Upload
arief-kurniawan
View
249
Download
1
Embed Size (px)
Citation preview
Das Gpg4win-KompendiumSichere E-Mail- und Datei-Verschlsselung mit GnuPG fr Windows
Basierend auf einer Fassung von Ute Bahn, Karl Bihlmeier, Manfred J. Heinze, Isabel Kramer und Dr. Francis Wray. Grundlegend berarbeitet von Werner Koch, Florian v. Samson, Emanuel Schtze und Dr. Jan-Oliver Wagner.
Eine Verffentlichung der Gpg4win-Initiative Version 3.0.0 vom 21. Mai 2010
ImpressumCopyright c 2002 Bundesministerium fr Wirtschaft und Technologie1 Copyright c 2005 g10 Code GmbH Copyright c 2009, 2010 Intevation GmbH Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled GNU Free Documentation License.[Dieser Absatz ist eine unverbindliche bersetzung des oben stehenden Hinweises.]
Es wird die Erlaubnis gegeben, dieses Dokument zu kopieren, zu verteilen und/oder zu verndern unter den Bedingungen der GNU Free Documentation License, Version 1.2 oder einer spteren, von der Free Software Foundation verffentlichten Version. Es gibt keine unvernderlichen Abschnitte, keinen vorderen Umschlagtext und keinen hinteren Umschlagtext. Eine Kopie der GNU Free Documentation License ndet sich im Anhang mit dem gleichnamigen Titel. Inofzielle bersetzungen dieser Lizenz nden Sie unter http://www.gnu.org/licenses/translations.html.
1
Wenn dieses Dokument kopiert, verteilt und/oder verndert wird, soll auer dieser Copyright-Notiz in keiner Form der Eindruck eines Zusammenhanges mit dem Bundesministerium fr Wirtschaft und Technologie erweckt werden.
ber dieses KompendiumDas Gpg4win-Kompendium besteht aus drei Teilen: Teil I Fr Einsteiger: Der Schnelleinstieg in Gpg4win. Teil II Fr Fortgeschrittene: Das Hintergrundwissen zu Gpg4win. Anhang: Weiterfhrende technische Informationen zu Gpg4win. Teil I Fr Einsteiger fhrt Sie kurz und knapp durch die Installation und die alltgliche Benutzung der Gpg4win-Programmkomponenten. Der bungsroboter Adele wird Ihnen dabei behilich sein und ermglicht Ihnen, die E-Mail-Ver- und Entschlsselung (mit OpenPGP) so lange zu ben, bis Sie sich vertraut im Umgang mit Gpg4win gemacht haben. Der Zeitbedarf fr das Durcharbeiten des Schnelleinstiegs hngt unter anderem davon ab, wie gut Sie sich mit Ihrem PC und Windows auskennen. Sie sollten sich in etwa eine Stunde Zeit nehmen. Teil II Fr Fortgeschrittene liefert Hintergrundwissen, das Ihnen die grundlegenden Mechanismen von Gpg4win verdeutlicht und die etwas seltener benutzten Fhigkeiten erlutert. Teil I und II knnen unabhngig voneinander benutzt werden. Zu Ihrem besseren Verstndnis sollten Sie aber mglichst beide Teile in der angegebenen Reihenfolge lesen. Im Anhang nden Sie Details zu spezischen technischen Themen rund um Gpg4win, unter anderem zur Outlook-Programmerweiterung GpgOL. Genau wie das Kryptograe-Programmpaket Gpg4win, wurde dieses Kompendium nicht fr Mathematiker, Geheimdienstler und Kryptografen geschrieben, sondern fr jedermann. Das Programmpaket Gpg4win und das Gpg4win-Kompendium sind verfgbar unter:http://www.gpg4win.de
3
LegendeIn diesem Kompendium werden folgende Textauszeichnungen benutzt: Kursiv wird dann verwendet, wenn etwas auf dem Bildschirm erscheint (z.B. in Mens oder Dialogen). Zum Kennzeichnen von [ Schaltchen ] werden zustzlich eckige Klammern benutzt. Kursiv werden vereinzelt auch einzelne Wrter im Text gesetzt, wenn deren Bedeutung in einem Satz betont, das Schriftbild aber nicht durch die Auszeichnung fett gestrt werden soll (z.B.: nur OpenPGP). Fett werden einzelne Wrter oder Stze gesetzt, die besonders wichtig und damit hervorzuheben sind. Diese Auszeichnung untersttzt den Leser bei der schnelleren Erfassung hervorgehobener Schlsselbegriffe und wichtiger Passagen. Feste Laufweite wird fr alle Dateinamen, Pfadangaben, URLs, Quellcode sowie Ein- und Ausgaben (z.B. von Kommandozeilen) verwendet.
4
InhaltsverzeichnisI Fr Einsteiger 8
1 Gpg4win Kryptograe fr alle 2 E-Mails verschlsseln: weil der Briefumschlag fehlt 3 So funktioniert Gpg4win 4 Die Passphrase 5 Zwei Wege, ein Ziel: OpenPGP & S/MIME 6 Installation von Gpg4win 7 Erstellung eines Zertikats 7.1 OpenPGP-Zertikat erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 X.509-Zertikat erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Zertikatserstellung abgeschlossen . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Verbreitung des ffentlichen Zertikats 8.1 Verffentlichen per E-Mail, mit bung fr OpenPGP . . . . . . . . . . . . . . . . . 8.2 Verffentlichen per OpenPGP-Zertikatsserver . . . . . . . . . . . . . . . . . . . . 8.3 Verffentlichen von X.509-Zertikaten . . . . . . . . . . . . . . . . . . . . . . . . . 9 E-Mails entschlsseln, mit bung fr OpenPGP 10 ffentliches Zertikat importieren 11 Die Zertikatsprfung 12 E-Mails verschlsseln 13 E-Mails signieren 13.1 Signieren mit GpgOL . . . . . . . . 13.2 Signatur mit GpgOL prfen . . . . . 13.3 Grnde fr eine gebrochene Signatur 13.4 Verschlsseln und Signieren . . . . 14 E-Mails verschlsselt archivieren
9 11 14 25 28 30 41 44 50 56 58 59 65 67 68 72 75 82 88 90 94 95 96 97
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
5
Das Gpg4win-Kompendium 3.0.0 Inhaltsverzeichnis
II
Fr Fortgeschrittene
99100 102 103 105 105 106
15 Zertikat im Detail 16 Die Zertikatsserver 16.1 Zertikatsserver einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.2 Zertikate auf Zertikatsservern suchen und importieren . . . . . . . . . . . . . . . 16.3 Zertikate auf OpenPGP-Zertikatsserver exportieren . . . . . . . . . . . . . . . . . 17 Dateianhnge verschlsseln
18 Dateien signieren und verschlsseln 107 18.1 Dateien signieren und prfen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 18.2 Dateien verschlsseln und entschlsseln . . . . . . . . . . . . . . . . . . . . . . . . 116 19 Im- und Export eines geheimen Zertikats 124 19.1 Export . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 19.2 Import . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 20 Systemweite Konguration und Vorbelegung fr S/MIME 21 Bekannte Probleme und Abhilfen 21.1 GpgOL-Mens und -Dialoge nicht mehr in Outlook zu nden . . . . . . . . . . 21.2 GpgOL-Schaltchen sind in Outlook2003 nicht in der Symbolleiste . . . . . . 21.3 GpgOL-Schaltchen sind in Outlook2007 unter Add-Ins . . . . . . . . . . 21.4 Fehler beim Start von GpgOL . . . . . . . . . . . . . . . . . . . . . . . . . . 21.5 Installation von Gpg4win auf einem virtuellen Laufwerk . . . . . . . . . . . . 21.6 GpgOL berprft keine InlinePGP-E-Mails von CryptoEx . . . . . . . . . . 21.7 Keine S/MIME-Operationen mglich (Systemdienst DirMngr luft nicht) . . 21.8 Keine S/MIME-Operationen mglich (CRLs nicht verfgbar) . . . . . . . . . . 21.9 Keine S/MIME-Operationen mglich (Wurzelzertikat nicht vertrauenswrdig) 22 Dateien und Einstellungen von Gpg4win 22.1 Persnliche Einstellungen der Anwender . . . . . . . . . . . . . . . . . . . . 22.2 Zwischengespeicherte Sperrlisten . . . . . . . . . . . . . . . . . . . . . . . 22.3 Vertrauenswrdige Wurzelzertikate von DirMngr . . . . . . . . . . . . . . 22.4 Weitere Zertikate von DirMngr . . . . . . . . . . . . . . . . . . . . . . . . 22.5 Systemweite Konguration zur Verwendung externer X.509-Zertikatsserver 22.6 Systemweite vertrauenswrdige Wurzelzertikate . . . . . . . . . . . . . . . 22.7 Vertrauenswrdigkeit der Wurzelzertikate durch Benutzer markieren . . . . 23 Probleme in den Gpg4win-Programmen aufspren (Logdateien) 23.1 Logdateien von Kleopatra einschalten . . . . . . . . . . . . . . . . . 23.2 Logdatei von GpgOL einschalten . . . . . . . . . . . . . . . . . . . . 23.3 Logdatei von DirMngr einschalten . . . . . . . . . . . . . . . . . . . 23.4 Logdatei von GnuPG einschalten . . . . . . . . . . . . . . . . . . . . 23.5 Logdatei von GpgME einschalten . . . . . . . . . . . . . . . . . . . 128 130 130 130 130 131 131 131 132 132 133 134 134 134 135 135 136 137 138 139 140 141 142 143 144
