(manual) Fixed reported typos in English compendium file.
[gpg4win.git] / doc / manual / gpg4win-compendium-en.tex
1 % gpg4win-compendium-en.tex
2 % Note, that this a HyperLaTeX source and not plain LaTeX!
3
4 % DIN A4
5 \documentclass[a4paper,11pt,oneside,openright,titlepage]{scrbook}
6
7 % DIN A5
8 %\documentclass[a5paper,10pt,twoside,openright,titlepage,DIV11,normalheadings]{scrbook}
9
10 \usepackage{ifthen}
11 \usepackage{hyperlatex}
12
13 % Switch between papersize DIN A4 and A5
14 % Note: please comment in/out one of the related documentclass lines above
15 \T\newboolean{DIN-A5}
16 %\T\setboolean{DIN-A5}{true}
17
18 % define packages
19 \usepackage{times}
20 \usepackage[latin1]{inputenc}
21 \usepackage[T1]{fontenc}
22 \T\usepackage[english]{babel}
23 \W\usepackage[english]{babel}
24 \usepackage[babel]{csquotes}
25 \T\defineshorthand{``}{\openautoquote}
26 \T\defineshorthand{''}{\closeautoquote}
27 \usepackage{ifpdf}
28 \usepackage{graphicx}
29 \usepackage{alltt}
30 \usepackage{moreverb}
31 \T\ifthenelse{\boolean{DIN-A5}}{}{\usepackage{a4wide}}
32 \usepackage{microtype}
33 \W\usepackage{rhxpanel}
34 \W\usepackage{sequential}
35 \usepackage[table]{xcolor}
36 \usepackage{color}
37
38 \usepackage{fancyhdr}
39 \usepackage{makeidx}
40
41
42 % write any html files directly into this directory
43 % XXX: This is currently deactivated, but sooner or later
44 % we need this to not let smae filenames overwrite each other
45 % when we have more than one compendium. The Makefile.am needs
46 % to be updated for this as well - not a trivial change.
47 \W\htmldirectory{compendium-html/en}
48
49
50 % Hyperref should be among the last packages loaded
51 \usepackage[breaklinks,
52     bookmarks,
53     bookmarksnumbered,
54     pdftitle={The Gpg4win Compendium},
55     pdfauthor={Emanuel Schütze; Werner Koch; Florian v. Samson; Dr.
56       Jan-Oliver Wagner; Ute Bahn; Karl Bihlmeier; Manfred J. Heinze;
57       Isabel Kramer; Dr. Francis Wray},
58     pdfsubject={Secure e-mail and file encryption using GnuPG for Windows},
59     pdfkeywords={Gpg4win; e-mail; file; encrypt; decrypt; sign;
60     OpenPGP; S/MIME; X.509; certificate; Kleopatra; GpgOL; GpgEX;
61     GnuPG; secure; email security; cryptography; public key;
62     Free Software; signature; verify; FLOSS; Open Source Software;
63     PKI; folder} 
64 ]{hyperref}
65
66 %\IfFileExists{hyperxmp.sty}{
67 %  \usepackage{hyperxmp}
68 %  \hypersetup{
69 %      pdfcopyright={GNU Free Documentation License (GFDL)},
70 %      pdflicenseurl={http://www.gnu.org/copyleft/fdl.html}
71 %  }
72 %}
73
74 % set graphic extension
75 \begin{latexonly}
76     \ifpdf
77         \DeclareGraphicsExtensions{.png}
78     \else
79         \DeclareGraphicsExtensions{.eps}
80     \fi
81 \end{latexonly}
82
83 % set page header/footer
84 \T\ifthenelse{\boolean{DIN-A5}}
85 {% DIN A5
86     \T\fancyhead{} % clear all fields
87     \T\fancyhead[LO,RE]{\itshape\nouppercase{\leftmark}}
88     \T\fancyhead[RO,LE]{\large\thepage}
89     \T\fancyfoot[CE]{www.bomots.de}
90     \T\fancyfoot[CO]{Sichere  }
91     \T\pagestyle{fancy}
92     \renewcommand\chaptermark[1]{\markboth{\thechapter. \ #1}{}}
93     \renewcommand{\footrulewidth}{0.2pt} 
94 }
95 {% DIN A4 
96     \T\fancyhead{} % clear all fields
97     \T\fancyhead[LO,RE]{The Gpg4win Compendium \compendiumVersionEN
98         \T\\
99         \T\itshape\nouppercase{\leftmark}}
100     \T\fancyhead[RO,LE]{\includegraphics[height=0.7cm]{images-compendium/gpg4win-logo}}
101     \T\fancyfoot[C]{\thepage}
102     \T\pagestyle{fancy}
103 }
104
105 \makeindex
106
107 % define custom commands
108 \newcommand{\Button}[1]{[\,\textit{#1}\,]}
109 \newcommand{\Menu}[1]{\textit{#1}}
110 \newcommand{\Filename}[1]{\small{\texttt{#1}}\normalsize}
111 \newcommand{\Email}{e-mail}
112 \newcommand{\EchelonUrl}{http://www.heise.de/tp/r4/artikel/6/6928/1.html}
113 \newcommand\margin[1]{\marginline {\sffamily\scriptsize #1}}
114 \newcommand{\marginOpenpgp}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/openpgp-icon}}}
115 \newcommand{\marginSmime}{\marginline{\vspace{10pt}\includegraphics[width=1.5cm]{images-compendium/smime-icon}}}
116 \newcommand{\IncludeImage}[2][]{
117 \begin{center}
118 \texorhtml{%
119   \includegraphics[#1]{images-compendium/#2}%
120 }{%
121   \htmlimg{../images-compendium/#2.png}%
122 }
123 \end{center}
124 }
125
126 % custom colors
127 \definecolor{gray}{rgb}{0.4,0.4,0.4}
128 \definecolor{lightgray}{rgb}{0.7,0.7,0.7}
129
130 \T\parindent 0cm
131 \T\parskip\medskipamount
132
133 % Get the version information from another file.
134 % That file is created by the configure script.
135 \input{version.tex}
136
137
138 % Define universal url command.
139 % Used for latex _and_ hyperlatex (redefine see below).
140 % 1. parameter = link text (optional);
141 % 2. parameter = url
142 % e.g.: \uniurl[example link]{http:\\example.com}
143 \newcommand{\uniurl}[2][]{%
144 \ifthenelse{\equal{#1}{}}
145 {\texorhtml{\href{#2}{\Filename{#2}}}{\xlink{#2}{#2}}}
146 {\texorhtml{\href{#2}{\Filename{#1}}}{\xlink{#1}{#2}}}}
147
148 %%% HYPERLATEX %%%
149 \begin{ifhtml}
150     % HTML title
151     \htmltitle{Gpg4win Compendium}
152     % TOC link in panel
153     \htmlpanelfield{Contents}{hlxcontents}
154     % link to DE version
155     \htmlpanelfield{\htmlattributes*{img}{style=border:none title=German}
156         \htmlimg{../images-hyperlatex/german.png}{German}}{../de/\HlxThisUrl}
157     % name of the html files
158     \htmlname{gpg4win-compendium}
159     % redefine bmod
160     \newcommand{\bmod}{mod}
161     % use hlx icons (default path)
162     \newcommand{\HlxIcons}{../images-hyperlatex}
163
164     % Footer
165     \htmladdress{$\copyright$ \compendiumDateEN, v\compendiumVersionEN~\compendiuminprogressEN
166     \html{br/}
167     \html{small}
168     The Gpg4win Compendium is filed under the
169     \link{GNU Free Documentation License v1.2}{fdl}.
170     \html{/small}}
171
172     % Changing the formatting of footnotes
173     \renewenvironment{thefootnotes}{\chapter*{Footnotes}\begin{description}}{\end{description}}
174
175     % redefine universal url for hyperlatex (details see above)
176     \newcommand{\linktext}{0}
177     \renewcommand{\uniurl}[2][]{%
178         \renewcommand{\linktext}{1}%
179         % link text is not set
180         \begin{ifequal}{#1}{}%
181             \xlink{#2}{#2}%
182             \renewcommand{linktext}{0}%
183         \end{ifequal}
184         % link text is set
185         \begin{ifset}{linktext}%
186              \xlink{#1}{#2}%
187     \end{ifset}}
188
189
190     % SECTIONING:
191     %
192     % on _startpage_: show short(!) toc (only part+chapter)
193     \setcounter {htmlautomenu}{1}
194     % chapters should be <H1>, Sections <H2> etc.
195     % (see hyperlatex package book.hlx)
196     \setcounter{HlxSecNumBase}{-1}
197     % show _numbers_ of parts, chapters and sections in toc
198     \setcounter {secnumdepth}{1}
199     % show parts, chapters and sections in toc (no subsections, etc.)
200     \setcounter {tocdepth}{2}
201     % show every chapter (with its sections) in _one_ html file
202     \setcounter{htmldepth}{2}
203
204     % set counters and numberstyles
205     \newcounter{part}
206     \renewcommand{\thepart}{\arabic{part}}
207     \newcounter{chapter}
208     \renewcommand{\thecapter}{\arabic{chapter}}
209     \newcounter{section}[chapter]
210     \renewcommand{\thesection}{\thechapter.\arabic{section}}
211 \end{ifhtml}
212
213
214 %%% TITLEPAGE %%%
215
216 \title{
217     \htmlattributes*{img}{width=300}
218     \IncludeImage[width=0.5\textwidth]{gpg4win-logo}%
219     \T~\newline
220     \T\ifthenelse{\boolean{DIN-A5}}%
221     % DIN A5:
222     {\begin{latexonly}
223         \LARGE The Gpg4win Compendium\\[0.3cm]
224         \large \textmd{Secure e-mail and file encryption
225         \\[-0.3cm] using GnuPG for Windows}
226      \end{latexonly}  
227     }%
228     % DIN A4:
229     {The Gpg4win Compendium \\
230       \texorhtml{\Large \textmd}{\large}
231       {Secure e-mail and file encryption using GnuPG for 
232       Windows}
233     }
234 }
235 \author{
236     % Hyperlatex: Add links to pdf versions and Homepage
237     \htmlonly{
238         \xml{p}\small
239         \xlink{PDF version as a download}{http://wald.intevation.org/frs/?group_id=11}
240         \xml{br}
241         \xlink{\htmlattributes*{img}{style=border:none title=German}
242            \htmlimg{../images-hyperlatex/german.png}{} 
243            German Version}{../de/\HlxThisUrl}
244         \xml{br}
245         To the \xlink{Gpg4win homepage}{http://www.gpg4win.org/}
246         \xml{p}
247     }
248     % Authors
249     \T\\[-1cm]
250       \small Based on a version by
251     \T\\[-0.2cm]
252       \small Ute Bahn, Karl Bihlmeier, Manfred J. Heinze,
253       \small Isabel Kramer und Dr. Francis Wray.
254       \texorhtml{\\[0.2cm]}{\\}
255       \small Extensively revised by
256     \T\\[-0.2cm]
257       \small Werner Koch, Florian v. Samson, Emanuel Schütze and Dr. Jan-Oliver Wagner.
258       \texorhtml{\\[0.2cm]}{\\}
259       \small Translated from the German original by
260     \T\\[-0.2cm]
261       \small Brigitte Hamilton
262     \T\\[0.4cm]
263 }
264
265 \date{
266     \T\ifthenelse{\boolean{DIN-A5}}%
267     % DIN A5:
268     {\begin{latexonly}
269         \large A publication of the Gpg4win Initiative
270         \\[0.2cm]
271         Version \compendiumVersionEN~from \compendiumDateEN 
272      \end{latexonly}
273     }%
274     % DIN A4:
275     {A publication of the Gpg4win Initiative
276       \\[0.2cm]
277       Version \compendiumVersionEN~from \compendiumDateEN\\
278       \small\compendiuminprogressDE%
279     }
280 }
281
282
283 % BEGIN DOCUMENT %%%
284
285 \begin{document}
286 \T\pdfbookmark[0]{Title page}{titel}
287 % set title page
288 \texorhtml{
289     \ifthenelse{\boolean{DIN-A5}}
290     {\noindent\hspace*{7mm}\parbox{\textwidth}{\centering\maketitle}\cleardoublepage}
291     {\maketitle}
292 }
293 {\maketitle}
294
295
296 % improved handling of long (outstanding) lines
297 \T\setlength\emergencystretch{3em} \tolerance=1000
298
299
300 \T\section*{Publisher's details}
301 \W\chapter*{Publisher's details}\\
302
303 \thispagestyle{empty}
304 Copyright \copyright{} 2002 Bundesministerium für Wirtschaft und
305 Technologie\footnote{Any copying, distribution and/or modification to
306 this document may not create any impression of an association with the
307 Bundesministerium für Wirtschaft und Technologie 
308 (Federal Ministry for
309 Economics and Technology)}\\
310 Copyright \copyright{} 2005 g10 Code GmbH\\
311 Copyright \copyright{} 2009, 2010 Intevation GmbH
312
313 Permission is granted to copy, distribute and/or modify this document
314 under the terms of the GNU Free Documentation License, Version 1.2 or
315 any later version published by the Free Software Foundation; with no
316 Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A
317 copy of the license is included in the section entitled ``GNU Free
318 Documentation License''.
319
320
321
322 \clearpage
323 \chapter*{About this compendium}
324 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
325
326 The Gpg4win Compendium consists of three parts:
327
328 \begin{itemize}
329 \item \textbf{Part~\link*{1}[\ref{part:Novices}]{part:Novices}
330     ``For Novices''}: A quick course in Gpg4win.
331
332 \item \textbf{Part~\link*{2}[\ref{part:AdvancedUsers}]{part:AdvancedUsers} 
333     ``For Advanced Users''}: Background information for Gpg4win.
334
335 \item \textbf{Annex}: Additional technical information about Gpg4win.\\
336 \end{itemize}
337
338 \textbf{Part~\link*{1}[\ref{part:Novices}]{part:Novices} ``For
339 Novices''} provides a brief guide for the installation and daily use
340 of Gpg4win program components.  The practice robot \textbf{Adele}
341 will help you with this process and allow you to practice
342 the de- and encryption process (using OpenPGP) until you 
343 have become familiar with Gpg4win.
344
345 The amount of time required to work through this brief guide will
346 depend on your knowledge of your computer and Windows.
347 It should take about one hour.\\
348
349 \textbf{Part~\link*{2}[\ref{part:AdvancedUsers}]{part:AdvancedUsers}
350 ``For Advanced Users''} provides background information which
351 illustrates the basic mechanisms on which Gpg4win is based, and also
352 explains some of its less commonly used capabilities.  Part I and II can be
353 used independently of each other. However, to achieve an optimum
354 understanding, you should read both parts in the indicated sequence,
355 if possible.\\
356
357 The \textbf{Annex} contains details regarding the specific technical
358 issues surrounding Gpg4win, including the GpgOL Outlook program
359 extension.\\
360
361 Just like the cryptography program package Gpg4win, this compendium was
362 not written for mathematicians, secret service agents or
363 cryptographers, but rather was written to be read and
364 understood \textbf{by anyone.}\\
365
366 The Gpg4win program package and compendium can be obtained at: \\
367 \uniurl{http://www.gpg4win.org}
368
369 \clearpage
370 \chapter*{Legend\htmlonly{\html{br}\html{br}}}
371
372 This compendium uses the following text markers:
373 \begin{itemize} 
374     \item \textit{Italics} are used for text that appears on a screen
375         (e.g. in menus or dialogs). In addition, square
376         brackets are used to mark \Button{buttons}. 
377
378         Sometimes italics will also be used for individual words in
379         the text, if their meaning in a sentence is to be highlighted
380         without disrupting the text flow, by using \textbf{bold} fond
381         (e.g.\textit{only } OpenPGP).
382
383     \item \textbf{Bold} is used for individual words or sentences
384         which are deemed particularly important and hence must be
385         highlighted. These characteristics make it easier for readers
386         to quickly pick up highlighted key terms and important
387         phrases.
388
389     \item \texttt{Typewriter font} is used for all file names, paths,
390         URLs, source codes, as well as inputs and outputs (e.g. for
391         command lines).  
392 \end{itemize}
393
394 \cleardoublepage
395 \T\pdfbookmark[0]{\contentsname}{toc}
396 \tableofcontents
397
398 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
399 % Part I
400 \clearpage
401 \T\part{For Novices}
402 \W\part*{\textbf{I For Novices}}
403 \label{part:Novices}
404 \addtocontents{toc}{\protect\vspace{0.3cm}}
405 \addtocontents{toc}{\protect\vspace{0.3cm}}
406
407
408 \chapter{Gpg4win -- Cryptography for Everyone}
409 \index{Cryptography}
410
411 What is Gpg4win? Wikipedia answers this question as follows:
412
413 \begin{quote}
414     \textit{Gpg4win is an installation package for Windows
415     (2000/XP/2003/Vista) with computer programs and
416     handbooks for \Email{}and file encryption. It includes the
417     GnuPG encryption software, as well as several applications and
418     documentation. Gpg4win itself and the programs contained in
419     Gpg4win are Free Software.}
420 \end{quote}
421
422 The ``Novices'' and ``Advanced Users'' handbooks have been combined for
423 this second version under the name ``Compendium''. In Version 2,
424 Gpg4win includes the following programs:
425
426 \begin{itemize}
427     \item \textbf{GnuPG}\index{GnuPG}\\ GnuPG forms the heart of
428         Gpg4win -- the actual encryption software.
429     \item \textbf{Kleopatra}\index{Kleopatra}\\ The central
430         certificate administration\index{Certificate Administration} of
431         Gpg4win, which ensures uniform user navigation for all
432         cryptographic operations.
