Added English tranlastion by Brigitte Hamilton.
[gpg4win.git] / doc / manual / gpg4win-compendium-en.tex
1 % gpg4win-compendium-en.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18 % define packages
19 \usepackage{times}
20 \usepackage[latin1]{inputenc}
21 \usepackage[T1]{fontenc}
22 \T\usepackage[english]{babel}
23 \W\usepackage[english]{babel}
24 \usepackage[babel]{csquotes}
25 \defineshorthand{``}{\openautoquote}
26 \defineshorthand{''}{\closeautoquote}
27 \usepackage{ifpdf}
28 \usepackage{graphicx}
29 \usepackage{alltt}
30 \usepackage{moreverb}
31 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
32 \usepackage{microtype}
33 \W\usepackage{rhxpanel}
34 \W\usepackage{sequential}
35 \usepackage[table]{xcolor}
36 \usepackage{color}
37
38 \usepackage{fancyhdr}
39 \usepackage{makeidx}
40
41
42 % write any html files directly into this directory
43 % XXX: This is currently deactivated, but sooner or later
44 % we need this to not let smae filenames overwrite each other
45 % when we have more than one compendium. The Makefile.am needs
46 % to be updated for this as well - not a trivial change.
47 %\W\htmldirectory{./compendium-de-html}
48
49 % Hyperref should be among the last packages loaded
50 \usepackage[breaklinks,
51     bookmarks,
52     bookmarksnumbered,
53     pdftitle={Das Gpg4win-Kompendium},
54     pdfauthor={Emanuel Schütze, Werner Koch, Florian v. Samson, Dr.
55       Jan-Oliver Wagner, Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
56       Isabel Kramer und Dr. Francis Wray},
57     pdfsubject={Sichere  - und Datei-Verschlüsselung mit GnuPG für Windows},
58     pdfkeywords={Gpg4win,  , Datei, verschlüsseln, entschlüsseln,
59     signieren, OpenPGP, S/MIME, X.509, Zertifikat, Kleopatra, GpgOL,
60     GpgEX, GnuPG, sicher,  -Sicherheit, Kryptografie, Public-Key,
61     Freie Software, Signatur, prüfen, FLOSS, Open Source Software, PKI, Ordner} 
62 ]{hyperref}
63
64 % set graphic extension
65 \begin{latexonly}
66     \ifpdf
67         \DeclareGraphicsExtensions{.png}
68     \else
69         \DeclareGraphicsExtensions{.eps}
70     \fi
71 \end{latexonly}
72
73 % set page header/footer
74 \T\ifthenelse{\boolean{DIN-A5}}
75 {% DIN A5
76     \T\fancyhead{} % clear all fields
77     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
78     \T\fancyhead[RO,LE]{\large\thepage}
79     \T\fancyfoot[CE]{www.bomots.de}
80     \T\fancyfoot[CO]{Sichere  }
81     \T\pagestyle{fancy}
82     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
83     \renewcommand{\footrulewidth}{0.2pt} 
84 }
85 {% DIN A4 
86     \T\fancyhead{} % clear all fields
87     \T\fancyhead[LO,RE]{The Gpg4win Compendium \compendiumVersionEN
88         %\T\manualinprogress
89         \T\\
90         \T\itshape\nouppercase{\leftmark}}
91     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
92     \T\fancyfoot[C]{\thepage}
93     \T\pagestyle{fancy}
94 }
95
96 \makeindex
97
98 % define custom commands
99 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
100 \newcommand{\Menu}[1]{\textit{#1}}
101 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
102 \newcommand{\Email}{ }
103 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
104 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
105 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
106 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
107 \newcommand{\IncludeImage}[2][]{
108 \begin{center}
109 \texorhtml{%
110   \includegraphics[#1]{images-compendium/#2}%
111 }{%
112   \htmlimg{images-compendium/#2.png}%
113 }
114 \end{center}
115 }
116
117 % custom colors
118 \definecolor{gray}{rgb}{0.4,0.4,0.4}
119 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
120
121 \T\parindent 0cm
122 \T\parskip\medskipamount
123
124 % Get the version information from another file.
125 % That file is created by the configure script.
126 \input{version.tex}
127
128
129 % Define universal url command.
130 % Used for latex _and_ hyperlatex (redefine see below).
131 % 1. parameter = link text (optional);
132 % 2. parameter = url
133 % e.g.: \uniurl[example link]{http:\\example.com}
134 \newcommand{\uniurl}[2][]{%
135 \ifthenelse{\equal{#1}{}}
136 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
137 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
138
139 %%% HYPERLATEX %%%
140 \begin{ifhtml}
141     % HTML title
142     \htmltitle{Gpg4win Compendium}
143     % TOC link in panel
144     \htmlpanelfield{Inhalt}{hlxcontents}
145     % name of the html files
146     \htmlname{gpg4win-compendium-en}
147     % redefine bmod
148     \newcommand{\bmod}{mod}
149     % use hlx icons (default path)
150     \newcommand{\HlxIcons}{}
151
152     % Footer
153     \htmladdress{$\copyright$ \compendiumDateEN, v\compendiumVersionEN
154         %\manualinprogress
155     \html{br/}
156     \html{small}
157     The Gpg4win Compendium is filed under the
158     \link{GNU Free Documentation License v1.2}{fdl}.
159     \html{/small}}
160
161     % Changing the formatting of footnotes
162     \renewenvironment{thefootnotes}{\chapter*{Fußnoten}\begin{description}}{\end{description}}
163
164     % redefine universal url for hyperlatex (details see above)
165     \newcommand{\linktext}{0}
166     \renewcommand{\uniurl}[2][]{%
167         \renewcommand{\linktext}{1}%
168         % link text is not set
169         \begin{ifequal}{#1}{}%
170             \xlink{#2}{#2}%
171             \renewcommand{linktext}{0}%
172         \end{ifequal}
173         % link text is set
174         \begin{ifset}{linktext}%
175              \xlink{#1}{#2}%
176     \end{ifset}}
177
178     % german style
179     %\htmlpanelgerman
180     %\extrasgerman
181     %\dategerman
182     %\captionsgerman
183
184
185     % SECTIONING:
186     %
187     % on _startpage_: show short(!) toc (only part+chapter)
188     \setcounter {htmlautomenu}{1}
189     % chapters should be <H1>, Sections <H2> etc.
190     % (see hyperlatex package book.hlx)
191     \setcounter{HlxSecNumBase}{-1}
192     % show _numbers_ of parts, chapters and sections in toc
193     \setcounter {secnumdepth}{1}
194     % show parts, chapters and sections in toc (no subsections, etc.)
195     \setcounter {tocdepth}{2}
196     % show every chapter (with its sections) in _one_ html file
197     \setcounter{htmldepth}{2}
198
199     % set counters and numberstyles
200     \newcounter{part}
201     \renewcommand{\thepart}{\arabic{part}}
202     \newcounter{chapter}
203     \renewcommand{\thecapter}{\arabic{chapter}}
204     \newcounter{section}[chapter]
205     \renewcommand{\thesection}{\thechapter.\arabic{section}}
206 \end{ifhtml}
207
208
209 %%% TITLEPAGE %%%
210
211 \title{
212     \htmlattributes*{img}{width=300}
213     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
214     \T~\newline
215     \T\ifthenelse{\boolean{DIN-A5}}%
216     % DIN A5:
217     {\begin{latexonly}
218         \LARGE The Gpg4win Compendium\\[0.3cm]
219         \large \textmd{Safe   and file encryption
220        \\[-0.3cm] with GnuPG for Windows}
221      \end{latexonly}  
222     }%
223     % DIN A4:
224     {The Gpg4win Compendium \\
225       \texorhtml{\Large \textmd}{\large}
226       {Secure   and file encryption using GnuPG for 
227       Windows}
228     }
229 }
230 \author{
231     % Hyperlatex: Add links to pdf versions and Homepage
232     \htmlonly{
233         \xml{p}\small
234         \xlink{Current PDF version as a
235         download}{http://wald.intevation.org/frs/?group_id=11}\xml{br}
236         To the \xlink{Gpg4win homepage}{http://www.gpg4win.de/}\xml{p}
237     }
238     % Authors
239     \T\\[-1cm]
240       \small Based on a version by
241     \T\\[-0.2cm]
242       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
243       \small Isabel Kramer und Dr. Francis Wray.
244       \texorhtml{\\[0.2cm]}{\\}
245       \small Extensively revised by
246     \T\\[-0.2cm]
247       \small Werner Koch, Florian v. Samson, Emanuel Schütze and Dr. Jan-Oliver Wagner.
248       \texorhtml{\\[0.2cm]}{\\}
249       \small Translated from the German original by
250     \T\\[-0.2cm]
251       \small Brigitte Hamilton
252     \T\\[0.4cm]
253 }
254
255 \date{
256     \T\ifthenelse{\boolean{DIN-A5}}%
257     % DIN A5:
258     {\begin{latexonly}
259         \large A publication of the Gpg4win Initiative
260         \\[0.2cm]
261         Version \compendiumVersionEN~vom \compendiumDateEN 
262      \end{latexonly}
263     }%
264     % DIN A4:
265     {A publication of the Gpg4win Initiative
266       \\[0.2cm]
267       Version \compendiumVersionEN~vom \compendiumDateEN 
268     }
269 }
270
271
272 % BEGIN DOCUMENT %%%
273
274 \begin{document}
275 \T\pdfbookmark[0]{Title page}{titel}
276 % set title page
277 \texorhtml{
278     \ifthenelse{\boolean{DIN-A5}}
279     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
280     {\maketitle}
281 }
282 {\maketitle}
283
284
285 % improved handling of long (outstanding) lines
286 \T\setlength\emergencystretch{3em} \tolerance=1000
287
288
289 \T\section*{Publisher\textquoteright s details}
290 \W\chapter*{Publisher\textquoteright s details}\\
291
292 \thispagestyle{empty}
293 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
294 Technologie\footnote{Any copying, distribution and/or modification to
295 this document may not create any impression of an association with the
296 Bundesministerium für Wirtschaft und Technologie 
297 (Federal Ministry for
298 Economics and Technology)}\\
299 Copyright \copyright{} 2005 g10 Code GmbH\\
300 Copyright \copyright{} 2009, 2010 Intevation GmbH
301
302 Permission is granted to copy, distribute and/or modify this document
303 under the terms of the GNU Free Documentation License, Version 1.2 or
304 any later version published by the Free Software Foundation; with no
305 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
306 copy of the license is included in the section entitled ``GNU Free
307 Documentation License''.
308
309
310
311 \clearpage
312 \chapter*{About this compendium}
313 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
314
315 The Gpg4win Compendium consists of three parts:
316
317 \begin{itemize}
318 \item \textbf{Part~\link*{1}[\ref{part:Novices}]{part:Novices}
319     ``For Novices''}: A quick course in Gpg4win.
320
321 \item \textbf{Part~\link*{2}[\ref{part:AdvancedUsers}]{part:AdvancedUsers} 
322     ``For Advanced Users''}: Background information for Gpg4win.
323
324 \item \textbf{Annex}: Additional technical information about Gpg4win.\\
325 \end{itemize}
326
327 \textbf{Part~\link*{1}[\ref{part:Novices}]{part:Novices} ``For
328 Novices''} provides a brief guide for the installation and daily use
329 of Gpg4win program components.  The practice robot \textbf{Adele}
330 will help you with this process and allow you to practice
331 the de- and encryption process (using OpenPGP) until you 
332 have become familiar with Gpg4win.
333
334 The amount of time required to work through this brief guide will
335 depend on your knowledge of your computer and Windows.
336 It should take about one hour.\\
337
338 \textbf{Part~\link*{2}[\ref{part:AdvancedUsers}]{part:AdvancedUsers}
339 ``For Advanced Users''} provides background information which
340 illustrates the basic mechanisms on which Gpg4win is based, and also
341 explains some of its less commonly used capabilities.  Part I and II can be
342 used independently of each other. However, to achieve an optimum
343 understanding, you should read both parts in the indicated sequence,
344 if possible.\\
345
346 The \textbf{Annex} contains details regarding the specific technical
347 issues surrounding Gpg4win, including the GpgOL Outlook program
348 extension.\\
349
350 Just like the cryptography program package Gpg4win, this compendium was
351 not written for mathematicians, secret service agents or
352 cryptographers, but rather was written to be read and
353 understood \textbf{by anyone.}\\
354
355 The Gpg4win program package and compendium can be obtained at: \\
356 \uniurl{http://www.gpg4win.org}
357
358 \clearpage
359 \chapter*{Legend\htmlonly{\html{br}\html{br}}}
360
361 This compendium uses the following text markers:
362 \begin{itemize} 
363     \item \textit{Italics} are used for text that appears on a screen
364         (e.g. in menus or dialogs). In addition, square
365         brackets\Button{buttons} are used to mark
366         ...(%TODO ) 
367
368         Sometimes italics will also be used for individual words in
369         the text, if their meaning in a sentence is to be highlighted
370         without disrupting the text flow, by using \textbf{bold} fond
371         (e.g.\textit{only } OpenPGP).
372
373     \item \textbf{Bold} is used for individual words or sentences
374         which are deemed particularly important and hence must be
375         highlighted. These characteristics make it easier for readers
376         to quickly pick up highlighted key terms and important
377         phrases.
378
379     \item \texttt{Fixed tracking} is used for all file names, paths,
380         URLs, source codes, as well as inputs and outputs (e.g. for
381         command lines).  
382 \end{itemize}
383
384 \cleardoublepage
385 \T\pdfbookmark[0]{\contentsname}{toc}
386 \tableofcontents
387
388 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
389 % Part I
390 \clearpage
391 \T\part{For Novices}
392 \W\part*{\textbf{I For Novices}}
393 \label{part:Novices}
394 \addtocontents{toc}{\protect\vspace{0.3cm}}
395 \addtocontents{toc}{\protect\vspace{0.3cm}}
396
397
398 \chapter{Gpg4win -- Cryptography for Everyone}
399 \index{Cryptography}
400
401 What is Gpg4win? Wikipedia answers this question as follows:
402
403 \begin{quote}
404     \textit{Gpg4win is an installation package for Windows
405     (2000/XP/2003/Vista) with computer programs and
406     handbooks for \Email{}and file encryption. It includes the
407     GnuPG encryption software, as well as several applications and
408     documentation. Gpg4win itself and the programs contained in
409     Gpg4win are Free Software.}
410 \end{quote}
411
412 The ``Novices'' and ``Advanced Users'' handbooks have been combined for
413 this second version under the name ``Compendium''. In Version 2,
414 Gpg4win includes the following programs:
415
416 \begin{itemize}
417     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG forms the heart of
418         Gpg4win -- the actual encryption software.
419     \item \textbf{Kleopatra}\index{Kleopatra}\\ The central
420         certificate administration\index{certificate administration} of
421         Gpg4win, which ensures uniform user navigation for all
422         cryptographic operations.
423     \item \textbf{GNU Privacy Assistant (GPA)}\index{GNU Privacy
424         Assistent|see{GPA}}\index{GPA}\\ is an alternative program for
425         managing certificates, in addition to Kleopatra.
426     \item \textbf{GnuPG for Outlook (GpgOL)}\index{GnuPG für
427         Outlook|see{GpgOL}}\index{GpgOL}\\ is an extension for
428         Microsoft Outlook 2003 and 2007, which is used to sign and
429         encrypt messages.
430    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
431        eXtension|see{GpgEX}}\index{GpgEX}\\ is an extension for
432        Windows Explorer\index{Windows-Explorer}which can be used to
433        sign and encrypt files using the context menu.
434     \item \textbf{Claws Mail}\index{Claws Mail}\\ is a
435         full \Email{} program that offers very good support for GnuPG.
436 \end{itemize}
437
438 Using the GnuPG (GNU Privacy Guard) encryption program,
439 anyone can encrypt \Email{}s securely, easily and at no cost. GnuPG can be
440 used privately or commercially without any restrictions. The
441 encryption technology used by GnuPG is secure, and cannot be broken
442 based on today's state of technology and research.
443
444 GnuPG is \textbf{Free Software}\footnote{Often also referred to as
445 Open Source Software (OSS).}.\index{Free Software} That means that
446 each person has the right to use this software for private or
447 commercial use. Each person may and can study the source code of the
448 programs and -- if they have the required technical knowledge -- make
449 modifications and forward these to others.
450
451 With regard to security software, this level of transparency --
452 guaranteed access to the source code -- forms an indispensable
453 foundation. It is the only way of actually checking the
454 trustworthiness of the programming and the program itself.
455
456 GnuPG is based on the international standard
457 \textbf{OpenPGP}\index{OpenPGP} (RFC 2440), which is fully compatible with
458 PGP and also uses the same infrastructure (key server etc.) as the
459 latter. Since Version 2 of GnuPG, the cryptographic
460 standard\textbf{S/MIME}\index{S/MIME} (IETF RFC 3851, ITU-T
461 X.509\index{X.509} and ISIS-MTT/Common PKI) are also supported.
462
463 PGP (``Pretty Good Privacy'')\index{PGP} is not Free Software; many
464 years ago, it was briefly available at the same conditions as GnuPG.
465 However, this version has not corresponded with the latest state of
466 technology for some time.
467
468 Gpg4win's predecessors were supported by the Bundesministerium für
469 Wirtschaft und Technologie \index{Bundesministerium für Wirtschaft und
470 Technologie} as part of the Security on the Internet initiative.
471 Gpg4win and Gpg4win2 were supported by the Bundesamt für Sicherheit in
472 der Informationstechnik (BSI) \index{Bundesamt für Sicherheit in der
473 Informationstechnik}
474 .
475
476 Additional information on GnuPG and other projects undertaken by the Federal Government for security on the Internet can be found on the webpages
477 \uniurl[www.bsi.de]{http://www.bsi.de} and 
478 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} of the Bundesamt für Sicherheit in der Informationstechnik (BSI).
