{DIN-A5}}{\linebreak}{}
3637 Gpg4win ist es zwingend notwendig, dass Sperrlisten\index{Sperrlisten} geprüft werden
3638 -- geschieht das nicht, darf die jeweilige Operation nicht
3639 ausgeführt werden, da möglicherweise ein kompromittiertes Zertifikat
3640 genutzt wird.
3641
3642 Abhilfe schafft das Einrichten eines Stellvertreterdienstes
3643 ("`Proxies"') für das Abholen der Sperrlisten (vgl.
3644 Abschnitt~\ref{x509CertificateServers}).
3645
3646 Im Notfall (oder zum Testen) lassen sich die CRL-Prüfungen auch
3647 abschalten. Öffnen Sie dafür das Kleopatra-Menü
3648 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
3649 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
3650 \Menu{Nie Sperrlisten zu Rate ziehen}.\\
3651 \textbf{Achtung:} Machen Sie sich bewusst, dass in diesem Fall ein
3652 wesentlich höheres Risiko besteht, ein kompromittiertes Zertifikat zu
3653 nutzen. Das Abschalten der Sperrlisten-Prüfung ist niemals einer Alternative
3654 zur Einrichtung eines Proxies.
3655
3656 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
3657
3658 \section{Keine S/MIME-Operationen möglich (Wurzelzertifikat
3659 nicht vertrauenswürdig)}
3660 \label{smime-problem-rootcertificate}
3661 \index{Wurzelzertifikate}
3662
3663 \T\marginSmime
3664 Für eine vollständige Prüfung von X.509-Zertifikatsketten
3665 \index{Zertifikatskette} muss dem jeweiligen Wurzelzertifikat vertraut
3666 werden.
3667 Andernfalls kann keine S/MIME-Operationen (Signaturerstellung und
3668 -prüfung, Ver- oder Entschlüsselung) durchgeführt werden.
3669
3670 Um einem Wurzelzertifikat das Vertrauen auszusprechen, haben Sie zwei 
3671 Möglichkeiten:
3672 \begin{itemize}
3673     \item Den Fingerabdruck des entsprechenden Wurzelzertifikats
3674         in eine \textit{systemweite} Konfigurationsdatei schreiben.
3675         Damit ist die Wurzel für alle Nutzer vertrauenswürdig. 
3676         Sie müssen hierfür Windows-Administratorrechte besitzen.
3677         Eine genaue Erläuterung finden Sie im 
3678         Abschnitt~\ref{sec_systemtrustedrootcerts}.
3679
3680     \item Das Wurzelzertifikat durch den Benutzer setzen (keine
3681         systemweite Anpassung nötig).
3682         Dazu müssen Sie einmalig die Option
3683         \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu
3684         markieren} in Kleopatras Einstellung aktivieren.
3685         Anschließend werden Sie nach jedem Importieren neuer
3686         Wurzelzertifikate gefragt, ob Sie diesem vertrauen wollen.
3687         Genaueres dazu im Abschnitt~\ref{sec_allow-mark-trusted}.
3688
3689 \end{itemize}
3690
3691 \clearpage
3692 \chapter{Dateien und Einstellungen von Gpg4win}
3693
3694 \section{Persönliche Einstellungen der Anwender}
3695
3696 Die persönlichen Einstellungen für jeden Anwender befinden sich im
3697 Dateiordner:\\ \Filename{\%APPDATA\%\back{}gnupg}\\ 
3698 Oft entspricht das dem Dateiordner: \\
3699 \Filename{C:\back{}Dokumente und
3700 Einstellungen\back{}<name>\back{}Anwendungsdaten\back{}%
3701 \T\ifthenelse{\boolean{DIN-A5}}{\\}{}%
3702 gnupg\back{}}
3703
3704 Beachten Sie, dass es sich um einen versteckten Dateiordner handelt.
3705 Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü
3706 \Menu{Extras$\rightarrow$Ordneroptionen} im Reiter \Menu{Ansicht} die
3707 Option \Menu{Alle Dateien und Ordner anzeigen} unter der Gruppe
3708 \Menu{Versteckte Dateien und Ordner} aktivieren.
3709
3710 In diesem Dateiordner befinden sich sämtliche persönlichen
3711 GnuPG-Daten, also die privaten Schlüssel, Schlüsselpaare,
3712 Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von
3713 Gpg4win wird dieser Ordner \textit{nicht} gelöscht. Denken Sie daran,
3714 regelmäßig Sicherheitskopien dieses Ordners anzulegen.
3715
3716
3717 \section{Zwischengespeicherte Sperrlisten}
3718 \index{Sperrlisten}
3719
3720 \T\marginSmime
3721 Der systemweite Dienst DirMngr (Directory Manager) \index{DirMngr}
3722 prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher
3723 nicht verwendet werden darf.  Dafür werden Sperrlisten (CRLs) von den
3724 Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer
3725 Gültigkeit zwischengespeichert.
3726
3727 Abgelegt werden diese Sperrlisten unter:\newline
3728 \Filename{C:\back{}Dokumente und
3729 Einstellungen\back{}LocalService\back{}Lokale\T\newline
3730 Einstellungen\back{}Anwendungsdaten\back{}GNU\back{}cache\back{}dirmngr\back{}crls.d\back{}}
3731
3732 Hierbei handelt es sich um \textit{geschützte} Dateien, die
3733 standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch
3734 die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option
3735 \Menu{Geschützte Systemdateien ausblenden} in den
3736 \Menu{Ansicht}-Einstellungen des Windows-Explorers.
3737
3738 In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
3739
3740 \T\ifthenelse{\boolean{DIN-A5}}{}{\clearpage}
3741 \section{Vertrauenswürdige Wurzelzertifikate von DirMngr}
3742 \label{trustedrootcertsdirmngr}
3743 \index{DirMngr}
3744 \index{Vertrauenswürdige Wurzelzertifikate}
3745 \index{Wurzelzertifikate}
3746
3747 \T\marginSmime
3748 Für eine vollständige Prüfung von X.509-Zertifikaten muss den
3749 Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten
3750 signiert wurden.
3751
3752 Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen
3753 soll, werden im folgenden Dateiordner abgelegt:
3754
3755 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3756 Users\back{}Anwendungsdaten\back{}\T\newline
3757 GNU\back{}etc\back{}dirmngr\back{}trusted-certs\back{}}
3758
3759 \W~\\\\
3760 \textbf{Wichtig:} Die entsprechenden Wurzelzertifikate müssen als
3761 Dateien im Dateiformat DER mit der Dateinamens"=Erweiterung
3762 \Filename{.crt} oder \Filename{.der} im o.g. Dateiordner vorliegen.