433     \item \textbf{GNU Privacy Assistant (GPA)}\index{GNU Privacy
434         Assistent|see{GPA}}\index{GPA}\\ is an alternative program for
435         managing certificates, in addition to Kleopatra.
436     \item \textbf{GnuPG for Outlook (GpgOL)}\index{GnuPG für
437         Outlook|see{GpgOL}}\index{GpgOL}\\ is an extension for
438         Microsoft Outlook 2003 and 2007, which is used to sign and
439         encrypt messages.
440    \item \textbf{GPG Explorer eXtension (GpgEX)}\index{GPG Explorer
441        eXtension|see{GpgEX}}\index{GpgEX}\\ is an extension for
442        Windows Explorer\index{Windows-Explorer} which can be used to
443        sign and encrypt files using the context menu.
444     \item \textbf{Claws Mail}\index{Claws Mail}\\ is a
445         full \Email{} program that offers very good support for GnuPG.
446 \end{itemize}
447
448 Using the GnuPG (GNU Privacy Guard) encryption program,
449 anyone can encrypt \Email{}s securely, easily and at no cost. GnuPG can be
450 used privately or commercially without any restrictions. The
451 encryption technology used by GnuPG is secure, and cannot be broken
452 based on today's state of technology and research.
453
454 GnuPG is \textbf{Free Software}\footnote{Often also referred to as
455 Open Source Software (OSS).}.\index{Free Software} That means that
456 each person has the right to use this software for private or
457 commercial use. Each person may and can study the source code of the
458 programs and -- if they have the required technical knowledge -- make
459 modifications and forward these to others.
460
461 With regard to security software, this level of transparency --
462 guaranteed access to the source code -- forms an indispensable
463 foundation. It is the only way of actually checking the
464 trustworthiness of the programming and the program itself.
465
466 GnuPG is based on the international standard
467 \textbf{OpenPGP}\index{OpenPGP} (RFC 4880), which is fully compatible with
468 PGP and also uses the same infrastructure (certificate server etc.) as the
469 latter. Since Version 2 of GnuPG, the cryptographic
470 standard\textbf{S/MIME}\index{S/MIME} (IETF RFC 3851, ITU-T
471 X.509\index{X.509} and ISIS-MTT/Common PKI) are also supported.
472
473 PGP (``Pretty Good Privacy'')\index{PGP} is not Free Software; many
474 years ago, it was briefly available at the same conditions as GnuPG.
475 However, this version has not corresponded with the latest state of
476 technology for some time.
477
478 Gpg4win's predecessors were supported by the Bundesministerium für
479 Wirtschaft und Technologie \index{Bundesministerium für Wirtschaft und
480 Technologie} as part of the Security on the Internet initiative.
481 Gpg4win and Gpg4win2 were supported by the Bundesamt für Sicherheit in
482 der Informationstechnik (BSI). \index{Bundesamt für Sicherheit in der
483 Informationstechnik}
484
485
486 Additional information on GnuPG and other projects undertaken by the Federal Government for security on the Internet can be found on the webpages
487 \uniurl[www.bsi.de]{http://www.bsi.de} and 
488 \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de} of the Bundesamt für Sicherheit in der Informationstechnik.
489
490
491 \clearpage
492 \chapter{Encrypting \Email{}s: because the envelope is missing}
493 \label{ch:why}
494 \index{Envelope}
495
496 The encryption of messages is sometimes described as the second-oldest
497 profession in the world. Encryption techniques were used as far back
498 as Egypt's pharaoh Khnumhotep II, and during Herodot's and Cesar's time. Thanks
499 to Gpg4win, encryption is no longer the reserve of kings, but is
500 accessible to everyone, for free.
501
502 \htmlattributes*{img}{width=300}
503 \IncludeImage[width=0.9\textwidth]{egyptian-stone}
504
505 Computer technology has provided us with some excellent tools to
506 communicate around the globe and obtain information. However, rights
507 and freedoms which are taken for granted with other forms of
508 communication must still be secured when it comes to new technologies.
509 The Internet has developed with such speed and at such a scale that it
510 has been difficult to keep up with maintaining our rights. 
511
512 With the old-fashioned way of writing a letter, written contents are
513 protected by an envelope. The envelope protects messages from prying
514 eyes, and it is easy to see if an envelope has been manipulated. Only
515 if the information is not important, do we write it on an unprotected
516 post card, which can also be read by the mail carrier and others.
517
518 \clearpage
519 You and no one else decides whether the message is important,
520 confidential or secret. 
521
522 \Email{}s do not provide this kind of freedom. An \Email{} is like a
523 post card - always open, and always accessible to the electronic
524 mailman and others. It gets even worse: while computer technology
525 offers the option of transporting and distributing millions of
526 \Email{}s, it also provides people with the option of checking them.
527
528 Previously, no one would have seriously thought about collecting all
529 letters and postcards, analyse their contents or monitor senders and
530 recipients. It would not only have been unfeasiable, it would have
531 also taken too long. However, modern computer technology has made this
532 a technical possibility. There are indications that this is already
533 being done on a large scale. A Wikipedia article on the Echelon
534 system\footnote{\uniurl[\EchelonUrl]{\EchelonUrl}} \index{Echelon
535 system} provides interesting background information on this topic.
536
537 Why is this an issue -- because the envelope is missing.
538
539 \htmlattributes*{img}{width=300}
540 \IncludeImage[width=0.5\textwidth]{sealed-envelope}
541
542 \clearpage
543 What we are suggesting here is essentially an ``envelope'' for your
544 electronic mail. Whether you use it, when or for whom and how often -
545 that is entirely up to you. Software such as Gpg4win merely returns 
546 the right to choose to you.  The right to choose whether you think a message
547 is important and requires protection. 
548
549 This is the key aspect of the right to privacy of correspondence, post
550 and telecommunications in \index{Telecommunication secrecy}
551 \index{Mail secrecy}\index{Correspondence secrecy} the Basic Law, and
552 the Gpg4win program package allows you to exercise this right. You do
553 not have to use this software, just as you are not required to use an
554 envelope.  But you have the right.
555
556 To secure this right, Gpg4win offers a so-called ``strong encryption
557 technology''.  ``Strong'' in this sense means that it cannot be broken
558 with known tools. Until recently, strong encryption methods used to be
559 reserved for military and government circles in many countries. The
560 right to make them accessible to all citizens was championed by
561 Internet users, and sometimes also with the help of visionary people
562 in government institutions, as was the case with support for Free
563 Software for encryption purposes. Security experts around the world
564 now view GnuPG as a practical and secure software.
565
566 \textbf{It is up to you how you want to value this type of security.}
567
568 You alone decide the relationship between the convenience of encryption
569 and the highest possible level of security. These include the few but
570 important precautions you must make to implement to ensure that
571 Gpg4win can be used properly. This compendium will explain this
572 process on a step-by-step basis.
573
574
575 \clearpage
576 \chapter{How Gpg4win works}
577 \label{ch:FunctionOfGpg4win}
578 The special feature of Gpg4win and its underlying
579 \textbf{``Public Key'' method}\index{public key method@``Public Key'' Method}
580 is that anyone can and should understand it. There is nothing
581 secretive about it -- it is not even very difficult to understand.
582
583 The use of individual Gpg4win program components is very simple, even
584 though the way it works is actually quite complicated. This section
585 will explain how Gpg4win works -- not in all details, but enough to
586 explain the principles behind this software. Once you are familiar
587 with the principles, you will have considerable trust in the security
588 offered by Gpg4win. 
589
590 At the end of this book, in Chapter~\ref{ch:themath}, you can also open
591 the remaining secrets surrounding ``Public Key'' cryptography and
592 discover why it is not possible to break messages encrypted with
593 Gpg4win using current state of technology.
594
595 \clearpage
596 \subsubsection{Lord of the keyrings}
597 Anyone wishing to secure something valuable locks it away -- with a
598 key. Even better is a key that is unique and is kept in a safe
599 location. 
600
601 \htmlattributes*{img}{width=300}
602 \IncludeImage[width=0.5\textwidth]{schlapphut-with-key}
603
604 If the key should ever fall into the wrong hands, the valuables are no
605 longer secure. Their security stands and falls with the security and
606 uniqueness of the key. Therefore the key must be at least as well
607 protected as the valuables themselves. To ensure that it cannot be
608 copied, the exact characteristics of the key must also be kept secret.
609
610 \clearpage
611 Secret keys are nothing new in cryptography: it has always been that
612 keys were hidden to protect the secrecy of the messages. Making this
613 process very secure is very cumbersome and also prone to errors.
614
615 \htmlattributes*{img}{width=300}
616 \IncludeImage[width=0.5\textwidth]{tangled-schlapphut}
617
618 The basic problem with the ``ordinary'' secret transmission of messages
619 is that the same key is used for both encryption and decryption, and
620 that both the sender as well as recipient must be familiar with this
621 secret key. For this reason, these types of encryption systems are
622 also called \textbf{``symmetric encryption''}.\index{Symmetric encryption}
623
624 This results in a fairly paradoxical situation: Before we can use this
625 method to communicate a secret (an encrypted message), we must have
626 also communicated another secret in advance: the key. And that is
627 exactly the problem, namely the constantly occuring issue of
628 always having to exchange keys while ensuring that they are not
629 intercepted by third parties.
630
631
632 \clearpage
633 In contrast -- and not including the secret key -- Gpg4win works with
634 another key that is fully accessible and public. It is also described
635 as a ``public key'' encryption system. 
636
637 This may sound contradictory, but it is not. The clue: It is no longer
638 necessary to exchange a secret key. To the contrary: The secret key
639 can never be exchanged! The only key that can be passed on is the
640 public key (in the public certificate)~-- which anyone can know. 
641
642 That means that when you use Gpg4win, you are actually using a pair of
643 keys\index{Key!pair} -- a secret and a second public key. Both key
644 components are inextricably connected with a complex mathematical
645 formula. Based on current scientific and technical knowledge, it is
646 not possible to calculate one key component using the other, and it is
647 therefore impossible to break the method. 
648
649 Section \ref{ch:themath} explains why that is.
650
651 \htmlattributes*{img}{width=300}
652 \IncludeImage[width=0.5\textwidth]{verleihnix}
653
654
655 \clearpage
656 The principle behind public key encryption\index{public key method@``Public Key'' Method}
657
658 The \textbf{secret} or \textbf{private key} must be kept secret.
659
660 The \textbf{public key} should be as accessible to the general public as much as
661 possible.
662
663 Both key components have very different functions:
664
665 \bigskip
666
667 \begin{quote}
668     The secret key component \textbf{decrypts} messages.
669 \end{quote}
670
671 \htmlattributes*{img}{width=300}
672 \IncludeImage[width=0.75\textwidth]{key-with-shadow-bit}
673
674 \begin{quote}
675     The public key component \textbf{encrypts} messages.
676 \end{quote}
677
678
679 \clearpage
680 \subsubsection{The public mail strongbox}
681 \index{Mail strongbox}
682
683 This small exercise is used to explain the difference between the
684 ``public key'' encryption system and symmetric
685 encryption\index{Symmetric encryption} (``non-public key''
686 method)
687 \index{non-public key mehtod@``Non-Public Key'' Method|see{Symmetric encryption}} ...
688
689 \bigskip
690
691 \textbf{The ``secret key method'' works like this:}
692
693 Imagine that you have installed a mail strongbox in front of your
694 house, which you want to use to send secret messages. 
695
696 The strongbox has a lock for which there is only one single key. No
697 one can put anything into or take it out of the box without this key.
698 This way, your secret messages are pretty secure.
699
700 \htmlattributes*{img}{width=300}
701 \IncludeImage[width=0.75\textwidth]{letter-into-safe}
702
703 Since there is only one key, the person you are corresponding with
704 must have the same key that you have in order to open and lock the mail
705 strongbox, and to deposit a secret message.
706
707 \clearpage
708 You have to give this key to that person via a secret route.
709
710 \bigskip
711 \bigskip
712
713 \htmlattributes*{img}{width=300}
714 \IncludeImage[width=0.75\textwidth]{secret-key-exchange}
715
716 \clearpage
717 They can only open the strongbox and read the secret message once they
718 have the secret key.
719
720 Therefore everything hinges on this one key: If a third party knows
721 the key, it is the end of the secret messages.  Therefore you and the
722 person you are corresponding with \textbf{must exchange the key in a
723 manner that is as secret} as the message itself. 
724
725 But actually -- you might just as well give them the secret message
726 when you are giving them the key...
727
728 \textbf{How this applies to \Email{} encryption:} Around the world,
729 all participants would have to have secret keys and exchange
730 these keys in secret before they can send secret messages
731 per \Email{}.
732
733 So we might as well forget about this option ...
734
735 \htmlattributes*{img}{width=300}
736 \IncludeImage[width=0.75\textwidth]{letter-out-of-safe}
737
738 \clearpage
739 \textbf{Now the ``public key'' method}
740
741 You once again install a mail strongbox\index{Mail strongbox} in front of
742 your house. But unlike the strongbox in the first example, this one
743 is always open. On the box hangs a key --­ which is visible to
744 everyone -- and which can be used by anyone to lock the strongbox
745 (asymetric encryption method).
746 \index{Asymmetric encryption}
747
748 \textbf{Locking, but not opening:} that is the difference!
749
750 \htmlattributes*{img}{width=300}
751 \IncludeImage[width=0.7\textwidth]{pk-safe-open}
752
753 This key is yours and -- as you might have guessed -- it is your public key.
754
755 If someone wants to leave you a secret message, they put it in the
756 strongbox and lock it with your public key. Anyone can do this, since
757 the key is available to everyone.  
758
759 No one else can open the strongbox
760 and read the message.  Even the person that has locked the message in
761 the strongbox cannot unlock it again, e.g. in order to change the
762 message.  
763
764 This is because the public half of the key can only be used for locking purposes.
765
766 The strongbox can only be opened with one single key: your own secret
767 and private part of the key.
768
769 \clearpage
770 \textbf{Getting back to how this applies to \Email{} encryption:}
771 Anyone can encrypt an \Email{} for you.  
772
773 To do this, they do not need a secret key; quite the opposite, they
774 only need a totally non-secret \index{Key!public}, ``public'' key.
775 Only one key can be used to decrypt the \Email{}, namely your private
776 and secret key\index{Key!private}.
777
778 You can also play this scenario another way:
779
780 If you want to send someone a secret message, you use their mail
781 strongbox with their own public and freely available key.
782
783 To do this, you do not need to personally know the person you are
784 writing to, or have to speak to them, because their public key is
785 always accessible, everywhere. One you have placed your message in the
786 strongbox and locked it with the recipient's key, the message is not
787 accessible to anyone, including you. Only the recipient can open the
788 strongbox with his private key and read the message.
789
790 \T\enlargethispage{2\baselineskip}
791
792 \htmlattributes*{img}{width=300}
793 \IncludeImage[width=0.75\textwidth]{pk-safe-opened-with-sk}
794
795 \clearpage
796 \textbf{But what did we really gain:} There is still a secret
797 key!
798
799
800
801 However, this is quite different from the ``non-public key'' method:
802 You are the only one who knows and uses your secret key. The key is
803 never forwarded to a third party  ­-- it is not necessary to transfer
804 keys in secret, nor is it advised.
805
806 Nothing must be passed between sender and recipient in secret --
807 whether a secret agreement or a secret code.
808
809 And that is exactly the crux of the matter: All symmetric encryption
810 methods can be broken because a third party has the opportunity to
811 obtain the key while the key is being exchanged.
812
813 This risk does not apply here, because there is no exchange of secret
814 keys; rather, it can only be found in one and very secure location:
815 your own keyring\index{Key!pair} -- your own memory.
816
817 This modern encryption method which uses a non-secret and public key,
818 as well as a secret and private key part is also described as
819 ``asymmetric encryption''. \index{Asymmetric encryption}
820
821
822 \clearpage
823 \chapter{The passphrase}
824 \label{ch:passphrase}
825 \index{Passphrase}
826
827 As we have seen in the last chapter, the private key is one of the
828 most important components of the ``public key'' or asymmetric
829 encryption method. While one no longer needs to exchange the key with
830 another party in secret, the security of this key is nevertheless the
831 "key"  to the security of the ``entire'' encryption process.
832
833 On a technical level, a private key is nothing more than a file which
834 is stored on your computer. To prevent unauthorised access of this
835 file, it is secured in two ways:
836
837 \htmlattributes*{img}{width=300}
838 \IncludeImage[width=0.5\textwidth]{think-passphrase}
839
840 First, no other user may read or write in the file -- which is
841 difficult to warrant, since computer administrators always have access
842 to all files, and the computer may be lost or attacked 
843 by viruses\index{Viruses}, worms\index{Worms} or
844 Trojans\index{Trojans} .
845
846 For this reason we need another layer of protection: the passphrase.
847 This is not a password -- a passphrase should not consist of only one
848 word, but a sentence, for example. You really should keep this
849 passphrase ``in your head'' and never have to write it down.  
850
851 At the same time, it cannot be possible to guess it.  This may sound
852 contradictory, but it is not. There are several proven methods of
853 finding very unique and easy to remember passphrases, which cannot be
854 easily guessed.