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
6
Das Gpg4win-Kompendium 3.0.0 Inhaltsverzeichnis 24 Warum Gpg4win nicht zu knacken ist ... 25 GnuPG und das Geheimnis der groen Zahlen 25.1 Das Rechnen mit Restklassen . . . . . . . . . . . 25.2 RSA-Algorithmus und Rechnen mit Restklassen . 25.3 RSA-Verschlsselung mit kleinen Zahlen . . . . 25.4 Die Darstellung mit verschiedenen Basiszahlen . 145 146 . 148 . 151 . 152 . 157
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
III AnhangA Hinweise zur Outlook-Programmerweiterung GpgOL B GnuPG mit anderen E-Mail-Programmen nutzen C Automatische Installation von Gpg4win D Umstieg von anderen Programmen E Deinstallation von Gpg4win F Historie G GNU Free Documentation License Index
164165 170 171 173 175 177 178 185
7
Teil I
Fr Einsteiger
8
1 Gpg4win Kryptograe fr alleWas ist Gpg4win? Die deutsche Wikipedia beantwortet diese Frage so: Gpg4win ist ein Installationspaket fr Windows (2000/XP/2003/Vista) mit ComputerProgrammen und Handbchern zur E-Mail- und Dateiverschlsselung. Dazu gehren die Verschlsselungs-Software GnuPG sowie mehrere Anwendungen und die Dokumentation. Gpg4win selbst und die in Gpg4win enthaltenen Programme sind Freie Software. Die Handbcher Einsteiger und Durchblicker wurden fr die vorliegende zweite Version unter der Bezeichnung Kompendium zusammengefhrt. Gpg4win umfasst in Version 2 die folgenden Programme: GnuPG GnuPG ist das Kernstck von Gpg4win die eigentliche Verschlsselungs-Software. Kleopatra Die zentrale Zertikatsverwaltung von Gpg4win, die fr eine einheitliche Benutzerfhrung bei allen kryptograschen Operationen sorgt. GNU Privacy Assistent (GPA) ist ein alternatives Programm zum Verwalten von Zertikaten neben Kleopatra. GnuPG fr Outlook (GpgOL) ist eine Erweiterung fr Microsoft Outlook 2003 und 2007, die verwendet wird, um Nachrichten zu signieren bzw. zu verschlsseln. GPG Explorer eXtension (GpgEX) ist eine Erweiterung fr den Windows-Explorer, mit der man Dateien ber das Kontextmen signieren bzw. verschlsseln kann. Claws Mail ist ein vollstndiges E-Mail-Programm mit sehr guter Untersttzung fr GnuPG. Mit dem Verschlsselungsprogramm GnuPG (GNU Privacy Guard) kann jedermann E-Mails sicher, einfach und kostenlos verschlsseln. GnuPG kann ohne jede Restriktion privat oder kommerziell benutzt werden. Die von GnuPG eingesetzte Verschlsselungstechnologie ist sicher und kann nach dem heutigen Stand von Forschung und Technik nicht gebrochen werden. GnuPG ist Freie Software1 . Das bedeutet, dass jedermann das Recht hat, sie nach Belieben kommerziell oder privat zu nutzen. Jeder kann und darf den Quellcode der Programme untersuchen und sofern er das notwendige Fachwissen dazu hat nderungen daran durchfhren und diese weitergeben. Fr eine Sicherheits-Software ist diese Transparenz der garantierte Einblick in den Quellcode eine unverzichtbare Grundlage. Nur so lsst sich die Vertrauenswrdigkeit der Programmierung und des Programmes wirklich prfen.1
Oft auch als Open Source Software (OSS) bezeichnet.
9
Das Gpg4win-Kompendium 3.0.0 Kapitel 1. Gpg4win Kryptograe fr alle GnuPG basiert auf dem internationalen Standard OpenPGP (RFC 2440), ist vollstndig kompatibel zu PGP und benutzt auch die gleiche Infrastruktur (Zertikatsserver etc.) wie dieser. Seit Version 2 von GnuPG wird auch der kryptograsche Standard S/MIME (IETF RFC 3851, ITU-T X.509 und ISIS-MTT/Common PKI) untersttzt. PGP (Pretty Good Privacy) ist keine Freie Software, sie war lediglich vor vielen Jahren kurzzeitig zu hnlichen Bedingungen wie GnuPG erhltlich. Diese Version entspricht aber schon lange nicht mehr dem Stand der Technik. Die Vorlufer von Gpg4win wurden durch das Bundesministerium fr Wirtschaft und Technologie im Rahmen der Aktion Sicherheit im Internet untersttzt. Gpg4win und Gpg4win2 wurden durch das Bundesamt fr Sicherheit in der Informationstechnik (BSI) untersttzt. Weitere Informationen zu GnuPG und weiteren Projekten der Bundesregierung zum Schutz im Internet nden Sie auf den Webseiten www.bsi.de und www.bsi-fuer-buerger.de des Bundesamtes fr Sicherheit in der Informationstechnik.
10
2 E-Mails verschlsseln: weil der Briefumschlag fehltDie Verschlsselung von Nachrichten wird manchmal als das zweitlteste Gewerbe der Welt bezeichnet. Verschlsselungstechniken benutzten schon der Pharao Khnumhotep II, Herodot und Csar. Dank Gpg4win ist Verschlsselung nunmehr nicht mehr nur fr Knige, sondern fr jedermann frei und kostenlos zugnglich.
Die Computertechnik hat uns phantastische Mittel in die Hand gegeben, um rund um den Globus miteinander zu kommunizieren und uns zu informieren. Aber Rechte und Freiheiten, die in anderen Kommunikationsformen lngst selbstverstndlich sind, muss man sich in den neuen Technologien erst sichern. Das Internet ist so schnell und massiv ber uns hereingebrochen, dass man mit der Wahrung unserer Rechte noch nicht so recht nachgekommen ist. Beim altmodischen Briefschreiben schtzen Sie die Inhalte von Mitteilungen ganz selbstverstndlich mit einem Briefumschlag. Der Umschlag schtzt die Nachrichten vor fremden Blicken, eine Manipulation am Umschlag kann man leicht bemerken. Nur wenn etwas nicht so wichtig ist, schreibt man es auf eine ungeschtzte Postkarte, die auch der Brieftrger oder andere lesen knnen.
11
Das Gpg4win-Kompendium 3.0.0 Kapitel 2. E-Mails verschlsseln: weil der Briefumschlag fehlt Ob die Nachricht wichtig, vertraulich oder geheim ist, das bestimmen Sie selbst und niemand sonst. Diese Entscheidungsfreiheit haben Sie bei E-Mails nicht. Eine normale E-Mail ist immer offen wie eine Postkarte, und der elektronische Brieftrger und andere knnen sie jederzeit lesen. Die Sache ist sogar noch schlimmer: Die Computertechnik bietet nicht nur die Mglichkeiten, die vielen Millionen E-Mails tglich zu befrdern und zu verteilen, sondern sie auch zu kontrollieren. Niemand htte je ernsthaft daran gedacht, alle Briefe und Postkarten zu sammeln, ihren Inhalt auszuwerten oder Absender und Empfnger zu protokollieren. Das wre einfach nicht machbar gewesen oder es htte zu lange gedauert. Mit der modernen Computertechnik ist es jedoch technisch mglich. Es gibt mehr als einen Hinweis darauf, dass dies genau heute schon im groen Stil mit E-Mail geschieht. Ein Artikel der Wikipedia ber das Echelon-System1 liefert dazu interessantes Hintergrundwissen. Denn: der Umschlag fehlt.