479
480
481 \clearpage
482 \chapter{Encrypting \Email{}s: because the envelope is missing}
483 \label{ch:why}
484 \index{Envelope}
485
486 The encryption of messages is sometimes described as the second-oldest
487 profession in the world. Encryption techniques were used as far back
488 as Egypt's pharaoh Khnumhotep II, and during Herodot's and Cesar's time. Thanks
489 to Gpg4win, encryption is no longer the reserve of kings, but is
490 accessible to everyone, for free.
491
492 \htmlattributes*{img}{width=300}
493 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
494
495 Computer technology has provided us with some excellent tools to
496 communicate around the globe and obtain information. However, rights
497 and freedoms which are taken for granted with other forms of
498 communication must still be secured when it comes to new technologies.
499 The Internet has developed with such speed and at such a scale that it
500 has been difficult to keep up with maintaining our rights. With the
501 old-fashioned way of writing a letter, written contents are protected
502 by an envelope. The envelope protects messages from prying eyes, and
503 it is easy to see if an envelope has been manipulated. Only if the
504 information is not important, do we write it on an unprotected post
505 card, which can also be read by the mail carrier and others.
506
507 \clearpage
508 You and no one else decides whether the message is important,
509 confidential or secret. \Email{}s do not provide this
510 kind of freedom. An \Email{} is
511 like a post card - always open, and always accessible to the
512 electronic mailman and others. It gets even worse: while computer
513 technology offers the option of transporting and distributing
514 millions of \Email{}s, it also provides people with the option of checking
515 them. Previously, no one would have seriously thought about collecting all
516 letters and postcards, analyse their contents or monitor senders and
517 recipients. It would not only have been unfeasiable, it would have
518 also taken too long. However, modern computer technology has made this
519 a technical possibility. There are indications that this is already being done
520 on a large scale. A Wikipedia article on the Echelon
521 system\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}}
522 \index{Echelon system} provides interesting background information on
523 this topic. Why is this an issue -- because the envelope is missing.
524
525 \htmlattributes*{img}{width=300}
526 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
527
528 \clearpage
529 What we are suggesting here is essentially an ``envelope'' for your
530 electronic mail. Whether you use it, when or for whom and how often -
531 that is entirely up to you. Software such as Gpg4win merely returns 
532 the right to choose to you.  The right to choose whether you think a message
533 is important and requires protection. This is the key aspect of the
534 right to privacy of correspondence, post and telecommunications in
535 \index{telecommunication secrecy}\index{mail secrecy}\index{correspondence secrecy}
536 the Basic Law, and the Gpg4win program package allows you to exercise
537 this right. You do not have to use this software, just as you are not
538 required to use an envelope. But you have the right. To secure this
539 right, Gpg4win offers a so-called ``strong encryption technology''.
540 ``Strong'' in this sense means that it cannot be broken with known
541 tools. Until recently, strong encryption methods used to be reserved
542 for military and government circles in many countries. The right to
543 make them accessible to all citizens was championed by Internet
544 users, and sometimes also with the help of visionary people in
545 government institutions, as was the case with support for Free
546 Software for encryption purposes. Security experts around the world
547 now view GnuPG as a practical and secure software.
548
549 \textbf{It is up to you how you want to value this type of security.}
550
551 You alone decide the relationship between the convenience of encryption
552 and the highest possible level of security. These include the few but
553 important precautions you must make to implement to ensure that
554 Gpg4win can be used properly. This compendium will explain this
555 process on a step-by-step basis.
556
557
558 \clearpage
559 \chapter{How Gpg4win works}
560 \label{ch:FunctionOfGpg4win}
561 The special feature of Gpg4win and its underlying
562 \textbf{``Public Key'' method}\index{public key method@""`Public Key""' Method}
563 is that anyone can and should understand it. There is nothing
564 secretive about it -- it is not even very difficult to understand. The
565 use of individual Gpg4win program components is very simple, even
566 though the way it works is actually quite complicated. This section
567 will explain how Gpg4win works -- not in all details, but enough to
568 explain the principles behind this software. Once you are familiar
569 with the principles, you will have considerable trust in the security
570 offered by Gpg4win. At the end of this book, in
571 Chapter\ref{ch:themath}, you can also open the
572 remaining secrets surrounding ``Public Key'' cryptography and discover
573 why it is not possible to break messages encrypted with Gpg4win
574 using current state of technology.
575
576 \clearpage
577 \subsubsection{Lord of the keyrings}
578 Anyone wishing to secure something valuable locks it away -- with a
579 key. Even better is a key that is unique and is kept in a safe
580 location. 
581
582 \htmlattributes*{img}{width=300}
583 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
584
585 If the key should ever fall into the wrong hands, the valuables are no
586 longer secure. Their security stands and falls with the security and
587 uniqueness of the key. Therefore the key must be at least as well
588 protected as the valuables themselves. To ensure that it cannot be
589 copied, the exact characteristics of the key must also be kept secret.
590
591 \clearpage
592 Secret keys are nothing new in cryptography: it has always been that
593 keys were hidden to protect the secrecy of the messages. Making this
594 process very secure is very cumbersome and also prone to errors.
595
596 \htmlattributes*{img}{width=300}
597 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
598
599 The basic problem with the ``ordinary'' secret transmission of messages
600 is that the same key is used for both encryption and decryption, and
601 that both the sender as well as recipient must be familiar with this
602 secret key. For this reason, these types of encryption systems are
603 also called \textbf{``symmetric encryption''}.\index{Symmetric encryption}
604
605 This results in a fairly paradoxical situation: Before we can use this
606 method to communicate a secret (an encrypted message), we must have
607 also communicated another secret in advance: the key. And that is
608 exactly the problem, namely the constantly occuring issue of
609 always having to exchange keys while ensuring that they are not
610 intercepted by third parties.
611
612
613 \clearpage
614 In contrast -- and not including the secret key -- Gpg4win works with
615 another key that is fully accessible and public. It is also described
616 as a ``public key'' encryption system.This may sound contradictory,
617 but it is not. The clue: It is no longer necessary to exchange a
618 secret key. To the contrary: The secret key can never be exchanged! The
619 only key that can be passed on is the public key (in the public
620 certificate)~-- which anyone can know. That means that when you use
621 Gpg4win, you are actually using a pair of keys\index{key pair} --
622 a secret and a second public key. Both key components are inextricably
623 connected with a complex mathematical formula. Based on current
624 scientific and technical knowledge, it is not possible to calculate
625 one key component using the other, and it is therefore impossible to break the
626 method. Section %TODO  %TODO  \ref{ch:themath}
627 explains why that is.
628
629 \htmlattributes*{img}{width=300}
630 \IncludeImage[width=0.5\textwidth]{verleihnix}
631
632
633 \clearpage
634 The principle behind public key encryption\index{public key method@""`Public Key""' Method}
635
636 The \textbf{secret} or \textbf{private key } must be kept secret.
637
638 The \textbf{public key} should be as accessible to the general public as much as
639 possible.
640
641 Both key components have very different functions:
642
643 \bigskip
644
645 \begin{quote}
646     The secret key component \textbf{decrypts} messages.
647 \end{quote}
648
649 \htmlattributes*{img}{width=300}
650 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
651
652 \begin{quote}
653     The public key component \textbf{encrypts} messages.
654 \end{quote}
655
656
657 \clearpage
658 \subsubsection{The public mail strongbox}
659 \index{Mail strongbox}
660
661 This small exercise is used to explain the difference between the
662 ``public key'' encryption system and symmetric
663 encryption\index{Symmetric encryption} (``non-public key''
664 method)
665 \index{non-public key mehtod@""`Non-Public Key""' Method|see{Symmetric encryption}} ...
666
667 \bigskip
668
669 \textbf{ The ``secret key method'' works like this:}
670
671 Imagine that you have installed a mail stronbox in front of your
672 house, which you want to use to send secret messages. The strongbox has
673 a lock for which there is only one single key. No one can put anything
674 into or take it out of the box without this key. This way, your secret
675 messages are pretty secure.
676
677 \htmlattributes*{img}{width=300}
678 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
679
680 Since there is only one key, the person you are corresponding with
681 must have the same key that you have in order to open and lock the mail
682 strongbox, and to deposit a secret message.
683
684 \clearpage
685 You have to give this key to that person via a secret route.
686
687 \bigskip
688 \bigskip
689
690 \htmlattributes*{img}{width=300}
691 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
692
693 \clearpage
694 They can only open the strongbox and read the secret message once they
695 have the secret key.
696
697 Therefore everything hinges on this one key: If a third party knows
698 the key, it is the end of the secret messages.  Therefore you and the
699 person you are corresponding with \textbf{must exchange the key in a
700 manner that is as secret} as the message itself. But actually -- you
701 might just as well give them the secret message when you are giving them the
702 key...
703
704 \textbf{How this applies to \Email{}-encryption:} Around the world,
705 all participants would have to have secret keys and exchange
706 these keys in secret before they can send secret messages
707 per%TODO  %TODO \Email{}.
708
709 So we might as well forget about this option ...
710
711 \htmlattributes*{img}{width=300}
712 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
713
714 \clearpage
715 \textbf{Now the ``public key'' method}
716
717 You once again install a mail stronbox\index{mail stronbox} in front of
718 your house. But unlike the strongbox in the first example, this one
719 is always open. On the box hangs a key --­ which is visible to
720 everyone -- and which can be used by anyone to lock the strongbox
721 (asymetric encryption method).
722 \index{Asymmetric encryption}
723
724 \textbf{Locking, but not opening:} that is the difference!
725
726 \htmlattributes*{img}{width=300}
727 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
728
729 This key is yours and -- as you might have guessed -- it is your public key.
730
731 If someone wants to leave you a secret message, they put it in the
732 strongbox and lock it with your public key. Anyone can do this, since
733 the key is available to everyone.  
734
735 No one else can open the strongbox
736 and read the message.  Even the person that has locked the message in
737 the strongbox cannot unlock it again, e.g. in order to change the
738 message.  This is because the public half of the key can only be used
739 for locking purposes.
740
741 The strongbox can only be opened with one single key: your own secret
742 and private part of the key.
743
744 \clearpage
745 \textbf{Getting back to how this applies to \Email{}-encryption:}
746 Anyone can encrypt an \Email{} for you.  To do
747 this, they do not need a secret key; quite the opposite, they only
748 need a totally non-secret \index{key!public}, ``public''
749 key. Only one key can be used to decrypt the \Email{}, namely your private and secret
750 key\index{key!private}\index{key!private}.
751
752 You can also play this scenario another way:
753
754 If you want to send someone a secret message, you use their mail
755 strongbox with their own public and freely available key.
756
757 To do this, you do not need to personally know the person you are
758 writing to, or have to speak to them, because their public key is
759 always accessible, everywhere. One you have placed your message in the
760 strongbox and locked it with the recipient's key, the message is not
761 accessible to anyone, including you. Only the recipient can open the
762 strongbox with his private key and read the message.
763
764 \T\enlargethispage{2\baselineskip}
765
766 \htmlattributes*{img}{width=300}
767 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
768
769 \clearpage
770 \textbf{But what did we really gain:} There is still a secret
771 key!
772
773
774
775 However, this is quite different from the ``non-public key'' method:
776 You are the only one who knows and uses your secret key. The key is
777 never forwarded to a third party  ­-- it is not necessary to transfer
778 keys in secret, nor is it advised.
779
780 Nothing must be passed between sender and recipient in secret --
781 whether a secret agreement or a secret code.
782
783 And that is exactly the crux of the matter: All symmetric encryption
784 methods can be broken because a third party has the opportunity to
785 obtain the key while the key is being exchanged.
786
787 This risk does not apply here, because there is no exchange of secret
788 keys; rather, it can only be found in one and very secure location:
789 your own keyring\index{key pair} -- your own memory.
790
791 This modern encryption method which uses a non-secret and public key,
792 as well as a secret and private key part is also described as
793 ``asymmetric encryption''. \index{Asymmetric encryption}
794
795
796 \clearpage
797 \chapter{The passphrase}
798 \label{ch:passphrase}
799 \index{Passphrase}
800
801 As we have seen in the last chapter, the private key is one of the
802 most important components of the ``public key'' or asymmetric
803 encryption method. While one no longer needs to exchange the key with
804 another party in secret, the security of this key is nevertheless the
805 "key"  to the security of the ``entire'' encryption process.
806
807 On a technical level, a private key is nothing more than a file which
808 is stored on your computer. To prevent unauthorised access of this
809 file, it is secured in two ways:
810
811 \htmlattributes*{img}{width=300}
812 \IncludeImage[width=0.5\textwidth]{think-passphrase}
813
814 First, no other user may read or write in the file -- which is
815 difficult to warrant, since computer administrators always have access
816 to all files, and the computer may be lost or attacked 
817 by viruses\index{viruses}, worms\index{worms} or
818 Trojans\index{Trojans} .
819
820 For this reason we need another layer of protection: the passphrase.
821 This is not a password -- a passphrase should not consist of only one
822 word, but a sentence, for example. You really should keep this
823 passphrase ``in your head'' and never have to write it down.  At the
824 same time, it cannot be possible to guess it.  This may sound
825 contradictory, but it is not. There are several proven methods of
826 finding very unique and easy to remember passphrases, which cannot be
827 easily guessed.
828
829 \clearpage
830
831
832 People in glass houses should not be throwing stones.-
833 Now, take every third letter of this sentence:
834 $\qquad$\verb-oegsoehloerisn- 
835
836
837 While it may not be easy to remember
838 this sequence of letters, it is also unlikely that you will forget how
839 to arrive at the passphrase it as long as you remember the original
840 sentence. Over time, and the more often you use the phrase, you will
841 commit it to memory. No one else can guess the passphrase.
842
843 Think of an event that you know you will never forget about. Maybe
844 it's a phrase that you will always associate with your child or
845 partner, i.e. it has become ``unforgettable''.
846
847 Or a holiday memory or a line of text of a song that is personally
848 important to you.
849
850 Use capital and small letters, numbers, special characters and spaces,
851 in any order. In principle, anything goes, including umlaute, special
852 characters, digits etc. But remember -- if you want to use your secret
853 key abroad at a different computer, please remember that not all
854 keyboards may have such special characters. For example, you will
855 likely only find umlaute (ä, ö, ü usw.) on German keyboards.  You can
856 also make intentional grammar mistakes, e.g.  ``mustake'' instead of
857 ``mistake''.
858
859 Of course you also have to be able to remember these ``mustakes''. Or,
860 change languages in the middle of the phrase.  You can change the
861 sentence:
862
863 $\qquad$\verb-In München steht ein Hofbräuhaus.-
864
865 into this passphrase:
866
867 $\qquad$\verb-inMinschen stet 1h0f breuhome-
868
869 Think of a sentence that does not make sense, but you can still remember
870 e.g.:
871
872 $\qquad$\verb-The expert lamenting nuclear homes-
873
874 $\qquad$\verb-Knitting an accordeon, even during storms.-
875
876 A passphrase of this length provides good protection for your
877 secret key.
878
879 It can also be shorter if you use capital letters,
880 for example:
881
882 $\qquad$\verb-THe ExPERt laMenTIng NuclEAr hoMES.-
883
884 While the passphrase is now shorter, it is also more difficult to
885 remember. If you make your passphrase even shorter by using special
886 characters, you will save some time entering the passphrase, but it is
887 also morr likely that you will forget your passphrase.
888
889 Here is an extreme example of a very short but also very secure 
890 passphrase:
891
892 $\qquad$\verb-R!Qw"s,UIb *7\$-
893
894 However, in practice, such sequences of characters have not proven
895 themselves to be very useful, since there are simply too few clues by
896 which to remember them.
897
898
899 \clearpage
900 A \textbf{bad passphrase} can be ``broken'' very quickly, if it ...
901
902 \begin{itemize}
903     \item ... is already used for another purpose (e.g. for an \Email{} account or your mobile phone). The
904         same passphrase would therefore already be known to another,
905         possibly not secure, software. If the hacker is successful,
906         your passphrase becomes virtually worthless.
907
908     \item ... comes from a dictionary. Passphrase finder programs can
909         run a password through complete digital dictionaries in a
910         matter of minutes -- until it matches one of the words.
911
912     \item ... consists of a birth date, a name or other public
913         information. Anyone planning to decrypt your
914        \Email{} will obtain this type of
915         information.
916
917     \item ... is a very common quote, such as ``to be or not to be''.
918         Passphrase finder programs also use quotes like these to break
919         passphrases.
920
921     \item ... consists of only one word or less than 8 characters. It
922         is very important that you think of a longer passphrase.
923 \end{itemize}
924
925 When composing your passphrase, please \textbf{do not use} any of the
926 aforementioned examples.
927
928 Because anyone seriously interested in getting his hands on your
929 passphrase will naturally see if you used one of these examples.
930
931 \bigskip
932
933 \textbf{Be creative!} Think of a passphrase now!
934
935 Unforgettable and unbreakable.
936
937 In Chapter~\ref{ch:CreateKeyPair} you will need this passphrase to create your key pair.
938
939 But until then, you have to address another problem:
940
941 Someone has to verify that the person that wants to send you a secret message is real.
942
943
944 \clearpage
945 \chapter{Two methods, one goal: OpenPGP \& S/MIME}
946 \label{ch:openpgpsmime}
947 \index{OpenPGP} \index{S/MIME}
948
949 You have seen the importance of the ``envelope'' for your
950 \Email{} and how to provide one 
951 using tools of modern information technology: a mail
952 strongbox,\index{mail strongbox} in which anyone can deposit encrypted
953 mails which only you, the owner of the strongbox, can decrypt. It is
954 not possible to break the encryption as long as the private key to
955 your ``strongbox'' remains your secret.