855
856 \clearpage
857 Think of a phrase that is very familiar to you, e.g.:
858
859 $\qquad$\verb-People in glass houses should not be throwing stones.-
860
861 Now, take every third letter of this sentence:
862
863 $\qquad$\verb-oegsoehloerisn- 
864 \texttt{\scriptsize{(Pe\textbf{o}pl\textbf{e} in
865 \textbf{g}la\textbf{s}s h\textbf{o}us\textbf{e}s
866 s\textbf{h}ou\textbf{l}d n\textbf{o}t b\textbf{e}
867 th\textbf{r}ow\textbf{i}ng \textbf{s}to\textbf{n}es.)}} 
868
869
870 While it may not be easy to remember
871 this sequence of letters, it is also unlikely that you will forget how
872 to arrive at the passphrase as long as you remember the original
873 sentence. Over time, and the more often you use the phrase, you will
874 commit it to memory. No one else can guess the passphrase.
875
876 Think of an event that you know you will never forget about. Maybe
877 it's a phrase that you will always associate with your child or
878 partner, i.e. it has become ``unforgettable''.  Or a holiday memory or
879 a line of text of a song that is personally important to you.
880
881 Use capital and small letters, numbers, special characters and spaces,
882 in any order. In principle, anything goes, including umlaute, special
883 characters, digits etc. But remember -- if you want to use your secret
884 key abroad at a different computer, please remember that not all
885 keyboards may have such special characters. For example, you will
886 likely only find umlaute (ä, ö, ü usw.) on German keyboards.  
887
888 You can also make intentional grammar mistakes, e.g.  ``mustake''
889 instead of ``mistake''. Of course you also have to be able to remember
890 these ``mustakes''. Or, change languages in the middle of the phrase.
891 You can change the sentence:
892
893 $\qquad$\verb-In München steht ein Hofbräuhaus.-
894
895 into this passphrase:
896
897 $\qquad$\verb-inMinschen stet 1h0f breuhome-
898
899 Think of a sentence that does not make sense, but you can still remember
900 e.g.:
901
902 $\qquad$\verb-The expert lamenting nuclear homes-
903
904 $\qquad$\verb-Knitting an accordeon, even during storms.-
905
906 A passphrase of this length provides good protection for your
907 secret key.
908
909 It can also be shorter if you use capital letters,
910 for example:
911
912 $\qquad$\verb-THe ExPERt laMenTIng NuclEAr hoMES.-
913
914 While the passphrase is now shorter, it is also more difficult to
915 remember. If you make your passphrase even shorter by using special
916 characters, you will save some time entering the passphrase, but it is
917 also morr likely that you will forget your passphrase.
918
919 Here is an extreme example of a very short but also very secure 
920 passphrase:
921
922 $\qquad$\verb-R!Qw"s,UIb *7\$-
923
924 However, in practice, such sequences of characters have not proven
925 themselves to be very useful, since there are simply too few clues by
926 which to remember them.
927
928
929 \clearpage
930 A \textbf{bad passphrase} can be ``broken'' very quickly, if it ...
931
932 \begin{itemize}
933     \item ... is already used for another purpose (e.g. for an \Email{} account or your mobile phone). The
934         same passphrase would therefore already be known to another,
935         possibly not secure, software. If the hacker is successful,
936         your passphrase becomes virtually worthless.
937
938     \item ... comes from a dictionary. Passphrase finder programs can
939         run a password through complete digital dictionaries in a
940         matter of minutes -- until it matches one of the words.
941
942     \item ... consists of a birth date, a name or other public
943         information. Anyone planning to decrypt your
944        \Email{} will obtain this type of
945         information.
946
947     \item ... is a very common quote, such as ``to be or not to be''.
948         Passphrase finder programs also use quotes like these to break
949         passphrases.
950
951     \item ... consists of only one word or less than 8 characters. It
952         is very important that you think of a longer passphrase.
953 \end{itemize}
954
955 When composing your passphrase, please \textbf{do not use} any of the
956 aforementioned examples. Because anyone seriously interested in
957 getting his hands on your passphrase will naturally see if you used
958 one of these examples.
959
960 \bigskip
961
962 \textbf{Be creative!} Think of a passphrase now! Unforgettable and unbreakable.
963
964 In Chapter~\ref{ch:CreateKeyPair} you will need this passphrase to create your key pair.
965
966 But until then, you have to address another problem: Someone has to
967 verify that the person that wants to send you a secret message is
968 real.
969
970
971 \clearpage
972 \chapter{Two methods, one goal: OpenPGP \& S/MIME}
973 \label{ch:openpgpsmime}
974 \index{OpenPGP} \index{S/MIME}
975
976 You have seen the importance of the ``envelope'' for your
977 \Email{} and how to provide one 
978 using tools of modern information technology: a mail
979 strongbox,\index{Mail strongbox} in which anyone can deposit encrypted
980 mails which only you, the owner of the strongbox, can decrypt. It is
981 not possible to break the encryption as long as the private key to
982 your ``strongbox'' remains your secret.
983
984 Still: If you think about it, there is still another problem. A little
985 further up you read about how -- in contrast to the secret key method
986 -- you do not need to personally meet the person you are corresponding
987 with in order to enable them to send a secret message. But how can you
988 be sure that this person is actually who they say they
989 are? In the case of \Email{}s, you
990 only rarely know all of the people you are corresponding with on a
991 personal level -- and it is not usually easy to find out who is really
992 behind an \Email{} address. Hence, we not only
993 need to warrant the secrecy of the message, but also the identity of
994 the sender -- specifically \textbf{authenticity}. \index{Authenticity}
995
996 Hence someone must authenticate that the person who wants to send you
997 a secret message is real. In everyday life, we use ID, signatures or
998 certificates authenticated by authorities or notaries for
999 \index{Authentication} ``authentication'' purposes. These
1000 institutions derive their right to issue notarisations from a
1001 higher-ranking authority and finally from legislators. Seen another
1002 way, it describes a chain of trust which
1003 runs \index{Chain of trust} from ``the top'' to ``the bottom'', and is
1004 described as a \textbf{``hierarchical trust concept''}.
1005 \index{Hierarchical trust concept}
1006
1007 In the case of Gpg4win or other \Email{} encryption programs, 
1008  this concept is found in almost mirror-like fashion in
1009 \textbf{S/MIME}. Added to this is\textbf{OpenPGP}, another concept
1010 that only works this way on the Internet.  S/MIME and OpenPGP have the
1011 same task: the encryption and signing of data.  Both use the already
1012 familiar public key method.  While there are some important
1013 differences, in the end, none of these standards offer any general
1014 advantage over another. For this reason you can use Gpg4win to use
1015 both methods.
1016
1017
1018 \clearpage
1019 The equivalent of the hierarchical trust concept is called ``Secure /
1020 Multipurpose Internet Mail Extension'' or \textbf{S/MIME}. If you use
1021 S/MIME, your key must be authenticated by an accredited
1022 organisation before it can be used. The certificate of this
1023 organisation in turn was authenticated by a higher-ranking
1024 organisation etc. -- until we arrive at a so-called root certificate.
1025 This hierarchical chain of trust usually has three links: the root
1026 certificate, the certificate of the issuer of the
1027 certificate\index{Certificate issuer} (also CA\index{Certificate
1028 Authority (CA)} for Certificate Authority), and finally your own user
1029 certificate.
1030
1031 A second alternative and non-compatible notarisation method is the
1032 \textbf{OpenPGP} standard, does not build a trust hierarchy but rather
1033 assembles a \textbf{``Web of trust''}.\index{Web of Trust}
1034 The Web of Trust represents the basic structure of the
1035 non-hierarchical Internet and its users. For example, if User B trusts
1036 User A, then User B could also trust the public key of User C, whom he
1037 does not know, if this key has been authenticated by User A.
1038
1039 Therefore OpenPGP offers the option of exchanging encrypted data and 
1040 \Email{}s without authentication by a higher-ranking agency. It is
1041 sufficient if you trust the \Email{} address and
1042 associated certificate of the person you are communicating with.
1043
1044 Whether with a trust hierarchy or Web of Trust -- the authentication
1045 of the sender is at least as important as protecting the message. We
1046 will return to this important protection feature later in the
1047 compendium. For now, this information should be sufficient to install
1048 Gpg4win and understand the following chapters:
1049
1050 \begin{itemize}
1051     \item Both methods -- \textbf{OpenPGP} and\textbf{S/MIME} --
1052         offer the required security.
1053     \item The methods are \textbf{not compatible} with each other.
1054         They offer two alternate methods for authenticating your
1055         secret communication. Therefore they are not deemed to be 
1056         interoperable.
1057     \item Gpg4win allows for the convenient \textbf{and parallel} use
1058         of both methods -- you do not have to choose one or the other
1059         for encryption/signing purposes.
1060 \end{itemize}
1061
1062 Chapter~\ref{ch:CreateKeyPair} of this compendium, which discusses the
1063 creation of the key pair, therefore branches off to discuss both methods. At
1064 the end of Chapter~\ref{ch:CreateKeyPair} the information is combined
1065 again.
1066
1067 \begin{latexonly} %no hyperlatex
1068 In this compendium, these two symbols will be used to refer to the two
1069 alternative methods:
1070
1071 \begin{center}
1072 \includegraphics[width=2.5cm]{images-compendium/openpgp-icon}
1073 \hspace{1cm}
1074 \includegraphics[width=2.5cm]{images-compendium/smime-icon}
1075 \end{center}
1076 \end{latexonly}
1077
1078
1079 \clearpage
1080 \chapter{Installing Gpg4win}
1081 \index{Installation}
1082
1083 Chapters 1 to 5 provided you with information on the background
1084 related to encryption. While Gpg4win also works if you do not
1085 understand the logic behind it, it is also different from other
1086 programs in that you are entrusting your secret correspondence to this
1087 program. Therefore it is good to know how it works.  
1088
1089 With this knowledge you are now ready to install Gpg4win and set up
1090 your key pair.
1091
1092 If you already have a GnuPG-based application installed on your
1093 computer (e.g. GnuPP, GnuPT, WinPT or GnuPG Basics), please refer to
1094 the Annex~\ref{ch:migration} for information on transferring your
1095 existing certificates.
1096
1097 You can load and install Gpg4win from the Internet or a CD. To do
1098 this, you will need administrator rights to your Windows operating
1099 system. 
1100
1101 If you are downloading Gpg4win from the Internet, please ensure that
1102 you obtain the file from a trustworthy site, e.g.:
1103 \uniurl[www.gpg4win.org]{http://www.gpg4win.org}. To start the
1104 installation, click on the following file after the download:
1105
1106 \Filename{gpg4win-2.0.0.exe} (or higher version number).
1107
1108 If you received Gpg4win on a CD ROM, please open it and click on the
1109 ``Gpg4win'' installation icon.  All other installation steps are the
1110 same.
1111
1112 The response to the question of whether you want to install the
1113 program is \Button{Yes}.
1114
1115 \clearpage
1116 The installation assistant will start and ask you for the language to
1117 be used with the installation process:
1118
1119 % screenshot: Installer Sprachenauswahl
1120 \IncludeImage[width=0.5\textwidth]{sc-inst-language_en}
1121
1122 Confirm your language selection with \Button{OK}.
1123
1124 Afterwards you will see this welcome dialog:
1125
1126 % screenshot: Installer Willkommensseite
1127 \IncludeImage[width=0.85\textwidth]{sc-inst-welcome_en}
1128
1129 Close all programs that are running on your computer and click
1130 on \Button{Next}.
1131
1132 \clearpage
1133 The next page displays the \textbf{licensing agreement} -- it is only
1134 important if you wish to modify or forward Gpg4win.  If you only want
1135 to use the software, you can do this right away -- without reading the
1136 license.
1137
1138 % screenshot: Lizenzseite des Installers
1139 \IncludeImage[width=0.85\textwidth]{sc-inst-license_en}
1140
1141 Click on \Button{Next}.
1142
1143 \clearpage
1144 On the page that contains \textbf{the selection of components} you can
1145 decide which programs you want to install.
1146
1147 A default selection has already been made for you. Yo can also install
1148 individual components at a later time. 
1149
1150 Moving your mouse cursor over a component will display a brief
1151 description.  Another useful feature is the display of required hard
1152 drive space for all selected components.
1153
1154 % screenshot: Auswahl zu installierender Komponenten
1155 \IncludeImage[width=0.85\textwidth]{sc-inst-components_en}
1156
1157 Click on \Button{Next}.
1158
1159 \clearpage
1160 The system will suggest a folder for the installation, e.g.:
1161 \Filename{C:$\backslash$Programme$\backslash$GNU$\backslash$GnuPG}
1162
1163 You can accept the suggestion or select a different folder for installing
1164 Gpg4win.
1165
1166 % screenshot: Auswahl des Installationsverzeichnis.
1167 \IncludeImage[width=0.85\textwidth]{sc-inst-directory_en}
1168
1169 Then click on \Button{Next}.
1170
1171 \clearpage
1172 Now you can decide which \textbf{links} should be installed -- the
1173 system will automatically create a link with the start menu. You can
1174 change this link later on using the Windows dashboard settings.
1175
1176 % screenshot: Auswahl der Startlinks
1177 \IncludeImage[width=0.85\textwidth]{sc-inst-options_en}
1178
1179 Then click on \Button{Next}.
1180
1181 \clearpage
1182 If you have selected the default setting -- \textbf{link with start
1183 menu} -- you can define the name of this start menu on the next page
1184 or simply accept the name. 
1185
1186 % screenshot:  Startmenu auswählen
1187 \IncludeImage[width=0.85\textwidth]{sc-inst-startmenu_en}
1188
1189 Then click on \Button{Install}.
1190
1191 \clearpage
1192 During the \textbf{installation} process that follows, you will see a progress bar and information on which file is currently being installed. You can press \Button{Show~details}
1193 at any time to show the installation log.
1194
1195 % screenshot: Ready page Installer
1196 \IncludeImage[width=0.85\textwidth]{sc-inst-progress_en}
1197
1198 Once you have completed the installation, please click on
1199 \Button{Next}.
1200
1201 \clearpage
1202 The last page of the installation process is shown once the
1203 installation has been successfully completed:
1204
1205 % screenshot: Finish page Installer
1206 \IncludeImage[width=0.85\textwidth]{sc-inst-finished_en}
1207
1208 You have the option of displaying the README file, which contains
1209 important information on the Gpg4win version you have just installed.
1210 If you do not wish to view this file, deactivate this option.
1211
1212 Then click on \Button{Finish}.
1213
1214 \clearpage
1215 In some cases you may have to restart Windows. In this case, you will
1216 see the following page:
1217
1218 % screenshot: Finish page Installer with reboot
1219 \IncludeImage[width=0.85\textwidth]{sc-inst-finished2_en}
1220
1221 Now you can decide whether Windows should be restarted immediately or
1222 manually at a later time. 
1223
1224 Click on \Button{Finish}.
1225
1226 %TODO: NSIS-Installer anpassen, dass vor diesem
1227 %Reboot-Installationsdialog auch ein Hinweis auf die README-Datei
1228 %erscheint.
1229 Please read the README file which contains up-to-date information on
1230 the Gpg4win version that has just been installed. You can find this
1231 file e.g. via the start menu:\\
1232 \Menu{Start$\rightarrow$Programs$\rightarrow$Gpg4win$\rightarrow$Documentation$\rightarrow$Gpg4win README}
1233
1234 \clearpage
1235 \textbf{And that's it!}
1236
1237 You have successfully installed Gpg4win and are ready to work with the
1238 program.
1239
1240 For information on \textbf{automatically installing} Gpg4win, as may
1241 be of interest for software distribution systems, please see the
1242 Annex~\ref{ch:auto} ``Automatic installation of Gpg4win''.
1243
1244
1245 \clearpage
1246 \chapter{Creating a certificate}
1247 \label{ch:CreateKeyPair}
1248 \index{Certificate!create}
1249 \index{Key!create}
1250
1251 Now that you have found out why GnuPG is so secure
1252 (Chapter~\ref{ch:FunctionOfGpg4win}), and how a good passphrase
1253 provides protection for your private key (Chapter~\ref{ch:passphrase}),
1254 you are now ready to create your own key pair\index{Key!pair} .
1255
1256 As we saw in Chapter~\ref{ch:FunctionOfGpg4win}, a key pair consists of
1257 a public and a private key.  With the addition of an
1258 \Email{} address, login name etc., which you
1259 enter when creating the pair (so-called meta data), you can obtain
1260 your private certificate with the public \textit{and } private key.
1261
1262 This definition applies to both OpenPGP as well as S/MIME (S/MIME
1263 certificates correspond with a standard described as
1264 ``X.509''\index{X.509}).
1265
1266 ~\\ \textbf{It would be nice if I could practice this important
1267 step of creating a key pair ....}
1268
1269 \T\marginOpenpgp
1270 Not to worry, you can do just that -- but only with OpenPGP:
1271
1272 If you decide for the OpenPGP method of authentication,
1273 \index{Authentication} the ``Web of Trust'', then you can practice the
1274 entire process for creating a key pair, encryption and decryption as
1275 often as you like, until you feel very comfortable.
1276
1277 This ``dry run'' will strengtthen your trust in Gpg4win, and the ``hot
1278 phase'' of OpenPGP key pair creation will no longer be a problem for
1279 you.