1
http://www.heise.de/tp/r4/artikel/6/6928/1.html
12
Das Gpg4win-Kompendium 3.0.0 Kapitel 2. E-Mails verschlsseln: weil der Briefumschlag fehlt Was Ihnen hier vorgeschlagen wird, ist ein Umschlag fr Ihre elektronischen Briefe. Ob Sie ihn benutzen, wann, fr wen und wie oft, ist ganz allein Ihre Sache. Software wie Gpg4win gibt Ihnen lediglich die Wahlfreiheit zurck. Die Wahl, ob Sie persnlich eine Nachricht fr wichtig und schtzenswert halten oder nicht. Das ist der Kern des Rechts auf Brief-, Post- und Fernmeldegeheimnis im Grundgesetz, und dieses Recht knnen Sie mit Hilfe des Programmpakets Gpg4win wahrnehmen. Sie mssen diese Software nicht benutzen Sie mssen ja auch keinen Briefumschlag benutzen. Aber es ist Ihr gutes Recht. Um dieses Recht zu sichern, bietet Gpg4win Ihnen eine sogenannte starke Verschlsselungstechnik. Stark bedeutet hier: mit keinem bekannten Mittel zu knacken. In vielen Lndern waren starke Verschlsselungsmethoden bis vor ein paar Jahren den Militrs und Regierungsbehrden vorbehalten. Das Recht, sie fr jeden Brger nutzbar zu machen, haben sich die Internetnutzer mhsam erobert; manchmal auch mit der Hilfe von klugen und weitsichtigen Menschen in Regierungsinstitutionen, wie im Falle der Untersttzung von Freier Software fr die Verschlsselung. GnuPG wird von Sicherheitsexperten in aller Welt als eine praktikable und sichere Software angesehen. Wie wertvoll diese Sicherheit fr Sie ist, liegt ganz in Ihrer Hand. Sie allein bestimmen das Verhltnis zwischen Bequemlichkeit bei der Verschlsselung und grtmglicher Sicherheit. Dazu gehren die wenigen, aber umso wichtigeren Vorkehrungen, die Sie treffen mssen, um Gpg4win richtig zu nutzen. In diesem Kompendium wird Ihnen dieses Vorgehen Schritt fr Schritt erlutern.
13
3 So funktioniert Gpg4winDas Besondere an Gpg4win und der zugrundeliegenden Public-Key-Methode ist, dass sie jeder verstehen kann und soll. Nichts daran ist Geheimwissen es ist nicht einmal besonders schwer zu begreifen. Die Benutzung der einzelnen Programmkomponenten von Gpg4win ist sehr einfach, seine Wirkungsweise dagegen ziemlich kompliziert. Sie werden in diesem Kapitel erklrt bekommen, wie Gpg4win funktioniert nicht in allen Details, aber so, dass die Prinzipien dahinter deutlicher werden. Wenn Sie diese Prinzipien kennen, werden Sie ein hohes Vertrauen in die Sicherheit von Gpg4win gewinnen. Am Ende dieses Buches, in Kapitel 24, knnen Sie wenn Sie wollen auch noch die letzten Geheimnisse um die Public-Key-Kryptograe lften und entdecken, warum mit Gpg4win verschlsselte Nachrichten nach heutigem Stand der Technik nicht zu knacken sind.
14
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Der Herr der Schlsselringe Wenn man etwas sehr Wertvolles sichern will, schliet man es am besten ein mit einem Schlssel. Noch besser mit einem Schlssel, den es nur einmal gibt und den man ganz sicher aufbewahrt.
Denn wenn dieser Schlssel in die falschen Hnde fllt, ist es um die Sicherheit des wertvollen Gutes geschehen. Dessen Sicherheit steht und fllt mit der Sicherheit und Einmaligkeit des Schlssels. Also muss man den Schlssel mindestens genauso gut absichern, wie das zu sichernde Gut selbst. Damit er nicht kopiert werden kann, muss auch die genaue Beschaffenheit des Schlssels vllig geheim gehalten werden.
15
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Geheime Schlssel sind in der Kryptograe ein alter Hut: Schon immer hat man Botschaften geheim zu halten versucht, indem man den Schlssel verbarg. Dies wirklich sicher zu machen, ist sehr umstndlich und dazu auch sehr fehleranfllig.
Das Grundproblem bei der gewhnlichen geheimen Nachrichtenbermittlung ist, dass fr Ver- und Entschlsselung derselbe Schlssel benutzt wird und dass sowohl der Absender als auch der Empfnger diesen geheimen Schlssel kennen mssen. Aus diesem Grund nennt man solche Verschlsselungssysteme auch symmetrische Verschlsselung. Dies fhrt zu einer ziemlich paradoxen Situation: Bevor man mit einer solchen Methode ein Geheimnis (eine verschlsselte Nachricht) mitteilen kann, muss man schon vorher ein anderes Geheimnis mitgeteilt haben: den Schlssel. Und da liegt der Hase im Pfeffer: Man muss sich stndig mit dem Problem herumrgern, dass der Schlssel unbedingt ausgetauscht werden muss, aber auf keinen Fall von einem Dritten abgefangen werden darf.
16
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Gpg4win dagegen arbeitet auer mit dem geheimen Schlssel mit einem weiteren Schlssel (engl. key), der vollkommen frei und ffentlich (engl. public) zugnglich ist. Man spricht daher auch von einem Public-Key-Verschlsselungssystem. Das klingt widersinnig, ist es aber nicht. Der Witz an der Sache: Es muss kein geheimer Schlssel mehr ausgetauscht werden. Im Gegenteil: Der geheime Schlssel darf auf keinen Fall ausgetauscht werden! Weitergegeben wird nur der ffentliche Schlssel (im ffentlichen Zertikat) und den darf sowieso jeder kennen. Mit Gpg4win benutzen Sie also ein Schlsselpaar einen geheimen und einen zweiten ffentlichen Schlssel. Beide Schlsselteile sind durch eine komplexe mathematische Formel untrennbar miteinander verbunden. Nach heutiger wissenschaftlicher und technischer Kenntnis ist es unmglich, einen Schlsselteil aus dem anderen zu berechnen und damit das Verfahren zu knacken. In Kapitel 24 bekommen Sie erklrt, warum das so ist.
17
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Das Prinzip der Public-Key-Verschlsselung ist recht einfach: Der geheime oder private Schlssel (engl. secret key oder private key) muss geheim gehalten werden. Der ffentliche Schlssel (engl. public key) soll so ffentlich wie mglich gemacht werden. Beide Schlsselteile haben ganz und gar unterschiedliche Aufgaben: Der geheime Schlsselteil entschlsselt Nachrichten.
Der ffentliche Schlsselteil verschlsselt Nachrichten.
18
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Der ffentliche Brieftresor In einem kleinen Gedankenspiel wird die Methode des Public-Key-Verschlsselungssystems und ihr Unterschied zur symmetrischen Verschlsselung (Geheimschlssel-Methode oder engl. Non-PublicKey-Methode) deutlicher ... Die Geheimschlssel-Methode geht so: Stellen Sie sich vor, Sie stellen einen Brieftresor vor Ihrem Haus auf, ber den Sie geheime Nachrichten bermitteln wollen. Der Brieftresor ist mit einem Schloss verschlossen, zu dem es nur einen einzigen Schlssel gibt. Niemand kann ohne diesen Schlssel etwas hineinlegen oder herausnehmen. Damit sind Ihre geheimen Nachrichten zunchst einmal gut gesichert so sicher wie in einem Tresor.
Da es nur einen Schlssel gibt, muss Ihr Korrespondenzpartner denselben Schlssel wie Sie haben, um den Brieftresor damit auf- und zuschlieen und eine geheime Nachricht deponieren zu knnen.
19
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Diesen Schlssel mssen Sie Ihrem Korrespondenzpartner auf geheimem Wege bergeben.
20
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Erst wenn der andere den geheimen Schlssel hat, kann er den Brieftresor ffnen und die geheime Nachricht lesen. Alles dreht sich also um diesen Schlssel: Wenn ein Dritter ihn kennt, ist es sofort aus mit den geheimen Botschaften. Sie und Ihr Korrespondenzpartner mssen ihn also genauso geheim austauschen wie die Botschaft selbst. Aber eigentlich knnten Sie ihm bei dieser Gelegenheit ja auch gleich die geheime Mitteilung bergeben ... bertragen auf die E-Mail-Verschlsselung: Weltweit mssten alle E-Mail-Teilnehmer geheime Schlssel besitzen und auf geheimem Wege austauschen, bevor sie geheime Nachrichten per E-Mail versenden knnten. Vergessen Sie diese Mglichkeit am besten sofort wieder ...