956
957 Still: If you think about it, there is still another problem. A little
958 further up you read about how -- in contrast to the secret key method
959 -- you do not need to personally meet the person you are corresponding
960 with in order to enable them to send a secret message. But how can you
961 be sure that this person is actually who they say they
962 are? In the case of \Email{}s, you
963 only rarely know all of the people you are corresponding with on a
964 personal level -- and it is not usually easy to find out who is really
965 behind an \Email{}address. Hence, we not only
966 need to warrant the secrecy of the message, but also the identity of
967 the sender -- specifically \textbf{authenticity}. \index{authenticity}
968
969 Hence someone must authenticate that the person who wants to send you
970 a secret message is real. In everyday life, we use ID, signatures or
971 certificates authenticated by authorities or notaries for
972 \index{authentication} ``authentication'' purposes. These
973 institutions derive their right to issue notarisations from a
974 higher-ranking authority and finally from legislators. Seen another
975 way, it describes a chain of trust which
976 runs \index{chain of trust}from ``the top'' to ``the bottom'', and is
977 described as a \textbf{``hierarchical trust concept''}.
978 \index{Hierarchical trust concept}
979
980 In the case of Gpg4win or other \Email{} encryption programs, 
981  this concept is found in almost mirror-like fashion in
982 \textbf{S/MIME}. Added to this is\textbf{OpenPGP}, another concept
983 that only works this way on the Internet.  S/MIME und OpenPGP have the
984 same task: the encryption and signing of data.  Both use the already
985 familiar public key method.  While there are some important
986 differences, in the end, none of these standards offer any general
987 advantage over another. For this reason you can use Gpg4win to use
988 both methods.
989
990
991 \clearpage
992 The equivalent of the hierarchical trust concept is called ``Secure /
993 Multipurpose Internet Mail Extension'' or \textbf{S/MIME}. If you use
994 S/MIME, your key must be authenticated by an accredited
995 organisation before it can be used. The certificate of this
996 organisation in turn was authenticated by a higher-ranking
997 organisation etc. -- until we arrive at a so-called root certificate.
998 This hierarchical chain of trust usually has three links: the root
999 certificate, the certificate of the issuer of the
1000 certificate\index{certificate issuer} (also CA\index{Certificate
1001 Authority (CA)} for Certificate Authority), and finally your own user
1002 certificate.
1003
1004 A second alternative and non-compatible notarisation method is the
1005 \textbf{OpenPGP} standard, does not build a trust hierarchy but rather
1006 assembles a \textbf{``Web of trust''} .
1007 \index{Web of Trust}
1008 The Web of Trust represents the basic structure of the
1009 non-hierarchical Internet and its users. For example, if User B trusts
1010 User A, then User B could also trust the public key of User C, whom he
1011 does not know, if this key has been authenticated by User A.
1012
1013 Therefore OpenPGP offers the option of exchanging encrypted data and 
1014 \Email{}s without authentication by a higher-ranking agency. It is
1015 sufficient if you trust the \Email{} address and
1016 associated certificate of the person you are communicating with.
1017
1018 Whether with a trust hierarchy or Web of Trust -- the authentication
1019 of the sender is at least as important as protecting the message. We
1020 will return to this important protection feature later in the
1021 compendium. For now, this information should be sufficient to install
1022 Gpg4win and understand the following chapters:
1023
1024 \begin{itemize}
1025     \item Both methods --\textbf{OpenPGP} and\textbf{S/MIME} --
1026         offer the required security.
1027     \item The methods are \textbf{not compatible} with each other.
1028         They offer two alternate methods for authenticating your
1029         secret communication. Therefore they are not deemed to be 
1030         interoperable.
1031     \item Gpg4win allows for the convenient \textbf{and parallel } use
1032         of both methods -- you do not have to choose one or the other
1033         for encryption/signing purposes.
1034 \end{itemize}
1035
1036 Chapter~\ref{ch:CreateKeyPair} of this compendium, which discusses the
1037 creation of the key pair, therefore branches off to discuss both methods. At
1038 the end of Chapter~,\ref{ch:CreateKeyPair} the information is combined
1039 again.
1040
1041 \begin{latexonly} %no hyperlatex
1042 In this compendium, these two symbols will be used to refer to the two
1043 alternative methods.
1044
1045 \begin{center}
1046 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1047 \hspace{1cm}
1048 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1049 \end{center}
1050 \end{latexonly}
1051
1052
1053 \clearpage
1054 \chapter{Installing Gpg4win}
1055 \index{Installation}
1056
1057 Chapters 1 to 5 provided you with information on the background
1058 related to encryption. While Gpg4win also works if you do not
1059 understand the logic behind it, it is also different from other
1060 programs in that you are entrusting your secret correspondence to this
1061 program. Therefore it is good to know how it works.  With this
1062 knowledge you are now ready to install Gpg4win and set up your key
1063 pair.
1064
1065 If you already have a  GnuPG-based application installed on your
1066 computer (e.g. GnuPP, GnuPT, WinPT or GnuPG Basics), please refer to
1067 the Annex\ref{ch:migration} for information on transferring your
1068 existing certificates.
1069
1070 You can load and install Gpg4win from the Internet or a CD. To do
1071 this, you will need administrator rights to your Windows operating
1072 system. 
1073
1074 If you are downloading Gpg4win from the Internet, please ensure that
1075 you obtain the file from a trustworthy site, e.g.:
1076 \uniurl[www.gpg4win.org]{http://www.gpg4win.org}. To start the
1077 installation, click on the following file after the download:
1078
1079 \Filename{gpg4win-2.0.0.exe} (or higher version number).
1080
1081 If you received Gpg4win on a CD ROM, please open it and click on the
1082 ``Gpg4win'' installation icon.  All other installation steps are the
1083 same.
1084
1085 The response to the question of whether you want to install the
1086 program is\Button{Yes}.
1087
1088 \clearpage
1089 The installation assistant will start and ask you for the language to
1090 be used with the installation process:
1091
1092 % screenshot: Installer Sprachenauswahl
1093 \IncludeImage[width=0.5\textwidth]{sc-inst-language_de}
1094
1095 Confirm your language selection with\Button{OK}.
1096
1097 Afterwards you will see this welcome dialog:
1098
1099 % screenshot: Installer Willkommensseite
1100 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_de}
1101
1102 Close all programs that are running on your computer and click
1103 on\Button{Next}.
1104
1105 \clearpage
1106 The next page displays the \textbf{licensing agreement} -- it is only
1107 important if you wish to modify or forward Gpg4win.
1108
1109 If you only want to use the software, you can do this right away -- without reading the license.
1110
1111 % screenshot: Lizenzseite des Installers
1112 \IncludeImage[width=0.85\textwidth]{sc-inst-license_de}
1113
1114 Click on\Button{Next}.
1115
1116 \clearpage
1117 On the page that contains \textbf{the selection of components} you can
1118 decide which programs you want to install.
1119
1120 A default selection has already been made for you. Yo can also insall
1121 individual components at a later time. 
1122
1123 Moving your mouse cursor over a component will display a brief description.
1124 Another useful feature is the display of required hard drive space for all selected
1125 components.
1126
1127 % screenshot: Auswahl zu installierender Komponenten
1128 \IncludeImage[width=0.85\textwidth]{sc-inst-components_de}
1129
1130 Click on\Button{Next}.
1131
1132 \clearpage
1133 The system will suggest a folder for the installation, e.g.:
1134 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1135
1136 You can accept the suggestion or select a different folder for installing
1137 Gpg4win.
1138
1139 % screenshot: Auswahl des Installationsverzeichnis.
1140 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_de}
1141
1142 Then click on\Button{Next}.
1143
1144 \clearpage
1145 Now you can decide which \textbf{links} should be insalled -- the
1146 system will automatically create a link with the start menu. You can
1147 change this link later on using the Windows dashboard settings.
1148
1149 % screenshot: Auswahl der Startlinks
1150 \IncludeImage[width=0.85\textwidth]{sc-inst-options_de}
1151
1152 Then click on\Button{Next}.
1153
1154 \clearpage
1155 If you have selected the default setting --\textbf{link with start
1156 menu} -- you can define the name of this start menu on the next page
1157 or simply accept the name. 
1158
1159 % screenshot:  Startmenu auswählen
1160 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_de}
1161
1162 Then click on\Button{Install}.
1163
1164 \clearpage
1165 During the \textbf{installation} process that follows, you will see a progress bar and information on which file is currently being installed. You can press\Button{Show~details}
1166 at any time to show the installation log.
1167
1168 % screenshot: Ready page Installer
1169 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_de}
1170
1171 Once you have completed the installation, please click on
1172 \Button{Next}.
1173
1174 \clearpage
1175 The last page of the installation process is shown once the
1176 installation has been successfully completed:
1177
1178 % screenshot: Finish page Installer
1179 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_de}
1180
1181 You have the option of displaying the README file, which contains
1182 important information on the Gpg4win version you have just installed.
1183 If you do not wish to view this file, deactivate this option.
1184
1185 Then click on\Button{Finish}.
1186
1187 \clearpage
1188 In some cases you may have to restart Windows. In this case, you will
1189 see the following page:
1190
1191 % screenshot: Finish page Installer with reboot
1192 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_de}
1193
1194 Now you can decide whether Windows should be restarted immediately or
1195 manually at a later time.Click on\Button{Finish}.
1196
1197 %TODO: NSIS-Installer anpassen, dass vor diesem
1198 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1199 %erscheint.
1200 Please read the README file which contains up-to-date information on
1201 the Gpg4win version that has just been installed. You can find this
1202 file e.g. via the start menu:\\
1203 \Menu{Start$\rightarrow$Programs$\rightarrow$Gpg4win$\rightarrow$Documentation$\rightarrow$Gpg4win README}
1204
1205 \clearpage
1206 \textbf{And that's it!}
1207
1208 You have successfully installed Gpg4win and are ready to work with the
1209 program.
1210
1211 For information on \textbf{automatically installing} Gpg4win, as may
1212 be of interest for software distribution systems, please see the
1213 Annex\ref{ch:auto} ``Automatic installation of Gpg4win''.
1214
1215
1216 \clearpage
1217 \chapter{Creating a certificate}
1218 \label{ch:CreateKeyPair}
1219 \index{Create!certificate}
1220 \index{Create!key}
1221
1222 Now that you have found out why GnuPG is so secure
1223 (Chapter~\ref{ch:FunctionOfGpg4win}), and how a good passphrase
1224 provides protection for your private key (Chapter~\ref{ch:passphrase}),
1225 you are now ready to create your own key pair\index{key pair} .
1226
1227 As we saw in Chapter~\ref{ch:FunctionOfGpg4win}, a key pair consists of
1228 a public and a private key.  With the addition of an
1229 \Email{}address, login name etc., which you
1230 enter when creating the pair (so-called meta data), you can obtain
1231 your private certificate with the public \textit{and } private key.
1232
1233 This definition applies to both OpenPGP as well as S/MIME (S/MIME
1234 certificates correspond with a standard described as
1235 ``X.509''\index{X.509}).
1236
1237 ~\\ \textbf{It would be nice if I could practice this important
1238 step of creating a key pair ....}
1239
1240 \T\marginOpenpgp
1241 Not to worry, you can do just that -- but only with OpenPGP:
1242
1243 If you decide for the OpenPGP method of authentication,
1244 \index{authentication} the ``Web of Trust'', then you can practice the
1245 entire process for creating a key pair, encryption and decryption as
1246 often as you like, until you feel very comfortable.
1247
1248 This ``dry run'' will strengtthen your trust in Gpg4win, and the ``hot
1249 phase'' of OpenPGP key pair creation will no longer be a problem for
1250 you.
1251
1252 Your partner in this exercise is \textbf{Adele} . Adele is a test
1253 service which is still derived from the GnuPP predecessor
1254 project\index{GnuPP} and is still in operation. In this compendium we
1255 continue to recommend the use of this practice robot. We would also
1256 like to thank the owners of gnupp.de for operating this practice
1257 robot.
1258
1259 Using Adele, you can practice and test the OpenPGP key pair
1260 which you will be creating shortly, before you start using it in earnest.
1261 But more on that later.
1262
1263 \clearpage
1264 \textbf{Let's go!}
1265 Open Kleopatra using the Windows start menu:
1266
1267 % screenshot Startmenu with Kleopatra highlighted
1268 \htmlattributes*{img}{width=400}
1269 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_de}
1270
1271 You will see the main Kleopatra screen\index{Kleopatra} --
1272 the certificate administration:
1273 \index{Certificate administration}
1274
1275 % screenshot: Kleopatra main window
1276 \htmlattributes*{img}{width=508}
1277 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_de}
1278
1279 At the beginning, this overview will be empty, since you have not
1280 created or imported any certificates yet. 
1281
1282 \clearpage
1283 Click on\Menu{File$\rightarrow$New~Certificate}. 
1284
1285 In the following dialog you select the format for the certificate. You
1286 can choose from the following: \textbf{OpenPGP} (PGP/MIME)
1287 or \textbf{X.509} (S/MIME).
1288
1289 The differences and common features of the two formats have already been
1290 discussed in Chapter~\ref{ch:openpgpsmime}.
1291
1292 \label{chooseCertificateFormat}
1293 % screenshot: Kleopatra - New certificate - Choose format
1294 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_de}
1295
1296 ~\\ This chapter of the compendium breaks off into two
1297 sections for each method at this point. Information is then combined
1298 at the end of the Chapter.
1299
1300 Depending on whether you chose OpenPGP or X.509 (S/MIME), you can now
1301 read either:
1302 \begin{itemize}
1303     \item Section\ref{createKeyPairOpenpgp}:
1304         \textbf{Creating an OpenPGP certificate} \T(siehe next
1305         page) or
1306     \item Section\ref{createKeyPairX509}:
1307         \textbf{Creating an X.509 certificate} \T (see page
1308
1309         \pageref{createKeyPairX509}).
1310 \end{itemize}
1311
1312
1313
1314 \clearpage
1315 \section{Creating an OpenPGP certificate}
1316 \label{createKeyPairOpenpgp}
1317 \index{OpenPGP!Create certificate}
1318
1319 \T\marginOpenpgp
1320 In the certificate option dialog, click on\Button{Create
1321 personal OpenPGP key pair}.
1322
1323
1324 Now enter your \Email{}address and your name in
1325 the following window. Name and\Email{} address
1326 will be made publicly visible later.
1327
1328 You also have the option of adding a comment for the key pair. Usually
1329 this field stays empty, but if you are creating a key for test
1330 purposes, you should enter "test" so you do not forget it is a test
1331 key. This comment becomes part of your login name, and will become
1332 public just like your name and \Email{}address.
1333
1334 % screenshot: Creating OpenPGP Certificate - Personal details
1335 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_de}
1336
1337 If you first wish to \textbf{test} your OpenPGP key pair, you can
1338 simply enter any name and fictional 
1339 \Email{}address, e.g.:\\ \Filename{Heinrich Heine}
1340 and\Filename{heinrich@gpg4win.de}
1341
1342 The \textbf{Advanced settings are only be required in exceptional}
1343 cases. For details, see the Kleopatra handbook (via
1344 \Menu{Help$\rightarrow$Kleopatra handbook}).Click
1345 on\Button{Next}.
1346
1347 \clearpage You will see a list of all of the main entries and settings
1348 for \textbf{review purposes}. If you are interested in the (default)
1349 expert settings, you can view these via the \Menu{All details}
1350 option.
1351
1352 % screenshot: Creating OpenPGP Certificate - Review Parameters
1353 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_de}
1354
1355 If everything is correct, click on\Button{Create key}.
1356
1357 \clearpage Now to the most important part: entering your
1358 \textbf{passphrase}!
1359
1360 To create a key pair, you must enter your personal passphrase:
1361
1362 % screenshot: New certificate - pinentry
1363 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_de}
1364
1365 If you have read Chapter~\ref{ch:passphrase} you should now have an
1366 easy-to-remember but hard to break secret passphrase. Enter it in the
1367 dialog displayed at the top. Please note that this window may have been
1368 opened in the background and is not visible at first. If the passphrase
1369 is not secure enough because it is too short or does not contain any
1370 numbers or special characters, the system will tell you. At
1371 this point you can also enter a \textbf{test passphrase} or start in
1372 earnest; it's up to you. To make sure that you did not make any typing
1373 errors, the system will prompt you to enter your passphrase twice.
1374 Always confirm your entry with
1375 \Button{OK}.
1376
1377 \clearpage
1378 Now your OpenPGP key pair is being created: % screenshot: Creating
1379 OpenPGP Certificate - Create Key
1380 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_de}
1381
1382 This may take a couple of minutes. You can assist the creation of the
1383 required random numbers by entering information in the lower input
1384 field.  It does not matter what you type, as the characters will 
1385 not be used, only the time period between each key stroke. You can also
1386 continue working with another application on your computer, which will
1387 also slightly increase the quality of the new key pair.
1388
1389 \clearpage
1390 As soon as \textbf{the key pair creation has been successful}, you
1391 will see the following dialog:
1392
1393 % screenshot: Creating OpenPGP certificate - key successfully created
1394 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_de}
1395
1396 The 40-digit ``fingerprint'' of your newly\index{fingerprint}
1397 generated OpenPGP certificate is displayed in the results text field.
1398 This fingerprint is unique anywhere in the world, i.e. no other person
1399 will have a certificate with the same fingerprint. Actually, even at
1400 8 digits it would already be quite unlikely that the same sequence would 
1401 occur twice anywhere in world.  For this reason, it is often only the 
1402 last 8 digits of a
1403 fingerprint which are used or shown, and which are described as the
1404 \index{key ID} key ID\index{key!ID}. This fingerprint
1405 identifies the identity of the certificate as well as the fingerprint
1406 of a person. 
1407
1408 However, you do not need to remember or write down the fingerprint.
1409 You can also display it later in Kleopatra's certificate details.
1410
1411 \clearpage
1412 Next, you can activate one or more of the following three buttons:
1413
1414 \begin{description}
1415
1416 \item[Creating a backup copy of your (private) certificate...]~\\
1417     Enter the path under which your full certificate (which contains
1418     your new key pair, hence the private \textit{and } public key) should be exported:
1419
1420     % screenshot: New OpenPGP certificate - export key
1421     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
1422
1423     Kleopatra will automatically select the file type and store your
1424     certificate as an \Filename{.asc} or\Filename{.gpg} file --
1425     depending on whether you activate or deactivate the \textbf{ASCII
1426     armor} option. For export, click on\Button{OK}.