1280
1281 Your partner in this exercise is \textbf{Adele} . Adele is a test
1282 service which is still derived from the GnuPP predecessor
1283 project\index{GnuPP} and is still in operation. In this compendium we
1284 continue to recommend the use of this practice robot. We would also
1285 like to thank the owners of gnupp.de for operating this practice
1286 robot.
1287
1288 Using Adele, you can practice and test the OpenPGP key pair
1289 which you will be creating shortly, before you start using it in earnest.
1290 But more on that later.
1291
1292 \clearpage
1293 \textbf{Let's go!}
1294 Open Kleopatra using the Windows start menu:
1295
1296 % screenshot Startmenu with Kleopatra highlighted
1297 \htmlattributes*{img}{width=400}
1298 \IncludeImage[width=0.7\textwidth]{sc-kleopatra-startmenu_en}
1299
1300 You will see the main Kleopatra screen\index{Kleopatra} --
1301 the certificate administration:
1302 \index{Certificate administration}
1303
1304 % screenshot: Kleopatra main window
1305 \htmlattributes*{img}{width=508}
1306 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-mainwindow-empty_en}
1307
1308 At the beginning, this overview will be empty, since you have not
1309 created or imported any certificates yet. 
1310
1311 \clearpage
1312 Click on \Menu{File$\rightarrow$New~Certificate}. 
1313
1314 In the following dialog you select the format for the certificate. You
1315 can choose from the following: \textbf{OpenPGP} (PGP/MIME)
1316 or \textbf{X.509} (S/MIME).
1317
1318 The differences and common features of the two formats have already been
1319 discussed in Chapter~\ref{ch:openpgpsmime}.
1320
1321 \label{chooseCertificateFormat}
1322 % screenshot: Kleopatra - New certificate - Choose format
1323 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-ChooseCertificateFormat_en}
1324
1325 ~\\ This chapter of the compendium breaks off into two
1326 sections for each method at this point. Information is then combined
1327 at the end of the Chapter.
1328
1329 Depending on whether you chose OpenPGP or X.509 (S/MIME), you can now
1330 read either:
1331 \begin{itemize}
1332     \item Section~\ref{createKeyPairOpenpgp}:
1333         \textbf{Creating an OpenPGP certificate} \T(siehe next
1334         page) or
1335     \item Section~\ref{createKeyPairX509}:
1336         \textbf{Creating an X.509 certificate} \T (see page
1337         \pageref{createKeyPairX509}).
1338 \end{itemize}
1339
1340
1341
1342 \clearpage
1343 \section{Creating an OpenPGP certificate}
1344 \label{createKeyPairOpenpgp}
1345 \index{OpenPGP!create certificate}
1346
1347 \T\marginOpenpgp
1348 In the certificate option dialog, click on \Button{Create
1349 personal OpenPGP key pair}.
1350
1351
1352 Now enter your \Email{} address and your name in
1353 the following window. Name and \Email{} address
1354 will be made publicly visible later.
1355
1356 You also have the option of adding a comment for the key pair. Usually
1357 this field stays empty, but if you are creating a key for test
1358 purposes, you should enter "test" so you do not forget it is a test
1359 key. This comment becomes part of your login name, and will become
1360 public just like your name and \Email{} address.
1361
1362 % screenshot: Creating OpenPGP Certificate - Personal details
1363 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-personalDetails_en}
1364
1365 If you first wish to \textbf{test} your OpenPGP key pair, you can
1366 simply enter any name and fictional 
1367 \Email{} address, e.g.:\\ \Filename{Heinrich Heine}
1368 and \Filename{heinrich@gpg4win.de}
1369
1370 The \textbf{Advanced settings are only be required in exceptional}
1371 cases. For details, see the Kleopatra handbook (via
1372 \Menu{Help$\rightarrow$Kleopatra handbook}).
1373
1374 Click on \Button{Next}.
1375
1376 \clearpage You will see a list of all of the main entries and settings
1377 for \textbf{review purposes}. If you are interested in the (default)
1378 expert settings, you can view these via the \Menu{All details}
1379 option.
1380
1381 % screenshot: Creating OpenPGP Certificate - Review Parameters
1382 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-reviewParameters_en}
1383
1384 If everything is correct, click on \Button{Create key}.
1385
1386 \clearpage Now to the most important part: entering your
1387 \textbf{passphrase}!
1388
1389 To create a key pair, you must enter your personal passphrase:
1390
1391 % screenshot: New certificate - pinentry
1392 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-openpgp-pinentry_en}
1393
1394 If you have read Chapter~\ref{ch:passphrase} you should now have an
1395 easy-to-remember but hard to break secret passphrase. Enter it in the
1396 dialog displayed at the top. 
1397
1398 Please note that this window may have been opened in the background
1399 and is not visible at first. 
1400
1401 If the passphrase is not secure enough because it is too short or does
1402 not contain any numbers or special characters, the system will tell
1403 you. 
1404
1405 At this point you can also enter a \textbf{test passphrase} or start
1406 in earnest; it's up to you. 
1407
1408 To make sure that you did not make any typing errors, the system will
1409 prompt you to enter your passphrase twice.  Always confirm your entry
1410 with \Button{OK}.
1411
1412 \clearpage
1413 Now your OpenPGP key pair is being created: 
1414
1415 % screenshot: Creating OpenPGP Certificate - Create Key
1416 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-createKey_en}
1417
1418 This may take a couple of minutes. You can assist the creation of the
1419 required random numbers by entering information in the lower input
1420 field.  It does not matter what you type, as the characters will 
1421 not be used, only the time period between each key stroke. You can also
1422 continue working with another application on your computer, which will
1423 also slightly increase the quality of the new key pair.
1424
1425 \clearpage
1426 As soon as \textbf{the key pair creation has been successful}, you
1427 will see the following dialog:
1428
1429 % screenshot: Creating OpenPGP certificate - key successfully created
1430 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-keyPairCreated_en}
1431
1432 The 40-digit ``fingerprint'' of your newly\index{Fingerprint}
1433 generated OpenPGP certificate is displayed in the results text field.
1434 This fingerprint is unique anywhere in the world, i.e. no other person
1435 will have a certificate with the same fingerprint. Actually, even at
1436 8 digits it would already be quite unlikely that the same sequence would 
1437 occur twice anywhere in world.  For this reason, it is often only the 
1438 last 8 digits of a
1439 fingerprint which are used or shown, and which are described as the
1440 key ID.\index{Key!ID} This fingerprint
1441 identifies the identity of the certificate as well as the fingerprint
1442 of a person. 
1443
1444 However, you do not need to remember or write down the fingerprint.
1445 You can also display it later in Kleopatra's certificate details.
1446
1447 \clearpage
1448 Next, you can activate one or more of the following three buttons:
1449
1450 \begin{description}
1451
1452 \item[Creating a backup copy of your (private) certificate...]~\\
1453     Enter the path under which your full certificate (which contains
1454     your new key pair, hence the private \textit{and } public key) should be exported:
1455
1456     % screenshot: New OpenPGP certificate - export key
1457     \IncludeImage[width=0.5\textwidth]{sc-kleopatra-openpgp-exportSecretKey_en}
1458
1459     Kleopatra will automatically select the file type and store your
1460     certificate as an \Filename{.asc} or\Filename{.gpg} file --
1461     depending on whether you activate or deactivate the \textbf{ASCII
1462     armor} option. 
1463     
1464     For export, click on \Button{OK}.
1465
1466     \textbf{Important:} If you save the file on the hard drive, you
1467     should copy the file to another data carrier (USB stick, diskette
1468     or CD-ROM) as soon as possible, and delete the original file
1469     without a trace, i.e. do not leave it in the Recycle bin! Keep
1470     this data carrier and back-up copy in a safe place.  
1471     
1472     You can also create a back-up copy later; to do this, select the
1473     following from the Kleopatra main menu:
1474     \Menu{File$\rightarrow$Export private certificate...} (see Chapter
1475     \ref{ch:ImExport}).
1476
1477 \item[Sending a certificate via \Email{} ...]~\\
1478 Clicking on this button should create a new one\Email{} --
1479     with your new public certificate in the attachment. Your secret
1480     Open PGP key will of course \textit{not} be sent. Enter a
1481     recipient \Email{} address; you can also add
1482     more text to the prepared text for this \Email{}.
1483
1484     \textbf{Please note:} Not all
1485    \Email{} programs support this function. Of course you can also do
1486     this manually: If you do not see a
1487     new\Email{} window, shut down the
1488     certificate creation assistant, save your public certificate via
1489     \Menu{File$\rightarrow$Export certificate} and sent this file
1490     via \Email{} to
1491     the people you are corresponding with. For more details see
1492     Section~\ref{sec_publishPerEmail}.
1493
1494 \item[Sending certificates to certificate servers...]~\\Chapter~ explains how
1495     to set up a globally available OpenPGP certificate server in Kleopatra,
1496     and how you can publish your public certificate on this
1497     server \ref{ch:keyserver}.
1498
1499 \end{description}
1500
1501 This completes the creation of your OpenPGP certificate. End the
1502 Kleopatra assistant with \Button{Finish}.
1503
1504 Now let's go to Section~\ref{sec_finishKeyPairGeneration} on
1505 page~\pageref{sec_finishKeyPairGeneration}. Starting at that point,
1506 the explanations for OpenPGP and X.509 will again be identical.
1507
1508
1509 \clearpage
1510 \section{Creating an X.509 certificate}
1511 \label{createKeyPairX509}
1512 \index{X.509!create certificate}
1513
1514 \T\marginSmime
1515 In the certificate format selection dialog on page~,
1516 \pageref{chooseCertificateFormat} click on the button\\
1517 \Button{Create personal X.509 key pair and authentication
1518 request}.
1519
1520 In the following window, enter your name (CN = common name), your
1521 \Email{} address (EMAIL), organisation (O) and
1522 your country code (C). Optionally, you can also add your location (L =
1523 Locality) and department (OU = Organizational Unit).
1524
1525 If you first wish to \textbf{test} the X.509 key pair creation
1526 process, you can enter any information for name, organization and
1527 country code, and can also enter a fictional 
1528 \Email{} address, e.g.:\Filename{CN=Heinrich
1529 Heine,O=Test,C=DE,EMAIL=heinrich@gpg4win.de}
1530
1531 % screenshot: New X.509 Certificate - Personal details
1532 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-personalDetails_en}
1533
1534 The \textbf{Advanced settings will only be required in exceptional}
1535 cases. For details, see the Kleopatra handbook (via
1536 \Menu{Help$\rightarrow$Kleopatra handbook}).
1537
1538 Click on \Button{Next}.
1539
1540 \clearpage
1541 You will see a list of all main entries and settings for \textbf{review
1542 purposes}. If you are interested in the (default) expert settings,
1543 you can view these via the \Menu{All details} option.
1544
1545 % screenshot: New X.509 Certificate - Review Parameters
1546 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-reviewParameters_en}
1547
1548 Once everything is correct, click on \Button{Creat key}.
1549
1550 \clearpage
1551 Now to the most important part: Entering your \textbf{passphrase}!
1552
1553 In order to create a key pair, you will be asked to enter your
1554 passphrase:
1555
1556 % screenshot: New X.509 certificate - pinentry
1557 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-x509-pinentry_en}
1558
1559 If you have read Chapter~\ref{ch:passphrase} you should now have an
1560 easy-to-remember but hard to break secret passphrase. Enter it in the
1561 dialog displayed at the top! 
1562
1563 Please note that this window may have been opened in the background,
1564 so it may not be visible at first. 
1565
1566 If the passphrase is not secure enough because it is too short or does
1567 not contain any numbers or special characters, the system will let you
1568 know. 
1569
1570 At this point you can also enter a \textbf{test passphrase} or start
1571 in earnest; it's up to you.
1572
1573 To make sure that you did not make any typing errors, the system will
1574 prompt you to enter your passphrase twice.  Finally, you will be asked
1575 to enter your passphrase a third time: By doing that, you are sending
1576 your certificate request \index{Certificate!request} to the
1577 authenticating instance in charge.  Always confirm your entries with
1578 \Button{OK}.
1579
1580 \clearpage
1581 Now your X.509 key pair is being created:
1582 % screenshot: New  X.509 Certificate - Create Key
1583 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-createKey_en}
1584
1585 This may take a couple of minutes. You can assist the creation of the
1586 required random numbers by entering information in the lower input
1587 field.  It does not matter what you type, as the characters will 
1588 not be used, only the time period between each key stroke. You can also
1589 continue working with other applications on your computer, which will
1590 slightly increase the quality of the key pair that is being created.
1591
1592 \clearpage
1593 As soon as \textbf{the key pair has been successfully} created, you
1594 will see the following dialog:
1595
1596 % screenshot: New X.509 certificate - key successfully created
1597 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-x509-keyPairCreated_en}
1598
1599 The next steps are triggered with the following buttons:
1600
1601 \begin{description}
1602
1603 \item[Save request in file...]~\\Here, you enter the path under which
1604     your X.509 certificate request should be backed up, and confirm
1605     your entry. Kleopatra will automatically add the file ending \Filename{.p10}
1606     during the saving process. This file can then be
1607     sent to an authentication instance (in short CA for Certificate
1608     Authority\index{Certificate Authority (CA)}). Further below, we
1609     will refer you to cacert.org, which is a non-commercial
1610     authentication instance (CA) that issues X.509 certificates free
1611     of charge.
1612
1613 \item[Sending an request by \Email{}  
1614     ...]~\\This
1615     creates a new \Email{} with the certificate request
1616     which has just been created in the attachment. Enter a recippient
1617     \Email{} address -- usually that of your
1618     certificate authority in charge; you can also add more text
1619     to the prepared text of this \Email{}.
1620
1621     \textbf{Please note:} Not all \Email{} programs support this
1622     function. Of course you can also do this manually: If you do not
1623     see a new \Email{}window, save your request in a file (see above)
1624     and send it by \Email{} to your certificate authority (CA). 
1625     
1626     As soon as the CA has processed your request, the CA system
1627     administrator will send you the completed X.509 certificate, which
1628     has been signed by the CA. You only need to import the file into
1629     Kleopatra (see Chapter~\ref{ch:ImExport}).
1630
1631 \end{description}
1632
1633 End the Kleopatra assistant with \Button{Finish}.
1634
1635
1636 \clearpage
1637 \subsubsection{Creating an X509 certificate using www.cacert.org}
1638
1639 \T\marginSmime
1640 CAcert\index{CAcert} is a non-commercial certificate authority which
1641 issues X.509 certificates free of charge. It offers an alternative to
1642 commercial root CAs, some of which charge very high fees for their
1643 certificates. 
1644
1645 To create a (client) certificate at CAcert, you first have to register
1646 at \uniurl[www.cacert.org]{http://www.cacert.org}. 
1647
1648 Immediately following registration, you can create one or more client
1649 certificates on cacert.org: please make sure you have sufficient key
1650 length (e.g.  2048 bits). Use the web assistant to define a secure
1651 passphrase for your certificate.
1652
1653 Your client certificate is now created.
1654
1655 Afterwards you will receive an \Email{} with two
1656 links to your new X.509 certificate and associated CAcert root
1657 certificate. Download both certificates.
1658
1659 Follow the instructions to install the certificate on your browser. In
1660 Firefox, you can use e.g. 
1661 \Menu{Edit$\rightarrow$Settings$\rightarrow$Advanced$\rightarrow$Certificates}
1662 to find your installed certificate under the first tab ``Your
1663 certificates" with the name (CN) \textbf{CAcert WoT User}.
1664
1665 You can now issue a personal X.509 certificate which has your name in
1666 the CN field. To do this, you must have your CAcert account
1667 authenticated by other members of the CACert Web of Trust. Information
1668 on obtaining such a confirmation can be found on the Internet pages of
1669 CAcert.
1670
1671 Then save a backup copy of your personal X.509 certificate. The
1672 ending \Filename{.p12} will automatically be applied
1673 to the backup copy.
1674
1675 \textbf{Attention:} This \Filename{.p12} file contains your
1676 public \textit{and } your private key. Please ensure that this file is
1677 protected againt unauthorised access.
1678
1679 To find out how to import your personal X.509 certificate in
1680 Kleopatra, see Chapter~\ref{ch:ImExport}.
1681
1682 ~\\ Let's now look at Section \ref{sec_finishKeyPairGeneration} on the
1683 next page. This is where explanations for OpenPGP and X.509 are
1684 identical again.
1685
1686
1687 \clearpage
1688 \section{Certificate creation process complete}
1689 \label{sec_finishKeyPairGeneration}
1690
1691 \textbf{This completes the creation of your OpenPGP or X.509 key pair.
1692 You now have a unique electronic key.}
1693
1694 During the course of this compendium, we will always use an OpenPGP
1695 certificate for sample purposes -- however, all information will also
1696 apply accordingly to X509 certificates.
1697
1698 %TODO: X.509-Zertifikat noch nicht in Kleopatra sichtbar!
1699
1700 You are now back in the Kleopatra main window. The OpenPGP certificate
1701 which was just created can be found in the certificate administration
1702 under the tab \Menu{My certificates}:
1703
1704 % screenshot: Kleopatra with new openpgp certificate
1705 \htmlattributes*{img}{width=508}
1706 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withOpenpgpTestkey_en}
1707
1708 \clearpage
1709 Double-click on your new certificate to view all details related to
1710 the certificate:
1711
1712 % screenshot: details of openpgp certificate
1713 \htmlattributes*{img}{width=508}
1714 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_en}
1715
1716 What do the certificate details mean? 
1717
1718 Your certificate is valid indefinitely, i.e. it has no ``built-in
1719 expiry date''. To change its validity at a later point, click
1720 on \Button{Change expiry date}.