3763
3764 Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im
3765 "`trusted-certs"'-Dateiordner neu gestartet werden. Anschließend sind
3766 die dort abgelegten Wurzelzertifikate für alle Anwender als
3767 \textbf{vertrauenswürdig} gesetzt.
3768
3769 Beachten Sie auch Abschnitt \ref{sec_systemtrustedrootcerts}, um den
3770 Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
3771
3772
3773 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3774 \section{Weitere Zertifikate von DirMngr}
3775 \label{extracertsdirmngr}
3776
3777 \T\marginSmime
3778 Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft
3779 werden soll, muss somit auch das jeweilige Zertifikat der
3780 Beglaubigungsinstanz ("`Certificate Authority"', CA) geprüft werden.
3781
3782 Für eine direkte Verfügbarkeit können
3783 CA-Zertifikate\index{CA-Zertifikat} in diesem
3784 (systemweiten) Dateiordner abgelegt werden:\newline
3785 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3786 Users\back{}Anwendungsdaten\back{}\T\newline
3787 GNU\back{}lib\back{}dirmngr\back{}extra-certs\back{}}
3788
3789 Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen
3790 automatisch von X.509-Zer\-ti\-fi\-kats\-servern geladen werden.\\
3791 Diese CA-Zertifikate können aber auch immer manuell vom Anwender
3792 importiert werden.
3793
3794 Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die
3795 wichtigsten CA-Zertifikate abzulegen.
3796
3797 \clearpage
3798 \section{Systemweite Konfiguration zur Verwendung externer
3799 X.509-Zertifikatsserver \label{x509CertificateServers}}
3800
3801 \T\marginSmime
3802 GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende
3803 X.509-Zertifikate oder Sperrlisten auf externen
3804 X.509-Zertifikatsservern gesucht werden (vgl. auch
3805 Kapitel~\ref{ch:smime-configuration}).\\
3806
3807 Für die \textbf{X.509-Zertifikatssuche} verwendet der Systemdienst DirMngr eine Liste
3808 von Zertifikatsservern, die in der Datei\newline
3809 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3810 Users\back{}Anwendungsdaten\back{}\T\\
3811 GNU\back{}etc\back{}dirmngr\back{}ldapservers.conf}\\ 
3812 angegeben werden können. Diese Zertifikatsserver werden für alle
3813 Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch
3814 weitere, benutzerspezifische Zertifikatsserver für die
3815 Zertifikatssuche einrichten -- z.B. direkt über Kleopatra (vgl.
3816 Kapitel~\ref{configureCertificateServer}).
3817
3818 Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g.
3819 Konfigurationsdatei lautet:
3820
3821 \Filename{HOSTNAME:PORT:USERNAME:PASSWORD:BASE\_DN}
3822
3823 Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern
3824 mittels Firewall gesperrt, so kann man in der
3825 \Filename{ldapservers.conf} einen Proxy-Dienst\index{Proxy} für
3826 die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie
3827 folgende Zeile im Beispiel illustriert:
3828
3829 \Filename{proxy.mydomain.example:389:::O=myorg,C=de}\\
3830
3831
3832 Für die Suche von \textbf{Sperrlisten}\index{Sperrlisten} (CRLs) gibt
3833 es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:
3834
3835 \Filename{C:\back{}Dokumente und Einstellungen\back{}All
3836 Users\back{}Anwendungsdaten\back{}\T\\
3837 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
3838
3839 Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.
3840
3841 Folgende Proxy-Optionen können Sie nach Bedarf in dieser
3842 Konfigurationsdatei ergänzen (jede Option in einer Zeile): 
3843 %TODO: Gilt das auch für Schlüsselserver?
3844 \begin{itemize}
3845     \item \Filename{http-proxy HOST[:PORT]}
3846         \index{HTTP}
3847         Diese Option verwendet \Filename{HOST} und
3848         \Filename{PORT} für den Zugang zum Zertifikatsserver. Die
3849         Umgebungsvariable \Filename{http\_proxy} wird bei Verwendung
3850         dieser Option überschrieben.
3851
3852         Ein Beispiel:\\
3853         \Filename{http-proxy http://proxy.mydomain.example:8080}
3854
3855     \item \Filename{ldap-proxy HOST[:PORT]}
3856         \index{LDAP}
3857         Diese Option verwendet \Filename{HOST} und
3858         \Filename{PORT} für den Zugang zum Zertifikatsserver.
3859         Ist keine Portnummer angegeben, wird der Standard LDAP-Port
3860         389 benutzt.
3861         Diese Option überschreibt die im Zertifikat enthaltene
3862         LDAP-URL bzw. nutzt \Filename{HOST} und \Filename{PORT}, wenn
3863         keine LDAP-URL angegeben ist.
3864
3865     \item \Filename{only-ldap-proxy}
3866
3867         Diese Option sorgt dafür, dass DirMngr
3868         niemals irgendetwas anderes nutzt als den unter
3869         \Filename{ldap-proxy} konfigurierten Proxy. Denn normalerweise
3870         versucht DirMngr andere konfigurierte Zertifikatsserver zu
3871         verwenden, wenn die Verbindung über \Filename{ldap-proxy} fehl schlägt.
3872
3873 \end{itemize}
3874
3875
3876 \clearpage
3877 \section{Systemweite vertrauenswürdige Wurzelzertifikate}
3878 \label{sec_systemtrustedrootcerts}
3879 \index{Wurzelzertifikate}
3880
3881 \T\marginSmime
3882 Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate
3883 werden definiert in der Datei\\ \Filename{C:\back{}Dokumente und
3884 Einstellungen\back{}All Users\back{}Anwendungsdaten\T\\
3885 \back{}GNU\back{}etc\back{}gnupg\back{}trustlist.txt} \index{trustlist.txt}
3886
3887 Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der
3888 entsprechende Fingerabdruck des Zertifikats, gefolgt von einem
3889 Leerzeichen und einem großen \Filename{S}, in die o.g. Datei
3890 eingetragen werden.  Ein Zertifikat wird explizit als nicht
3891 vertrauenswürdig markiert, wenn die Zeile mit dem Präfix
3892 "`\Filename{!}"' beginnt.  Sie können hier auch mehrere
3893 Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder
3894 Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem
3895 \texttt{\#} beginnt wird als Kommentar behandelt und ignoriert.