21
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Nun zur Public-Key-Methode: Sie installieren wieder einen Brieftresor vor Ihrem Haus. Aber: Dieser Brieftresor ist ganz im Gegensatz zu dem ersten Beispiel stets offen. Direkt daneben hngt weithin ffentlich sichtbar ein Schlssel, mit dem jedermann den Brieftresor zuschlieen kann (asymmetrisches Verschlsselungsverfahren). Zuschlieen, aber nicht aufschlieen: das ist der Trick!
Dieser Schlssel gehrt Ihnen und Sie ahnen es: Es ist Ihr ffentlicher Schlssel. Wenn jemand Ihnen eine geheime Nachricht hinterlassen will, legt er sie in den Brieftresor und schliet mit Ihrem ffentlichen Schlssel ab. Jedermann kann das tun, denn der Schlssel dazu ist ja vllig frei zugnglich. Kein anderer kann den Brieftresor nun ffnen und die Nachricht lesen. Selbst derjenige, der die Nachricht in dem Brieftresor eingeschlossen hat, kann ihn nicht wieder aufschlieen, z.B. um die Botschaft nachtrglich zu verndern. Denn die ffentliche Schlsselhlfte taugt ja nur zum Abschlieen. Aufschlieen kann man den Brieftresor nur mit einem einzigen Schlssel: Ihrem eigenen geheimen, privaten Schlsselteil.
22
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Wieder bertragen auf die E-Mail-Verschlsselung: Jedermann kann eine E-Mail an Sie verschlsseln. Er bentigt dazu keineswegs einen geheimen, sondern ganz im Gegenteil einen vollkommen ffentlichen, ungeheimen Schlssel. Nur ein einziger Schlssel entschlsselt die E-Mail wieder: Ihr privater, geheimer Schlssel. Spielen Sie das Gedankenspiel noch einmal anders herum durch: Wenn Sie einem anderen eine geheime Nachricht zukommen lassen wollen, benutzen Sie dessen Brieftresor mit seinem ffentlichen, frei verfgbaren Schlssel. Sie mssen Ihren Briefpartner dazu nicht persnlich kennen, ihn getroffen oder je mit ihm gesprochen haben, denn sein ffentlicher Schlssel ist berall und jederzeit zugnglich. Wenn Sie Ihre Nachricht hinterlegt und den Brieftresor des Empfngers mit seinem ffentlichen Schlssel wieder verschlossen haben, ist sie vllig unzugnglich fr jeden anderen, auch fr Sie selbst. Nur der Empfnger kann den Brieftresor mit seinem privaten Schlssel ffnen und die Nachricht lesen.
23
Das Gpg4win-Kompendium 3.0.0 Kapitel 3. So funktioniert Gpg4win Aber was ist nun eigentlich gewonnen: Es gibt doch immer noch einen geheimen Schlssel!? Der Unterschied gegenber der Non-Public-Key-Methode ist allerdings ein gewaltiger: Ihren privater Schlssel kennen und benutzen nur Sie selbst. Er wird niemals einem Dritten mitgeteilt die Notwendigkeit einer geheimen bergabe entfllt, sie verbietet sich sogar. Es muss berhaupt nichts Geheimes mehr zwischen Absender und Empfnger ausgetauscht werden weder eine geheime Vereinbarung noch ein geheimes Codewort. Das ist im wahrsten Sinne des Wortes der Knackpunkt: Alle symmetrischen Verschlsselungsverfahren knnen geknackt werden, weil ein Dritter sich beim Schlsselaustausch in den Besitz des Schlssels bringen kann. Dieses Risiko entfllt, weil ein geheimer Schlssel nicht ausgetauscht wird und sich nur an einem einzigen, sehr sicheren Ort bendet: dem eigenen Schlsselbund letztendlich Ihrem eigenen Gedchtnis. Diese moderne Methode der Verschlsselung mit einem nicht geheimen und ffentlichen, sowie einem geheimen und privaten Schlsselteil nennt man auch asymmetrische Verschlsselung.
24
4 Die PassphraseWie Sie im letzten Kapitel gelesen haben, ist der private Schlssel eine der wichtigsten Komponenten beim Public-Key- oder asymmetrischen Verschlsselungsverfahren. Man muss ihn zwar nicht mehr auf geheimem Wege mit seinen Korrespondenzpartnern austauschen, aber nach wie vor ist seine Sicherheit der Schlssel zur Sicherheit des ganzen Kryptograeverfahrens. Technisch gesehen ist der private Schlssel einfach eine Datei, die auf dem eigenen Rechner gespeichert wird. Um unbefugte Zugriffe auf diese Datei auszuschlieen, wird sie zweifach gesichert:
Zunchst darf kein anderer Benutzer des Rechners die Datei lesen oder in sie schreiben knnen was kaum zu garantieren ist, da zum einen der Administrator des Computers immer auf alle Dateien zugreifen kann, zum anderen der Rechner verloren oder durch Viren, Wrmer oder Trojaner ausspioniert werden kann. Daher ist ein weiterer Schutz notwendig: eine Passphrase. Kein Passwort die Passphrase sollte nicht nur aus einem Wort bestehen, sondern z.B. aus einem Satz. Sie sollten diese Passphrase wirklich im Kopf behalten und niemals aufschreiben mssen. Trotzdem darf sie nicht erraten werden knnen. Das klingt vielleicht widersprchlich, ist es aber nicht. Es gibt einige erprobte Tricks, mit deren Hilfe Sie sich eine vllig individuelle, leicht zu merkende und nur sehr schwer zu erratende Passphrase ausdenken knnen.
25
Das Gpg4win-Kompendium 3.0.0 Kapitel 4. Die Passphrase Denken Sie an einen Ihnen gut bekannten Satz, z.B.: Ein blindes Huhn findet auch einmal ein Korn. Aus diesem Satz nehmen Sie beispielsweise jeden dritten Buchstaben: nieufdahnlnr (Einblindes Huhn findet auch einmal ein Korn.)
Diesen Buchstabensalat knnen Sie sich zunchst sicher nicht gut merken, aber Sie werden ihn eigentlich nie vergessen, solange Sie den ursprnglichen Satz im Kopf haben. Im Laufe der Zeit und je fter Sie ihn benutzen, prgt sich so eine Passphrase in Ihr Gedchtnis. Erraten kann diese Passphrase niemand. Denken Sie an ein Ereignis, das sich bereits fest in Ihrem persnlichen Langzeitgedchtnis verankert hat. Vielleicht gibt es einen Satz, mit dem sich Ihr Kind oder Ihr Partner unvergesslich gemacht hat. Oder eine Ferienerinnerung oder eine Textzeile aus einem fr Sie wichtigen Lied. Verwenden Sie kleine und groe Buchstaben, Nummern, Sonder- und Leerzeichen durcheinander. Im Prinzip ist alles erlaubt, auch Umlaute, Sonderzeichen, Ziffern usw. Aber Vorsicht falls Sie Ihren geheimen Schlssel im Ausland an einem fremden Rechner benutzen wollen, bedenken Sie, dass fremdsprachige Tastaturen diese Sonderzeichen oft nicht haben. Beispielsweise werden Sie Umlaute (, , usw.) nur auf einer deutschen Tastatur nden. Machen Sie Rechtschreibfehler, z.B. feLer statt Fehler. Natrlich mssen Sie sich diese feLer gut merken knnen. Oder wechseln Sie mittendrin die Sprache. Aus dem schnen Satz: In Mnchen steht ein Hofbruhaus. knnte man beispielsweise diese Passphrase machen: inMinschen stet 1h0f breuhome Denken Sie sich einen Satz aus, der mglichst unsinnig ist, den Sie sich aber doch merken knnen, wie z.B.: Es blaut so garstig beim Walfang, neben Taschengeld, auch im Winter. Eine Passphrase in dieser Lnge ist ein sicherer Schutz fr Ihren geheimen Schlssel. Sie darf auch krzer sein, wenn Sie einige Buchstaben gro schreiben, z.B. so: Es blAut nEBen TaschengeLd auch im WiNter. Das ist nun krzer, aber nicht mehr so leicht zu merken. Wenn Sie eine noch krzere Passphrase verwenden, indem Sie hier und da Sonderzeichen benutzen, haben Sie zwar bei der Eingabe weniger zu tippen, aber die Wahrscheinlichkeit, dass Sie Ihre Passphrase vergessen, wird dabei grer. Ein extremes Beispiel fr eine mglichst kurze, aber dennoch sehr sichere Passphrase ist dieses hier: R!Qw"s,UIb *7\$ In der Praxis haben sich solche Zeichenfolgen allerdings als recht wenig brauchbar herausgestellt, da man einfach zu wenig Anhaltspunkte fr die Erinnerung hat.