1721
1722 \textbf{For more details about the certificate, see
1723 Chapter~\ref{ch:CertificateDetails}.}
1724
1725
1726 \clearpage
1727 \chapter{Distribution of public certificates}
1728 \label{ch:publishCertificate}
1729 \index{Certificate!public}
1730
1731 When using Gpg4win on a daily basis, it is very practical that for the
1732 purpose of encrypting and checking signatures you are always dealing
1733 with ``public'' certificates which only contain public keys. As long
1734 as your own secret key and the passphrase which protects it are
1735 secure, you have already gone a long way towards ensuring secrecy.
1736
1737 Everyone can and should have your public certificate, and you can and
1738 should have the public certificates of your correspondence partners --
1739 the more, the better. 
1740
1741 Because:
1742
1743 \textbf{To exchange secure \Email{}s, both partners must have and
1744 use the public certificate of the other person. Of course the
1745 recipient will also require a program capable of handling certificates
1746 -- such as the Gpg4win software package with Kleopatra certification
1747 administration.}
1748
1749 Therefore, if you want to send encrypted \Email{}s to someone,
1750 you must have their public certificate to encrypt the \Email{}.
1751
1752 In turn, if someone wants to send you encrypted \Email{}s, he
1753 must have your public certificate and use it for encryption purposes.
1754
1755 For this reason you should now allow access to your public
1756 certificate.
1757
1758 Depending on how many people you corespond with, and which certificate
1759 format you are using, you have several options. For example, you can
1760 distribute your public certificate ...
1761
1762 \begin{itemize}
1763     \item ... directly via \textbf{\Email{}} to specific correspondence
1764         partners -- see Section~ \ref{sec_publishPerEmail}.
1765     \item ... on an \textbf{OpenPGP certificate server} (applies \textit{only }
1766         to OpenPGP) -- See Section~\ref{sec_publishPerKeyserver}.
1767     \item ... via your own homepage.
1768     \item ... in person, e.g. with a USB stick.
1769 \end{itemize}
1770
1771 Let's look at the first two variants on the following pages.
1772
1773 \clearpage
1774 \section{Publishing per \Email{}, with practice for OpenPGP}
1775 \label{sec_publishPerEmail}
1776
1777 Do you wish to make your public certificate accessible to the person
1778 you are corresponding with? Simply send them your exported public
1779 certificate per \Email{}. This section will show you how this
1780 works.\\ 
1781
1782 \T\marginOpenpgp
1783 Practice this process with your public OpenPGP certificate! Adele can
1784 assist you. The following exercises only apply to OpenPGP; for
1785 information on publishing public X.509 certificates, please see
1786 page~\pageref{publishPerEmailx509}.
1787
1788 \textbf{Adele} is a very nice \Email{} robot which you can use
1789 to practice correspondence. Because it is usually more pleasant to
1790 correspond with a smart human being rather than a piece of software
1791 (which is what Adele is, after all), you can imagine Adele this way:
1792
1793 % Cartoon:  Adele mit Buch in der Hand vor Rechner ``you have mail''
1794 \IncludeImage[width=0.5\textwidth]{adele01}
1795
1796 First, send Adele your public OpenPGP certificate. Using the public
1797 key in this certificate, Adele will send an encrypted \Email{}
1798 back to you. 
1799
1800 You then use your own secret key to decrypt Adele's response. To be
1801 able to respond to Adele with an encrypted \Email{}, Adele has
1802 attached her own public certificate. 
1803
1804 Adele acts just like a real person you are corresponding with. Of
1805 course, Adele's \Email{}s are not nearly as interesting as those from
1806 the people you are actually corresponding with. On the other hand, you
1807 can use Adele to practice as much as you like -- which a real person
1808 might find bothersome after a while. 
1809
1810 So, now you export your public OpenPGP certificate and send it via
1811 \Email{} to Adele. The following pages how how this works. 
1812
1813
1814 \clearpage
1815 \subsubsection{Exporting your public OpenPGP certificate}
1816 \index{Certificate!export}
1817
1818 Select the public certificate to be exported in Kleopatra (by clicking
1819 on the corresponding line in the list of certificates) and then click
1820 on \Menu{File$\rightarrow$Export certificates...} in the menu.
1821 Select a suitable file folder on your PC and save the public
1822 certificate with the file type\Filename{.asc} e.g.:
1823 \Filename{mein-OpenPGP-Zertifikat.asc}. The other file types, which
1824 can be selected, \Filename{.gpg} or\Filename{.pgp}, will save your
1825 certificate in binary format. That means that in contrast to an 
1826 \Filename{.asc}file, they cannot be read in the text editor. 
1827
1828 When you select the menu item, please make sure that you are only
1829 exporting your public certificate -- and \textit{not } the certificate
1830 of your entire key pair with the associated private key by mistake. 
1831
1832 Review the file once more by selecting Windows Explorer and selecting
1833 the same folder that you indicated for the export.
1834
1835 Now \textbf{open} the exported certificate file with a text
1836 editor, e.g. WordPad. The text editor will display your public OpenPGP
1837 certificate as it really looks -- a fairly confusing block of text and
1838 numbers:
1839 \T\enlargethispage{\baselineskip}
1840
1841 % screenshot: Editor mit ascii armored key
1842 \IncludeImage[width=0.85\textwidth]{sc-wordpad-editOpenpgpKey_en}
1843
1844 \clearpage
1845 When publishing your OpenPGP certificate by \Email{}, there are
1846 two variants which can take into account whether an 
1847 \Email{} program can send attachments.
1848
1849 \subsubsection{Variant 1: Send public OpenPGP certificate as an 
1850 \Email{} text}
1851
1852 This option always works, even if you are not able to attach files --
1853 as may be the case with some \Email{} services on the Web.\\ Also,
1854 it is a way of seeing your public certificate for the first time, 
1855 knowing exactly what is behind it, and what the certificate actually
1856 consists of.
1857
1858 \textbf{Highlight} the entire public certificate in the text editor from
1859
1860 \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\
1861 up to\\
1862 \Filename{-----END PGP PUBLIC KEY BLOCK-----}
1863
1864 and \textbf{copy} it with the menu command or the key shortcut
1865 \Filename{Ctrl+C}. Now you have copied the certificate in the memory
1866 of your computer (Clipboard in a Windows context).
1867
1868 Now you can start your \Email{} program -- it does not matter which
1869 one you use -- and add your public certificate into an empty \Email{}.
1870 In Windows, the key command for adding (``Paste'') is
1871 \Filename{Ctrl+V}. You may know this process ­-- copying and pasting
1872 ­-- as ``Copy \& Paste''. 
1873
1874 The \Email{} program should be set up in such a way that it is
1875 possible to send only text messages and not HTML formated messages
1876 (see Section~\ref{sec_brokenSignature} and Annex
1877 \ref{appendix:gpgol}).
1878
1879 \textbf{Now address this} \Email{} to
1880 \Filename{adele@gnupp.de} and write something in the subject line e.g.
1881 \Menu{My public OpenPGP certificate}.
1882
1883 \clearpage
1884 This is approximately what your \Email{} will look like:
1885
1886 % screenshot: Outlook composer fenster mit openpgp zertifikat.
1887 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-inline_en}
1888
1889 Now send the \Email{} to Adele. Make sure to include your  
1890 \textit{own} \Email{} address as the sender. Otherwise you will never receive Adele's response ...
1891
1892 \clearpage
1893 \subsubsection{Variant 2: Send public OpenPGP certificate as an \Email{} attachment}
1894
1895 As an alternate to Variant 1, you can also send your exported public
1896 OpenPGP certificate directly as an \textbf{\Email{} file
1897 attachment}. This is often the simpler and more commonly used method.
1898 Above, you learnt about the ``Copy \& Paste'' method,
1899 because it is more transparent and easier to understand.
1900
1901 Now write another \Email{} to Adele -- this time with the certificate
1902 file in the attachment: 
1903
1904 Add the previously exported certificate file as an attachment to your
1905 new \Email{} -- just as you would for any other file (e.g. pulling the
1906 file into the emtpy \Email window).  Add the recipient
1907 (\Filename{adele@gnupp.de}) and a subject, e.g.: \Menu{My public
1908 OpenPGP certificate - as a file attachment}.
1909
1910 Of course you can also add a few explanatory sentences.  However,
1911 Adele does not need this explanations, because her only purpose is to
1912 help you practice this process. 
1913
1914 Your finished \Email{} should look something like this:
1915 \T\enlargethispage{2\baselineskip}
1916
1917 % screenshot: Outlook composer window with attached openpgp certificate
1918 \IncludeImage[width=0.85\textwidth]{sc-ol-adele-sendOpenpgpKey-attachment_en}
1919
1920 Now send the \Email{} and attachment to Adele.
1921
1922 \clearpage
1923 \subsubsection{In short:}
1924
1925 You have exported your public OpenPGP certificate in Kleopatra into a
1926 file. Subsequently, you have also copied the content of the file
1927 directly into an \Email{} and attached the complete file as an
1928 \Email{}attachment. Both \Email{}s have been sent to someone else
1929 -- in this case, to Adele. 
1930
1931 The same process applies if you are sending your public certificate to
1932 a real \Email{} address. Usually, you should send public certificates
1933 as a file attachment, as described in Variant 2. This is the easiest
1934 way to do it, both for you and the recipient. And it also has the
1935 advantage that your recipient can import your certificate file
1936 directly into his own certificate administration (e.g. Kleopatra).
1937
1938 \clearpage
1939 \section{Publish via OpenPGP certificate server}
1940 \label{sec_publishPerKeyserver}
1941
1942 \T\marginOpenpgp
1943 \textbf{Please note: You can only distribute your OpenPGP certificate
1944 via an OpenPGP certificate server.}
1945
1946 Publishing your public OpenPGP certificate on a public certificate server is
1947 always a good idea, even if you are only exchanging encrypted \Email{}s 
1948 with just a few people. This way, your public certificate is
1949 accessible to everyone on an Internet server. This saves you time in
1950 having to send your certificate \Email{} to all of the people
1951 you are corresponding with.
1952
1953 At the same time, publishing your \Email{} address on a certificate server can
1954 also make your \Email{} address more susceptible to spam. This can
1955 only be addressed with good spam protection.
1956
1957 ~\\ \textbf{This is how it works:} Select your public OpenPGP certificate in Kleopatra 
1958 and click on \Menu{File$\rightarrow$Export certificate to server...}. 
1959 If you have not defined a certificate server, you will see a warning:
1960
1961 % screenshot: Kleopatra keyserver export warning
1962 \IncludeImage[width=0.6\textwidth]{sc-kleopatra-exportCertificateToServer_en}
1963
1964 The public OpenPGP certificate server already contains
1965 \Filename{keys.gnupg.net} default settings. Click on
1966 \Button{Continue} to send your selected public certificate to this
1967 server. There, your public certificate is distributed to all globally
1968 connected certificate servers. Anyone can download your public certificate
1969 from one of these OpenPGP certificate servers and use it send you a secure
1970 \Email{}. 
1971
1972 If you are only testing this process, please do \textit{not} send the
1973 practice certificate: In the top dialog, click on \Button{Cancel}. The
1974 test certificate is worthless and cannot be removed by the certificate server.
1975 You would not believe how many test certificates with names like
1976 ``Julius Caesar'', ``Helmut Kohl'' or ``Bill Clinton'' are already
1977 floating around on these servers ...
1978
1979 \clearpage
1980 \subsubsection{In short:}
1981 Now you know how to publish your public OpenPGP certificate on an
1982 OpenPGP certificate server on the Internet.
1983
1984 \textbf{For information on how to search for the public OpenPGP 
1985 certificate of people you are corresponding with on a certificate server, see
1986 Chapter~\ref{ch:keyserver}. You can read this chapter now or later when
1987 you need this function.}
1988
1989
1990 \clearpage
1991 \section{Publishing X.509 certificates}
1992 \label{publishPerEmailx509}
1993
1994 \T\marginSmime
1995 In the case of public X.509 certificates, this process is even easier:
1996 all you need to do is to send a signed S/MIME \Email{} to the person
1997 you are corresponding with. Your public X.509 certificate is contained
1998 in this signature, and can be imported into the recipient's
1999 certificate administration. 
2000
2001 Unfortunately, you cannot use Adele to practice X.509 certificates
2002 since the robot only supports OpenPGP.  Therefore you should pick
2003 another person to write you, or alternately write to yourself. 
2004
2005 Some public X.509 certificates are distributed by the certificate
2006 authority. This is usually done using X.509 certificate servers, which however
2007 do not synchronize on a global basis, as is the case with OpenPGP key
2008 servers. 
2009
2010 When you export your public X.509 certificate, you can highlight the
2011 entire public certificate chain\index{Certificate!chain} and save it
2012 in a file -- generally the root certificate, CA
2013 certificate\index{Certificate!CA} and personal certificate -- or only
2014 your public certificate. 
2015
2016 The first is recommended since the person you are corresponding with
2017 may be missing some parts of the chain, which he otherwise would have
2018 to find. To do this, click on all elements of the certificate chain in
2019 Kleopatra while holding the Shift key, and export the highlighted
2020 certificate into a file. 
2021
2022 If the person you are corresponding with does not have the root
2023 certificate, he must indicate that he trusts it, or have an
2024 administrator do so, in order to finally also trust you. If this has
2025 already been done (e.g. because they are both part of the same
2026 ``root''), then this  shiop is already in place. 
2027
2028
2029 \clearpage
2030 \chapter{Decrypting \Email{}s, practicing for OpenPGP}
2031 \label{ch:decrypt}
2032 \index{E-mail!decrypt}
2033
2034 Gpg4win, the certificate of your key pair and of course your
2035 passphrase are all you need to decrypt \Email{}s. 
2036
2037 This Chapter shows you step for step how to decrypt \Email{}s in
2038 Microsoft Outlook using the Gpg4win program component GpgOL.
2039 \index{Outlook}
2040
2041 \T\marginOpenpgp
2042 Initially, you can practice this process with Adele and your public
2043 OpenPGP certificate. The following exercises again only apply to
2044 OpenPGP -- explanations regarding the decryption of S/MIME
2045 \Email{}s can be found at the end of this chapter on page
2046 \pageref{encrypt-smime}.
2047
2048 In Section~\ref{sec_publishPerEmail} you sent your public
2049 OpenPGP certificate to Adele. Using this certificate, Adele will now
2050 encrypt an \Email{} and send a message back to you. You should
2051 receive Adele's response after a short time period.
2052
2053 \T\enlargethispage{\baselineskip}
2054
2055 % cartoon: Adele typing and sending a mail
2056 \IncludeImage[width=0.5\textwidth]{adele02}
2057
2058 \clearpage
2059 \subsubsection{Decrypting a message with MS Outlook and GpgOL}
2060
2061 Most \Email{} programs also have special program extensions
2062 (``plugins''), which can be used to perform the encryption and
2063 decryption process directly in the \Email{} program.
2064 \textbf{GpgOL} is such a program extension for MS Outlook, which is
2065 used here to decrypt Adele's\Email{}s. For more information on
2066 other software solutions, please see Annex~\ref{ch:plugins}. You can
2067 read this section now, or later when you need this function.
2068
2069 ~\\Start MS Outlook and open Adele's response \Email{}. Until
2070 now, you have only known Kleopatra as a certificate administration
2071 program. However, the program can do much more than that: It can
2072 control the actual GnuPG encryption software and hence not just manage
2073 your certificates but also take care of all cryptographic tasks (with
2074 GnuPG's assistance). Kleopatra provides the visual user interface,
2075 hence the dialogs which you as the user see while you encrypt or
2076 decrypt \Email{}s. 
2077
2078 Hence Kleopatra processes Adele's encrypted
2079 \Email{}s. These \Email{}s have been encrypted by Adele using
2080 \textit{your} public OpenPGP key. 
2081
2082 To decrypt the message, Kleopatra
2083 will now ask for your passphrase that protects your private key. Enter
2084 your passphrase. 
2085
2086 The decryption is successful if you do not see an
2087 error dialog! You can now read the decrypted \Email{}. 
2088
2089 You can retrieve the exact results dialog of the decryption by
2090 clicking on \Menu{Extras$\rightarrow$GpgOL decryption/check} in the
2091 menu of the opened \Email{}. 
2092
2093 However, surely you also want to see the result, namely the decrypted
2094 message ...
2095
2096 \clearpage
2097 \subsubsection{The decrypted message}
2098
2099 Adele's decrypted response will look something like
2100 this\footnote{Depending on the software version of Adele, it may look
2101 differently. It's translated from German.}:
2102
2103 %TODO: besser ein Screenshot von einer Adele-Mail in OL.
2104 %TODO: Schlüssel -> Zertifikat
2105
2106 \begin{verbatim}
2107 Hello Heinrich Heine, 
2108
2109 here is an encrypted response to your e-mail. 
2110
2111 I received your public key with the key ID 
2112 FE7EEC85C93D94BA and the name
2113 `Heinrich Heine <heinrich@gpg4win.de>'.