1427
1428     \textbf{Important:} If you save the file on the hard drive, you
1429     should copy the file to another data carrier (USB stick, diskette
1430     or CD-ROM) as soon as possible, and delete the original file
1431     without a trace, i.e. do not leave it in the Recycle bin! Keep
1432     this data carrier and back-up copy in a safe place.You can also
1433     create a back-up copy later; to do this, select the following from
1434     the Kleopatra main menu:
1435
1436     \Menu{File$\rightarrow$Export private certificate...} (see Chapter
1437     \ref{ch:ImExport}).
1438
1439 \item[Sending a certificate via \Email{} ...]~\\
1440 Clicking on this button should create a new one\Email{} --
1441     with your new public certificate in the attachment. Your secret
1442     Open PGP key will of course \textit{not} be sent. Enter a
1443     recipient \Email{}address; you can also add
1444     more text to the prepared text for this \Email{}.
1445
1446     \textbf{Please note:} Not all
1447    \Email{} programs support this function. Of course you can also do
1448     this manually: If you do not see a
1449     new\Email{} window, shut down the
1450     certificate creation assistant, save your public certificate via
1451     \Menu{File$\rightarrow$Export certificate} and sent this file
1452     via \Email{} to
1453     the people you are corresponding with. For more details see
1454     Section~\ref{sec_publishPerEmail}.
1455
1456 \item[Sending certificates to key servers...]~\\Chapter~ explains how
1457     to set up a globally available OpenPGP key server in Kleopatra,
1458     and how you can publish your public certificate on this
1459     server \ref{ch:keyserver}.
1460
1461 \end{description}
1462
1463 This completes the creation of your OpenPGP certificate. End the
1464 Kleopatra assistant with\Button{Finish}.
1465
1466 Now let's go to Section~\ref{sec_finishKeyPairGeneration} on
1467 page~\pageref{sec_finishKeyPairGeneration}. Starting at that point,
1468 the explanations for OpenPGP and X.509 will again be identical.
1469
1470
1471 \clearpage
1472 \section{Creating an X.509 certificate}
1473 \label{createKeyPairX509}
1474 \index{X.509!Create certificate}
1475
1476 \T\marginSmime
1477 In the certificate format selection dialog on page~,
1478 \pageref{chooseCertificateFormat} click on the button\\
1479 \Button{Create personal X.509 key pair and authentication
1480 inquiry}.
1481
1482 In the following window, enter your name (CN = common name), your
1483 %TODO \Email{}address (EMAIL), organisation (O) and
1484 your country code (C). Optionally, you can also add your location (L =
1485 Locality) and department (OU = Organizational Unit).
1486
1487 If you first wish to \textbf{test} the X.509 key pair creation
1488 process, you can enter any information for name, organization and
1489 country code, and can also enter a fictional 
1490 \Email{}address, e.g.:\Filename{CN=Heinrich
1491 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1492
1493 % screenshot: New X.509 Certificate - Personal details
1494 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_de}
1495
1496 The \textbf{Advanced settings will only be required in exceptional}
1497 cases. For details, see the Kleopatra handbook (via
1498 \Menu{Help$\rightarrow$Kleopatra handbook}).Click
1499 on\Button{Next}.
1500
1501 \clearpage
1502 You will see a list of all main entries and settings for \textbf{review
1503 purposes}. If you are interested in the (default) expert settings,
1504 you can view these via the \Menu{All details} option.
1505
1506 % screenshot: New X.509 Certificate - Review Parameters
1507 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_de}
1508
1509 Once everything is correct, click on\Button{Creat key}.
1510
1511 \clearpage
1512 Now to the most important part: Entering your \textbf{passphrase}!
1513
1514 In order to create a key pair, you will be asked to enter your
1515 passphrase:
1516
1517 % screenshot: New X.509 certificate - pinentry
1518 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_de}
1519
1520 If you have read Chapter~\ref{ch:passphrase} you should now have an
1521 easy-to-remember but hard to break secret passphrase. Enter it in the
1522 dialog displayed at the top! Please note that this window may have been
1523 opened in the background, so it may not be visible at first. If the passphrase
1524 is not secure enough because it is too short or does not contain any
1525 numbers or special characters, the system will let you know. At
1526 this point you can also enter a \textbf{test passphrase} or start in
1527 earnest; it's up to you.To make sure that you did not make any typing
1528 errors, the system will prompt you to enter your passphrase twice.
1529 Finally, you will be asked to enter your passphrase a third time: By
1530 doing that, you are sending your certificate inquiry
1531 \index{certificate query} to the authenticating instance in charge.
1532 Always confirm your entries with
1533 \Button{OK}.
1534
1535 \clearpage
1536 Now your X.509 key pair is being created:
1537 % screenshot: New  X.509 Certificate - Create Key
1538 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_de}
1539
1540 This may take a couple of minutes. You can assist the creation of the
1541 required random numbers by entering information in the lower input
1542 field.  It does not matter what you type, as the characters will 
1543 not be used, only the time period between each key stroke. You can also
1544 continue working with other applications on your computer, which will
1545 slightly increase the quality of the key pair that is being created.
1546
1547 \clearpage
1548 As soon as \textbf{the key pair has been successfully} created, you
1549 will see the following dialog:
1550
1551 % screenshot: New X.509 certificate - key successfully created
1552 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_de}
1553
1554 The next steps are triggered with the following buttons:
1555
1556 \begin{description}
1557
1558 \item[Save inquiry in file...]~\\Here, you enter the path under which
1559     your X.509 certificate inquiry should be backed up, and confirm
1560     your entry. Kleopatra will automatically add the file ending \Filename{.p10}
1561     during the saving process. This file can then be
1562     sent to an authentication instance (in short CA for Certificate
1563     Authority\index{Certificate Authority (CA)}). Further below, we
1564     will refer you to cacert.org, which is a non-commercial
1565     authentication instance (CA) that issues X.509 certificates free
1566     of charge.
1567
1568 \item[Sending an inquiry by \Email{}  
1569     ...]~\\This
1570     creates a new \Email{} with the certificate inquiry
1571     which has just been created in the attachment. Enter a recippient
1572    \Email{}address -- usually that of your
1573     certificate authority in charge; you can also add more text
1574     to the prepared text of this \Email{}.
1575
1576     \textbf{Please note:} Not all \Email{}programs support this function. Of course you can also do this manually: If you do not see a new \Email{}window, save your inquiry in a file (see above) and send it by \Email{} to your certificate authority (CA). As soon as the CA has processed your inquiry, the CA system administrator will send you the completed X.509 certificate, which has been signed by the CA. You only need to import the file into Kleopatra (see Chapter\ref{ch:ImExport}).
1577
1578 \end{description}
1579
1580 End the Kleopatra assistant with
1581 \Button{Finish}.
1582
1583
1584 \clearpage
1585 \subsubsection{Creating an X509 certificate using www.cacert.org}
1586
1587 \T\marginSmime
1588 CAcert\index{CAcert} is a non-commercial certificate authority which
1589 issues X.509 certificates free of charge. It offers an alternative to
1590 commercial root CAs, some of which charge very high fees for their
1591 certificates. To create a (client) certificate at CAcert, you first
1592 have to register at 
1593 \uniurl[www.cacert.org]{http://www.cacert.org}. Immediately following
1594 registration, you can create one or more client certificates on
1595 cacert.org: please make sure you have sufficient key length (e.g.
1596 2048 bits). Use the web assistant to define a secure passphrase for
1597 your certificate.
1598
1599 Your client certificate is now created.
1600
1601 Afterwards you will receive an \Email{} with two
1602 links to your new X.509 certificate and associated CAcert root
1603 certificate. Download both certificates.
1604
1605 Follow the instructions to install the certificate on your browser. In
1606 Firefox, you can use e.g. 
1607 \Menu{Edit$\rightarrow$Settings$\rightarrow$Advanced$\rightarrow$Certificates}
1608 to find your installed certificate under the first tab ``Your
1609 certificates" with the name (CN)\textbf{CAcert WoT User} .
1610
1611 You can now issue a personal X.509 certificate which has your name in
1612 the CN field. To do this, you must have your CAcert account
1613 authenticated by other members of the CACert Web of Trust. Information
1614 on obtaining such a confirmation can be found on the Internet pages of
1615 CAcert.
1616
1617 Then save a backup copy of your personal X.509 certificate. The
1618 ending \Filename{.p12} will automatically be applied
1619 to the backup copy.
1620
1621 \textbf{Attention:} This\Filename{.p12} file contains your
1622 public \textit{and } your private key. Please ensure that this file is
1623 protected againt unauthorised access.
1624
1625 To find out how to import your personal X.509 certificate in
1626 Kleopatra, see Chapter\ref{ch:ImExport}.
1627
1628 ~\\ Let's now look at Section \ref{sec_finishKeyPairGeneration} on the
1629 next page. This is where explanations for OpenPGP and X.509 are
1630 identical again.
1631
1632
1633 \clearpage
1634 \section{Certificate creation process complete}
1635 \label{sec_finishKeyPairGeneration}
1636
1637 \textbf{This completes the creation of your OpenPGP or X.509 key pair.
1638 You now have a unique electronic key.}
1639
1640 During the course of this compendium, we will always use an OpenPGP
1641 certificate for sample purposes -- however, all information will also
1642 apply accordingly to X509 certificates.
1643
1644 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1645
1646 You are now back in the Kleopatra main window. The OpenPGP certificate
1647 which was just created can be found in the certificate administration
1648 under the tab \Menu{My certificates}:
1649
1650 % screenshot: Kleopatra with new openpgp certificate
1651 \htmlattributes*{img}{width=508}
1652 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_de}
1653
1654 \clearpage
1655 Double-click on your new certificate to view all details related to
1656 the certificate:
1657
1658 % screenshot: details of openpgp certificate
1659 \htmlattributes*{img}{width=508}
1660 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
1661
1662 What do the certificate details mean? 
1663
1664 Your certificate is valid indefinitely, i.e. it has no ``built-in
1665 expiry date''. To change its validity at a later point, click
1666 on\Button{Change expiry date}.
1667
1668 \textbf{For more details about the certificate, see
1669 Chapter~\ref{ch:CertificateDetails}.}
1670
1671
1672 \clearpage
1673 \chapter{Distribution of public certificates}
1674 \label{ch:publishCertificate}
1675 \index{Public!certificate}
1676
1677 When using Gpg4win on a daily basis, it is very practical that for the
1678 purpose of encrypting and checking signatures you are always dealing
1679 with ``public'' certificates which only contain public keys. As long
1680 as your own secret key and the passphrase which protects it are
1681 secure, you have already gone a long way towards ensuring secrecy.
1682
1683 Everyone can and should have your public certificate, and you can and
1684 should have the public certificates of your correspondence partners --
1685 the more, the better. Because:
1686
1687 \textbf{To exchange secure \Email{}s, both partners must have and
1688 use the public certificate of the other person. Of course the
1689 recipient will also require a program capable of handling certificates
1690 -- such as the Gpg4win software package with Kleopatra certification
1691 administration.}
1692
1693 Therefore, if you want to send encrypted \Email{}s to someone,
1694 you must have their public certificate to encrypt the \Email{}.
1695
1696 In turn, if someone wants to send you encrypted \Email{}s, he
1697 must have your public certificate and use it for encryption purposes.
1698
1699 For this reason you should now allow access to your public
1700 certificate.
1701
1702 Depending on how many people you corespond with, and which certificate
1703 format you are using, you have several options. For example, you can
1704 distribute your public certificate ...
1705
1706 \begin{itemize}
1707     \item ... directly via \textbf{\Email{}} to specific correspondence
1708         partners -- see Section~ \ref{sec_publishPerEmail}.
1709     \item ... on an \textbf{OpenPGP key server} (applies \textit{only }
1710         to OpenPGP) -- See Section~\ref{sec_publishPerKeyserver}.
1711     \item ... via your own homepage.
1712     \item ... in person, e.g. with a USB stick.
1713 \end{itemize}
1714
1715 Let's look at the first two variants on the following pages.
1716
1717 \clearpage
1718 \section{Publishing per \Email{}, with practice for OpenPGP}
1719 \label{sec_publishPerEmail}
1720
1721 Do you wish to make your public certificate accessible to the person
1722 you are corresponding with? Simply send them your exported public
1723 certificate per \Email{}. This section will show you how this
1724 works.\\ 
1725
1726 \T\marginOpenpgp
1727 Practice this process with your public OpenPGP certificate! Adele can
1728 assist you. The following exercises only apply to OpenPGP; for
1729 information on publishing public X.509 certificates, please see
1730 page~\pageref{publishPerEmailx509}.
1731
1732 \textbf{Adele} is a very nice \Email{}robot which you can use
1733 to practice correspondence. Because it is usually more pleasant to
1734 correspond with a smart human being rather than a piece of software
1735 (which is what Adele is, after all), you can imagine Adele this way:
1736
1737 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail''
1738 \IncludeImage[width=0.5\textwidth]{adele01}
1739
1740 First, send Adele your public OpenPGP certificate. Using the public
1741 key in this certificate, Adele will send an encrypted \Email{}
1742 back to you. You then use your own secret key to decrypt Adele's
1743 response. To be able to respond to Adele with an encrypted \Email{},
1744 Adele has attached her own public certificate. Adele acts just like a
1745 real person you are corresponding with. Of course, Adele's
1746 \Email{}s are not nearly as interesting as those from the people
1747 you are actually corresponding with. On the other hand, you can use
1748 Adele to practice as much as you like -- which a real person might
1749 find bothersome after a while. So, now you export your public
1750 OpenPGP certificate and send it via \Email{} to Adele. The following
1751 pages how how this works. 
1752
1753
1754 \clearpage
1755 \subsubsection{Exporting your public OpenPGP certificate}
1756 \index{Zertifikat!exportieren}
1757
1758 Select the public certificate to be exported in Kleopatra (by clicking
1759 on the corresponding line in the list of certificates) and then click
1760 on \Menu{File$\rightarrow$Export certificates...} in the menu.
1761 Select a suitable file folder on your PC and save the public
1762 certificate with the file type\Filename{.asc} e.g.:
1763 \Filename{mein-OpenPGP-Zertifikat.asc}. The other file types, which
1764 can be selected, \Filename{.gpg} or\Filename{.pgp}, will save your
1765 certificate in binary format. That means that in contrast to an 
1766 \Filename{.asc}file, they cannot be read in the text editor. When you
1767 select the menu item, please make sure that you are only exporting
1768 your public certificate -- and \textit{not } the certificate of your
1769 entire key pair with the associated private key by mistake. Review the
1770 file once more by selecting Windows Explorer and selecting the same
1771 folder that you indicated for the export.
1772
1773 Now \textbf{open} the exported certificate file with a text
1774 editor, e.g. WordPad. The text editor will display your public OpenPGP
1775 certificate as it really looks -- a fairly confusing block of text and
1776 numbers:
1777 \T\enlargethispage{\baselineskip}
1778
1779 % screenshot: Editor mit ascii armored key
1780 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_de}
1781
1782 \clearpage
1783 When publishing your OpenPGP certificate by \Email{}, there are
1784 two variants which can take into account whether an 
1785 \Email{}program can send attachments.
1786
1787 \subsubsection{Variant 1: Send public OpenPGP certificate as an 
1788 \Email{}text}
1789
1790 This option always works, even if you are not able to attach files --
1791 as may be the case with some \Email{} services on the Web.\\ Also,
1792 it is a way of seeing your public certificate for the first time, 
1793 knowing exactly what is behind it, and what the certificate actually
1794 consists of.
1795
1796 \textbf{Now highlight} the entire public certificate in the text editor from
1797
1798 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1799 up to\\
1800 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1801
1802 and \textbf{copy} it with the menu command or the key
1803 shortcut \Filename{Strg+C}. Now you have copied the certificate in the
1804 memory of your computer (Clipboard in a Windows context). Now you can
1805 start your \Email{}program -- it does not matter which one you
1806 use -- and add your public certificate into an empty \Email{}.
1807 In Windows, the key command for adding (``Paste'') is
1808 \Filename{Strg+V}. You may know this process ­-- copying and pasting
1809 ­-- as ``Copy \& Paste''. The
1810 program\Email{}should be set up in such a way that it is possible to
1811 send only text messages and not HTML formated messages (see
1812 Section\ref{sec_brokenSignature} and Annex
1813 \ref{appendix:gpgol}).
1814
1815 \textbf{Now address this} \Email{} to
1816 \Filename{adele@gnupp.de} and write something in the subject line e.g.
1817 \Menu{My public OpenPGP certificate}.
1818
1819 \clearpage
1820 This is approximately what your \Email{} will look like:
1821
1822 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1823 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_de}
1824
1825 Now send the \Email{} to Adele. Make sure to include your  
1826 \textit{own} \Email{} address as the sender. Otherwise you will never receive Adele's response ...
1827
1828 \clearpage
1829 \subsubsection{Variant 2: Send public OpenPGP certificate as an \Email{} attachment}
1830
1831 As an alternate to Variant 1, you can also send your exported public
1832 OpenPGP certificate directly as an \textbf{\Email{} file
1833 attachment}. This is often the simpler and more commonly used method.
1834 Above, you learnt about the ``Copy \& Paste'' method,
1835 because it is more transparent and easier to understand. Now write
1836 another \Email{} to Adele -- this time with the certificate file
1837 in the attachment: Add the previously exported certificate file as an
1838 attachment to your new \Email{} -- just as you would for any
1839 other file (e.g. pulling the file into the emtpy 
1840 \Email window).  Add the recipient (\Filename{adele@gnupp.de}) and a
1841 subject, e.g.:\Menu{My public OpenPGP certificate - as a file attachment}.