26
Das Gpg4win-Kompendium 3.0.0 Kapitel 4. Die Passphrase Eine schlechte Passphrase ist blitzschnell geknackt, wenn sie ... ... schon fr einen anderen Zweck benutzt wird (z.B. fr einen E-Mail-Account oder Ihr Handy). Die gleiche Passphrase wre damit bereits einer anderen, mglicherweise unsicheren Software bekannt. Falls hier ein Hacker erfolgreich zuschlgt, ist Ihre Passphrase so gut wie nichts mehr wert. ... aus einem Wrterbuch stammt. Passphrase-Knackprogramme knnen in Minutenschnelle komplette digitale Wrterbcher ber ein Passwort laufen lassen bis eines der Wrter passt. ... aus einem Geburtsdatum, einem Namen oder anderen ffentlichen Informationen besteht. Wer vorhat, Ihre E-Mail zu entschlsseln, wird sich diese Daten beschaffen. ... ein landluges Zitat ist; wie z.B. das wird bse enden oder to be or not to be. Auch mit derartigen gngigen Zitaten testen Passphrase-Knackprogramme eine Passphrase. ... aus nur einem Wort oder aus weniger als 8 Zeichen besteht. Denken Sie sich unbedingt eine lngere Passphrase aus. Wenn Sie nun Ihre Passphrase zusammenstellen, nehmen Sie auf gar keinen Fall eines der oben angefhrten Beispiele. Denn es liegt auf der Hand: Wenn sich jemand ernsthaft darum bemht, Ihre Passphrase herauszubekommen, wrde er zuerst ausprobieren, ob Sie nicht eines dieser Beispiele genommen haben. Seien Sie kreativ! Denken Sie sich jetzt eine Passphrase aus! Unvergesslich und unknackbar. In Kapitel 7 werden Sie diese Passphrase bei der Erzeugung Ihres Schlsselpaars bentigen. Vorher mssen Sie aber noch ein weiteres Problem aus dem Weg rumen: Irgendjemand muss beglaubigen, dass die Person, die Ihnen geheime Nachrichten schicken will, auch tatschlich echt ist.
27
5 Zwei Wege, ein Ziel: OpenPGP & S/MIMESie haben gesehen, wie wichtig der Umschlag um Ihre E-Mail ist und wie man ihn mit den Mitteln der modernen Informationstechnologie bereitstellt: ein Brieftresor, in den jedermann verschlsselte Mails legen kann, die nur Sie als Besitzer des Brieftresors entschlsseln knnen. Es ist unmglich, die Verschlsselung zu knacken, solange der private Schlssel zum Tresor Ihr Geheimnis bleibt. Allerdings: Wenn man genauer darber nachdenkt, gibt es noch ein zweites Problem. Weiter oben haben Sie gelesen, dass man im Gegensatz zur Geheimschlssel-Methode den Briefpartner nicht persnlich treffen muss, damit er eine geheime Nachricht bermitteln kann. Wie kann man dann aber sicher sein, dass er auch tatschlich derjenige ist, fr den er sich ausgibt? Beim E-Mail-Verkehr kennen Sie in den seltensten Fllen alle Ihre Briefpartner persnlich und wer sich wirklich hinter einer E-Mail-Adresse verbirgt, kann man nicht ohne Weiteres feststellen. Also muss nicht nur die Geheimhaltung der Nachricht gewhrleistet sein, sondern auch die Identitt des Absenders die Authentizitt. Irgendjemand muss also beglaubigen, dass die Person, die Ihnen geheime Nachrichten schicken will, auch tatschlich echt ist. Im Alltagsleben dient zu dieser Authentisierung ein Ausweis, eine Unterschrift oder eine Urkunde, die von einer Behrde oder einem Notar beglaubigt wurde. Die Berechtigung zur Beglaubigung bezieht diese Institution von einer bergeordneten Behrde und letztendlich vom Gesetzgeber. Anders betrachtet, handelt es sich um eine Vertrauenskette, die sich von oben nach unten verzweigt: man spricht von einem hierarchischen Vertrauenskonzept. Dieses Konzept ndet sich bei Gpg4win oder anderen E-Mail-Verschlsselungsprogrammen fast spiegelbildlich in S/MIME wieder. Dazu kommt OpenPGP, ein weiteres Konzept, das so nur im Internet funktioniert. S/MIME und OpenPGP haben beide die gleiche Aufgabe: das Verschlsseln und Signieren von Daten. Beide benutzen die bereits bekannte Public-Key-Methode. Es gibt zwar einige wichtige Unterschiede, aber letztlich bietet keiner der Standards einen allgemeinen Vorteil gegenber dem anderen. Deshalb knnen Sie mit Gpg4win beide Verfahren einsetzen.
28
Das Gpg4win-Kompendium 3.0.0 Kapitel 5. Zwei Wege, ein Ziel: OpenPGP & S/MIME Die Entsprechung des hierarchischen Vertrauenskonzepts hat den schnen Namen Secure / Multipurpose Internet Mail Extension oder S/MIME. Mit S/MIME mssen Sie Ihren ffentlichen Schlssel von einer dazu berechtigten Organisation beglaubigen lassen, bevor er wirklich nutzbar wird. Das Zertikat dieser Organisation wurde wiederum mit dem Zertikat einer hher stehenden Organisation beglaubigt, usw. bis man zu einem sogenannten Wurzelzertikat kommt. Diese hierarchische Vertrauenskette hat meist drei Glieder: das Wurzelzertikat, das Zertikat des Zertikatsausstellers (auch CA fr Certicate Authority genannt) und schlielich Ihr eigenes, das Anwenderzertikat. Als zweite, alternative, nicht kompatible Methode der Beglaubigung dient der Standard OpenPGP, der keine Vertrauenshierarchie aufbaut, sondern ein Netz des Vertrauens (Web of Trust). Das Web of Trust bildet die Grundstruktur des nicht hierarchischen Internets und seiner Nutzer nach. Vertraut zum Beispiel der Teilnehmer B dem Teilnehmer A, knnte B auch dem ffentlichen Schlssel des ihm selbst unbekannten Teilnehmers C vertrauen, wenn dieser Schlssel durch A beglaubigt wurde. Mit OpenPGP besteht also die Mglichkeit, ohne die Beglaubigung einer hheren Stelle verschlsselte Daten und E-Mails auszutauschen. Es reicht aus, wenn Sie der E-Mail-Adresse und dem dazugehrigen Zertikat Ihres Kommunikationspartners vertrauen. Ob nun mit einer Vertrauenshierarchie oder einem Web of Trust die Authentisierung des Absenders ist mindestens ebenso wichtig wie der Schutz der Nachricht. Im weiteren Verlauf dieses Kompendiums kommen wir auf diese wichtige Sicherheitsmanahme noch einmal zurck. Im Moment sollte Ihnen dieser Kenntnisstand ausreichen, um Gpg4win zu installieren und die folgenden Kapitel zu verstehen: Beide Verfahren OpenPGP und S/MIME bieten die notwendige Sicherheit. Die Verfahren sind nicht kompatibel miteinander. Sie bieten zwei alternative Methoden zur Authentisierung Ihrer geheimen Kommunikation. Man sagt somit, sie sind nicht interoperabel. Gpg4win ermglicht die bequeme parallele Nutzung beider Verfahren Sie mssen sich aber bei jeder Verschlsselung/Signierung fr eines der beiden entscheiden. Kapitel 7 dieses Kompendiums zur Erzeugung des Schlsselpaares verzweigt sich aus diesem Grund zu beiden Methoden. Am Ende von Kapitel 7 ieen die Informationen wieder zusammen. Im weiteren Verlauf dieses Kompendiums weisen wir mit diesen beiden Symbolen auf die beiden Alternativen hin:
29
6 Installation von Gpg4winIn den Kapiteln 1 bis 5 haben Sie einiges ber die Hintergrnde der Verschlsselung erfahren. Gpg4win funktioniert zwar auch, ohne dass Sie verstehen warum, aber im Gegensatz zu anderen Programmen wollen Sie Gpg4win schlielich Ihre geheime Korrespondenz anvertrauen. Da sollten Sie schon wissen, was vor sich geht. Mit diesem Wissen sind Sie nun bereit, Gpg4win zu installieren und Ihr Schlsselpaar einzurichten. Sollte bereits eine GnuPG-basierte Anwendung auf Ihrem Rechner installiert sein (wie z.B. GnuPP, GnuPT, WinPT oder GnuPG Basics), dann lesen bitte im Anhang D nach, wie Sie Ihre vorhandenen Zertikate bernehmen knnen. Sie knnen Gpg4win aus dem Internet oder von einer CD laden und installieren. Sie bentigen dafr Administratorrechte in Ihrem Windows-Betriebssystem. Wenn Sie Gpg4win aus dem Internet laden, achten Sie unbedingt darauf, dass Sie die Datei von einer vertrauenswrdigen Seite erhalten, z.B.: www.gpg4win.de. Zum Start der Installation klicken Sie nach dem Download auf die Datei:gpg4win-2.0.0.exe (oder mit einer hheren Versionsnummer).