2114
2115 Attached is the public key of adele@gnupp.de,
2116 the friendly e-mail robot.
2117
2118 Regards,
2119 adele@gnupp.de
2120 \end{verbatim}
2121
2122 The text block that follows is Adele's public certificate. 
2123
2124 In the next chapter, you will import this certificate and add it to
2125 your certificate administration. You can use imported public
2126 certificates at any time to encrypt messages to the people you are
2127 corresponding with, or to check their signed \Email{}s.
2128
2129 \clearpage
2130 \subsubsection{In short:}
2131
2132 \begin{enumerate}
2133     \item You have decrypted and encrypted an \Email{} using your
2134         private key.
2135     \item Your correspondence partner has attached his own public
2136         certificate, so that you can answer him in encrypted form.
2137 \end{enumerate}
2138
2139
2140 \subsubsection{\Email{} decryption using S/MIME}
2141 \label{encrypt-smime}
2142
2143 \T\marginSmime
2144 So this is how \Email{}s are decrypted using the private OpenPGP
2145 key -- but how does it work with S/MIME? 
2146
2147 The answer: The same!
2148
2149 To decrypt an encrypted S/MIME \Email{}, simply open the
2150 message in Outlook and enter your passphrase in the pin entry
2151 dialog. You will see a status dialog that is similar to that shown for
2152 OpenPGP. After closing this dialog, you will see the decrypted S/MIME 
2153 \Email{}. 
2154
2155 Differently from OpenPGP decryption, however, when
2156 using S/MIME you cannot use Adele to practice, since Adele only
2157 supports OpenPGP.
2158
2159 \clearpage
2160 \chapter{Importing a public certificate}
2161 \label{ch:importCertificate}
2162 \index{Certificate!import}
2163
2164 The person you are corresponding with does not always have to send
2165 their public certificate when they send signed \Email{}s to you. You can
2166 simply store their public certificate in your certificate
2167 administrator -- e.g. Kleopatra.
2168
2169 \subsubsection{Storing a public certificate}
2170
2171 Before you import a public certificate into Kleopatra, you must save
2172 it in a file. Depending on whether you received the certificate as an
2173 \Email{}file attachment or as a block of text contained in your \Email{}, 
2174 please proceed as follows:
2175
2176 \begin{itemize}
2177
2178 \item If the public certificate was included as an \Email{} \textbf{file
2179     attachment}, save it on your hard drive -- just as you would
2180     normally do.
2181
2182 \item If the public certificate was mailed as a block of text
2183     that \textbf{was included in the} \Email{}, you have to
2184     highlighte the entire certificate:  
2185     
2186     In the case of (public)
2187     OpenPGP certificates, please highlight the area from 
2188
2189     \Filename{-----BEGIN PGP PUBLIC KEY BLOCK-----}\\ up to\\
2190     \Filename{-----END PGP PUBLIC KEY BLOCK-----} 
2191     
2192     just as we have seen in Section~\ref{sec_publishPerEmail}. 
2193     
2194     Now use Copy \&  Paste to
2195     insert the highlighted section into a text editor and save the
2196     public certificate. For file endings, you should use
2197      \Filename{.asc} or \Filename{.gpg} for
2198     OpenPGP certificates and \Filename{.pem} or \Filename{.der}
2199     for X.509 certificates.
2200
2201 \end{itemize}
2202
2203 \clearpage
2204 \subsubsection{Importing public certificates into Kleopatra}
2205
2206 Whether you have saved the public certificate as an \Email{} 
2207 attachment or text block -- in both cases, you will be importing it
2208 into your Kleopatra certificate administration. To do this, start
2209 Kleopatra if the program is not running already. In the menu, click
2210 on \Menu{File$\rightarrow$Import certificate...}, search for
2211 the public certificate you have just saved and import it. You will
2212 receive an information dialog showing the result of the import
2213 process:
2214
2215 % screenshot: Kleopatra - certificate import dialog
2216 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-import-certificate_en}
2217
2218 It displays the imported public certificate in Kleopatra, in a
2219 separate tab \Menu{Imported certificates} with the title
2220 \Menu{<Path to certification file>}'':
2221
2222 % screenshot Kleopatra with new certificate
2223 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-withAdeleKey_en}
2224
2225 This tab is used for checking purposes, since a file can contain more
2226 than one certificate. You can close the tab using the
2227 \Menu{Fenster$\rightarrow$Close tab} command or via the
2228 ``Close tab'' button on the right side of the window).
2229
2230 Now change over to the tab ``Other certificates''. You should also be
2231 able to see the public certificate you have imported. 
2232
2233 Now you have imported someone else's certificate~-- in this case
2234 Adele's public OpenPGP certificate -- into your certificate
2235 administration. You can use this certificate at any time to send
2236 encrypted messages to the owner of the certificate, and to check his
2237 signatures. 
2238
2239 As soon as you are exchanging encrypted \Email{} more
2240 frequently and with a larger number of persons, you will likely want
2241 to search and import for certificates on globally available key
2242 servers. To see how this works, please see Chapter~\ref{ch:keyserver}
2243 .\\
2244
2245 \subsubsection{Before continuing, an important question:}
2246 How do you know that the public OpenPGP certificate really came from
2247 Adele? It is possible to send \Email{}s under someone else's
2248 name -- in this respect, merely having the sender's name does not mean
2249 anything. 
2250
2251 So how can you ensure that a public certificate actually
2252 belongs to the sender? 
2253
2254 \textbf{This key question related to certificate inspections is
2255 explained in the next Chapter~\ref{ch:trust}}.
2256
2257 \clearpage
2258 \chapter{Certificate inspection}
2259 \label{ch:trust}
2260
2261 How do you know if a certificate actually belongs to the sender? And
2262 vice versa -- why should the person you are writing to believe that
2263 the certificate you sent to him is really yours? The sender's name on
2264 an \Email{} means nothing, just like putting a sender's name on
2265 an envelope.
2266
2267 If your bank, receives an \Email{} with your name,
2268 with a request to transfer your entire bank balance to a numbered
2269 account in the Bahamas, we should hope that it will refuse to do so --
2270 no matter what the \Email{} address is. On its own, an \Email{} address
2271 itself does not really say anything about the sender's identity.
2272
2273 \clearpage
2274 \subsubsection{Fingerprints}
2275 \index{Fingerprint}
2276 If you are only corresponding with a very small circle of people, it
2277 is easy to check their identity: You check the fingerprint of the
2278 other certificate.
2279
2280 Each certificate features a unique identification, which is even
2281 better than someone's fingerprint. For this reason this identification
2282 is also referred to as a ``fingerprint''. 
2283
2284 If you display the details of a certificate in Kleopatra, e.g. by
2285 double-clicking on the certificate, you will see its 40-character
2286 fingerprint, among other things:
2287
2288 % screenshot: Kleopatra certificate details with fingerprint
2289 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-openpgp-certificateDetails_en}
2290
2291 The fingerprint of the above OpenPGP certificate is therefore as
2292 follows:\\ \Filename{7EDC0D141A82250847448E91FE7EEC85C93D94BA}
2293
2294 ~\\In short - the fingerprint clearly identifies the certificate and
2295 its owner. 
2296
2297 Simply call the person you are corresponding with and let them read
2298 the fingerprint of their certificate to you. If the information
2299 matches the certificate you have on hand, you clearly have the right
2300 certificate. 
2301
2302 Of course you can also meet the owner of the certificate in person, or
2303 use another method to ensure that certificate and owner can be
2304 matched. Frequently, the fingerprint is also printed on business
2305 cards; therefore, if you have a business card whose authenticity is
2306 guaranteed, you can save yourself a phone call.
2307
2308
2309 \clearpage
2310 \subsubsection{Authenticating an OpenPGP certificate}
2311 \index{Certificate!authenticate}
2312
2313 \T\marginOpenpgp
2314 Once you have obtained confirmation of the authenticity of the
2315 certificate ``via a fingerprint'', you can authenticate it -- but only
2316 in OpenPGP. With X.509, users cannot authenticate certificates -- this
2317 can only be done by the certificate authorities (CA). 
2318
2319 By authenticating a certificate, you are letting other (Gpg4win) users
2320 know that you are of the opinion that this certificate is real --
2321 hence authentic: You are acting as a kind of ``godfather'' for this
2322 certificate, and help to increase the general level of trust in its
2323 authenticity.
2324
2325 ~\\
2326 \textbf{So how does the authentication process work?}\\ 
2327 In Kleopatra, select an OpenPGP certificate that you think is real and
2328 would like to authenticate. In the menu, select:
2329 \Menu{Certificates$\rightarrow$Authenticate certificates...}
2330
2331 Reconfirm the OpenPGP certificate to be authenticated in the following
2332 dialog, using \Button{Next}:
2333
2334 % screenshot: Kleopatra certify certificate 1
2335 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate1_en}
2336
2337 \clearpage
2338 In the next step, select your own OpenPGP certificate, which you will
2339 use to authenticate the certificate selected in the last step:
2340
2341 % screenshot: Kleopatra certify certificate 2
2342 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate2_en}
2343
2344 Here you decide whether to \Button{Authenticate for private use only}
2345 or or \Button{Authenticate and make visible to all}. With the last
2346 variant, you have the option of subsequently uploading the
2347 authenticated certificate to an OpenPGP certificate server, and hence make an
2348 updated and authenticated certificate available to the entire world.
2349
2350 Now confirm your selection with \Button{Authenticate}. 
2351
2352 Similar to the process of signing an \Email{}, you also have to enter
2353 your passphrase when authenticating a certificate (with your private
2354 key). The authentication proccess is only complete once this
2355 information is entered correctly.
2356
2357 \clearpage
2358 Following a successful authentication, the following window appears:
2359
2360 % screenshot: Kleopatra certify certificate 3
2361 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certifyCertificate3_en}
2362
2363 ~\\Do you want to check the authentication one more? To do this, open
2364 the certificate details of the certificate you have just
2365 authenticated.Select the tab \Menu{User ID and authentications} and
2366 click on the button \Button{Obtain authentications}. 
2367
2368 You will now see all authentications contained in this certificate,
2369 sorted by user ID. You should also be able to see your certificate in
2370 this list, if you have just authenticated it.
2371
2372 \clearpage
2373 \subsubsection{Web of trust}
2374 \index{Web of Trust}
2375
2376 \T\marginOpenpgp
2377 The process of authenticating certificates creates a ``Web of Trust''
2378 (WoT), which extends beyond the group of Gpg4win users and their
2379 correspondence, and it means that you are not always required to
2380 verify an OpenPGP certificate for its authenticity.
2381
2382 \htmlattributes*{img}{width=300}
2383 \IncludeImage[width=0.85\textwidth]{key-with-sigs}
2384
2385 Naturally, trust in a certificate will increase if it has been
2386 authenticated by a lot of people. Your own OpenPGP certificate will
2387 receive authentications from other GnuPG users over time. This enables
2388 more and more people to trust that this certificate is really yours
2389 and not someone else's. 
2390
2391 The continued weaving of this ``Web of Trust'' creates a flexible
2392 authentication structure. 
2393
2394 There is one theoretical possibility of making this certificate test
2395 null and void: Someone plants a wrong certificate on you. In other
2396 words, you have a public OpenPGP key that pretends to be from X but in
2397 reality was replaced??  by Y. If this falsified certificate is
2398 authenticated, it clearly creates a problem for the ``Web of Trust''.
2399 For this reason it is very important to make sure that prior to
2400 authenticating a certifidate, you make absolutely sure the certificate
2401 really belongs to the person that purports to own it.
2402
2403 But what if a bank or government authority wants to check whether the
2404 certificates of their customers are real?  Surely, they cannot call
2405 them all~...
2406
2407
2408 \clearpage
2409 \subsubsection{Authentication instances}
2410 \index{Authentication instances}
2411 \index{Certificate Authority (CA)}
2412
2413 In this case, we need a ``superordinate'' instance that all users can
2414 trust. After all, you do not personally check the ID of a person not
2415 known to you by phoning the municipal office, but rather trust that
2416 the office that issued the ID will have already checked and
2417 authenticated these details.
2418
2419 \T\marginOpenpgp
2420 These types of authentication instances also exist in the case of
2421 OpenPGP certificates. In Germany, for example, the magazine c't has
2422 long been offering such a service free of charge, as have many
2423 universities. 
2424
2425 Therefore, if you have received an OpenPGP certificate
2426 whose authenticity has been confirmed by such an authentication
2427 instance, you should be able to rely on it.
2428  
2429 \T\marginSmime
2430 Such authentication instances or ``Trust Centers'' are also provided
2431 for in other encryption methods -- such as S/MIME. However, in
2432 contrast to the "Web of Trust", these feature a hierarchical
2433 structure, with a ``top authentication instance'' that authenticates
2434 additional ``sub-instances'' and entitles them to authenticate user
2435 certificates (see Chapter~\ref{ch:openpgpsmime}).
2436
2437 The best way to describe this infrastructure is to use the example of
2438 a seal: The sticker on your license plate can only be provided by an
2439 institution that is authorised to issue such stickers, and they have
2440 received that right from another superordinate body. On a technical
2441 level, an authentication is \index{Authentication} nothing more than
2442 an authenticating party signing a certificate. 
2443
2444 Of course, hierarchical authentication infrastructures are much better
2445 suited to the requirements of government and official instances than
2446 the loose ``Web ofTrust'' of GnuPG, which is based on mutual trust. At
2447 the same time, the key aspect of the authentication is the same for
2448 both: Gpg4win also supports a hierarchical authentication (S/MIME) in
2449 addition to the ``Web of Trust'' (OpenPGP). Accordingly, Gpg4win
2450 offers a basis that corresponds with the Signature Act of the Federal
2451 Republic\index{Signature law} of Germany.
2452
2453 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2454 If you would like to learn more about this topic, the following websites provide more information on this and other IT security topics:
2455 \begin{itemize}
2456     \item \uniurl[www.bsi.de]{http://www.bsi.de}
2457     \item \uniurl[www.bsi-fuer-buerger.de]{http://www.bsi-fuer-buerger.de}
2458     \item \uniurl[www.gpg4win.org]{http://www.gpg4win.org}
2459 \end{itemize}
2460
2461 Another, rather technical, information source on the issue of
2462 authentication infrastructure is the GnuPG handbook, which can also be
2463 found at:\\
2464 \uniurl[www.gnupg.org/gph/en/manual.html]{http://www.gnupg.org/gph/en/manual.html}
2465
2466 \clearpage
2467 \chapter{Encrypting \Email{}s}
2468 \label{ch:encrypt}
2469 \index{E-mail!encrypt}
2470
2471 Now it is getting exciting again: You are sending an encrypted
2472 \Email{}. 
2473
2474 In this case, you will need Outlook (or another \Email{} program that
2475 supports cryptography), Kleopatra and of course the public certificate
2476 of the person you are correspondign with.
2477
2478 \textbf{Note for OpenPGP:}
2479
2480 \T\marginOpenpgp
2481 You can use Adele to practice the encryption process with OpenPGP; on
2482 the other hand, Adele does not support S/MIME. You can send the
2483 \Email{} to be encrypted to \Filename{adele@gnupp.de}. It does not
2484 matter what your write in your message, since Adele cannot read it.
2485
2486 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2487
2488 \textbf{Note for S/MIMIE:}
2489
2490 \T\marginSmime
2491 Following the installation of Gpg4win, the S/MIME functionality is
2492 already activated in GpgOL. If you want to turn off S/MIME (with
2493 GnuPG), for example to use Outlook's own S/MIME function, you have to
2494 deactivate the option \Menu{Activate S/MIME support} in the following
2495 GpgOL option dialog under
2496 \Menu{Extras$\rightarrow$Options$\rightarrow$GpgOL}: 
2497
2498 % screenshot: GpgOL options
2499 \T\ifthenelse{\boolean{DIN-A5}}{
2500     \T\IncludeImage[width=0.75\textwidth]{sc-gpgol-options_en}
2501 \T}
2502 \T{
2503     \IncludeImage[width=0.55\textwidth]{sc-gpgol-options_en}
2504 \T}
2505
2506
2507 \clearpage
2508 \subsubsection{Send an encrypted message}
2509
2510 First, compose a new in Outlook and address it to the person you are
2511 writing to. 
2512
2513 To send your message as in an encrypted form, select the item
2514 \Menu{Extras$\rightarrow$Encrypt message} in the menu of the message
2515 window. The button with the lock icon in the tool bar is activated --
2516 you can also click right on the lock. 
2517
2518 Your Outlook message windows should look something like this:
2519
2520 % screenshot: OL composer with Adele's address and body text
2521 \IncludeImage[width=0.85\textwidth]{sc-ol-sendEncryptedMail_en}
2522
2523 Now click \Button{Send}.
2524
2525 \label{encryptProtocol} ~\\Gpg4win will automatically detect the
2526 protocol -- OpenPGP or S/MIME -- of the public certificate provided by
2527 the person you are corresponding with. 
2528
2529 As long as there is only one certificate that matches the recipient's
2530 \Email{} address, your message will be encrypted and sent. 
2531
2532
2533 \clearpage
2534 \subsubsection{Selecting certificates}
2535 \index{Certificate!selection}
2536 If Kleopatra is not able to clearly determine a recipient certificate
2537 using the l\Email{} address, e.g. if you have an OpenPGP
2538 \textit{and} S/MIME certificate from the person you are corresponding
2539 with, a selection dialog which allows you to select the right
2540 certificate will be displayed.