3896
3897 Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile
3898 erfolgen.
3899
3900 Ein Beispiel:
3901 \T\ifthenelse{\boolean{DIN-A5}}{\scriptsize}{}
3902 \begin{verbatim}
3903 # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
3904 A6935DD34EF3087973C706FC311AA2CCF733765B S
3905
3906 # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
3907 DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
3908
3909 # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE
3910 !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S
3911
3912 \end{verbatim}
3913 \T\ifthenelse{\boolean{DIN-A5}}{\normalsize}{}
3914
3915 Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der
3916 Überprüfung der Wurzelzertifikate zu verringern.
3917 Sie können dazu hinter \Filename{S} eine weitere Flagge \Filename{relax}
3918 setzen: \Filename{<FINGERABDRUCK> S relax}
3919
3920 \textbf{Wichtig:} Die Verwendung von \Filename{relax} setzt die
3921 Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen
3922 verwendet werden.
3923
3924 Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation
3925 (Punkt "`trustlist.txt"'):\\
3926 \T\ifthenelse{\boolean{DIN-A5}}{
3927     \T\scriptsize
3928     \T\texttt{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
3929     \T\normalsize
3930 \T}
3931 \T{
3932     \uniurl{http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html}
3933 \T}
3934
3935
3936 Die genaue Syntax für die Einträge in die trustlist.txt lautet also:\\
3937 \Filename{[!]<FINGERABDRUCK> S [relax]}\\
3938 wobei \Filename{!} und \Filename{relax} optional sind.
3939
3940 Anstelle der Flagge \Filename{S} sind noch die Werte \Filename{P} und
3941 \Filename{*} vorgesehen, die für zukünftigen Gebrauch reserviert sind.
3942
3943 \textbf{Wichtig:} Damit Wurzelzertifikate in Kleopatra vollständig als
3944 vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
3945 müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
3946 werden, wie unter Abschnitt \ref{trustedrootcertsdirmngr} beschrieben.
3947
3948 \clearpage
3949 \section{Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren}
3950 \label{sec_allow-mark-trusted}
3951 \index{Vertrauenswürdige Wurzelzertifikate}
3952 \index{Wurzelzertifikate}
3953
3954 \T\marginSmime
3955 Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als
3956 vertrauenswürdig markiert werden -- eine systemweite Konfiguration
3957 (siehe Abschnitt \ref{trustedrootcertsdirmngr} und
3958 \ref{sec_systemtrustedrootcerts}) ist dann nicht erforderlich.
3959
3960 Öffnen Sie das Kleopatra-Menü
3961 \Menu{Einstellungen$\rightarrow$Kleopatra einrichten} und anschließend
3962 die Gruppe \Menu{S/MIME-Prüfung}.  Aktivieren Sie hier die Option
3963 \Menu{Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren}.
3964 Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig
3965 eingestuften Wurzelzertifikats gefragt, ob Sie es nun als
3966 vertrauenswürdig einstufen wollen.  Beachten Sie, dass der gpg-agent
3967 ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam
3968 wird (z.B. durch ausloggen und wieder einloggen).
3969
3970 Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht
3971 vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden
3972 automatisch in folgender Datei gespeichert:\\
3973 \Filename{C:\back{}Dokumente und
3974 Einstellungen\back{}<Nutzername>\back{}\T\\
3975 Anwendungsdaten\back{}gnupg\back{}trustlist.txt}
3976 \index{trustlist.txt}
3977
3978 Für die trustlist.txt gilt die gleiche Syntax wie im
3979 Abschnitt~\ref{sec_systemtrustedrootcerts} beschrieben.
3980
3981
3982 \clearpage
3983 \chapter{Probleme in den Gpg4win-Programmen aufspüren (Logdateien)}
3984 \index{Logdatei}
3985
3986 Es kann vorkommen, dass eine der Gpg4win-Programmkomponenten nicht wie
3987 erwartet zu funktionieren scheint.
3988
3989 Nicht selten ist dabei eine Besonderheit der Arbeitsumgebung
3990 verantwortlich, sodass die Softwareentwickler von Gpg4win das
3991 beobachtete Problem gar nicht selbst nachvollziehen können.
3992
3993 Um die Softwareentwickler bei der Problemsuche zu unterstützen oder
3994 auch, damit der Anwender selbst einmal in die technischen
3995 Detail-Abläufe hineinschnuppern kann, bieten die Gpg4win-Programme
3996 Unterstützung an.
3997
3998 In der Regel muss diese Unterstützung aber erst einmal eingeschaltet
3999 werden. Eine der wichtigsten Hilfsmittel sind Logdateien: Dort werden
4000 detaillierte Diagnose-Informationen zu den internen technischen
4001 Vorgängen festgehalten.  Ein Softwareentwickler kann ein Problem und
4002 die mögliche Lösung oft leicht anhand dieser Logdatei erkennen, auch
4003 wenn das Problem auf den ersten Blick unverständlich wirken mag.
4004
4005 Wenn Sie einen Fehler-Bericht an die Softwareentwickler senden wollen,
4006 so finden Sie auf dieser Web-Seite einige Hinweise:
4007
4008 \uniurl{http://www.gpg4win.de/reporting-bugs-de.html}
4009
4010 Logdateien -- unter o.g. URL als ,,Debug-Informationen'' bezeichnet --
4011 bieten oft wertvolle Hinweise und sollten daher einem Fehlerbericht
4012 beigefügt werden.
4013
4014 In diesem Kapitel wird beschrieben, wie Sie
4015 Programmablauf-Informationen (darum handelt es sich letztlich bei den
4016 Logdateien) zu den einzelnen Gpg4win-Programmen einschalten können.
4017
4018 \clearpage
4019 \section{Logdateien von Kleopatra einschalten}
4020 \index{Logdatei!von Kleopatra}
4021
4022 Die Logdaten von Kleopatra bestehen aus vielen Dateien, daher besteht
4023 der erste Schritt darin, zunächst einen Dateiordner für die Logdateien
4024 zu erstellen. Denkbar ist z.B.:
4025 \Filename{C:\back{}TEMP\back{}kleologdir}
4026
4027 Bitte beachten Sie hierbei, dass es hier um Einstellungen des
4028 Anwenders, nicht des Systemadministrators geht.  Die Einstellungen
4029 müssen also für jeden Anwender, der Logdaten von Kleopatra erstellen möchte,
4030 separat vorgenommen werden und es muss darauf geachtet werden, dass
4031 unterschiedliche \Filename{kleologdir}-Dateiordner verwendet werden.