Falls Sie Gpg4win auf einer CD-ROM erhalten haben, ffnen Sie sie und klicken Sie auf das Installations-Icon Gpg4win. Die weitere Installation ist dann identisch. Die Frage, ob Sie das Programm installieren wollen, beantworten Sie mit [ Ja ].
30
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Der Installationsassistent startet und befragt Sie zuerst nach der Sprache fr den Installationsvorgang:
Besttigen Sie Ihre Sprachauswahl mit [ OK ]. Anschlieend begrt Sie dieser Willkommensdialog:
Beenden Sie alle auf Ihrem Rechner laufenden Programme und klicken Sie dann auf [ Weiter ].
31
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Die nchste Seite prsentiert das Lizenzabkommen es ist nur dann wichtig, wenn Sie Gpg4win verndern oder weitergeben wollen. Wenn Sie die Software einfach nur benutzen wollen, dann knnen Sie das sofort tun auch ohne die Lizenz zu lesen.
Klicken Sie auf [ Weiter ].
32
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Auf der Seite mit der Komponentenauswahl knnen Sie entscheiden, welche Programme Sie installieren mchten. Eine Vorauswahl ist bereits getroffen. Sie knnen bei Bedarf einzelne Komponenten auch spter installieren. Wenn Sie die Maus ber eine Komponente ziehen, erscheint eine Kurzbeschreibung. Hilfreich ist auch die Anzeige des bentigten Festplatten-Platzes aller ausgewhlten Komponenten.
Klicken Sie auf [ Weiter ].
33
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Nun wird Ihnen ein Ordner zur Installation vorgeschlagen, z.B.: C:\Programme\GNU\GnuPG bernehmen Sie den Vorschlag oder suchen Sie einen anderen Ordner aus, in dem Sie Gpg4win installieren wollen.
Klicken Sie anschlieend auf [ Weiter ].
34
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Jetzt knnen Sie festlegen, welche Verknpfungen installiert werden voreingestellt ist eine Verknpfung mit dem Startmen. Diese Verknpfungen knnen Sie spter mit den Bordmitteln von Windows verndern.
Klicken Sie anschlieend auf [ Weiter ].
35
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Wenn Sie die Voreinstellung Verknpfung mit dem Startmen ausgewhlt haben, dann knnen Sie auf der Folgeseite den Namen dieses Startmens festlegen oder einfach bernehmen.
Klicken Sie dann auf [ Installieren ].
36
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Whrend der nun folgenden Installation sehen Sie einen Fortschrittsbalken und Informationen, welche Datei momentan installiert wird. Sie knnen jederzeit auf [ Details anzeigen ] drcken, um ein Protokoll der Installation sichtbar zu machen.
Nachdem die Installation abgeschlossen ist, drcken Sie bitte auf [ Weiter ].
37
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Nach erfolgreicher Installation wird Ihnen diese letzte Seite des Installationsvorgangs angezeigt:
Es wird Ihnen angeboten die README-Datei anzeigen zu lassen, die wichtige Informationen zu der soeben installierten Gpg4win-Version enthlt. Sofern Sie die README-Datei nicht ansehen wollen, deaktivieren Sie diese Option. Klicken Sie schlielich auf [ Fertig stellen ].
38
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win In einigen Fllen kann es vorkommen, dass Windows neu gestartet werden muss. In diesem Fall sehen Sie statt der vorherigen die folgende Seite:
Sie knnen hier auswhlen, ob Windows sofort oder spter manuell neu gestartet werden soll. Klicken Sie auf [ Fertig stellen ]. Lesen Sie bitte die README-Datei mit aktuellen Informationen zu der soeben installierten Gpg4winVersion. Sie nden diese Datei z.B. ber das Startmen: StartProgrammeGpg4winDokumentationGpg4win README
39
Das Gpg4win-Kompendium 3.0.0 Kapitel 6. Installation von Gpg4win Das wars schon! Sie haben Gpg4win erfolgreich installiert und knnen es gleich zum ersten Mal starten. Fr Informationen zur automatischen Installation von Gpg4win, wie sie z.B. fr SoftwareverteilungsSysteme interessant ist, lesen Sie bitte im Anhang C Automatische Installation von Gpg4win weiter.
40
7 Erstellung eines ZertikatsNachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist (Kapitel 3) und wie eine gute Passphrase als Schutz Ihres geheimen Schlssels entsteht (Kapitel 4), knnen Sie nun Ihr persnliches Schlsselpaar erzeugen. Wie Sie im Kapitel 3 gesehen haben, besteht ein Schlsselpaar aus einem ffentlichen und einem geheimen Schlssel. Ergnzt durch E-Mail-Adresse, Benutzerkennung etc., die Sie bei der Erstellung angeben (den sogenannten Metadaten), erhalten Sie Ihr geheimes Zertikat mit dem ffentlichen und dem geheimen Schlssel. Diese Denition gilt sowohl fr OpenPGP wie auch fr S/MIME (S/MIME-Zertikate entsprechen einem Standard mit der Bezeichnung X.509). Eigentlich msste man diesen wichtigen Schritt der Schlsselpaar-Erzeugung ein paar Mal ben knnen ... Genau das knnen Sie tun allerdings nur fr OpenPGP: Wenn Sie sich fr die OpenPGP-Methode der Beglaubigung entscheiden, das Web of Trust, dann knnen Sie den gesamten Ablauf der Schlsselpaar-Erzeugung, Verschlsselung und Entschlsselung durchspielen, so oft Sie wollen, bis Sie ganz sicher sind. Ihr Vertrauen in Gpg4win wird sich durch diese Trockenbung festigen, und die heie Phase der OpenPGP-Schlsselpaar-Erzeugung wird danach kein Problem mehr sein. Ihr Partner bei diesen bungen wird Adele sein. Adele ist ein Testservice, der noch aus dem VorgngerProjekt GnuPP stammt und bis auf Weiteres in Betrieb ist. Auch in diesem Kompendium knnen wir die Benutzung des bungsroboters nur empfehlen. Wir bedanken uns bei den Inhabern von gnupp.de fr den Betrieb von Adele. Mit Hilfe von Adele knnen Sie Ihr OpenPGP-Schlsselpaar, das Sie gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst machen. Doch dazu spter mehr.
41
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Los gehts! Rufen Sie das Programm Kleopatra ber das Windows-Startmen auf:
Daraufhin sehen Sie das Hauptfenster von Kleopatra die Zertikatsverwaltung:
Zu Beginn ist diese bersicht leer, da Sie noch keine Zertikate erstellt (oder importiert) haben.
42
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Klicken Sie auf DateiNeues Zertikat. Im folgenden Dialog entscheiden Sie sich fr ein Format, in dem anschlieend ein Zertikat erstellt werden soll. Sie haben die Wahl zwischen OpenPGP (PGP/MIME) oder X.509 (S/MIME). Die Unterschiede und Gemeinsamkeiten wurden bereits in Kapitel 5 erlutert.
Dieses Kapitel des Kompendiums verzweigt sich an dieser Stelle zu beiden Methoden. Am Ende des Kapitels ieen die Informationen wieder zusammen. Je nachdem, ob Sie sich fr OpenPGP oder X.509 (S/MIME) entschieden haben, lesen Sie nun also bitte entweder: Abschnitt 7.1: OpenPGP-Zertikat erstellen (siehe nchste Seite) oder Abschnitt 7.2: X.509-Zertikat erstellen (siehe Seite 50).
43
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats
7.1 OpenPGP-Zertikat erstellenKlicken Sie im Zertikats-Auswahldialog auf [ Persnliches OpenPGP-Schlsselpaar erzeugen ]. Geben Sie im nun folgenden Fenster Ihren Namen und Ihre E-Mail-Adresse an. Name und E-MailAdresse sind spter ffentlich sichtbar. Optional knnen Sie einen Kommentar zum Schlsselpaar eingeben. Normalerweise bleibt dieses Feld leer; wenn Sie aber einen Schlssel zu Testzwecken erzeugen, sollten Sie dort als Erinnerung Test eingeben. Dieser Kommentar ist Teil Ihrer Benutzerkennung und genau wie der Name und die E-Mail-Adresse spter ffentlich sichtbar.