2541
2542 % screenshot: kleopatra encryption dialog - certificate selection
2543 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encrypt-selectCertificate_en}
2544
2545 If Kleopatra is not able to find the public certificate of the person
2546 you are corresponding with, you probably have not imported it into
2547 your certificate administration yet (see
2548 Chapter~\ref{ch:importCertificate}) or perhaps have not authenticated
2549 it yet (for OpenPGP; see Chapter~\ref{ch:trust}), or have not
2550 expressed your trust in the root certificate of the certification
2551 chain (for S/MIME, see Chapter~\ref{sec_allow-mark-trusted}).
2552
2553 You need the correct public certificate of your correspondence partner
2554 to encrypt your messages.
2555
2556 Remember the principle in Chapter~\ref{ch:FunctionOfGpg4win}:
2557 \begin{quote}
2558   \textbf{You have to use someone's public certificate to send them an an encrypted \Email{}.}
2559 \end{quote}
2560
2561
2562 \clearpage
2563 \subsubsection{Completing the encryption process}
2564 Once your message was successfully encrypted and sent, you will
2565 receive a confirmation message:
2566
2567 % screenshot: kleopatra encryption successfully
2568 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryption-successful_de}
2569
2570 \textbf{Congratulations! You have encrypted your first \Email{}!}
2571
2572
2573 \chapter{Signing \Email{}s}
2574 \label{ch:sign}
2575 \index{E-mail!sign}
2576
2577 In Chapter~\ref{ch:trust} you learnt more about verifying the
2578 authenticity of a public OpenPGP certificate, and signing it with your
2579 own private OpenPGP key.
2580
2581 This chapter also explains how to \textbf{sign} a complete
2582 \textbf{\Email{}} rather than only the certificate. That means
2583 applying a digital signature to the \Email{} -- which is a form of an
2584 electronic seal.  
2585
2586 ``Sealed'' in this way, the text can still be read by everyone, but it
2587 allows the recipient to find out whether the \Email{} was manipulated
2588 or modified during delivery.  The signature tells the recipient that
2589 the message is really from you.  And: If you are corresponding with
2590 someone whose public certificate you do not have (for whatever
2591 reason), you can at least ``seal'' the message with your own private
2592 key.
2593
2594 You have probably noticed that this digital
2595 signature\index{Signature!digital} is not identical to an
2596 \Email{} ``signature'', which is sometimes included at the end of an
2597 \Email{} and includes such items as telephone number, address and
2598 website. While these \Email{} signatures simply function as a type of
2599 business card, a digital signature will protect your \Email{} from
2600 manipulation and clearly confirms the sender.
2601
2602 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2603 Besides, a digital signature cannot be compared with a qualified
2604 electronic signature, \index{Signature!qualified electronic} as it
2605 went into effect as part of the Signature Act\index{Signature Act} 
2606 (22~May 2001). However, it serves exactly the same purpose for private
2607 or professional \Email{} communication.
2608
2609 % cartoon: Müller mit Schlüssel
2610 \htmlattributes*{img}{width=300}
2611 \T\ifthenelse{\boolean{DIN-A5}}{
2612     \T\IncludeImage[width=0.5\textwidth]{man-with-signed-key}
2613 \T}
2614 \T{
2615     \IncludeImage[width=0.35\textwidth]{man-with-signed-key}
2616 \T}
2617
2618 \clearpage
2619 \section{Signing with GpgOL}
2620 \T\enlargethispage{\baselineskip}
2621 In fact, signing an \Email{} is even easier than encrypting it (see
2622 Chapter~\ref{ch:encrypt}). Once you have composed a new \Email{}, go
2623 through the following steps -- similar to the encryption process:
2624
2625 \begin{itemize}
2626     \item Send message with signature
2627
2628     \item Select certificate
2629
2630     \item Completing the signing process
2631 \end{itemize}
2632
2633 These steps are described in detail on the following pages.
2634
2635 \subsubsection{Sending a signed message}
2636
2637 First, compose a new \Email{} in Outlook and address it to the person
2638 you are writing to.
2639
2640 Before you send your message, tell the system that your message should
2641 be sent with a signature: To do this, activate the button with the
2642 signature pen or the menu item \Menu{Format$\rightarrow$Sign message}.
2643
2644 Your \Email{} window would then look something like this:
2645
2646 % screenshot: OL composer with Adele's address and body text
2647 \IncludeImage[width=0.85\textwidth]{sc-ol-sendSignedMail_en}
2648
2649 Now click on \Button{Send}.
2650
2651 \clearpage
2652 \subsubsection{Selecting certificates}
2653
2654 Just as is the case for encrypting \Email{}s, Gpg4win automatically
2655 detects the protocol -- OpenPGP or S/MIME -- for which your own
2656 certificate (with the private key for signing) is available. 
2657
2658 If you have your own OpenPGP \textit{and} S/MIME certificate with the
2659 same \Email{} address, Kleopatra will ask you to select a protocol
2660 before the \Email{} is signed:
2661
2662 % screenshot: kleopatra format choice dialog
2663 \IncludeImage[width=0.45\textwidth]{sc-kleopatra-format-choice_de}
2664
2665 If you have several certificates (e.g. two OpenPGP certificates for
2666 the same \Email{} address) for the selected method,Kleopatra will open
2667 a window which displays your certificates (here: OpenPGP), each with
2668 its own private key:
2669
2670 % screenshot: kleopatra format choice dialog
2671 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-selectCertificate_en}
2672
2673 Confirm your selection with \Button{OK}.
2674
2675
2676 \clearpage
2677 \subsubsection{Completing the signing process}
2678 In order to complete the signing process for your \Email{}, you will be asked to enter your secret passphrase in the following pin entry\index{Pinentry} window:
2679
2680 % screenshot: kleopatra sign dialog 2 - choose certificate
2681 \IncludeImage[width=0.5\textwidth]{sc-kleopatra-sign-OpenpgpPinentry_en}
2682
2683 This is required because:
2684 \begin{quote}
2685     \textbf{You can only sign with your own private key.}
2686 \end{quote}
2687 It makes sense, because only your own private key confirms your identity. The person you are corresponding with can then check your identity using your public certificate, which he already has or can obtain. Because only your private key matches your public certificate.
2688
2689 Confirm your passphrase entry with \Button{OK}. Your message is now signed and sent.
2690
2691 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2692 Once your message has been signed successfully, the following dialog appears:
2693
2694 % screenshot: kleopatra sign successful
2695 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-sign-successful_de}
2696
2697 \textbf{Congratulations! You have encrypted your first \Email{}!}
2698
2699
2700 \clearpage
2701 \subsubsection{In short:}
2702 You have learnt how to \textbf{sign} an \Email{} using your own
2703 certificate -- which contains your private key. 
2704
2705 You know how to \textbf{encrypt} an \Email{} using the public
2706 certificate of the person you are writing to. 
2707
2708 Now you are familiar with the two most important techniques for
2709 sending secure \Email{}s: encryption and signatures.
2710
2711 Of course you can also combine the two techniques. From now on, eacht
2712 time you send an \Email{}, think about how you want to send it --
2713 depending on the importance and required level of protection for your
2714 \Email{}:
2715
2716 \begin{itemize}
2717     \item non-encrypted
2718
2719     \item encrypted
2720
2721     \item signed
2722
2723     \item signed and encrypted (more on this in Section~\ref{sec_encsig})
2724 \end{itemize}
2725
2726 You can use these four combinations with either OpenPGP or S/MIME.
2727
2728 \clearpage
2729 \section{Checking signatures with GpgOL}
2730 \index{Check!signature with GpgOL}
2731
2732 Let's assume you have received a signed \Email{} from the person you
2733 are corresponding with.
2734
2735 It is very easy to check this digital signature. All you need is the
2736 public OpenPGP or X.509 certificate of your correspondence partner.
2737 You should have already imported his public certificate into your
2738 certificate administration prior to performing this check (see
2739 Chapter~\ref{ch:importCertificate}). 
2740
2741 To check a signed OpenPGP or S/MIME \Email{}, proceed as you would for
2742 decrypting an \Email{} (see Chapter~\ref{ch:decrypt}):
2743
2744 Start Outlook and open a signed \Email{}. 
2745
2746 GpgOL will automatically transfer the \Email{} to Kleopatra for a
2747 signature check. Kleopatra will report the result in a status dialog,
2748 e.g.:
2749
2750 % screenshot: Kleopatra - successfully verify dialog
2751 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifySignedMail_en}
2752
2753 The signature check was successful! Now close to the dialog in order
2754 to read the signed \Email{}.
2755
2756 If you want to perform the check again manually, select
2757 \Menu{Extras$\rightarrow$Decrypt/Check GpgOL} in the menu of the
2758 open \Email{}. 
2759
2760 If the signature check is not successful, it means that the message
2761 was changed during the delivery process. Because of the technical
2762 nature of the Internet, it is possible that the \Email{} was
2763 unintentionally modified because of a defective transmission. That is
2764 probably the most likely cause. However, it can also mean that the
2765 text was changed intentionally.
2766
2767 Section~\ref{sec_brokenSignature} has information on how to proceed in
2768 such a case.
2769
2770 \clearpage
2771 \section{Reasons for a broken signature}
2772 \label{sec_brokenSignature}
2773 \index{Signature!broken}
2774
2775 There are several reasons for a broken signature: 
2776
2777 If you receive the message ``Bad signature'' or ``Check failed'', it
2778 is a warning that your \Email{} may have been manipulated! That means
2779 that it is possible that someone changed the \Email{}'s contents or
2780 the subject line. 
2781
2782 At the same time, a broken signature does not necessarily mean that
2783 the \Email{} was manipulated. It is also possible that the \Email{}
2784 was modified due to a defective transmission. 
2785
2786 In any case, you should always take a broken signature seriously and
2787 ask the sender to resend the \Email{}!\\
2788
2789 It is recommended that you set your program to only send \Email{}s in
2790 ``text'' format and \textbf{not} in ``HTML'' format. However, if you
2791 decide to use HTML for signed or encrypted \Email{}s, it is possible
2792 that formatting information will be lost by the time it reaches the
2793 recipient, which can result in a broken signature. 
2794
2795 In Outlook 2003 and 2007, you can set the message format to \Menu{Text
2796 only} in 
2797 %TODO correct english menu?
2798 \Menu{Extras$\rightarrow$Options$\rightarrow$E-Mail Format}.
2799
2800
2801 \clearpage
2802 \section{Encryption and signature}
2803 \label{sec_encsig}
2804 \index{E-mail!encrypt and sign}
2805
2806 You know: A message is usually encrypted using the public certificate
2807 of your correspondence partner, who then decrypts the \Email{} using
2808 his private key. 
2809
2810 The reverse possibility -- encryption with a private key -- does not
2811 make sense, since the whole world knows the associated public
2812 certificate and could then decrypt the message. 
2813
2814 However, as you have already seen in this chapter, there is still
2815 another method to create a file using your private key -- namely the
2816 signature. 
2817
2818 A digital signature confirms the author  -- because if someone
2819 successfully applies your public certificate to this file (the
2820 signature), this file could only have been encoded by your private
2821 key. And only you can have access to this key. 
2822
2823 You can combine both options, namely encrypting and signing the
2824 \Email{}:
2825
2826 \begin{enumerate}
2827     \item You \textbf{sign} the message with your own private key.
2828         This proves that you are the author.
2829     \item You then \textbf{encrypt} the text using the public
2830         certificate of the person you are correpsonding with.
2831 \end{enumerate}
2832
2833 This means that the message has two security characteristics:
2834
2835 \begin{enumerate}
2836     \item Your seal on the message: the signature with your private
2837         key.
2838     \item A solid outer envelope: encryption using the public
2839         certificate of the person you are corresponding with.
2840 \end{enumerate}
2841
2842 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
2843
2844 Your correspondence partner opens the outer strong envelope with his
2845 own private key. This ensures secrecy, because only this key can be
2846 used to decode the text. He reads the seal with your public
2847 certificate, which proves that you were the author, because if your
2848 public certificate matches, the seal (digital signature) can only have
2849 been encoded with your private key. 
2850
2851 It is pretty tricky when you think about it, but also very simple.
2852
2853
2854 \clearpage
2855 \chapter{Archiving \Email{}s in an encrypted form\htmlonly{\html{br}\html{br}}}
2856 \label{ch:archive}
2857 \index{E-mail!archive in encrypted form}
2858
2859 You should also archive your important -- and hence possibly encrypted
2860 -- \Email{}s in only one way: encrypted. 
2861
2862 Of course you can simply save a clear text version of your texts, but
2863 that is actually not required. If your message was supposed to be
2864 secret, it should not be stored on your computer in clear text.
2865 Therefore you should always store your encrypted sent \Email{}s in an
2866 \textit{encrypted} form!
2867
2868 You can probably already guess the problem: To decrypt your archived
2869 (sent) \Email{}s, you will need the private key of the recipient --
2870 and you don't or will ever have it ...
2871
2872 So what to do?  
2873
2874 Very easy: \textbf{You also encrypt to yourself!}
2875
2876 The message is encrypted once for the actual person you are writing to
2877 -- e.g. Adele -- and once more for you, using your own public
2878 certificate. This way, you can later make the  \Email{} legible using
2879 your own private key.
2880
2881 Gpg4win will automatically encrypt each encrypted message to your own
2882 certificate. To do this, Gpg4win uses your sender \Email{} address. If
2883 you have multiple certificates for an \Email{} address, you have to
2884 select the certificate to encrypt to during the encryption process.
2885
2886 \clearpage
2887 \subsubsection{In short:}
2888
2889 \begin{enumerate}
2890     \item You have encrypted an \Email{} using the public certificate
2891         of the person you are corresponding with, and used it to
2892         answer him.
2893     \item Kleopatra additionally encrypts your sent encrypted
2894         \Email{}s using your own public certificate, so that the
2895         messages remain legible for you.
2896 \end{enumerate}
2897
2898
2899 \vspace{1cm}
2900 \textbf{And that's it! At the end of the first part of this
2901 compendium, you have gained a lot of introductory knowledge about
2902 Gpg4win.}
2903
2904 \textbf{Welcome to the world of free and secure \Email{} encryption!}
2905
2906 For an even better understanding of how Gpg4win really works in the
2907 background, we recommend that you read the second part of the Gpg4win
2908 compendium. It contains even more interesting stuff!
2909
2910
2911 %
2912 % Part II
2913
2914 % page break in toc
2915 \addtocontents{toc}{\protect\newpage}
2916
2917 \clearpage
2918 \T\part{For Advanced Users}
2919 \W\part*{\textbf{II For Advanced Users}}
2920 \label{part:AdvancedUsers}
2921 \addtocontents{toc}{\protect\vspace{0.3cm}}
2922
2923
2924 \clearpage
2925 \chapter{Certificate details}
2926 \label{ch:CertificateDetails}
2927 \index{Certificate!details}
2928
2929 In Chapter~\ref{sec_finishKeyPairGeneration}, you have already seen
2930 the detailed dialog for the certificate you generated. It contains a
2931 lot of information about your certificate. The following section
2932 provides a more detailed overview of the most important points, with
2933 brief information on the differences between OpenPGP and X.509
2934 certificates, including:
2935
2936 \begin{itemize}
2937 \item user ID\index{Certificate!User ID}
2938 \item fingerprints
2939 \item key ID\index{Key!ID}
2940 \item validity\index{Certificate!validity}
2941 \item trust in certificate holders \textbf{(OpenPGP only)}
2942 \item authentications \textbf{(OpenPGP only)}
2943 \end{itemize}
2944
2945 \begin{description}
2946
2947 \item[The user ID ] consists of the name and \Email{} address which
2948     you entered during the certificate creation process, e.g. \\
2949     \Filename{Heinrich Heine <heinrich@gpg4win.de>}
2950
2951     For OpenPGP certificates, you can use Kleopatra to add additional
2952     user IDs to your certificate using the
2953     menu \Menu{Certificates$\rightarrow$Add user ID...} menu item.
2954     This makes sense if, for example, you wish to use the same
2955     certificate for another \Email{} address. 
2956     
2957     Please note: Kleopatra only allows you to add user IDs for OpenPGP
2958     certificates, but not X.509. 
2959
2960 \item[Fingerprints] are used to differentiate multiple certificates
2961     from each other. You can use fingerprints to look for (public)
2962     certificates, which are stored on a globally available OpenPGP
2963     certificate server (key server) or an X.509 certificate server. You can read more
2964     about certificate servers in the next chapter.
2965
2966 \item[The key ID] consists of the last eight characters of the
2967     fingerprint and fulfils the same function. While less characters
2968     make it easier to handle key IDs, they also increase the risk of
2969     multiple hits (different certificates with the same ID).
2970
2971 \item[The validity] of certificates describes the duration of their
2972     validity and their expiry date, if applicable.\index{Expiry date}
2973     
2974     In the case of OpenPGP certificates, the validity is usually set
2975     to \Menu{Indefinite} . You can change this in Kleopatra by
2976     clicking on \Button{Change expiry date} in the certificate details
2977     -- or select the \Menu{Certificates$\rightarrow$Change expiry
2978     date} and enter a new date. This means that you can declare the
2979     certificate valid for a limited time period, e.g. in order to
2980     issue it to outside employees.
2981     
2982     The validity of X.509 certificates is defined by the certificate
2983     authority when the certificate is issued, and cannot be changed by
2984     the user.