4032
4033 Der Pfad zu diesem Ordner muss nun in der neuen Umgebungsvariablen
4034 \Filename{KLEOPATRA\_LOGDIR} vermerkt werden:
4035
4036 Öffnen Sie dazu die Systemsteuerung, wählen Sie dort \Menu{System}, dann
4037 den Reiter \Menu{Erweitert} und schließlich den Knopf
4038 \Button{Umgebungsvariablen}.
4039
4040 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4041
4042 \begin{quote}
4043     Name der Variable: \Filename{KLEOPATRA\_LOGDIR}
4044
4045     Wert der Variable: ~~\Filename{C:\back{}TEMP\back{}kleologdir}
4046 \end{quote}
4047
4048 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4049 können ihn auch nachträglich erstellen.
4050
4051 Um die Logfunktion wirksam werden zu lassen, muss Kleopatra beendet
4052 und neu gestartet werden und der Dateiordner der Logdaten existieren
4053 sowie für Kleopatra beschreibbar sein.
4054
4055 Während Kleopatra verwendet wird, zeichnet es Ablauf-Informationen in
4056 der Datei \Filename{kleo-log} (Haupt-Logdatei) auf sowie
4057 möglicherweise viele Dateien mit einem Namen nach dem Schema:\\
4058 \Filename{pipe-input-<ZEITSTEMPEL>-<ZUFALLSZEICHEN>}
4059
4060 Möglicherweise reichen diese Informationen einem Softwareentwickler
4061 nicht, um den Fehler zu erkennen. Er wird Sie dann bitten, eine
4062 weitere Umgebungsvariable anzulegen -- so wie Sie es schon oben getan
4063 haben:
4064
4065 \begin{quote}
4066     Name der Variable: \Filename{KLEOPATRA\_LOGOPTIONS}
4067
4068     Wert der Variable: ~~\Filename{all}
4069 \end{quote}
4070
4071 Möglicherweise werden die Logdateien sehr schnell sehr groß.  Sie
4072 sollten diese Logdaten\--Auf\-zeich\-nung nur einschalten, um ein
4073 bestimmtes Fehlverhalten zu provozieren und dabei aufzuzeichnen.
4074
4075 Anschließend schalten Sie die Aufzeichnung wieder aus, indem Sie die
4076 Umgebungsvariable löschen oder ihren Namen leicht variieren (für
4077 späteres leichtes Reaktivieren). Vergessen Sie nicht, die Logdateien
4078 zu löschen oder zu verschieben, gerade wenn sie sehr umfangreich geworden sind oder es sich
4079 um sehr viele Dateien handelt. Bevor Sie eine neue Aufzeichnung
4080 beginnen, ist es ebenfalls sinnvoll, die Logdateien zu entfernen.
4081
4082 \clearpage
4083 \section{Logdatei von GpgOL einschalten}
4084 \index{Logdatei!von GpgOL}
4085
4086 Um die Logdatei von GpgOL einzuschalten, müssen Sie einen
4087 "`Registry-Editor"' starten. Geben Sie dazu das Kommando
4088 \Filename{regedit} unter \Menu{Start$\rightarrow$Ausführen} oder in
4089 einer Eingabeaufforderung ein.
4090
4091 Wählen Sie nun aus der Baumstruktur auf der linken Seite den folgenden
4092 GpgOL-Schlüssel aus:\\
4093 \Filename{HKEY\_CURRENT\_USER\back{}Software\back{}GNU\back{}GpgOL}
4094
4095 Auf der rechten Seite sehen Sie nun eine Liste von Einträgen
4096 (sogenannte Zeichenfolgen) mit teilweise bereits vordefinierten
4097 Werten.  Diese Einträge werden nach dem ersten Start von Outlook mit
4098 GpgOL angelegt.
4099
4100 Zum Aktivieren der GpgOL-Logdatei führen Sie einen Doppelklick auf den
4101 Eintrag \Filename{enableDebug} aus und setzen Sie dessen Wert auf
4102 \Filename{1}.
4103
4104 Als Wert für \Filename{logFile} geben Sie nun einen Namen für die Datei an,
4105 in die die Logdatei geschrieben werden soll, z.B.:
4106 \Filename{C:\back{}TEMP\back{}gpgol.log}
4107
4108 Starten Sie Outlook neu, um die Aufzeichnung zu starten.
4109
4110 Bedenken Sie, dass diese Datei sehr umfangreich werden kann. Stellen
4111 Sie \Filename{enableDebug} auf \Filename{0}, sobald Sie die
4112 GpgOL-Logdatenaufzeichnung nicht mehr benötigen.
4113
4114 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4115 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4116 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4117 entfernen.
4118
4119 Fortgeschrittene technische Informationen zu GpgOL -- wie z.B. weitere
4120 mögliche Werte für \Filename{enableDebug} -- finden Sie im technischen
4121 (englischsprachigen) Handbuch von GpgOL.  Es befindet sich in Ihrem
4122 Gpg4win-Installations\-verzeichnis, in der Regel:\newline
4123 \Filename{C:\back{}Programme\back{}GNU\back{}GnuPG\back{}share\back{}doc\back{}gpgol\back{}gpgol.pdf}
4124
4125 \clearpage
4126 \section{Logdatei von DirMngr einschalten}
4127 \index{DirMngr}
4128 \index{Logdatei!von DirMngr}
4129
4130 Bei DirMngr handelt es sich um einen systemweiten Dienst und daher ist
4131 das Einschalten der Logdatei nur mit Administratorrechten möglich.
4132
4133 Um die Logdatei einzuschalten, öffnen Sie zunächst folgende
4134 Konfigurationsdatei:\\ \Filename{C:\back{}Dokumente und
4135 Einstellungen\back{}All Users\back{}Anwendungsdaten\back{}\T\\
4136 GNU\back{}etc\back{}dirmngr\back{}dirmngr.conf}
4137
4138 Fügen Sie die folgenden zwei Zeilen in die Konfigurationsdatei ein
4139 (den Pfad zur Logdatei können Sie natürlich anpassen):
4140
4141 \begin{quote}
4142     \Filename{debug-all} \\
4143     \Filename{log-file C:\back{}TEMP\back{}dirmngr.log}
4144 \end{quote}
4145
4146 Starten Sie anschließend den Dienst DirMngr unter
4147 \Menu{Systemsteuerung$\rightarrow$Ver\-waltung$\rightarrow$Dienste} neu,
4148 sodass die geänderte Konfigurationsdatei neu eingelesen wird und die
4149 vorgenommenen Einstellungen wirksam werden.