1842 Of course you can also add a few explanatory sentences.
1843 However, Adele does not need this explanations, because her only
1844 purpose is to help you practice this process. Your finished
1845 \Email{} should look something like this:
1846 \T\enlargethispage{2\baselineskip}
1847
1848 % screenshot: Outlook composer fenster mit openpgp zertifikat im Anhang
1849 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_de}
1850
1851 Now send the \Email{} and attachment to Adele.
1852
1853 \clearpage
1854 \subsubsection{In short:}
1855
1856 You have exported your public OpenPGP certificate in Kleopatra into a
1857 file. Subsequently, you have also copied the content of the file
1858 directly into an \Email{} and attached the complete file as an
1859 \Email{}attachment. Both \Email{}s have been sent to someone else
1860 -- in this case, to Adele. The same process applies if you are sending
1861 your public certificate to a real \Email{}address. Usually, you
1862 should send public certificates as a file attachment, as described in
1863 Variant 2. This is the easiest way to do it, both for you and the
1864 recipient. And it also has the advantage that your recipient can
1865 import your certificate file directly into his own certificate
1866 administration (e.g. Kleopatra).
1867
1868 \clearpage
1869 \section{Publish via OpenPGP key server}
1870 \label{sec_publishPerKeyserver}
1871
1872 \T\marginOpenpgp
1873 \textbf{Please note: You can only distribute your OpenPGP certificate via an OpenPGP key server.}
1874
1875 Publishing your public OpenPGP certificate on a public key server is
1876 always a good idea, even if you are only exchanging encrypted \Email{}s 
1877 with just a few people. This way, your public certificate is
1878 accessible to everyone on an Internet server. This saves you time in
1879 having to send your certificate \Email{} to all of the people
1880 you are corresponding with. At the same time, publishing your
1881 \Email{}address on a key server can also make your
1882 \Email{}address more susceptible to spam. This can only be
1883 addressed with good spam protection.
1884
1885 ~\\ \textbf{This is how it works:} Select your public OpenPGP certificate in Kleopatra 
1886 and click on \Menu{File$\rightarrow$Export certificate to server...}. 
1887 If you have not defined a key server, you will see a warning:
1888
1889 % screenshot: Kleopatra keyserver export warning
1890 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_de}
1891
1892 The public OpenPGP key server already contains
1893 \Filename{keys.gnupg.net} default settings. Click on
1894 \Button{Continue} to send your selected public certificate to this
1895 server. There, your public certificate is distributed to all globally
1896 connected key servers. Anyone can download your public certificate
1897 from one of these OpenPGP key servers and use it send you a secure
1898 \Email{}. If you are only testing this process, please do 
1899 \textit{not} send the practice certificate: In the top dialog, click
1900 on \Button{Cancel}. The test certificate is worthless and cannot be
1901 removed by the key server. You would not believe how many test
1902 certificates with names like ``Julius Caesar'', ``Helmut Kohl'' or
1903 ``Bill Clinton'' are already floating around on these servers ...
1904
1905 \clearpage
1906 \subsubsection{In short:}
1907 Now you know how to publish your public OpenPGP certificate on an
1908 OpenPGP key server on the Internet.
1909
1910 \textbf{For information on how to search for the public OpenPGP 
1911 certificate of people you are corresponding with on a key server, see
1912 Chapter~\ref{ch:keyserver}. You can read this chapter now or later when
1913 you need this function.}
1914
1915
1916 \clearpage
1917 \section{Publishing X.509 certificates}
1918 \label{publishPerEmailx509}
1919
1920 \T\marginSmime
1921 In the case of public X.509 certificates, this process is even easier: all you need to do is to send a signed S/MIME \Email{} to the person you are corresponding with. Your public X.509 certificate is contained in this signature, and can be imported into the recipient's certificate administration. Unfortunately, you cannot use Adele to practice X.509 certificates since the robot only supports OpenPGP. Therefore you should pick another person to write you, or alternately write to yourself. Some public X.509 certificates are distributed by the certificate authority. This is usually done using X.509 key servers, which however do not synchronize on a global basis, as is the case with OpenPGP key servers. When you export your public X.509 certificate, you can highlighte the entire public certificate chain\index{certificate chain}
1922 and save it in a file -- generally the root certificate, CA certificate\index{CA certificate} and personal certificate -- or only your public certificate. The first is recommended since the person you are corresponding with may be missing some parts of the chain, which he otherwise would have to find. To do this, click on all elements of the certificate chain in Kleopatra while holding the Shift key, and export the highlighted certificate into a file. If the person you are corresponding with does not have the root certificate, he must indicate that he trusts it, or have an administrator do so, in order to finally also trust you. If this has already been done (e.g. because they are both part of the same ``root''), then this  shiop is already in place. 
1923
1924
1925 \clearpage
1926 \chapter{Decrypting e-mails, practicing for OpenPGP}
1927 \label{ch:decrypt}
1928 \index{ !decrypt}
1929
1930 Gpg4win, the certificate of your key pair and of course your
1931 passphrase are all you need to decrypt \Email{}s. This Chapter
1932 shows you step for step how to decrypt \Email{}e-mails in Microsoft
1933 Outlook using the Gpg4win program component GpgOL. \index{Outlook}
1934 \index{Outlook}
1935
1936 \T\marginOpenpgp
1937 Initially, you can practice this process with Adele and your public
1938 OpenPGP certificate. The following exercises again only apply to
1939 OpenPGP -- explanations regarding the decryption of S/MIME
1940 \Email{}s can be found at the end of this chapter on page
1941 \pageref{encrypt-smime}.
1942
1943 In Section~\ref{sec_publishPerEmail} you sent your public
1944 OpenPGP certificate to Adele. Using this certificate, Adele will now
1945 encrypt an \Email{} and send a message back to you. You should
1946 receive Adele's response after a short time period.
1947
1948 \T\enlargethispage{\baselineskip}
1949
1950 % cartoon: Adele typing and sending a mail
1951 \IncludeImage[width=0.5\textwidth]{adele02}
1952
1953 \clearpage
1954 \subsubsection{Decrypting a message with MS Outlook and GpgOL}
1955
1956 Most \Email{} programs also have special program extensions
1957 (``plugins''), which can be used to perform the encryption and
1958 decryption process directly in the \Email{}program.
1959 \textbf{GpgOL} is such a program extension for MS Outlook, which is
1960 used here to decrypt Adele's\Email{}s. For more information on
1961 other software solutions, please see Annex~\ref{ch:plugins}. You can
1962 read this section now, or later when you need this function.
1963
1964 ~\\Start MS Outlook and open Adele's response\Email{}. Until
1965 now, you have only known Kleopatra as a certificate administration
1966 program. However, the program can do much more than that: It can
1967 control the actual GnuPG encryption software and hence not just manage
1968 your certificates but also take care of all cryptographic tasks (with
1969 GnuPG's assistance). Kleopatra provides the visual user interface,
1970 hence the dialogs which you as the user see while you encrypt or
1971 decrypt \Email{}s. 
1972
1973 Hence Kleopatra processes Adele's encrypted
1974 \Email{}s. These \Email{}s have been encrypted by Adele using
1975 \textit{your} public OpenPGP key. To decrypt the message, Kleopatra
1976 will now ask for your passphrase that protects your private key. Enter
1977 your passphrase. 
1978
1979 The decryption is successful if you do not see an
1980 error dialog! You can now read the decrypted \Email{}. You can
1981 retrieve the exact results dialog of the decryption by
1982 clicking on \Menu{Extras$\rightarrow$GpgOL decryption/check} 
1983 in the menu of the opened \Email{}. 
1984
1985 However, surely
1986 you also want to see the result, namely the decrypted message ...
1987
1988 \clearpage
1989 \subsubsection{The decrypted message}
1990
1991 Adele's decrypted response will look something like
1992 this\footnote{Depending on the software version of Adele, it may look
1993 differently.}:
1994
1995 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
1996 %TODO: Schlüssel -> Zertifikat
1997
1998 \begin{verbatim}
1999 Hello Heinrich Heine, 
2000
2001 here is an encrypted response to your  .I
2002 received your public key with the key ID FE7EEC85C93D94BA and the name
2003 `Heinrich Heine \textless heinrich@gpg4win.de\textgreater '.
2004
2005 Attached is the public key of adele@gnupp.de,
2006
2007 the friendly   robot.
2008
2009 Regards,
2010 adele@gnupp.de
2011 \end{verbatim}
2012
2013 The text block that follows is Adele's public certificate. In the next
2014 chapter, you will import this certificate and add it to your
2015 certificate administration. You can use imported public certificates
2016 at any time to encrypt messages to the people you are corresponding
2017 with, or to check their signed \Email{}s.
2018
2019 \clearpage
2020 \subsubsection{In short:}
2021
2022 \begin{enumerate}
2023     \item You have decrypted and encrypted an \Email{} using your
2024         private key.
2025     \item Your correspondence partner has attached his own public
2026         certificate, so that you can answer him in encrypted form.
2027 \end{enumerate}
2028
2029
2030 \subsubsection{\Email{} decryption using S/MIME}
2031 \label{encrypt-smime}
2032
2033 \T\marginSmime
2034 So this is how \Email{}s are decrypted using the private OpenPGP
2035 key -- but how does it work with S/MIME? The answer: The same!
2036
2037 To decrypt an encrypted S/MIME \Email{}, simply open the
2038 message in Outlook and enter your passphrase in the pin entry
2039 dialog. You will see a status dialog that is similar to that shown for
2040 OpenPGP. After closing this dialog, you will see the decrypted S/MIME 
2041 \Email{}. Differently from OpenPGP decryption, however, when
2042 using S/MIME you cannot use Adele to practice, since Adele only
2043 supports OpenPGP.
2044
2045 \clearpage
2046 \chapter{Importing a public certificate}
2047 \label{ch:importCertificate}
2048 \index{Import!certificate}
2049
2050 The person you are corresponding with does not always have to send
2051 their public certificate when they send signed \Email{}s to you. You can
2052 simply store their public certificate in your certificate
2053 administrator -- e.g. Kleopatra.
2054
2055 \subsubsection{Storing a public certificate}
2056
2057 Before you import a public certificate into Kleopatra, you must save
2058 it in a file. Depending on whether you received the certificate as an
2059 \Email{}file attachment or as a block of text contained in your \Email{}, 
2060 please proceed as follows:
2061
2062 \begin{itemize}
2063
2064 \item If the public certificate was included as an \Email{} \textbf{file
2065     attachment}, save it on your hard drive -- just as you would
2066     normally do.
2067
2068 \item If the public certificate was mailed as a block of text
2069     that \textbf{was included in the} \Email{}, you have to
2070     highlighte the entire certificate:  In the case of (public)
2071     OpenPGP certificates, please highlight the area from 
2072     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ up to\\
2073     \Filename{-----END PGP PUBLIC KEY BLOCK-----} just as we have seen
2074     in Section~\ref{sec_publishPerEmail}. 
2075     
2076     Now use Copy \&  Paste to
2077     insert the highlighted section into a text editor and save the
2078     public certificate. For file endings, you should use
2079      \Filename{.asc} or \Filename{.gpg} for
2080     OpenPGP certificates and \Filename{.pem} oder \Filename{.der} 
2081     for X.509 certificates.
2082
2083 \end{itemize}
2084
2085 \clearpage
2086 \subsubsection{Importing public certificates into Kleopatra}
2087
2088 Whether you have saved the public certificate as an \Email{} 
2089 attachment or text block -- in both cases, you will be importing it
2090 into your Kleopatra certificate administration. To do this, start
2091 Kleopatra if the program is not running already. In the menu, click
2092 on\Menu{File$\rightarrow$Import certificate..}, search for
2093 the public certificate you have just saved and import it. You will
2094 receive an information dialog showing the result of the import
2095 process:
2096
2097 % screenshot: Kleopatra - certificate import dialog
2098 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_de}
2099
2100 It displays the imported public certificate in Kleopatra, in a
2101 separate tab \Menu{Imported certificates} of
2102 \Menu{<Path to certification file>}'':
2103
2104 % screenshot Kleopatra with new certificate
2105 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_de}
2106
2107 This tab is used for checking purposes, since a file can contain more
2108 than one certificate. You can close the tab using the
2109 \Menu{Fenster$\rightarrow$Close tab} command or via the
2110 ``Close tab'' button on the right side of the window).
2111
2112 Now change over
2113 to the tab ``Other certificates''. Now you should also be able to see
2114 the public certificate you have imported. Now you have imported someone
2115 else's certificate~-- in this case Adele's public OpenPGP certificate
2116 -- into your certificate administration. You can use this certificate
2117 at any time to send encrypted messages to the owner of the
2118 certificate, and to check his signatures. As soon as you are
2119 exchanging encrypted \Email{} more frequently and with a larger number
2120 of persons, you will likely want to search and import for certificates
2121 on globally available key servers. To see how this works, please see
2122 Chapter~\ref{ch:keyserver} .\\
2123
2124 \subsubsection{Before continuing, an important question:}
2125 How do you know that the public OpenPGP certificate really came from
2126 Adele? It is possible to send \Email{}s under someone else's
2127 name -- in this respect, merely having the sender's name does not mean
2128 anything. So how can you ensure that a public certificate actually
2129 belongs to the sender? 
2130
2131 \textbf{This key question related to certificate inspections is
2132 explained in the next Chapter~\ref{ch:trust}}.
2133
2134 \clearpage
2135 \chapter{Certificate inspection}
2136 \label{ch:trust}
2137
2138 How do you know if a certificate actually belongs to the sender? And
2139 vice versa -- why should the person you are writing to believe that
2140 the certificate you sent to him is really yours? The sender's name on
2141 an \Email{} means nothing, just like putting a sender's name on
2142 an envelope.If your bank, receives an \Email{} with your name,
2143 with a request to transfer your entire bank balance to a numbered
2144 account in the Bahamas, we should hope that it will refuse to do so --
2145 no matter what the \Email{} address is. On its own, an \Email{} address
2146 itself does not really say anything about the sender's identity.
2147
2148 \clearpage
2149 \subsubsection{Fingerprints}
2150 \index{Finger print}
2151 If you are only corresponding with a very small circle of people, it
2152 is easy to check their identity: You check the fingerprint of the
2153 other certificate. Each certificate features a unique identification,
2154 which is even better than someone's fingerprint. For this reason this
2155 identification is also referred to as a ``fingerprint''. If you display
2156 the details of a certificate in Kleopatra, e.g. by double-clicking on
2157 the certificate, you will see its 40-character fingerprint, among
2158 other things:
2159
2160 % screenshot: GPA key listing with fingerprint
2161 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_de}
2162
2163 The fingerprint of the above OpenPGP certificate is therefore as
2164 follows:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2165
2166 ~\\In short - the fingerprint clearly identifies the certificate and
2167 its owner. Simply call the person you are corresponding with and let
2168 them read the fingerprint of their certificate to you. If the
2169 information matches the certificate you have on hand, you clearly have
2170 the right certificate. Of course you can also meet the owner of the
2171 certificate in person, or use another method to ensure that
2172 certificate and owner can be matched. Frequently, the fingerprint is also
2173 printed on business cards; therefore, if you have a business card whose
2174 authenticity is guaranteed, you can save yourself a phone call.
2175
2176
2177 \clearpage
2178 \subsubsection{Authenticating an OpenPGP certificate}
2179 \index{Authenticate!certificate}
2180
2181 \T\marginOpenpgp
2182 Once you have obtained confirmation of the authenticity of the
2183 certificate ``via a fingerprint'', you can authenticate it -- but only
2184 in OpenPGP. With X.509, users cannot authenticate certificates -- this
2185 can only be done by the certificate authorities (CA). By authenticating
2186 a certificate, you are letting other (Gpg4win) users know that you are
2187 of the opinion that this certificate is real -- hence authentic: You
2188 are acting as a kind of ``godfather'' for this certificate, and
2189 help to increase the general level of trust in its authenticity.
2190
2191 ~\\
2192 \textbf{So how does the authentication process work?
2193 }\\ In Kleopatra,
2194 select an OpenPGP certificate that you think is real and would like to
2195 authenticate. In the menu, select:
2196 \Menu{Certificates$\rightarrow$Authenticate certificates...}
2197
2198 Reconfirm the OpenPGP certificate to be authenticated in the following
2199 dialog, using \Button{Next}:
2200
2201 % screenshot: Kleopatra certify certificate 1
2202 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_de}
2203
2204 \clearpage
2205 In the next step, select your own OpenPGP certificate, which you will use to authenticate the certificate selected in the last step:
2206
2207 % screenshot: Kleopatra certify certificate 2
2208 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_de}
2209
2210 Here you decide whether to \Button{Authenticate for private use only} or
2211 or \Button{Authenticate and make visible to all}. With the last variant, you have the option of subsequently uploading the authenticated certificate to an OpenPGP key server, and hence make an updated and authenticated certificate available to the entire world. Now confirm your selection with \Button{Authenticate}. Similar to the process of signing an \Email{}, you also have to enter your passphrase when authenticating a certificate (with your private key). The authentication proccess is only complete once this information is entered correctly.
2212
2213 \clearpage
2214 Following a successful authentication, the following window appears:
2215
2216 % screenshot: Kleopatra certify certificate 3
2217 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_de}
2218
2219 ~\\Do you want to check the authentication one more? To do this, open the certificate details of the certificate you have just authenticated.Select the tab
2220 \Menu{User ID and authentications} and click on the button \Button{Obtain
2221 authentications}. You will now see all authentications contained in this certificate, sorted by user ID. You should also be able to see your certificate in this list, if you have just authenticated it.
2222
2223 \clearpage
2224 \subsubsection{Web of trust}
2225 \index{Web of Trust|see{Web of Trust}}
2226 \index{Web of Trust}
2227
2228 \T\marginOpenpgp
2229 The process of authenticating certificates creates a ``Web of Trust'' (WoT), which extends beyond the group of Gpg4win users and their correspondence, and it means that you are not always required to verify an OpenPGP certificate for its authenticity.
2230
2231 \htmlattributes*{img}{width=300}
2232 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2233
2234 Naturally, trust in a certificate will increase if it has been authenticated by a lot of people. Your own OpenPGP certificate will receive authentications from other GnuPG users over time. This enables more and more people to trust that this certificate is really yours and not someone else's. The continued weaving of this ``Web of Trust'' creates a flexible authentication structure. There is one theoretical possibility of making this certificate test null and void: Someone plants a wrong certificate on you. In other words, you have a public OpenPGP key that pretends to be from X but in reality was replaced?? by Y. If this falsified certificate is authenticated, it clearly creates a problem for the ``Web of Trust''. For this reason it is very important to make sure that prior to authenticating a certifidate, you make absolutely sure the certificate really belongs to the person that purports to own it. But what if a bank or government authority wants to check whether the certificates of their customers are real?  Surely, they cannot call them all~...