2985
2986 \clearpage
2987 \item[Trust in the certificate holder] \T\marginOpenpgp quantifies
2988     your own subjective confidence that the owner of the OpenPGP
2989     certificate is real (authentic) and that he will also correctly
2990     authenticate other OpenPGP certifictes. You set the trust with
2991     \Button{Change trust in certificate holder} in the certificate
2992     details, or via the menu\Menu{Certificates$\rightarrow$Change
2993     trust status} menu item.
2994
2995     The trust status is only relevant for OpenPGP certificates. No
2996     such method exists for X.509 certificates.
2997
2998 \item[Authentications] \T\marginOpenpgp of your OpenPGP certificate
2999     include the user IDs of those certificate holders who are
3000     convinced of the authenticity of your certificate and have thus
3001     authenticated it. Trust in the authenticity of your certificate
3002     increases with the number of authentications you receive from
3003     other users.
3004
3005     Authentications are only relevant to OpenPGP certificates. This
3006     type of trust mechanism does not exist for X.509 certificates.
3007
3008 \end{description}
3009
3010 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3011 You do not necessarily have to know the certificate details to use
3012 Gpg4win on a daily basis, but they do become relevant when you want to
3013 receive or change new certificates.
3014
3015 You already learnt how to inspect and authenticate someone else's
3016 certificate and about the ``Web of Trust'' in Chapter~\ref{ch:trust}.
3017
3018
3019 \clearpage
3020 \chapter{The certificate server}
3021 \label{ch:keyserver}
3022 \index{Certificate server}
3023 \index{Key server|see{Certificate server}}
3024
3025 Section~\ref{sec_publishPerKeyserver} already provided a lot of information on how to use a certificate server to publish your public (OpenPGP or X.509) certificate. This section will take a closer look at certificate servers, and will show you how to use them with Kleopatra.
3026
3027 Key servers can be used by all programs that support the standards OpenPGP or X.509. Kleopatra supports both types, hence both OpenPGP as well as X.509 certificate servers.
3028
3029
3030 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3031
3032 \begin{description}
3033
3034 \item[OpenPGP certificate servers]\T\marginOpenpgp
3035     \index{Certificate server!OpenPGP} (also called ``key server'') 
3036     are organized on a decentralised basis and synchronize each other
3037     on a global basis.  There are no current statistics about their
3038     number of how many OpenPGP certificates they contain. This shared
3039     network of OpenPGP certificate servers provides better
3040     availability and prevents individual system administrators from
3041     deleting certificates which would make secure communication
3042     impossible (``Denial of Service'' attack).\index{Denial of
3043     Service}
3044
3045     \htmlattributes*{img}{width=300}
3046     \IncludeImage[width=0.5\textwidth]{keyserver-world}
3047
3048 \item[X.509 certificate servers] \T\marginSmime
3049     \index{Certificate server!X.509} are generally made available by
3050     the certificate authorities via LDAP\index{LDAP} and are sometimes
3051     also described as directory services for X.509 certificates.
3052
3053 \end{description}
3054
3055
3056 \clearpage
3057 \section{Key server configuration}
3058 \label{configureCertificateServer}
3059 \index{Certificate server!set up}
3060
3061 Open the configuration dialog in Kleopatra:\\
3062 \Menu{Settings $\rightarrow$ Configure Kleopatra...}
3063
3064
3065 Now set up a new certificate server under the group \Menu{Directory Services}
3066 by clicking on the \Menu{New} button. Select between \Menu{OpenPGP} or
3067 \Menu{X.509}.
3068
3069 In \Menu{OpenPGP}, a default OpenPGP certificate server with the server
3070 address \Filename{hkp://keys.gnupg.net} (Port: 11371, Protokoll: hkp)
3071 will be added to the list. You can use this server without making any
3072 changes -- or you can use one of the suggested OpenPGP server
3073 addresses on the next page.
3074
3075 For \Menu{X.509} you will see the following default settings for an
3076 X.509 certificate server: (Protokoll: ldap, Servername: server, Server-Port:
3077 389).  Complete the information on the server name and basic DN of
3078 your X.509 certificate server and check the server port. 
3079
3080 If your certificate server requires a user name and password, activate
3081 the option \Menu{Requires user authentication} and enter the required
3082 information.
3083
3084
3085 \T\ifthenelse{\boolean{DIN-A5}}{\newpage}{}
3086 The screenshot below shows a configured OpenPGP certificate server:
3087
3088 % screenshot: Kleopatra OpenPGP certificate server config dialog
3089 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-configureKeyserver_en}
3090
3091 Confirm the configuration by pressing \Button{OK}. You have
3092 successfully configured your certificate server.
3093
3094 To ensure that you have correctly configured the certificate server, it is
3095 helpful to start e.g. a certificate search on the server (for
3096 instructions, see
3097 Section~\ref{searchAndImportCertificateFromServer}).
3098
3099 \newpage
3100 \textbf{Proxy setting:}\index{Proxy} 
3101 If you use a proxy in your network, you should add the parameter
3102 \Filename{http-proxy=<proxydomain>} to the certificate server address in the
3103 \Menu{Server name} column.  The full server name could therefore look
3104 as follows:\\
3105 \Filename{keys.gnupg.net http-proxy=proxy.hq}\\ You can also review
3106 and if necessary correct the certificate server configurations in the file:
3107 \Filename{\%APPDATA\%\back{}gnupg\back{}gpg.conf}\\
3108
3109 Explanations regarding the system-wide configuration of X.509 key
3110 servers can be found in  Section~\ref{x509CertificateServers}.
3111
3112
3113 \subsubsection{OpenPGP certificate server addresses}
3114
3115 \T\marginOpenpgp
3116 We recommend that you only use up-to-date OpenPGP certificate servers,
3117 since only they can handle the newer OpenPGP characteristics. 
3118
3119 Here is a selection of well-functioning certificate servers:
3120 \begin{itemize}
3121 \item hkp://blackhole.pca.dfn.de
3122 \item hkp://pks.gpg.cz
3123 \item hkp://pgp.cns.ualberta.ca
3124 \item hkp://minsky.surfnet.nl
3125 \item hkp://keyserver.ubuntu.com
3126 \item hkp://keyserver.pramberger.at
3127 \item http://keyserver.pramberger.at
3128 \item http://gpg-keyserver.de
3129 \end{itemize}
3130
3131 If you have problems with your firewall, it is best to try certificate
3132 servers whose URL begins with: \Filename{http://}
3133
3134 The certificate servers under the addresses
3135
3136 \begin{itemize}
3137     \item hkp://keys.gnupg.net (Kleopatra pre-selection, see screenshot on previous page)
3138     \item hkp://subkeys.pgp.net
3139 \end{itemize}
3140 are a collection point for an entire network of these servers; a
3141 concrete server will be selected randomly. 
3142
3143 \textbf{Attention:} Do not use \Filename{ldap://keyserver.pgp.com} as
3144 a certificate server, since it does synchronize with other servers (Status:
3145 May 2010).
3146
3147 \clearpage
3148 \section{Search and import certificates from certificate servers}
3149 \label{searchAndImportCertificateFromServer}
3150 \index{Certificate server!search for certificates}
3151 \index{Certificate!import}
3152
3153 Once you have configured at least one certificate server, you can now look for
3154 and import certificates.
3155
3156 To do this, in Kleopatra click on \Menu{File$\rightarrow$Search for
3157 certificates on server...}.
3158
3159 You will see a search dialog with an input field into which you can
3160 enter the name of the certificate holder -- or ideally -- the \Email{}
3161 address of his certificate.
3162
3163
3164 % screenshot: Kleopatra certification search dialog
3165 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-certificateSearchOnKeyserver_en}
3166
3167 To view the details of a selected certificate, click on the button
3168 \Button{Details...}.
3169
3170 If you wish to add one of the certificates you have found into your
3171 local certificate collection, select the certificate from a list of
3172 search results and click on \Button{Import}.
3173
3174 Kleopatra will subsequently display a dialog with the import results.
3175 Confirm with \Button{OK}.
3176
3177 If the import was successful, you will see the selected certificate in
3178 Kleopatra's certificate administration.
3179
3180
3181 \section{Export certificates to OpenPGP certificate servers}
3182 \index{Certificate!export}
3183
3184 \T\marginOpenpgp
3185 If you have configured an OpenPGP certificate server as described in
3186 Section \ref{configureCertificateServer}, a click of your mouse will
3187 send your public OpenPGP certificate around the world.  
3188         
3189 Select your OpenPGP certificate in Kleopatra and then click on the
3190 menu item \Menu{File$\rightarrow$Export certificate to server...}.
3191
3192 You only need to send your certificate to any of the available OpenPGP
3193 certificate servers, since almost all of these will synchronize on a
3194 global level. It may take one to two days until your OpenPGP
3195 certificate is actually available worldwide, but then you will have a
3196 ``global" certificate.
3197
3198 If you export your certificate without first having configured an
3199 OpenPGP certificate server, Kleopatra will suggest the default server
3200 \Filename{hkp://keys.gnupg.net}.
3201
3202
3203
3204 \clearpage
3205 \chapter{Encrypting file attachments}
3206 \index{Encrypting file attachments}
3207
3208 If you want to send an encrypted \Email{} and attach files, you
3209 generally also want your attachments to be encrypted.
3210
3211 Where GnuPG is well integrated into your \Email{} program, attachments
3212 should be treated just like the actual text of your \Email{}, hence
3213 they should be signed, encrypted or both.
3214
3215 \textbf{GpgOL automatically assumes the encryption and signing of
3216 attachments.}
3217
3218 In the case of encryption tools that are not as well integrated into
3219 an \Email{} program, you have to be careful: Attachments are often
3220 sent along in uncrypted form.
3221
3222 What to do in such a case?  Easy: you encrypt the attachment
3223 separately and then attach it to the \Email{}. Therefore this is no
3224 different from simply encrypting files, as described in
3225 Chapter~\ref{ch:EncFiles}.
3226
3227
3228 \clearpage
3229 \chapter{Signing and encrypting files}
3230 \label{ch:EncFiles}
3231 \index{GpgEX}
3232
3233 You can use Gpg4win for signing and encrypting not just \Email{}s, but
3234 also individual files. The principle is the same: 
3235
3236 \begin{itemize}
3237   \item You \textbf{sign} a file using your private certificate, to
3238       ensure that the file cannot be modified. 
3239
3240   \item Then \textbf{encrypt} the file using a public certificate, to
3241       prevent unauthorized persons from seeing it. 
3242 \end{itemize}
3243
3244 Using the application \textbf{GpgEX}, you can sign or encrypt files
3245 out of Windows Explorer -- with both OpenPGP or S/MIME.  This chapter
3246 shows you exactly how this works.
3247
3248 If you are sending a file as an \Email{} attachment, e.g. GpgOL will
3249 automatically look after signing and encrypting your file together
3250 with your \Email{}.  You do not have to do anything else. 
3251
3252 \clearpage
3253 \section{Signing and checking files}
3254 \label{sec_signFile}
3255 \index{File!sign}
3256
3257 When signing a file, you are mainly concerned about making sure it is
3258 not changed, rather than keeping it secret (Integrity).
3259 \index{Integrity}
3260
3261 Signing is very easy using \textbf{GpgEX} from the Windows Explorer
3262 context menu.  Select one or more files or folders and use the right
3263 mouse key to select the context menu: 
3264
3265 % screenshot GpgEX contextmenu sign/encrypt
3266 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_en}
3267
3268 You will see the \Menu{Sign and encrypt} menu.
3269
3270 \clearpage
3271 In the following window, select the option \Menu{Sign}:
3272
3273 % screenshot sign file, step 1
3274 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile1_en}
3275
3276 If required, you can also use the option  \Menu{Output as text (ASCII
3277 armor\index{ASCII armor})}.  The signature file will receive the file
3278 ending \Filename{.asc} (OpenPGP) or  \Filename{.pem} (S/MIME).  These
3279 file types can be opened with any text editor -- you will however only
3280 see the numbers and letters you have already seen before. 
3281
3282 If this option is not selected, the signature will be created with the
3283 ending \Filename{.sig} (OpenPGP) or \Filename{.p7s} (S/MIME).  These
3284 files are binary files, and they cannot be viewed in a text editor.
3285
3286 Then click on \Button{Next}.
3287
3288 \clearpage
3289 In the following dialog -- if not already selected by default --
3290 select your private (OpenPGP or S/MIME) certificate with which you
3291 want to sign the file.
3292
3293 % screenshot sign file, step 2: choose sign certificates
3294 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile2_en}
3295
3296 Now confirm your selection with \Button{Sign}.
3297
3298 Enter your passphrase in the pin entry dialog.
3299
3300 \clearpage
3301 Once the signing process has completed successfully, the following
3302 window appears:
3303
3304 % screenshot sign file, step 3: finish
3305 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-signFile3_en}
3306
3307 You have now successfully signed the file.
3308
3309 A ``separate'' signature is always used to sign a file. That means
3310 that your file that is to be signed will remain unchanged and a second
3311 file with the actual signature will be created. To verify the
3312 signature later on, you will need both files.
3313
3314 The example below shows which new file you will receive if you sign
3315 your selected file (here \Filename{<dateiname>.txt}) using OpenPGP or
3316 S/MIME. There are four possible resulting file types:
3317
3318 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3319
3320 \begin{description}
3321     \item[OpenPGP:]~\\
3322     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.sig}}\\
3323     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.asc}}
3324     ~ \small (output as text/ASCII-armor)
3325     \normalsize
3326
3327     \item[S/MIME:]~\\
3328     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.p7s}}\\
3329     \Filename{<filename>.txt $\rightarrow$ <filename>.txt\textbf{.pem}}
3330     ~ \small{ (output as text/ASCII-armor)}
3331     \normalsize
3332 \end{description}
3333
3334 \clearpage
3335 \subsubsection{Checking a signature}
3336 \index{File!check signature}
3337
3338 Now check the integrity of the file that has just been signed, i.e.
3339 check that it is correct! 
3340
3341 To check for integrity and authenticity, the signature file -- hence
3342 the file with the ending \Filename{.sig}, \Filename{.asc},
3343 \Filename{.p7s} or \Filename{.pem} -- and the signed original file
3344 (original file) must be in the same file folder.  Select the signature
3345 file and select the entry \Menu{Decrypt and check} from the Windows
3346 Explorer context menu:
3347
3348 % screenshot GpgEX contextmenu verifiy/decrypt
3349 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-verifyDecrypt_en}
3350
3351 \clearpage
3352 You will see the following window:
3353
3354 % screenshot kleopatra verify file, step 1
3355 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile1_en}
3356
3357 Under \Menu{Enter file}, Kleopatra shows the full path to your
3358 selected signature file.
3359
3360 The option \Menu{Input file is a separate signature} is activated
3361 since you have signed your original file (here: \Menu{Signed file})
3362 with the input file.  Kleopatra will automatically find the associated
3363 signed original file in the same file folder.
3364
3365 The same path is also automatically selected for the \Menu{Ouput
3366 folder}. It only becomes relevant however once you are processing more
3367 than one file simultaneously.
3368
3369 Confirm the operations with \Button{Decrypt/Check}.
3370
3371 \clearpage
3372 Following a successful check of the signature, the following window appears:
3373
3374 % screenshot kleopatra verify file, step 2
3375 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2_en}
3376
3377 The result shows that the signature is correct -- therefore you can be
3378 sure that the file's integrity has been preserved and therefore the
3379 file has \textbf{not} been modified.
3380
3381 \clearpage
3382 Even if only one character is added to the original file, or is deleted or modified, the signature will be shown as having been broken
3383 (Kleopatra displays the result as a red warning):
3384
3385 % screenshot kleopatra verify file, step 2a (bad signature)
3386 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-verifyFile2a-badSignature_en}
3387
3388
3389 \clearpage
3390 \section{Encrypting and decrypting files}
3391 \index{File!encrypt}
3392
3393 Files can be signed and encrypted just like \Email{}s. You should
3394 practice it once more in the following section using GpgEX and
3395 Kleopatra.
3396
3397 Select one (or more) file(s) and open the context menu using your
3398 right mouse key:
3399
3400
3401 % screenshot GpgEX contextmenu sign/encrypt
3402 \IncludeImage[width=0.3\textwidth]{sc-gpgex-contextmenu-signEncrypt_en}
3403
3404 Select \Menu{Sign and encrypt} again.
3405
3406 \clearpage
3407 You will see the already familiar dialog from signing a file (see also 
3408 section~\ref{sec_signFile}).
3409
3410 In the top field, select the option \Menu{Encrypt}:
3411
3412 % screenshot kleopatra encrypt file, step 1
3413 \IncludeImage[width=0.85\textwidth]{sc-kleopatra-encryptFile1_en}
3414
3415 \T\ifthenelse{\boolean{DIN-A5}}{\enlargethispage{2\baselineskip}}{}
3416
3417 You should only change the encryption settings if this is required:
3418 \begin{description}
3419     \item[Output as text (ASCII armor\index{ASCII armor}):] When you
3420         activate this option, you will obtain the encrypted file with
3421         the file ending \Filename{.asc} (OpenPGP) or \Filename{.pem}
3422         (S/MIME).  These file types can be opened with any text editor
3423         -- but you will only see the mixture of letters and characters
3424         you have already seen before. 
3425
3426         If this option is not selected, the system will create an
3427