4150
4151 Kommentieren Sie Ihre Anpassung in o.g. Konfigurationsdatei aus (also
4152 \texttt{\#~debug-all}), sobald Sie die DirMngr-Logdtenaufzeichnung
4153 nicht mehr benötigen.
4154
4155 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4156 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4157 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4158 entfernen.
4159
4160 \clearpage
4161 \section{Logdatei von GnuPG einschalten}
4162 \index{Logdatei!von GnuPG}
4163
4164 Für folgende GnuPG-Komponenten können Sie jeweils einzeln das Anlegen
4165 einer Logdatei einschalten:
4166 \begin{itemize}
4167     \item GPG Agent
4168     \item GPG für S/MIME
4169     \item GPG für OpenPGP
4170     \item Smartcard Daemon
4171 \end{itemize}
4172
4173 Für diese Programme können Anwender persönliche Konfigurationen
4174 vornehmen.  Dazu gehört auch das Einstellen einer Protokolldatei für
4175 den Programmablauf.
4176
4177 Eingeschaltet wird die jeweilige Logdatei im GnuPG Backend --
4178 erreichbar über das Kleopatra-Menü \Menu{Einstellungen$\rightarrow$Kleopatra
4179 einrichten...$\rightarrow$GnuPG-System}.  Für jedes der o.g. vier
4180 Programme existieren in diesem Konfigurationsfenster zwei
4181 Debug-Optionen:
4182 \begin{itemize}
4183     \item Option \Menu{Setze die Debug-Stufe auf}\\ Hier definieren
4184         Sie die Ausführlichkeit der aufzuzeichnenden Informationen.
4185         Die Debug-Stufe \Menu{4 - Guru} ist die höchste Stufe und erzeugt
4186         dementsprechend große Dateien.  Schalten Sie daher die
4187         Logdateien wieder aus (Debug-Stufe \Menu{0 - Keine}), wenn Sie
4188         diese nicht mehr benötigen.
4189
4190     \item Option \Menu{Schreibe im Servermodus Logs auf DATEI}\\ Geben
4191         Sie hier die Logdatei an, in der alle Debug-Informationen
4192         gespeichert werden sollen, z.B.:
4193         \Filename{C:\back{}TEMP\back{}gpg-agent.log}
4194 \end{itemize}
4195
4196 Starten Sie anschließend Kleopatra neu (ggf. müssen Sie zuvor einen
4197 noch laufenden gpg-agent über den Task-Manager beenden), oder aber
4198 Sie loggen sich aus und melden sich neu an Ihrem Windows-System an.
4199
4200 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4201 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4202 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4203 entfernen.
4204
4205 \clearpage
4206 \section{Logdatei von GpgME einschalten}
4207 \index{Logdatei!von GpgME}
4208
4209 Die Logdatei-Einstellungen für GpgME ("`GnuPG Made Easy"')
4210 müssen -- ebenso wie bei Kleopatra -- für jeden Anwender separat
4211 vorgenommen werden.
4212
4213 Öffnen Sie die Windows-Systemsteuerung, wählen Sie dort \Menu{System}, dann
4214 den Reiter \Menu{Erweitert} und schließlich den Knopf
4215 \Button{Umgebungsvariablen}.
4216
4217 Fügen Sie dort folgende neue \textbf{Benutzervariable} ein:
4218
4219 \begin{quote}
4220     Name der Variable: \Filename{GPGME\_DEBUG}
4221
4222     Wert der Variable: ~\Filename{<DEBUGLEVEL;PFAD>}, also z.B.:
4223     \T\ifthenelse{\boolean{DIN-A5}}{\newline}{}
4224      \Filename{5;c:\back{}TEMP\back{}gpgme.log}
4225 \end{quote}
4226
4227 Beachten Sie, dass der angegebene Dateiordner existieren muss. Sie
4228 können ihn auch nachträglich erstellen.
4229
4230 Als Diagnosestufe\index{Diagnosestufe} wird hier der Wert \Filename{5} empfohlen. In den
4231 meisten Fällen liefert diese Stufe ausreichend Informationen. Falls
4232 nicht, können fortgeschrittene Nutzer diesen Wert schrittweise
4233 erhöhen.
4234
4235 Zum Ausschalten der Logdatenaufzeichnung setzen Sie die Diagnosestufe
4236 auf den Wert \Filename{0} oder entfernen Sie die Benutzervariable.
4237
4238 Vergessen Sie auch hier nicht, die Logdatei zu löschen oder zu
4239 verschieben, gerade wenn sie umfangreich geworden ist. Bevor Sie eine
4240 neue Aufzeichnung beginnen, ist es ebenfalls sinnvoll die Logdatei zu
4241 entfernen.
4242
4243 \clearpage
4244 \chapter{Warum Gpg4win nicht zu knacken ist ...}
4245 \label{ch:themath}
4246
4247 ..., jedenfalls nicht mit heute bekannten Methoden, und falls die
4248 Software frei von Fehlern ist.
4249
4250 In der Realität liefern allerdings genau diese Fehler in den
4251 Programmen, bei ihrer Benutzung oder im Betriebssystem die
4252 Möglichkeiten, um doch noch an die geheimen Informationen zu gelangen.
4253 Freie Software bietet allerdings die denkbar besten Voraussetzungen,
4254 um diese Fehler zu vermeiden.
4255
4256 In jedem Beispiel dieses Kompendiums haben Sie gesehen, dass zwischen
4257 dem geheimen und dem öffentlichen Schlüssel eine Verbindung besteht.
4258 Nur wenn beide zueinander passen, können geheime Botschaften
4259 entschlüsselt werden.
4260
4261 Das Geheimnis dieser mathematischen Verbindung müssen Sie nicht
4262 unbedingt kennen -- Gpg4win funktioniert für Sie auch so. Man kann
4263 diese komplexe mathematische Methode aber auch als Nichtmathematiker
4264 verstehen, da nur die Grundrechenarten (Addition, Subtraktion,
4265 Multiplikation, Division) benötigt werden, um eine spezielle Art der
4266 Addition und Multiplikation zu definieren.  Es gehört sowohl zur
4267 Sicherheitsphilosophie\index{Sicherheitsphilosophie} der Kryptografie
4268 wie auch zum Prinzip der Freien Software, dass es keine geheim
4269 gehaltenen Methoden und Algorithmen gibt. Letztendlich versteht man
4270 auch erst dadurch wirklich, warum GnuPG (die eigentliche Maschinerie
4271 hinter Gpg4win) sicher ist.