2235
2236
2237 \clearpage
2238 \subsubsection{Authentication instances}
2239 \index{Authentication instances}
2240 \index{Certificate Authority (CA)}
2241
2242 In this case, we need a ``superordinate'' instance that all users can trust. After all, you do not personally check the ID of a person not known to you by phoning the municipal office, but rather trust that the office that issued the ID will have already checked and authenticated these details.
2243
2244 \T\marginOpenpgp
2245 These types of authentication instances also exist in the case of OpenPGP certificates. In Germany, for example, the magazine c't has long been offering such a service free of charge, as have many universities. Therefore, if you have received an OpenPGP certificate whose authenticity has been confirmed by such an authentication instance, you should be able to rely on it.
2246  
2247 \T\marginSmime
2248 Such authentication instances or ``Trust Centers'' are also provided for in other encryption methods -- such as S/MIME. However, in contrast to the "Web of Trust", these feature a hierarchical structure, with a ``top authentication instance'' that authenticates additional ``sub-instances'' and entitles them to authenticate user certificates (see Chapter~\ref{ch:openpgpsmime}). The best way to describe this infrastructure is to use the example of a seal: The sticker on your license plate can only be provided by an institution that is authorised to issue such stickers, and they have received that right from another superordinate body. On a technical level, an authentication is \index{authentication} nothing more than an authenticating party signing a certificate. Of course, hierarchical authentication infrastructures are much better suited to the requirements of government and official instances than the loose ``Web ofTrust'' of GnuPG, which is based on mutual trust. At the same time, the key aspect of the authentication is the same for both: Gpg4win also supports a hierarchical authentication (S/MIME) in addition to the ``Web of Trust'' (OpenPGP). Accordingly, Gpg4win offers a basis that corresponds with the Signature Act of the Federal Republic\index{signature law} of Germany.
2249
2250
2251 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2252 If you would like to learn more about this topic, the following websites provide more information on this and other IT security topics:
2253 \begin{itemize}
2254     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2255     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2256     \item \uniurl[www.gpg4win.org]{http://www.gpg4win.org}
2257 \end{itemize}
2258
2259 Another, rather technical, information source on the issue of authentication infrastructure is the GnuPG handbook, which can also be found at:\\
2260 \uniurl[www.gnupg.org/gph/de/manual]{http://www.gnupg.org/gph/de/manual}
2261
2262 \clearpage
2263 \chapter{Encrypting e-mails}
2264 \label{ch:encrypt}
2265 \index{encrypt! }
2266
2267 Now it is getting exciting again: You are sending an encrypted 
2268 \Email{}. In this case, you will need Outlook (or another 
2269 \Email{}program that supports cryptography), Kleopatra and of course the public certificate of the person you are correspondign with.
2270
2271
2272 \textbf{Note for OpenPGP:}
2273
2274 \T\marginOpenpgp
2275 You can use Adele to practice the encryption process with OpenPGP; on the other hand, Adele does not support S/MIME. You can send the \Email{} to be encrypted to \Filename{adele@gnupp.de}. It does not matter what your write in your message, since Adele cannot read it.
2276
2277 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2278
2279 \textbf{Note for S/MIMIE:}
2280
2281 \T\marginSmime
2282 Following the installation of Gpg4win, the S/MIME functionality is already activated in GpgOL. If you want to turn off S/MIME (with GnuPG), for example to use Outlook's own S/MIME function, you have to deactivate the option \Menu{Activate S/MIME support} in the following GpgOL option dialog under 
2283 \Menu{Extras$\rightarrow$Options$\rightarrow$GpgOL}: 
2284
2285
2286 % screenshot: GpgOL options
2287 \T\ifthenelse{\boolean{DIN-A5}}
2288 \T{\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_de}}
2289 {\IncludeImage[width=0.55\textwidth]{sc-gpgol-options_de}}
2290
2291
2292 \clearpage
2293 \subsubsection{Send an encrypted message}
2294
2295 First, compose a new   in Outlook and address it to the
2296 person you are writing to. To send your message as in an encrypted
2297 form, select the item \Menu{Extras$\rightarrow$Encrypt message}
2298  in the menu of the message window. The button with the
2299 lock icon in the tool bar is activated -- you can also click right on
2300 the lock. Your Outlook message windows should look something like this:
2301
2302 % screenshot: OL composer with Adele's address and body text
2303 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_de}
2304
2305 Now click \Button{Send}.
2306
2307 \label{encryptProtocol} ~\\Gpg4win will automatically detect the
2308 protocol -- OpenPGP or S/MIME -- of the public certificate provided by
2309 the person you are corresponding with. As long as there is only one
2310 certificate that matches the recipient's \Email{}address, your
2311 message will be encrypted and sent. In the GpgOL options, you can also
2312 set PGP/MIME or S/MIME as the default for all signed and encrypted
2313 messages: \Menu{Extras$\rightarrow$Options$\rightarrow$GpgOL}.
2314
2315
2316 \clearpage
2317 \subsubsection{Selecting certificates}
2318 \index{Certificate!selection}
2319 If Kleopatra is not able to clearly determine a recipient certificate
2320 using the l\Email{} address, e.g. if you have an OpenPGP
2321 \textit{and} S/MIME certificate from the person you are corresponding
2322 with, a selection dialog which allows you to select the right
2323 certificate will be displayed.
2324
2325 % screenshot: kleopatra encryption dialog - certificate selection
2326 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_de}
2327
2328 If Kleopatra is not able to find the public certificate of the person
2329 you are corresponding with, you probably have not imported it into
2330 your certificate administration yet (see
2331 Chapter~\ref{ch:importCertificate}) or perhaps have not authenticated
2332 it yet (for OpenPGP; see Chapter~\ref{ch:trust}), or have not
2333 expressed your trust in the root certificate of the certification
2334 chain (for S/MIME, see Chapter~\ref{sec_allow-mark-trusted}).
2335
2336 You need the correct public certificate of your correspondence partner
2337 to encrypt your messages.
2338
2339 Remember the principle in Chapter~\ref{ch:FunctionOfGpg4win}:
2340 \begin{quote}
2341   \textbf{You have to use someone's public certificate to send them an an encrypted \Email{}.}
2342 \end{quote}
2343
2344
2345 \clearpage
2346 \subsubsection{Completing the encryption process}
2347 Once your message was successfully encrypted and sent, you will
2348 receive a confirmation message:
2349
2350 % screenshot: kleopatra encryption successfully
2351 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2352
2353 \textbf{Congratulations! You have encrypted your first \Email{}!}
2354
2355
2356 \chapter{Signing \Email{}s}
2357 \label{ch:sign}
2358 \index{Sign! }
2359
2360 In Chapter~\ref{ch:trust} you learnt more about verifying the authenticity of a public OpenPGP certificate, and signing it with your own private OpenPGP key.
2361
2362 This chapter also explains how to \textbf{sign} a complete
2363 \textbf{\Email{}}
2364 rather than only the certificate. That means applying a digital
2365 signature to the \Email{} -- which is a form of an electronic seal.
2366 ``Sealed'' in this way, the text can still be read by everyone, but it
2367 allows the recipient to find out whether the \Email{} was manipulated
2368 or modified during delivery.  The signature tells the recipient that
2369 the message is really from you.  And: If you are corresponding with
2370 someone whose public certificate you do not have (for whatever
2371 reason), you can at least ``seal'' the message with your own private
2372 key.
2373
2374 You have probably noticed that this digital signature\index{Digital!signature} is not identical to an 
2375 \Email{}``signature", which is sometimes included at the end of an \Email{} and includes
2376 such items as telephone number, address and website. While these \Email{}signatures simply function as a type of business card, a digital signature will protect your
2377 \Email{} from manipulation and clearly confirms the sender.
2378
2379 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2380 Besides, a digital signature cannot be compared with a qualified electronic signature, \index{qualified electronic!signature} as it went into effect as part of the Signature Act (
2381 \index{Signature Act} 22~May 2001). However, it serves exactly the same purpose for private or professional \Email{} communication.
2382
2383 % cartoon: Müller mit Schlüssel
2384 \htmlattributes*{img}{width=300}
2385 \T\ifthenelse{\boolean{DIN-A5}}
2386 \T{\IncludeImage[width=0.5\textwidth]{man-with-signed-key}}
2387
2388
2389 \clearpage
2390 \section{Signing with GpgOL}
2391 \T\enlargethispage{\baselineskip}
2392 In fact, signing an \Email{} is even easier than encrypting it (see Chapter~\ref{ch:encrypt}). Once you have composed a new 
2393 \Email{}, go through the following steps -- similar to the encryption process:
2394
2395 \begin{itemize}
2396     \item Send message with signature
2397
2398     \item Select certificate
2399
2400     \item Completing the signing process
2401 \end{itemize}
2402
2403 These steps are described in detail on the following pages.
2404
2405 %\clearpage
2406 \subsubsection{Sending a signed message}
2407
2408 First, compose a new \Email{} in Outlook and address it to the person you are writing to. Before you send your message, tell the system that your message should be sent with a signature: To do this, activate the button with the signature pen or the menu item \Menu{Format$\rightarrow$Sign message }.
2409
2410 Your \Email{} window would then look something like this:
2411
2412 % screenshot: OL composer with Adele's address and body text
2413 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_de}
2414
2415 Now click on\Button{Send}.
2416
2417 \clearpage
2418 \subsubsection{Selecting certificates}
2419
2420 Just as is the case for encrypting \Email{}s, Gpg4win automatically detects the protocol -- OpenPGP or S/MIME -- for which your own certificate (with the private key for signing) is available. If you have your own OpenPGP \textit{and } S/MIME certificate with the same \Email{} address, Kleopatra will ask you to select a protocol before the \Email{} is signed:
2421
2422 % screenshot: kleopatra format choice dialog
2423 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2424
2425 If you have several certificates (e.g. two OpenPGP certificates for the same \Email{} address) for the selected method,Kleopatra will open a window which displays your certificates (here: OpenPGP), each with its own private key:
2426
2427 % screenshot: kleopatra format choice dialog
2428 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_de}
2429
2430 Confirm your selection with \Button{OK}.
2431
2432
2433 \clearpage
2434 \subsubsection{Completing the signing process}
2435 In order to complete the signing process for your \Email{}, you will be asked to enter your secret passphrase in the following pin entry\index{Pinentry} window:
2436
2437 % screenshot: kleopatra sign dialog 2 - choose certificate
2438 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_de}
2439
2440 This is required because:
2441 \begin{quote}
2442     \textbf{You can only sign with your own private key.}
2443 \end{quote}
2444 It makes sense, because only your own private key confirms your identity. The person you are corresponding with can then check your identity using your public certificate, which he already has or can obtain. Because only your private key matches your public certificate.
2445
2446 Confirm your passphrase entry with \Button{OK}. Your message is now signed and sent.
2447
2448 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2449 Once your message has been signed successfully, the following dialog appears:
2450
2451 % screenshot: kleopatra sign successful
2452 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2453
2454 \textbf{Congratulations! You have encrypted your first \Email{}!}
2455
2456
2457 \clearpage
2458 \subsubsection{In short:}
2459 You have learnt how to sign an \Email{} using your own certificate -- which contains your private key. 
2460
2461 You know how to encrypt an \Email{} using the public certificate of the person you are writing to. 
2462
2463 Now you are familiar with the two most important techniques for sending secure \Email{}s: encryption and signatures.
2464
2465 Of course you can also combine the two techniques. From now on, eacht time you send an \Email{}, think about how you want to send it -- depending on the importance and required level of protection for your  
2466 \Email{} :
2467
2468 \begin{itemize}
2469     \item non-encrypted
2470
2471     \item encrypted
2472
2473     \item signed
2474
2475     \item signed and encrypted (more on this in Section~\ref{sec_encsig})
2476 \end{itemize}
2477
2478 You can use these four combinations with either OpenPGP or S/MIME.
2479
2480 \clearpage
2481 \section{Checking signatures with GpgOL}
2482 \index{check!signature with GpgOL}
2483
2484 Let's assume you have received a signed \Email{} from the person you are corresponding with. It is very easy to check this digital signature. All you need is the public OpenPGP or X.509 certificate of your correspondence partner. You should have already imported his public certificate into your certificate administration prior to performing this check (see Chapter~\ref{ch:importCertificate}). To check a signed OpenPGP or S/MIME \Email{}, proceed as you would for decrypting an \Email{} (see Chapter~\ref{ch:decrypt}):
2485
2486 Start Outlook and open a signed \Email{}. GpgOL will automatically transfer the \Email{} to Kleopatra for a signature check. Kleopatra will report the result in a status dialog, e.g.:
2487
2488 % screenshot: Kleopatra - successfully verify dialog
2489 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_de}
2490
2491 The signature check was successful! Now close to the dialog in order to read the signed \Email{}. If you want to perform the check again manually, select \Menu{Extras$\rightarrow$Decrypt/Check GpgOL}   
2492 in the menu of the open \Email{}. If the signature check is not successful, it means that the message was changed during the delivery process. Because of the technical nature of the Internet, it is possible that the \Email{} was unintentionally modified because of a defective transmission. That is probably the most likely cause. However, it can also mean that the text was changed intentionally. Section~\ref{sec_brokenSignature} has information on how to proceed in such a case.
2493
2494 \clearpage
2495 \section{Reasons for a broken signature}
2496 \label{sec_brokenSignature}
2497 \index{Signature!broken}
2498
2499 There are several reasons for a broken signature: If you receive the message ``Bad signature'' or ``Check failed'', it is a warning that your \Email{} may have been manipulated! That means that it is possible that someone changed the \Email{}'s contents or the subject line. At the same time, a broken signature does not necessarily mean that the \Email{} was manipulated. It is also possible that the \Email{} was modified due to a defective transmission. In any case, you should always take a broken signature seriously and ask the sender to resend the \Email{}!\\
2500
2501 It is recommended that you set your program to only send \Email{}s in ``text'' format and\textbf{not} in ``HTML'' format. However, if you decide to use HTML for signed or encrypted e-mails, it is possible that formatting information will be lost by the time it reaches the recipient, which can result in a broken signature. In Outlook 2003 and 2007, you can set 
2502 the message format to \Menu{Text only} in \Menu{Extras$\rightarrow$Options$\rightarrow$ -Format} 
2503
2504
2505 \clearpage
2506 \section{Encryption and signature}
2507 \label{sec_encsig}
2508 \index{encrypt and sign! }
2509
2510 You know: A message is usually encrypted using the public certificate of your correspondence partner, who then decrypts the \Email{} using his private key. The reverse possibility -- encryption with a private key -- does not make sense, since the whole world knows the associated public certificate and could then decrypt the message. However, as you have already seen in this chapter, there is still another method to create a file using your private key -- namely the signature. A digital signature confirms the author  -- because if someone successfully applies your public certificate to this file (the signature), this file could only have been encoded by your private key. And only you can have access to this key. You can combine both options, namely encrypting and signing the \Email{}:
2511
2512 \begin{enumerate}
2513     \item You \textbf{sign} the message with your own private key. This proves that you are the author.
2514     \item You then \textbf{encrypt} the text using the public certificate of the person you are correpsonding with.
2515 \end{enumerate}
2516
2517 This means that the message has two security characteristics:
2518
2519 \begin{enumerate}
2520     \item Your seal on the message: the signature with your private key.
2521     \item A solid outer envelope: encryption using the public certificate of the person you are corresponding with.
2522 \end{enumerate}
2523
2524 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2525
2526 Your correspondence partner opens the outer strong envelope with his own private key. This ensures secrecy, because only this key can be used to decode the text. He reads the seal with your public certificate, which proves that you were the author, because if your public certificate matches, the seal (digital signature) can only have been encoded with your private key. 
2527
2528 It is pretty tricky when you think about it, but also very simple.
2529
2530
2531 \clearpage
2532 \chapter{Archiving \Email{}s in an encrypted form\htmlonly{\html{br}\html{br}}}
2533 \label{ch:archive}
2534 \index{Archive!  in encrypted form}
2535
2536 You should also archive your important -- and hence possibly encrypted -- \Email{}s in only one way:
2537 \Email{}encrypted. 
2538
2539 Of course you can simply save a clear text version of your texts, but that is actually not required. If your message was supposed to be secret, it should not be stored on your computer in clear text. Therefore you should always store your encrypted sent \Email{}s in an \textit{encrypted} form!
2540
2541 You can probably already guess the problem: To decrypt your archived (sent) \Email{}s, you will need the private key of the recipient -- and you don't or will ever have it ...So what to do?  
2542
2543 Very easy: \textbf{You also encrypt to yourself!}
2544
2545 The message is encrypted once for the actual person you are writing to -- e.g. Adele -- and once more for you, using your own public certificate. This way, you can later make the  
2546 \Email{} legible using your own private key.
2547
2548 Gpg4win will automatically encrypt each encrypted message to your own certificate. To do this, Gpg4win uses your sender \Email{} address. If you have multiple certificates for an \Email{} address, you have to select the certificate to encrypt to during the encryption process.
2549
2550 \clearpage
2551 \subsubsection{In short:}
2552
2553 \begin{enumerate}
2554     \item You have encrypted an \Email{} using the public certificate of the person you are corresponding with, and used it to answer him.
2555     \item Kleopatra additionally encrypts your sent encrypted \Email{}s using your own public certificate, so that the messages remain legible for you.
2556 \end{enumerate}
2557
2558
2559 \vspace{1cm}
2560 \textbf{And that's it! At the end of the first part of this compendium, you have gained a lot of introductory knowledge about Gpg4win.}
2561
2562 \textbf{Welcome to the world of free and secure \Email{} encryption!}
2563
2564 For an even better understanding of how Gpg4win really works in the background, we recommend that you read the second part of the Gpg4win compendium. It contains even more interesting stuff!