Wenn Sie die OpenPGP-Schlsselpaar-Erzeugung zunchst einmal testen wollen, dann knnen Sie einfach einen beliebigen Namen und irgendeine ausgedachte E-Mail-Adresse eingeben, z.B.: Heinrich Heine und [email protected] Die erweiterten Einstellungen bentigen Sie nur in Ausnahmefllen. Sie knnen sich im KleopatraHandbuch (ber HilfeHandbuch zu Kleopatra) ber die Details informieren. Klicken Sie auf [ Weiter ].
44
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich fr die (vorbelegten) Experten-Einstellungen interessieren, knnen Sie diese ber die Option Alle Details einsehen.
Wenn alles korrekt ist, klicken Sie anschlieend auf [ Schlssel erzeugen ].
45
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Jetzt folgt der wichtigste Teil: die Eingabe Ihrer Passphrase! Fr die Schlsselpaarerzeugung mssen Sie Ihre persnliche Passphrase eingeben:
Wenn Sie Kapitel 4 gelesen haben, dann sollten Sie jetzt eine einfach zu merkende und schwer zu knackende geheime Passphrase parat haben. Geben Sie sie in den oben gezeigten Dialog ein! Beachten Sie bitte, dass dieses Fenster unter Umstnden im Hintergrund geffnet wurde und damit auf den ersten Blick nicht sichtbar ist. Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder keine Zahlen oder Sonderzeichen enthlt, werden Sie darauf hingewiesen. Auch an dieser Stelle knnen Sie wenn Sie wollen zunchst eine Test-Passphrase eingeben oder auch gleich Ernst machen. Um sicherzugehen, dass Sie sich nicht vertippt haben, mssen Sie Ihre geheime Passphrase zweimal eingeben. Besttigen Sie Ihre Eingabe jeweils mit [ OK ].
46
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Nun wird Ihr OpenPGP-Schlsselpaar angelegt:
Dies kann u.U. einige Minuten dauern. Sie knnen die Erzeugung der bentigten Zufallszahlen untersttzen, indem Sie im unteren Eingabefeld irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den einzelnen Tastendrcken. Sie knnen auch mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhhen damit ebenfalls leicht die Qualitt des erzeugten Schlsselpaars.
47
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Sobald die Schlsselpaarerzeugung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:
Im Ergebnis-Textfeld wird der 40-stellige Fingerabdruck Ihres neu generierten OpenPGP-Zertikats angezeigt. Dieser Fingerabdruck (engl. Fingerprint) ist weltweit eindeutig, d.h. keine andere Person besitzt ein Zertikat mit identischem Fingerabdruck. Es ist sogar vielmehr so, dass es schon mit 8 Zeichen ein auerordentlicher Zufall wre, wenn diese weltweit ein zweites Mal vorkmen. Daher werden oft nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt und als Schlsselkennung (oder Schlssel-ID) bezeichnet. Dieser Fingerabdruck identiziert die Identitt des Zertikats wie der Fingerabdruck einer Person. Sie brauchen sich den Fingerabdruck nicht zu merken oder abzuschreiben. In den Zertikatsdetails von Kleopatra knnen Sie sich ihn jederzeit spter anzeigen lassen.
48
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Als Nchstes knnen Sie eine oder auch hintereinander mehrere der folgenden drei Schaltchen bettigen: Sicherheitskopie Ihres (geheimen) Zertikats erstellen... Geben Sie hier den Pfad an, unter dem Ihr vollstndiges Zertikat (das Ihr neues Schlsselpaar enthlt, also den geheimen und ffentlichen Schlssel) exportiert werden soll:
Kleopatra whlt automatisch den Dateityp und speichert Ihr Zertikat als .asc bzw. .gpg Datei ab abhngig davon, ob Sie die Option ASCII-geschtzt (engl. ASCII armor) ein- bzw. ausschalten. Klicken Sie anschlieend zum Exportieren auf [ OK ]. Wichtig: Falls Sie die Datei auf der Festplatte abspeichern, so sollten Sie diese Datei schnellstens auf einen anderen Datentrger (USB-Stick, Diskette oder CD-ROM) kopieren und die Originaldatei rckstandslos lschen, d.h. nicht im Papierkorb belassen! Bewahren Sie diesen Datentrger mit der Sicherheitskopie sicher auf. Sie knnen eine Sicherheitskopie auch noch spter anlegen; whlen Sie hierzu aus dem Kleopatra-Hauptmen: DateiGeheimes Zertikat exportieren... (vgl. Kapitel 19). Zertikat per E-Mail versenden... Nach dem Klick auf diese Schaltche sollte eine neue E-Mail erstellt werden mit Ihrem neuen ffentlichen Zertikat im Anhang. Ihr geheimer OpenPGP-Schlssel wird selbstverstndlich nicht versendet. Geben Sie eine Empfnger-E-Mail-Adresse an und ergnzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme untersttzen diese Funktion. Es geht aber natrlich auch manuell: Sollte sich kein neues E-Mail-Fenster ffnen, so beenden Sie den Zertikatserstellungs-Assistenten, speichern Ihr ffentliches Zertikat durch DateiZertikat exportieren und versenden diese Datei per E-Mail an Ihre Korrespondenzpartner. Weitere Details nden Sie im Abschnitt 8.1. Zertikate zu Zertikatsserver senden... Wie Sie einen weltweit verfgbaren OpenPGP-Zertikatsserver in Kleopatra einrichten und wie Sie anschlieend Ihr ffentliches Zertikat auf diesem Server verffentlichen, erfahren Sie in Kapitel 16. Ihr OpenPGP-Zertikat ist damit fertig erstellt. Beenden Sie anschlieend den Kleopatra-Assistenten mit [ Fertigstellen ]. Weiter gehts mit dem Abschnitt 7.3 auf Seite 56. Von dort an sind die Erklrungen fr OpenPGP und X.509 wieder identisch.
49
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats
7.2 X.509-Zertikat erstellenKlicken Sie im Zertikatsformat-Auswahldialog von Seite 43 auf die Schaltche [ Persnliches X.509-Schlsselpaar und Beglaubigungs-Anfrage erstellen ]. Geben Sie im nun folgenden Fenster Ihren Namen (CN = common name), Ihre E-Mail-Adresse (EMAIL), Ihre Organisation (O = organization) und Ihren Lndercode (C = country) an. Optional knnen Sie noch Ort (L = locality) und Abteilung (OU = organizational unit) ergnzen. Wenn Sie die X.509-Schlsselpaar-Erzeugung zunchst einmal testen wollen, dann machen Sie beliebige Angaben fr Name, Organisation sowie Lndercode und geben irgendeine ausgedachte E-MailAdresse ein, z.B.: CN=Heinrich Heine,O=Test,C=DE,[email protected]
Die erweiterten Einstellungen bentigen Sie nur in Ausnahmefllen. Sie knnen sich im KleopatraHandbuch (ber HilfeHandbuch zu Kleopatra) ber die Details informieren. Klicken Sie auf [ Weiter ].
50
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich fr die (vorbelegten) Experten-Einstellungen interessieren, knnen Sie diese ber die Option Alle Details einsehen.
Wenn alles korrekt ist, klicken Sie auf [ Schlssel erzeugen ].
51
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Jetzt folgt der wichtigste Teil: die Eingabe Ihrer Passphrase! Fr die Schlsselpaarerzeugung werden Sie aufgefordert, Ihre Passphrase einzugeben:
Wenn Sie Kapitel 4 gelesen haben, dann sollten Sie jetzt eine einfach zu merkende und schwer zu knackende geheime Passphrase parat haben. Geben Sie sie in den oben gezeigten Dialog ein! Beachten Sie bitte, dass dieses Fenster unter Umstnden im Hintergrund geffnet wurde und damit auf den ersten Blick nicht sichtbar ist. Wenn die Passphrase nicht sicher genug ist, weil sie zu kurz ist oder keine Zahlen oder Sonderzeichen enthlt, werden Sie darauf hingewiesen. Auch an dieser Stelle knnen Sie wenn Sie wollen zunchst eine Test-Passphrase eingeben oder auch gleich Ernst machen. Um sicherzugehen, dass Sie sich nicht vertippt haben, mssen Sie Ihre geheime Passphrase zweimal eingeben. Abschlieend werden Sie noch ein drittes Mal aufgefordert, Ihre Passphrase einzugeben: Sie signieren dabei Ihre Zertikatsanfrage an die zustndige Beglaubigungsinstanz. Besttigen Sie Ihre Eingaben jeweils mit [ OK ].