4272
4273 Hier beginnt also sozusagen die Kür nach dem Pflichtteil.
4274
4275
4276 % page break in toc
4277 %\addtocontents{toc}{\protect\newpage}
4278 \clearpage
4279 \chapter{GnuPG und das Geheimnis der großen Zahlen \htmlonly{\html{p}} }
4280 \label{ch:secretGnupg}
4281
4282 {\Large Kryptografie für Nicht-Mathematiker}\\
4283
4284 Es ist schon versucht worden, den
4285 RSA-Algorithmus\index{RSA-Algorithmus|(}, auf dem GnuPG
4286 basiert\footnote{Es wird hier RSA als Beispiel verwendet, da RSA als
4287 Voreinstellung von GnuPG verwendet wird und einfacher zu verstehen ist
4288 als der Elgamal-Algorithmus.}, zu "`knacken"', also einen privaten
4289 Schlüssel zu berechnen, wenn man lediglich den öffentlichen Schlüssel
4290 kennt.  Diese Berechnung ist aber noch nie für Schlüssellängen von
4291 1.024 Bit und mehr gelungen, wie sie in GnuPG verwendet werden.  Es
4292 ist zwar theoretisch möglich, aber praktisch nicht durchführbar.  Denn
4293 selbst bei vielen Jahren Rechenzeit und Abertausenden von vernetzten
4294 Rechnern würde nicht genügend Speicher zur Verfügung stehen, um den
4295 letzten Schritt dieser Berechnung
4296 durchführen zu können.
4297
4298 Es kann allerdings durchaus möglich sein, dass eines Tages eine
4299 geniale Idee die Mathematik revolutioniert und eine schnelle Lösung
4300 des mathematischen Problems liefert, welches hinter RSA steckt --
4301 allerdings wohl nicht sehr bald.
4302
4303 Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
4304 veröffentlicht von Zeit zu Zeit Prognosen und Einschätzungen, welche
4305 Schlüssellängen noch wie viele Jahre für absolute Geheimhaltung benutzt
4306 werden sollen.  GnuPG erfüllt mit seinen Standardeinstellungen
4307 diese Mindestanforderungen.  Wie im vorigen Kapitel schon angerissen,
4308 ist die Mathematik der mit Abstand sicherste Teil der praktisch
4309 angewandten Kryptografie.
4310
4311 \clearpage
4312 Im Folgenden erfahren Sie, wie diese mathematische Methode
4313 funktioniert. Nicht in allen Einzelheiten (das würde den Rahmen dieser
4314 Anleitung bei Weitem sprengen), aber doch so, dass Sie bei etwas
4315 Mitrechnen selbst mathematisch korrekt ver- und entschlüsseln können
4316 und dabei das "`Geheimnis der großen Zahlen"' entdecken.
4317
4318 Man kann diese komplexe mathematische Methode auch als
4319 Nichtmathematiker verstehen, da nur die Grundrechenarten benötigt
4320 werden. Wie gesagt: Hier
4321 beginnt der Kürteil, und bei der Kür geht es immer etwas mehr zur
4322 Sache als im Pflichtprogramm.  Letztendlich versteht man dann aber,
4323 warum GnuPG sicher ist.
4324
4325 Zwei Begriffsklärungen vorneweg:
4326
4327 \begin{quote}
4328     Ein \textbf{Algorithmus} ist eine mathematische Prozedur zur
4329     Veränderung oder Transformation von Daten oder Informationen.
4330
4331     \textbf{Arithmetik} ist die Methode, nach der Sie Zahlen addieren
4332     und multiplizieren.
4333 \end{quote}
4334
4335 Die Verschlüsselung mit GnuPG basiert auf dem sogenannten
4336 RSA-Algorithmus\footnote{RSA ist eigentlich optional, da aus
4337 Patentgründen der Elgamal-Algorithmus, beruhend auf dem schwieriger zu
4338 erklärenden Problem des diskreten Logarithmus, als Standard in GnuPG
4339 verwendet wird.}.  RSA steht für die Nachnamen von Ron Rivest, Ami
4340 Shamir und Leonard Adleman, die diesen Algorithmus im Jahr 1978 entdeckt
4341 haben. Dieser Algorithmus verwendet einen Typ der Arithmetik, die
4342 Rechnen mit Restklassen oder "`Modulo-Arithmetik"'
4343 \index{Modulo-Arithmetik} heißt.
4344
4345 \clearpage
4346 \section{Das Rechnen mit Restklassen}
4347 \index{Restklassen}
4348
4349 Wenn man mit Restklassen rechnet, so bedeutet dies, dass man nur mit
4350 dem "`Rest"' rechnet, der nach einer ganzzahligen Teilung durch eine
4351 bestimmte Zahl übrigbleibt. Diese Zahl, durch die geteilt wird, nennt
4352 man den "`Modul"' oder die "`Modulzahl"'. Wenn Sie beispielsweise mit
4353 dem Teiler oder der Modulzahl 5 rechnen, sagt man auch, "`ich rechne
4354 modulo 5"'.
4355
4356 Wie das Rechnen mit Restklassen -- auch Modulo-Arithmetik oder
4357 Kongruenzrechnung genannt -- funktioniert, kann man sich gut
4358 klarmachen, wenn man sich das Zifferblattes einer Uhr vorstellt:
4359
4360 \htmlattributes*{img}{width=300}
4361 \IncludeImage[width=0.5\textwidth]{clock-face}
4362
4363 Diese Uhr ist ein Beispiel für das Rechnen mit modulo 12 (die
4364 Modulzahl ist also 12) -- eine Uhr mit einem normalen Zifferblatt,
4365 allerdings mit einer 0 anstelle der 12. Sie können damit
4366 Modulo-Arithmetik betreiben, indem Sie einfach den gedachten Zeiger
4367 bewegen.
4368
4369 Um beispielsweise $3 + 2$ zu rechnen, beginnen Sie bei der Ziffer 2
4370 und drehen den Zeiger um 3 Striche weiter (oder Sie starten bei der 3
4371 und drehen 2 Striche weiter, was natürlich auf dasselbe hinausläuft).