2565
2566
2567 %
2568 % Part II
2569
2570 % page break in toc
2571 \addtocontents{toc}{\protect\newpage}
2572
2573 \clearpage
2574 \T\part{For Advanced Users}
2575 \W\part*{\textbf{II For Advanced Users}}
2576 \label{part:AdvancedUsers}
2577 \addtocontents{toc}{\protect\vspace{0.3cm}}
2578
2579
2580 \clearpage
2581 \chapter{Certificate details}
2582 \label{ch:CertificateDetails}
2583 \index{Certificate details}
2584
2585 In Chapter\ref{sec_finishKeyPairGeneration}, you have already seen the detailed dialog for the certificate you generated. It contains a lot of information about your certificate. The following section provides a more detailed overview of the most important points, with brief information on the differences between OpenPGP and X.509 certificates, including:
2586
2587 \begin{itemize}
2588 \item user ID\index{Certificate!User ID}
2589 \item fingerprints
2590 \item key ID\index{Key ID}\index{Key!ID}
2591 \item validity\index{Certificate!Validity}
2592 \item trust in certificate holders \textbf{(OpenPGP only)}
2593 \item authentications \textbf{(OpenPGP only)}
2594 \end{itemize}
2595
2596 \begin{description}
2597
2598 \item[The user ID ] consists of the name and \Email{} address which you entered during the certificate creation process, e.g. \\ \Filename{Heinrich Heine
2599     <heinrich@gpg4win.de>}
2600
2601     For OpenPGP certificates, you can use Kleopatra to add additional user IDs to your certificate using the  menu\Menu{Certificates$\rightarrow$%
2602     \T\ifthenelse{\boolean{DIN-A5}}{}{ }%
2603     Add user ID...} menu item. This makes sense if, for example, you wish to use the same certificate for another   \Email{} address. Please note: Kleopatra only allows you to add user IDs for OpenPGP certificates, but not X.509. 
2604
2605 \item[Fingerprints] are used to differentiate multiple certificates from each other. You can use fingerprints to look for (public) certificates, which are stored on a globally available OpenPGP key server (key server) or an X.509 key server. You can read more about key servers in the next chapter.
2606
2607 \item[The key ID] consists of the last eight characters of the fingerprint and fulfils the same function. While less characters make it easier to handle key IDs, they also increase the risk of multiple hits (different certificates with the same ID).
2608
2609 \item[The validity] of certificates describes the duration of their validity and their expiry date, if applicable.\index{expiry date}
2610     
2611     In the case of OpenPGP certificates, the validity is usually set to \Menu{Indefinite} . You can change this in Kleopatra by clicking on \Button{Change expiry date} in the certificate details -- or select the \Menu{Certificates$\rightarrow$Change expiry date} and enter a new date. This means that you can declare the certificate valid for a limited time period, e.g. in order to issue it to outside employees.
2612
2613 The validity of X.509 certificates is defined by the certificate authority when the certificate is issued, and cannot be changed by the user.
2614
2615 \item[Trust in the certificate holder] \T\marginOpenpgp
2616     quantifies your own subjective confidence that the owner of the OpenPGP certificate is real (authentic) and that he will also correctly authenticate other OpenPGP certifictes. You set the trust with \Button{Change trust in certificate holder} in the certificate details, or via the menu\Menu{Certificates$\rightarrow$Change trust status} menu item.
2617
2618 The trust status is only relevant for OpenPGP certificates.
2619
2620 No such method exists for X.509 certificates.
2621
2622 \item[Authentications] \T\marginOpenpgp
2623     of your OpenPGP certificate include the user IDs of those certificate holders who are convinced of the authenticity of your certificate and have thus authenticated it. Trust in the authenticity of your certificate increases with the number of authentications you receive from other users.
2624
2625 Authentications are only relevant to OpenPGP certificates. This type of trust mechanism does not exist for X.509 certificates.
2626
2627 \end{description}
2628
2629 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
2630 You do not necessarily have to know the certificate details to use Gpg4win on a daily basis, but they do become relevant when you want to receive or change new certificates.
2631
2632 You already learnt how to inspect and authenticate someone else's certificate and about the ``Web of Trust'' in Chapter \ref{ch:trust} .
2633
2634
2635 \clearpage
2636 \chapter{The key server}
2637 \label{ch:keyserver}
2638 \index{Key server}
2639
2640 Section~\ref{sec_publishPerKeyserver} already provided a lot of information on how to use a key server to publish your public (OpenPGP or X.509) certificate. This section will take a closer look at key servers, and will show you how to use them with Kleopatra.
2641
2642 Key servers can be used by all programs that support the standards OpenPGP or X.509. Kleopatra supports both types, hence both OpenPGP as well as X.509 key servers.
2643
2644
2645 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2646
2647 \begin{description}
2648
2649 \item[OpenPGP key servers]\T\marginOpenpgp
2650     \index{Certificate server!OpenPGP}
2651     are organized on a decentralised basis and synchronize each other on a global basis.
2652
2653 There are no current statistics about their number of how many OpenPGP certificates they contain. This shared network of OpenPGP key servers provides better availability and prevents individual system administrators from deleting certificates which would make secure communication impossible (``Denial of Service'' attack).\index{Denial of Service}
2654
2655     \htmlattributes*{img}{width=300}
2656     \IncludeImage[width=0.5\textwidth]{keyserver-world}
2657
2658 \item[X.509 key servers] \T\marginSmime
2659     \index{Certificate server!X.509}
2660     are generally made available by the certificate authorities via LDAP\index{LDAP} and are sometimes also described as directory services for X.509 certificates.
2661
2662 \end{description}
2663
2664
2665 \clearpage
2666 \section{Key server configuration}
2667 \label{configureCertificateServer}
2668 \index{Set up!certificate server}
2669
2670 Open the configuration dialog in Kleopatra:\\
2671 \Menu{Settings $\rightarrow$ Configure Kleopatra...}
2672
2673
2674 Now set up a new key server under the group \Menu{Certificate servers} by clicking on the \Menu{New}
2675 button. Select between \Menu{OpenPGP} or \Menu{X.509}.
2676
2677 In \Menu{OpenPGP}, a default 
2678 OpenPGP key server with the server address
2679 \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
2680 will be added to the list. You can use this server without making any changes -- or you can use one of the suggested OpenPGP server addresses on the next page.
2681
2682 For \Menu{X.509} you will see the following default settings for an X.509 key server: (Protokoll: ldap, Servername: server,
2683 Server-Port: 389).  Complete the information on the server name and basic DN of your X.509 key server and check the server port. 
2684
2685 If your certificate server requires a user name and password, activate the option 
2686  \Menu{Requires user authentication} and enter the required information.
2687
2688
2689 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2690 The screenshot below shows a configured 
2691 OpenPGP key server:
2692
2693 % screenshot: Kleopatra OpenPGP certificate server config dialog
2694 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_de}
2695
2696 Confirm the configuration by pressing \Button{OK}. You have successfully configured your key server.
2697
2698 To ensure that you have correctly configured the key server, it is helpful to start e.g. a certificate search on the server (for instructions, see 
2699 Section~\ref{searchAndImportCertificateFromServer}).
2700
2701 \textbf{Proxy setting:}\index{Proxy} 
2702 If you use a proxy in your network, you should add the parameter \Filename{http-proxy=<proxydomain>} to the key server address in the \Menu{Server name} column.
2703 The full server name could therefore look as follows:\\
2704
2705 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ You can also review and if necessary correct the key server configurations in the file: \Filename{@percent;APPDATA@percent;\back{}gnupg\back{}gpg.conf}\\
2706
2707 Explanations regarding the system-wide configuration of X.509 key servers can be found in  Section~\ref{x509CertificateServers}.
2708
2709
2710 \subsubsection{OpenPGP key server addresses}
2711
2712 \T\marginOpenpgp
2713 We recommend that you only use up-to-date OpenPGP key servers, since only they can handle the newer OpenPGP characteristics. 
2714
2715 Here is a selection of well-functioning key servers:
2716 \begin{itemize}
2717 \item hkp://blackhole.pca.dfn.de
2718 \item hkp://pks.gpg.cz
2719 \item hkp://pgp.cns.ualberta.ca
2720 \item hkp://minsky.surfnet.nl
2721 \item hkp://keyserver.ubuntu.com
2722 \item hkp://keyserver.pramberger.at
2723 \item http://keyserver.pramberger.at
2724 \item http://gpg-keyserver.de
2725 \end{itemize}
2726
2727 If you have problems with your firewall, it is best to try key servers whose URL begins with \Filename{http://}.
2728
2729 The key servers under the addresses
2730
2731 \begin{itemize}
2732     \item hkp://keys.gnupg.net (Kleopatra pre-selection, see screenshot on previous page)
2733 \item hkp://subkeys.pgp.net
2734 \end{itemize}
2735 are a collection point for an entire network of these servers; a concrete server will be selected randomly. 
2736
2737 \textbf{Attention:} Do not use \Filename{ldap://keyserver.pgp.com} as
2738 a key server, since it does synchronize with other servers (Status: May 2010).
2739
2740 \clearpage
2741 \section{Search and import certificates from key servers}
2742 \label{searchAndImportCertificateFromServer}
2743 \index{Certificate server!Search for certificates}
2744 \index{Import!certificate}
2745
2746 Once you have configured at least one key server, you can now look for and import certificates.
2747
2748 To do this, in Kleopatra click on \Menu{File$\rightarrow$Search for certificates on server...}.
2749
2750 You will see a search dialog with an input field into which you can enter the name of the certificate holder -- or ideally -- the \Email{} address of his certificate.
2751
2752
2753 % screenshot: Kleopatra certification search dialog
2754 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_de}
2755
2756 To view the details of a selected certificate, click on the button \Button{Details...}.
2757
2758 If you wish to add one of the certificates you have found into your local certificate collection, select the certificate from a list of search results and click on 
2759 \Button{Import}.
2760
2761 Kleopatra will subsequently display a dialog with the import results. Confirm with \Button{OK}.
2762
2763 If the import was successful, you will see the selected certificate in Kleopatra's certificate administration.
2764
2765
2766 \section{Exportin certificates to OpenPGP key servers}
2767 \index{Export!certificate}
2768
2769 \T\marginOpenpgp
2770 If you have configured an OpenPGP key server as described in Section
2771 \ref{configureCertificateServer}, a click of your mouse will send your public OpenPGP certificate around the world.  
2772         
2773 Select your OpenPGP certificate in Kleopatra and then click on the menu item \Menu{File$\rightarrow$Export certificate to server...}.
2774
2775 You only need to send your certificate to any of the available OpenPGP key servers, since almost all of these will synchronize on a global level. It may take one to two days until your OpenPGP certificate is actually available worldwide, but then you will have a ``global" certificate.
2776
2777 If you export your certificate without first having configured an OpenPGP certificate server, Kleopatra will suggest the default server 
2778 \Filename{hkp://keys.gnupg.net}.
2779
2780
2781
2782 \clearpage
2783 \chapter{Encrypting file attachments}
2784 \index{Encrypting file attachments}
2785
2786 If you want to send an encrypted \Email{} and attach files, you generally also want your attachments to be encrypted.
2787
2788 Where GnuPG is well integrated into your \Email{} program, attachments should be treated just like the actual text of your 
2789  \Email{}, hence they should be signed, encrypted or both.
2790
2791 \textbf{GpgOL automatically assumes the encryption and signing of attachments.}
2792
2793 In the case of encryption tools that are not as well integrated into an \Email{} program, you have to be careful: Attachments are often sent along in uncrypted form.
2794
2795 What to do in such a case?    
2796
2797 Easy: you encrypt the attachment separately and then attach it to the 
2798 \Email{}. Therefore this is no different from simply encrypting files, as described in Chapter~\ref{ch:EncFiles}.
2799
2800
2801 \clearpage
2802 \chapter{Signing and encrypting files}
2803 \label{ch:EncFiles}
2804 \index{GpgEX}
2805
2806 You can use Gpg4win for signing and encrypting not just \Email{}s, but also individual files. The principle is the same: 
2807
2808 \begin{itemize}
2809   \item You \textbf{sign} a file using your private certificate, to ensure that the file cannot be modified. 
2810
2811   \item Then \textbf{encrypt} the file using a public certificate, to prevent unauthorized persons from seeing it. 
2812 \end{itemize}
2813
2814 Using the application \textbf{GpgEX}, you can sign or encrypt files out of 
2815 Windows Explorer -- with both OpenPGP or S/MIME.  This chapter shows you exactly how this works.
2816
2817 If you are sending a file as an \Email{} attachment, e.g. GpgOL will automatically look after signing and encrypting your file together with your \Email{}.  You do not have to do anything else. 
2818
2819 \clearpage
2820 \section{Signing and checking files}
2821 \label{sec_signFile}
2822 \index{Sign!file}
2823
2824 When signing a file, you are mainly concerned about making sure it is not changed, rather than keeping it secret
2825 \index{Integrity}
2826 (Integrität)\index{Integrity|see{Integrity}}.
2827
2828 Signing is very easy using \textbf{GpgEX} from the Windows Explorer context menu.
2829 Select one or more files or folders and use the right mouse key to select the context menu: 
2830
2831 % screenshot GpgEX contextmenu sign/encrypt
2832 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
2833
2834 You will see the \Menu{Sign and encrypt} menu.
2835
2836 \clearpage
2837 In the following window, select the option \Menu{Sign}:
2838
2839 % screenshot sign file, step 1
2840 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_de}
2841
2842 If required, you can also use the option  \Menu{Output as text (ASCII
2843 armor\index{ASCII armor})}.  
2844
2845 The signature file will receive the file ending 
2846 \Filename{.asc} (OpenPGP) or  \Filename{.pem} (S/MIME).  
2847 These file types can be opened with any text editor -- you will however only see the numbers and letters you have already seen before. 
2848
2849
2850 If this option is not selected, the signature will be created with the ending
2851  \Filename{.sig} (OpenPGP) or \Filename{.p7s} (S/MIME).
2852 These files are binary files, and they cannot be viewed in a text editor.
2853
2854
2855 Then click on \Button{Next}.
2856
2857 \clearpage
2858
2859 In the following dialog -- if not already selected by default -- select your private (OpenPGP or S/MIME) certificate with which you want to sign the file.
2860
2861
2862 % screenshot sign file, step 2: choose sign certificates
2863 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_de}
2864
2865 Now confirm your selection with \Button{Sign}.
2866
2867 Enter your passphrase in the pin entry dialog.
2868
2869
2870 \clearpage
2871 Once the signing process has completed successfully, the following window appears:
2872
2873 % screenshot sign file, step 3: finish
2874 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_de}
2875
2876 You have now successfully signed the file.
2877
2878 A ``separate'' signature is always used to sign a file. That means that your file that is to be signed will remain unchanged and a second file with the actual signature will be created. To verify the signature later on, you will need both files.
2879
2880
2881  The example below shows which new file you will receive if you sign your selected file
2882 (here \Filename{<dateiname>.txt}) using
2883 OpenPGP or S/MIME. There are four possibler esulting file types:
2884
2885 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
2886
2887 \begin{description}
2888     \item[OpenPGP:]~\\
2889     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.sig}}\\
2890     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.asc}}
2891     ~ \small (output as text/ASCII-armor)
2892     \normalsize
2893
2894     \item[S/MIME:]~\\
2895     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.p7s}}\\
2896     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.pem}}
2897     ~ \small{ (output as text/ASCII-armor)}
2898     \normalsize
2899 \end{description}
2900
2901 \clearpage
2902 \subsubsection{Checking a signature}
2903 \index{File!Check signature}
2904
2905 Now check the integrity of the file that has just been signed, i.e. check that it is correct! 
2906
2907 To check for integrity and authenticity, the signature file -- hence the file with the ending
2908  \Filename{.sig},
2909 \Filename{.asc}, \Filename{.p7s} or \Filename{.pem} -- and the signed original file
2910 (original file) must be in the same file folder. 
2911 Select the signature file and select the entry \Menu{Decrypt and check} from the Windows Explorer context menu:
2912
2913
2914 % screenshot GpgEX contextmenu verifiy/decrypt
2915 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
2916
2917 \clearpage
2918 You will see the following window:
2919
2920 % screenshot kleopatra verify file, step 1
2921 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_de}
2922
2923 Under \Menu{Enter file}, Kleopatra shows the full path to your selected signature file.
2924
2925 The option \Menu{Input file is a separate signature} is
2926 activated since you have signed your original file (here: \Menu{Signed file})
2927 with the input file.  
2928 Kleopatra will automatically find the associated signed original file in the same file folder.
2929
2930 The same path is also automatically selected for the \Menu{Ouput folder}. It only becomes relevant however once you are processing more than one file simultaneously.
2931
2932 Confirm the operations with 
2933 \Button{Decrypt/Check}.
2934
2935 \clearpage
2936 Following a successful check of the signature, the following window appears:
2937
2938 % screenshot kleopatra verify file, step 2
2939 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_de}
2940
2941 The result shows that the signature is correct -- therefore you can be sure that the file's integrity has been preserved and therefore the file has \textbf{not} been modified.
2942
2943 \clearpage
2944 Even if only one character is added to the original file, or is deleted or modified, the signature will be shown as having been broken
2945 (Kleopatra displays the result as a red warning):
2946
2947 % screenshot kleopatra verify file, step 2a (bad signature)
2948 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_de}
2949
2950
2951 \clearpage
2952 \section{Encrypting and decrypting files}
2953 \index{Encrypt!file}
2954
2955 Files can be signed and encrypted just like \Email{}s. You should practice it once more in the following section using GpgEX and Kleopatra.
2956
2957 Select one (or more) file(s) and open the context menu using your right mouse key:
2958
2959
2960 % screenshot GpgEX contextmenu sign/encrypt
2961 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_de}
2962
2963 Select \Menu{Sign and encrypt} again.
2964
2965 \clearpage
2966 You will see the already familiar dialog from signing a file (see also 
2967 section~\ref{sec_signFile}).