4372 Das Ergebnis ist 5.
4373
4374 Zählt man auf diese Weise $7 + 8$ zusammen, erhält man 3. Denn 3 ist
4375 der Rest, wenn man 15 (also $7 + 8$) durch 12 teilt.  Um 5 mit 7 zu
4376 multiplizieren, beginnt man bei 0 und dreht 7 mal jeweils um 5 Striche
4377 weiter (oder auch bei 0 beginnend 5 mal um 7 Striche). In beiden
4378 Fällen bleibt der Zeiger bei 11 stehen. Denn 11 ist der Rest, wenn 35
4379 (also $7 * 5$) durch 12 geteilt wird.
4380
4381 \clearpage
4382 Beim Rechnen mit Restklassen addieren und teilen Sie Zahlen also nach
4383 den normalen Regeln der Alltagsarithmetik, verwenden dabei jedoch
4384 immer nur den Rest nach der Teilung. Um anzuzeigen, dass Sie nach den
4385 Regeln der Modulo-Arithmetik und nicht nach denen der üblichen
4386 Arithmetik rechnen, schreibt man den Modul (Sie wissen schon -- den
4387 Teiler) dazu. Man sagt dann z.B. "`4 modulo 5"', schreibt aber kurz
4388 "`$4 \bmod 5$"'. 
4389
4390 Bei Modulo-5 z.B. hat man dann eine Uhr, auf deren Zifferblatt es nur
4391 die 0, 1, 2, 3 und 4 gibt. Also:
4392
4393 \[ 4 \bmod 5 + 3 \bmod 5 = 7 \bmod 5 = 2 \bmod 5 \]
4394
4395 Anders ausgedrückt, ist in der Modulo-5-Arithmetik das Ergebnis
4396 aus 4 plus 3 gleich 2. \\
4397
4398 Ein weiteres Beispiel in Modulo-5-Arithmetik:
4399
4400 \[ 8 \bmod 5 + 6 \bmod 5 = 14 \bmod 5 = 4 \bmod 5 \]
4401
4402 Sie sehen auch, dass es egal ist, in welcher Reihenfolge Sie
4403 vorgehen, weil Sie nämlich auch schreiben können:
4404
4405 \[ 8 \bmod 5 + 6 \bmod 5 = 3 \bmod 5 + 1 \bmod 5 = 4 \bmod 5 \]
4406
4407 Denn 3 ist dasselbe wie 8, und 1 dasselbe wie 6, da Sie sich ja nur
4408 für den jeweiligen Rest nach der Teilung durch 5 interessieren.  
4409
4410 An den letzten Beispielen wird deutlich, dass bei der
4411 Modulo-Arithmetik jederzeit ein ganzzahliges Vielfaches der Modulzahl
4412 (hier 5) addiert werden kann, das Rechenergebnis aber stets dasselbe
4413 bleibt.
4414
4415
4416 \clearpage
4417 Dieses Schema funktioniert auch beim Multiplizieren.
4418
4419 Ein Beispiel:
4420
4421 \[ 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod 5  \]
4422
4423 Ebenso können Sie schreiben:
4424
4425 \[ 9 \bmod 5 * 7 \bmod 5 = 63 \bmod 5 = 3 \bmod 5 \]
4426
4427 da Sie einfach 60, also $5 * 12$, abziehen können.
4428
4429 Man könnte aber auch schreiben:
4430
4431 \[ 9 \bmod 5 * 7 \bmod 5 = 4 \bmod 5 * 2 \bmod 5 = 8 \bmod 5 = 3 \bmod
4432 5 \]
4433
4434 denn 4 entspricht 9, und 2 entspricht 7, wenn Sie nur den Rest
4435 nach Teilung durch 5 betrachten.
4436
4437 Wiederum können Sie feststellen, dass es egal ist, wenn Sie das
4438 Vielfache von 5 einfach weglassen.
4439
4440 Da dadurch alles einfacher wird, machen Sie das, bevor Sie Zahlen
4441 addieren oder multiplizieren. Das bedeutet, dass Sie sich lediglich um
4442 die Zahlen 0, 1, 2, 3 und 4 kümmern müssen, wenn Sie mit der
4443 Modulo-5-Arithmetik rechnen. Denn Sie können ja alles, was durch 5
4444 teilbar ist, weglassen.
4445
4446 Noch drei Beispiele mit anderen Modulzahlen:
4447
4448 \begin{enumerate}
4449     \item[I.] $ 5 \bmod 11 * 3 \bmod 11 = 15 \bmod 11 = 4 \bmod 11 $
4450     \item[II.] $ 2 \bmod 7 * 4 \bmod 7 = 1 \bmod 7 $
4451     \item[III.] $ 13 \bmod 17 * 11 \bmod 17 = 7 \bmod 17 $\\ Das letzte
4452         Beispiel wird klar, wenn man bedenkt, dass in normaler
4453         Arithmetik gerechnet $ 13 * 11 = 143 $ und $ 143 = 8 * 17 + 7
4454         $ ist.
4455 \end{enumerate}
4456
4457
4458 \clearpage
4459 \section{RSA-Algorithmus und Rechnen mit Restklassen}
4460
4461 Computer speichern Buchstaben als Zahlen. Alle Buchstaben und Symbole
4462 auf der Computertastatur werden in Wirklichkeit als Zahlen
4463 gespeichert, die typisch zwischen 0 und 255 liegen.
4464
4465 Sie können also eine Nachricht auch in eine Zahlenfolge umwandeln.
4466 Nach welcher Methode (oder welchem Algorithmus) dies geschieht, wird im
4467 nächsten Abschnitt beschrieben. Darin wird die Methode
4468 vorgestellt, nach der die Verschlüsselung mit GnuPG funktioniert: den
4469 RSA-Algorithmus. Dieser Algorithmus wandelt eine Zahlenfolge (die ja
4470 eine Nachricht darstellen kann) so in eine andere Zahlenfolge um
4471 (also eine Transformation), dass die Nachricht dabei verschlüsselt wird.
4472 Wenn man dabei nach dem richtigen Verfahren vorgeht, wird die Nachricht
4473 sicher kodiert und kann nur noch vom rechtmäßigen Empfänger dekodiert
4474 werden.
4475
4476 Das sind die Grundlagen des RSA-Algorithmus:
4477
4478 Sie selbst haben bei der Erzeugung eines Schlüsselpaares während der Eingabe
4479 Ihrer Passphrase zwei große Primzahlen\index{Primzahlen|(} erzeugt, ohne es zu bemerken
4480 (dieser werden mit $p$ und $q$ bezeichnet). Nur Sie --­ oder in der
4481 Praxis Ihr Rechner --­ kennen diese beiden Primzahlen und Sie müssen
4482 für deren Geheimhaltung sorgen.
4483
4484 Es werden daraus nun drei weitere Zahlen erzeugt:
4485 \begin{description}
4486 \item [Die erste Zahl] ist das Ergebnis der Multiplikation der beiden
4487   Primzahlen, also ihr Produkt.  Dieses Produkt wird als
4488   \textit{Modulus} und mit dem Buchstaben $n$ bezeichnet.  Dies ist
4489   die Modulzahl, mit der Sie später immer rechnen werden.
4490
4491 \item [Die zweite Zahl] ist der sogenannte \textit{öffentliche
4492   Exponent} $e$  und eine Zahl, an die bestimmte Anforderungen
4493   gestellt werden: teilerfremd zu $(p-1)(q-1)$. Häufig wird hier 41
4494   oder 65537 benutzt.
4495
4496 \item [Die dritte Zahl] wird errechnet aus dem öffentlichen Exponent
4497   (der zweiten Zahl) und den beiden Primzahlen. Diese Zahl ist der
4498   \textit{geheime Exponent} und wird mit $d$ bezeichnet.  Die
4499   Formel zur Berechnung lautet:
4500       \[ d = e^{-1} \bmod (p - 1)(q -1) \]
4501 \end{description}
4502
4503
4504 Die erste und die zweite Zahl werden veröffentlicht ­-- das ist Ihr
4505 öffentlicher Schlüssel.  Beide werden dazu benutzt, Nachrichten zu
4506 verschlüsseln. Die dritte Zahl muss von Ihnen geheim gehalten werden
4507 ­-- es ist Ihr geheimer Schlüssel.  Die beiden Primzahlen ($p$ und $q$)
4508 werden danach nicht mehr benötigt.
4509
4510 Wenn eine verschlüsselte Nachricht empfangen wird, kann sie
4511 entschlüsselt werden mit Hilfe der ersten ($n$) und der dritten Zahl
4512 ($d$).  Nur der Empfänger kennt beide Schlüsselteile ­-- seinen
4513 öffentlichen und seinen geheimen Schlüssel. Der Rest der Welt kennt
4514 nur den öffentlichen Schlüssel ($n$ und $e$).
4515
4516 Die Trick des RSA-Algorithmus liegt nun darin, dass es unmöglich ist,
4517 aus dem öffentlichen Schlüsselteil ($n$ und $e$) den geheimen
4518 Schlüsselteil ($d$) zu errechnen und damit die Botschaft zu
4519 entschlüsseln -- denn: Nur wer im Besitz von $d$ ist, kann die
4520 Botschaft entschlüsseln.
4521
4522
4523 \clearpage 
4524 \section{RSA-Verschlüsselung mit kleinen Zahlen}
4525
4526 Sie verwenden hier erst einmal kleine Zahlen, um deutlich zu machen,
4527 wie die Methode funktioniert. In der Praxis verwendet man jedoch viel
4528 größere Primzahlen, die aus vielen Ziffern bestehen.
4529
4530 Nehmen Sie die Primzahlen 7 und 11. Damit verschlüsseln Sie Zahlen ­--
4531 oder Buchstaben, was für den Rechner dasselbe ist -- nach dem
4532 RSA-Algorithmus.
4533
4534 Und zwar erzeugen Sie zunächst den öffentlichen Schlüssel.
4535
4536 \begin{description}
4537
4538 \item [Die erste Zahl] ist 77, nämlich das Ergebnis der Multiplikation
4539     der beiden Primzahlen, 7 und 11. 77 dient Ihnen im weiteren
4540     Verlauf als Modulus zur Ver- und Entschlüsselung.
4541
4542 \item [Die zweite Zahl] ist der öffentliche Exponent. Sie wählen hier
4543     13.
4544
4545 \item [Die dritte Zahl] ist der geheime Schlüssel. Diese Zahl wird wie
4546     folgt errechnet:
4547
4548     Zunächst ziehen Sie von Ihren Primzahlen 7 und 11 jeweils die Zahl
4549     1 ab (also $7 - 1$ und $11 - 1$) und multiplizieren die beiden
4550     resultierenden Zahlen miteinander. In dem Beispiel ergibt das 60:
4551     $( 7 - 1 ) * ( 11 - 1) = 60$. 60 ist Ihre Modulzahl für die
4552     weiterführende Berechnung des geheimen Schlüssels (sie ist aber
4553     nicht mit dem eigentlichen Modulus 77 zu verwechseln).
4554
4555     Sie suchen jetzt eine Zahl, die multipliziert mit dem öffentlichen
4556     Schlüssel die Zahl 1 ergibt, wenn man mit dem Modul 60 rechnet:
4557
4558     \[ 13 \bmod 60 *~?~\bmod 60 = 1 \bmod 60 \]
4559
4560     Die einzige Zahl, die diese Bedingung erfüllt, ist 37, denn
4561
4562     \[ 13 \bmod 60 * 37 \bmod 60 = 481 \bmod 60 = 1 \bmod 60 \]
4563
4564     37 ist die einzige Zahl, die multipliziert mit 13 die Zahl 1
4565     ergibt, wenn man mit dem Modul 60 rechnet.
4566
4567 \end{description}
4568
4569
4570 \clearpage
4571 \subsubsection{Sie verschlüsseln mit dem öffentlichen Schlüssel eine Nachricht}
4572
4573 Nun zerlegen Sie die Nachricht in eine Folge von Zahlen zwischen 0 und
4574 76, also 77 Zahlen, denn sowohl Verschlüsselung als auch
4575 Entschlüsselung verwenden den Modul 77 (das Produkt aus den Primzahlen
4576 7 und 11).
4577
4578 Jede einzelne dieser Zahlen wird nun nach der Modulo-77-Arithmetik 13
4579 mal mit sich selbst multipliziert. Sie erinnern sich: Die 13 ist
4580 Ihr öffentlicher Schlüssel.
4581
4582 Nehmen Sie ein Beispiel mit der Zahl 2: Sie wird in die Zahl 30
4583 umgewandelt, weil
4584  $ 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 * 2 *&nb