2968
2969 In the top field, select the option \Menu{Encrypt}:
2970
2971 % screenshot kleopatra encrypt file, step 1
2972 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_de}
2973
2974 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
2975
2976 You should only change the encryption settings if this is required:
2977 \begin{description}
2978     \item[Output as text (ASCII armor\index{ASCII armor}):] 
2979     When you activate this option, you will obtain the encrypted file with the file ending 
2980      \Filename{.asc} (OpenPGP) or \Filename{.pem} (S/MIME).  
2981     These file types can be opened with any text editor -- but you will only see the mixture of letters and characters you have already seen before. 
2982
2983 If this option is not selected, the system will create an encrypted file with the ending  
2984  \Filename{.gpg} (OpenPGP) or \Filename{.p7m} (S/MIME). These files are binary files, so they cannot be viewed with a text editor.
2985
2986     \item[Delete unencrypted original:] If this option is activated, the selected original file will be deleted after encryption. 
2987 \end{description}
2988
2989 Click on \Button{Next}.
2990
2991 \clearpage
2992 Who should the file be encrypted for? Select one or more recipient certificates in the next dialog: 
2993
2994 % screenshot kleopatra encrypt file, step 2
2995 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile2_de}
2996
2997 To make your selection, choose the required certificates in the top portion and press \Button{Add}. You will see all selected certificates in the lower dialog portion for review purposes.  
2998
2999 Depending on the selected recipient certificate and its type (OpenPGP or S/MIME), your file is then encrypted using OpenPGP and/or S/MIME. So if you selected an OpenPGP certificate 
3000 \textit{and } an S/MIME certificate, you will receive two encrypted files. The possible file types for the encrypted files are found on the next page. 
3001
3002 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{\baselineskip}}{}
3003
3004 Now click on \Button{Encrypt}: The file is encrypted.
3005
3006 \clearpage
3007 After a successful encryption, the results window should look something like this:
3008 % screenshot kleopatra encrypt file, step 3: successful
3009 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile3_de}
3010
3011 That's it! You have successfully encrypted your file!
3012
3013 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3014
3015 Similar to signing a file, the result will depend on the selected encryption method (OpenPGP or S/MIME). An encryption of your original file (here \Filename{<filename>.txt}) can result in four possible file types:
3016
3017
3018 \begin{description}
3019     \item[OpenPGP:]~\\
3020     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.gpg}}\\
3021     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.asc}}
3022     ~ \small (for output as text/ASCII-armor)
3023     \normalsize
3024
3025     \item[S/MIME:]~\\
3026     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.p7m}}\\
3027     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.pem}}
3028     ~ \small{ (for output as text/ASCII-armor)}
3029     \normalsize
3030 \end{description}
3031
3032 You now forward one of these four possible encrypted files to your selected recipient. In contrast to signing a file, the unencrypted original file is of course \textbf{not} forwarded.
3033
3034
3035
3036 \clearpage
3037 \subsubsection{Decrypting a file}
3038 \index{Decrypt!file}
3039 Now you can decrypt the previously encrypted file for test purposes. 
3040
3041 To this end, you should also have encrypted to your own certificate during the previous encryption process -- otherwise you cannot decrypt the file with your private key (see Chapter~\ref{ch:archive}).
3042
3043 Select the encrypted file -- hence one that ends with 
3044 \Filename{.gpg}, \Filename{.asc}, \Filename{.p7m} oder \Filename{.pem}
3045 -- and select the entry \Menu{Decrypt and check} in the Windows Explorer context menu:
3046
3047 % screenshot contextmenu verifiy/decrypt
3048 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_de}
3049
3050 \clearpage
3051 If you like, you can still change the output folder in the following decryption dialog. 
3052
3053 % screenshot kleopatra decrypt file, step 1
3054 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile1_de}
3055
3056 Click on \Button{Decrypt/Check}.
3057
3058 Then enter your passphrase.
3059
3060 \clearpage
3061 The result shows that the decryption was successful:
3062
3063 % screenshot kleopatra decrypt file, step 2
3064 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-decryptFile2_de}
3065
3066 You should now be able to easily read the decrypted file or use it with a corresponding program. 
3067
3068 \clearpage
3069 \subsubsection{In short}
3070 You have learnt how to do the following using GpgEX:
3071 \begin{itemize}
3072     \item sign files
3073     \item check signed files
3074     \item encrypt files
3075     \item decrypt files
3076 \end{itemize}
3077
3078 \subsubsection{Simultaneous encryption and signature}
3079
3080 You have probably already noticed this option in the corresponding dialogs. If you select it, GpgEX will combine both tasks in one step.
3081
3082 Please ensure that {\em signatures are applied first}, before the encryption process.
3083
3084 The signature is therefore always encrypted at the same time. It can only be viewed and checked by those who have successfully decrypted the file.
3085
3086 If you want to sign \textit{and} encrypt the file, you can only do it with OpenPGP at this time.
3087
3088
3089
3090 \clearpage
3091 \chapter{Importing and exporting a private certificate}
3092 \label{ch:ImExport}
3093
3094 Chapters \ref{ch:publishCertificate} and 
3095 \ref{ch:importCertificate} explained the import and export of certificates. You exported your own certificate in order to publish it, and you have imported the certificate of your correspondence partner and thus attached it to your ``key ring\index{key pair}'' (i.e. accepted it into your certificate administration).
3096
3097 This process always referred to \textbf{public} keys. However, sometimes it is also necessary to import or export a \textbf{private}
3098 key. For example, if you wish to continue to use an already existing (OpenPGP or S/MIME) key pair with Gpg4win, you have to import it. Or, if you want to use Gpg4win from another computer, the entire key pair has to be transferred to that computer  --~the public and private key.
3099
3100 \clearpage
3101 \section{Export}
3102 \index{Export!certificate}
3103
3104 You must make up a backup copy using Kleopatra anytime you transfer a private certificate to another computer or want to save it to another hard drive partition or backup medium.
3105
3106 You may have already set up such a backup copy at the end of your OpenPGP certificate creation process. Since your OpenPGP certificate may have received additional authentications in the meantinme, you should back it up again if applicable.
3107
3108 Open Kleopatra, select your own certificate click on \Menu{File$\rightarrow$Export private certificate}.
3109
3110 %### screenshot kleopatra export secret key
3111 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-openpgp-exportSecretKey_de}
3112
3113 Select the path and the file name of the output file. The file type is set automatically. Depending on whether you want to export a private OpenPGP or S/MIME key, the file ending \Filename{.gpg} (OpenPGP) or \Filename{.p12} (S/MIME)will be selected by default. These are binary files which contain your encrypted certificate (including the private key).
3114
3115 When you activate the option \Menu{ASCII-protected (ASCII armor\index{ASCII armor})}, the file ending \Filename{.asc} (OpenPGP) or \Filename{.pem} (S/MIME) will be selected. These file types can be opened with any text editor -- but you will only see the "mess" of numbers and characters that we have already seen before. 
3116
3117 If this option is not selected, an encrypted file with the ending \Filename{.gpg} (OpenPGP) or \Filename{.p12} (S/MIME) will be created. These files are binary files, so they cannot be viewed with a text editor.  
3118
3119 Kleopatra stores both key parts -- private and public -- in \textbf{one} private certificate.
3120
3121 \textbf{Attention:} Please handle this file very carefully. It contains your private key and therefore information that is critical to security!
3122
3123 \clearpage
3124 \section{import}
3125 \index{Import!certificate}
3126
3127 To import your previously exported private certificate into Kleopatra, proceed as you would for importing other public certificates (see Chapter~\ref{ch:importCertificate}):
3128
3129 Click on \Menu{File$\rightarrow$Import certificate...} and select the file to be imported. If it concerns a PKCS12 file (e.g. type \Filename{.p12}), the system will first ask you for a passphrase to unlock the private key:
3130
3131
3132 % screenshot pinentry p12 import (I)
3133 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-a_de}
3134
3135 Now enter the prassphrase -- which could also be a new one -- that is used to protect your private key after the import is complete:
3136
3137 % screenshot pinentry p12 import (II)
3138 \IncludeImage[width=0.5\textwidth]{sc-pinentry-p12-import-b_de}
3139
3140 Repeat the passphrase entry. If your passphrase is too short or consist only of letters, the system will give you a corresponding warning.
3141
3142 \clearpage
3143 Following a successful import, an information window displaying the results of the import process will appear; here is an example of a private OpenPGP certificate:
3144
3145
3146
3147 % screenshot kleopatra import secret key - status
3148 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-import-openpgp-secret-key_de}
3149
3150 Kleopatra has imported both the private as well as the public key from the backup file. Your certificate can be found in ``My certificates'' in Kleoatra's certificate administration.
3151
3152 Please also save the backup copy of your private certificate -- if possible on a physically secured (e.g. in a vault) external medium. Then delete it from your hard drive and also remember to remove the deleted file from your ``recycling bin''. Otherwise this file poses a great security risk for your secret \Email{} encryption.\\
3153
3154 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3155 \T\marginOpenpgp
3156 There may be cases when you are not able to import a certificate exported with PGP (``Pretty Good Privacy''). This is because some PGP versions use an algorithm (IDEA) which cannot be supported by GnuPG for legal reasons.
3157
3158 To take care of this problem, simply change the passphrase in PGP and export/import the OpenPGP certificate again. If this also does not work, set the passphrase in PGP to ``empty'', that is, no protection, and export/import again -- in this case you must ensure that you have securely deleted the \textbf{file} and then set up a new real 
3159 \textbf{passphrase} in PGP and Gpg4win.
3160
3161 ~\\ \textbf{Congratulations! You have successfully exported and reimported your key pair.}
3162
3163
3164 \clearpage
3165 \chapter{System-wide configuration and pre-population for
3166 \protect{S/MIME}}
3167 \label{ch:smime-configuration}
3168
3169 \T\enlargethispage{\baselineskip}
3170 \T\marginSmime
3171 As part of a central software distribution or environments in which many users are working on one computer, it makes sense to set up some system-wide specifications and pre-populations for Gpg4win.
3172 This relates particularly to S/MIME, because in the case of specified chains of trust it makes sense that users share the information.
3173
3174 Some typical system-wide settings include:
3175
3176 \begin{description}
3177 \item[Trustworthy root certificates:]
3178     \index{Trustworthy root certificates}
3179     \index{Root certificate}
3180     
3181     To avoid a situation where each user must search and install the required root certificates, and check and authenticate the trustworthiness of the same (see Section \ref{sec_allow-mark-trusted}), it is useful to install a system-wide pre-population of the most important root certificates. To this end, the root certificates should be saved -- as described in Section \ref{trustedrootcertsdirmngr} -- and the trustworthy root certificates should be defined -- as described in Section \ref{sec_systemtrustedrootcerts}.
3182     
3183    
3184 \item[Directly available CA certificates:] \index{CA certificate}    
3185 To save users from searching and importing the certificates of certificate authorities, it also makes sense to pre-populate the system with the most important CA certificates. For a description, see Section \ref{extracertsdirmngr}.
3186
3187     
3188
3189
3190 \item[Proxy for certificate server and certificate revocation list searches:]
3191     \index{Proxy}
3192
3193     
3194     With respect to validity information, X.509 protocols offer different options. Most certification agencies publish certificate revocation lists\index{certificate revocation lists} (also described as CRLs \index{CRLs|see{Certificate Revocation Lists}}, supported as per RFC5280) and  OSCP\index{OSCP} (as per RFC2560). OSCP has more recent information, but with the disadvantage that network traffic occurs all the way to the OSCP service, and it is therefore possible to see with whom messages are being exchanged. GnuPG can work with both options; component 
3195     ``DirMngr'' \index{Directory Manager|see{DirMngr}}    \index{DirMngr} that runs as the system-wide service.
3196     
3197     Internal networks cannot permit individual computers to directly connect to the outside (central firewall), but can provide an acting service, a so-called ``proxy''. DirMngr can also handle HTTP and LDAP proxies \index{LDAP} \index{HTTP}.
3198     
3199     S/MIME certificates usually contain information on where your certificate revocation list can be picked up externally. Oftentimes it includes HTTP, but also directory services via LDAP\index{LDAP}. In contrast to OpenPGP, the client cannot pick where to pick up the certificate revocation list, but has to follow the available information. Since some certificates only provide certificate revocation lists via LDAP, it is necessary to allow both HTTP as well as LDAP queries to the outside. If possible, an acting service can ensure, at the content level, that only X.509 certificate revocation lists with correct information are transmitted. 
3200     
3201        
3202     \clearpage
3203    If your network requires a proxy for the HTTP and HKP or LDAP queries required for OpenPGP or S/MIME, please follow these steps:
3204    
3205     
3206     \begin{enumerate}
3207         \item Set the X.509 certificate server search to a proxy, as described in Section~\ref{x509CertificateServers}.
3208
3209         \item Set the certificate revocation list search to a proxy, also described in Section~\ref{x509CertificateServers}.
3210            
3211         \item Restart the DirMngr (see Section~\ref{dirmngr-restart}).
3212     \end{enumerate}
3213 \end{description}
3214
3215
3216
3217 \clearpage
3218 \chapter{Known problems and help}
3219 \index{Troubleshooting}
3220
3221 \section{GpgOL menus and dialogs no longer found in Outlook} 
3222 \index{Outlook}
3223 It may happen that the menus and dialogs added to Outlook by GpgOL can no longer be found.
3224
3225 This may be due to a technical problem that caused Outlook to deactivate the GpgOL component.
3226
3227 Reactivate GpgOL via the Outlook menu:\\ Outlook2007:
3228 \Menu{%TODO 
3229 $\rightarrow$Deactivated components}\\ Outlook2003:
3230 \Menu{%TODO 
3231 $\rightarrow$Info$\rightarrow$Deactivated components}
3232
3233 To (de)activate GpgOL manually, use Outlook's add-in manager:
3234 \begin{itemize}
3235     \item \textbf{Outlook2003:}
3236         \Menu{Extras$\rightarrow$Options$\rightarrow$Other$\rightarrow$Advanced options... $\rightarrow$ Add-In manager...}
3237     \item \textbf{Outlook2007:}
3238         \Menu{Extras$\rightarrow$Trust relations Center$\rightarrow$Add-Ins}
3239         -- then select \Menu{Exchange - Client extensions} under \Menu{Manage} and click on \Button{Go to...}.
3240 \end{itemize}
3241
3242 \section{GpgOL buttons are not on the Outlook 2003 toolbar}
3243
3244 If there are already a lot of buttons on the toolbar of the message window, Outlook 2003 will not necessarily display GpgOL's signature/encryption icons.
3245
3246 You can display these buttons by clicking on the small icon with the arrow pointing dowwards on the tool bar (\Menu{Options for toolbar}): You will see an overview of all non-displayed buttons. Clicking on an entry will move it into the visible area of the toolbar. 
3247
3248
3249 \section{GpgOL button are listed unter ``Add-Ins'' (Outlook 2007)}
3250
3251 Outlook 2007 introduced the so-called ``ribbon'' interface. This multi-functional bar in the Outlook message window has different tabs. The GpgOL buttons (for encryption, signatures etc.) are organised under the ``Add-Ins'' tab; Outlook saves all buttons of extensions in that location. It is not possible to integrate the GpgOL buttons under ``Messages'', for example.
3252
3253 You can adjust your \Menu{tool bar for quick access} and add the toolbar commands of the Add-Ins tab.
3254
3255
3256
3257 \section{Errors when starting GpgOL}
3258 If you have first installed Gpg4win (and hence the GpgOL program
3259 component) on a drive, then uninstalled it and re-installed it on
3260 another drive? If yes, it is possible that Outlook will continue to search
3261 for the GpgOL path on the first (old) drive.
3262
3263 This means that the GpgOL program extension is no longer started when
3264 Outlook starts, and the following error message appears:
3265
3266
3267 \Menu{The extension '\Filename{<old path to gpgol.dll>}' could not be
3268 installed or loaded. The problem can be solved by using 'Detect and
3269 repair' in Help, among other things.}
3270
3271 You can solve this problem by resetting the internal Outlook (cached)
3272 program extension path. To do this, please delete the following
3273 file:\\
3274 \Filename{@percent;APPDATA@percent;\back{}Lokale
3275 Einstellungen\back{}Application data\back{}Microsoft\back{}\T\\
3276 Outlook\back{}extend.dat}
3277
3278 \textbf{Outlook should not be running during this process.} Then restart Outlook, and it should work fine with GpgOL.
3279
3280
3281
3282 \section{Installation of Gpg4win on a virtual drive}
3283
3284 Please note that it is not possible to install Gpg4win on a \textbf{virtual drive} simulated with the command \Filename{subst}. These virtual drives can only be used locally by the current user. System services, such as DirMngr, do not see these drives. Therefore the installation path is not valid -- the installation will stop with error type \linebreak \Filename{error:StartService: ec=3}. Please install Gpg4win on a drive that is available across the system.
3285
3286
3287 \section{GpgOL does not check ``CryptoEx'' InlinePGP \Email{}s}
3288 \index{CryptoEx}
3289
3290 To check or decrypt signed or encrypted InlinePGP \Email{}(s) sent by
3291 the Outlook program extension ``CryptoEx'', S/MIME support must be
3292 activated in the GpgOL options.
3293
3294 Make sure that the following option is active in Outlook under
3295 \Menu{Extras$\rightarrow$Options$\rightarrow$GpgOL}:\\ \Menu{Activate
3296 S/MIME support}.
3297
3298
3299 \clearpage
3300 \section{Does not allow S/MIME operations (system service
3301 ``DirMngr'' not running)}
3302 \label{dirmngr-restart}
3303 \index{DirMngr}
3304
3305 \T\marginSmime
3306 The ``Directory Manager'' (DirMngr) is a service installed by Gpg4win,
3307 which manages access to certificate servers. One task of the DirMngr
3308 is to load certificate revocation lists (CRLs) for S/MIME
3309 certificates.
3310
3311 It is possible that S/MIME operations (signature creation and check,
3312 encryption and decryption) cannot be performed because DirMngr is not