52
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Nun wird Ihr X.509-Schlsselpaar angelegt:
Dies kann u.U. einige Minuten dauern. Sie knnen die Erzeugung der bentigten Zufallszahlen untersttzen, indem Sie im unteren Eingabefeld irgendetwas eingeben. Was Sie dort tippen, spielt keine Rolle: was Sie schreiben, wird nicht verwendet, nur die Zeitspannen zwischen den einzelnen Tastendrcken. Sie knnen auch mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhhen damit ebenfalls leicht die Qualitt des erzeugten Schlsselpaars.
53
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Sobald die Schlsselpaarerzeugung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:
Die nchsten Schritte werden durch die beiden folgenden Schaltchen ausgelst: Anfrage in Datei speichern... Geben Sie hier den Pfad an, unter dem Ihre X.509-Zertikatsanfrage gesichert werden soll, und besttigen Sie Ihre Eingabe. Kleopatra fgt beim Speichern automatisch die Dateiendung .p10 hinzu. Diese Datei kann spter an eine Beglaubigungsinstanz (kurz CA fr Certicate Authority) gesendet werden. Etwas weiter unten weisen wir Sie auf cacert.org hin, eine nicht kommerzielle Beglaubigungsinstanz (CA), die kostenlos X.509-Zertikate ausstellt. Anfrage per E-Mail versenden... Es wird eine neue E-Mail erstellt mit der soeben erstellten Zertikatsanfrage im Anhang. Geben Sie eine Empfnger-E-Mail-Adresse an in der Regel die Ihrer zustndigen Beglaubigungsinstanz und ergnzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme untersttzen diese Funktion. Es geht aber natrlich auch manuell: Sollte sich kein neues E-Mail-Fenster ffnen, dann speichern Sie Ihre Anfrage zunchst in eine Datei (siehe oben) und versenden diese Datei per E-Mail an Ihre Beglaubigungsinstanz (Certicate Authority, CA). Sobald die Anfrage von der CA bearbeitet wurde, erhalten Sie von Ihrem zustndigen CASystemadministrator das fertige und von der CA unterzeichnete X.509-Zertikat. Dieses mssen Sie dann nur noch in Kleopatra importieren (vgl. Kapitel 19). Beenden Sie anschlieend den Kleopatra-Assistenten mit [ Fertigstellen ].
54
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Erstellung eines X.509-Zertikats mit www.cacert.org CAcert ist eine nicht kommerzielle Beglaubigungsinstanz (CA), die kostenlos X.509-Zertikate ausstellt. Damit wird eine Alternative zu den kommerziellen Root-CAs geboten, die zum Teil recht hohe Gebhren fr ihre Zertikate erheben. Damit Sie sich ein (Client-)Zertikat bei CAcert erstellen knnen, mssen Sie sich zunchst beiwww.cacert.org registrieren.
Sofort anschlieend knnen Sie ein oder mehrere Client-Zertikat(e) auf cacert.org erstellen: Sie sollten dabei auf eine ausreichende Schlssellnge (z.B. 2048 Bit) achten. Im dortigen Web-Assistenten legen Sie Ihre sichere Passphrase fr Ihr Zertikat fest. Ihr Client-Zertikat wird nun erstellt. Im Anschluss daran erhalten Sie eine E-Mail mit zwei Links zu Ihrem neu erstellten X.509-Zertikat und dem dazugehrigen CAcert-Root-Zertikat. Laden Sie sich beide Zertikate herunter. Folgen Sie den Anweisungen und installieren Sie Ihr Zertikat in Ihrem Browser. Bei Firefox knnen Sie danach z.B. ber BearbeitenEinstellungenErweitertZertikate Ihr installiertes Zertikat unter dem ersten Reiter Ihre Zertikate mit dem Namen (CN) CAcert WoT User nden. Sie knnen nun ein persnliches X.509-Zertikat ausstellen, das Ihren Namen im CN-Feld trgt. Dazu mssen Sie Ihren CAcert-Account von anderen Mitgliedern des CACert-Web-of-Trust beglaubigen lassen. Wie Sie eine derartige Besttigung in die Wege leiten, erfahren Sie auf den Internetseiten von CAcert. Speichern Sie abschlieend eine Sicherungskopie Ihres persnlichen X.509-Zertikats. Die Sicherungskopie erhlt automatisch die Endung .p12. Achtung: Diese .p12 Datei enthlt Ihren ffentlichen und Ihren geheimen Schlssel. Achten Sie daher unbedingt darauf, dass diese Datei nicht in fremde Hnde gelangt. Wie Sie Ihr persnliches X.509-Zertikat in Kleopatra importieren, erfahren Sie in Kapitel 19. Weiter gehts mit Abschnitt 7.3 auf der nchsten Seite. Von nun an sind die Erklrungen fr OpenPGP und X.509 wieder identisch.
55
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats
7.3 Zertikatserstellung abgeschlossenDamit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlsselpaares abgeschlossen. Sie besitzen nun einen einzigartigen elektronischen Schlssel. Im weiteren Verlauf des Kompendiums wird nur noch ein OpenPGP-Zertikat als Beispiel verwendet alles Gesagte gilt aber auch entsprechend fr ein X509-Zertikat. Sie benden sich nun wieder im Hauptfenster von Kleopatra. Das soeben erzeugte OpenPGP-Zertikat nden Sie in der Zertikatsverwaltung unter dem Reiter Meine Zertikate:
56
Das Gpg4win-Kompendium 3.0.0 Kapitel 7. Erstellung eines Zertikats Doppelklicken Sie auf Ihr neues Zertikat, um alle Zertikatsdetails sehen zu knnen:
Was bedeuten die einzelnen Zertikatsdetails? Ihr Zertikat ist unbegrenzt gltig, d.h. es hat kein eingebautes Verfallsdatum. Um die Gltigkeit nachtrglich zu verndern, klicken Sie auf [ Ablaufdatum ndern ]. Weitere Details zum Zertikat nden Sie im Kapitel 15.
57
8 Verbreitung des ffentlichen ZertikatsBeim tglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es beim Verschlsseln und Signaturprfen stets nur mit ungeheimen (also ffentlichen) Zertikaten zu tun haben, die nur ffentliche Schlssel enthalten. Solange Ihr eigener geheimer Schlssel und die ihn schtzende Passphrase sicher sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt. Jedermann darf und soll Ihr ffentliches Zertikat haben, und Sie knnen und sollen ffentliche Zertikate von Ihren Korrespondenzpartnern haben je mehr, desto besser. Denn: Um sichere E-Mails austauschen zu knnen, mssen beide Partner jeweils das ffentliche Zertikat des anderen besitzen und benutzen. Natrlich bentigt der Empfnger auch ein Programm, das mit Zertikaten umgehen kann wie z.B. das Softwarepaket Gpg4win mit der Zertikatsverwaltung Kleopatra. Wenn Sie also an jemanden verschlsselte E-Mails schicken wollen, mssen Sie dessen ffentliches Zertikat haben und zum Verschlsseln benutzen. Wenn andersherum jemand Ihnen verschlsselte E-Mails schicken will, muss er Ihr ffentliches Zertikat haben und zum Verschlsseln benutzen. Deshalb sollten Sie nun Ihr ffentliches Zertikat zugnglich machen. Je nachdem, wie gro der Kreis Ihrer Korrespondenzpartner ist und welches Zertikatsformat Sie einsetzen, gibt es dazu verschiedene Mglichkeiten. Verbreiten Sie Ihr ffentliches Zertikat beispielsweise ... ... direkt per E-Mail an bestimmte Korrespondenzpartner siehe Abschnitt 8.1. ... auf einem OpenPGP-Zertikatsserver (gilt nur fr OpenPGP) siehe Abschnitt 8.2. ... ber die eigene Homepage. ... persnlich, z.B. per USB-Stick. Die ersten beiden Varianten knnen Sie sich nun auf den folgenden Seiten nher anschauen.
58
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats
8.1 Verffentlichen per E-Mail, mit bung fr OpenPGPSie wollen Ihr ffentliches Zertikat Ihrem Korrespondenzpartner bekannt machen? Schicken Sie ihm doch einfach Ihr exportiertes ffentliches Zertikat per E-Mail. Wie das genau funktioniert, erfahren Sie in diesem Abschnitt. ben Sie jetzt diesen Vorgang einmal mit Ihrem ffentlichen OpenPGP-Zertikat! Adele soll Ihnen dabei behilich sein. Die folgenden bungen gelten nur fr OpenPGP, Anmerkungen zum Verffentlichen von ffentlichen X.509-Zertikaten nden Sie auf Seite 67. Adele ist ein sehr netter E-Mail-Roboter, mit dem Sie zwanglos korrespondieren knnen. Weil man gewhnlich mit einer klugen und netten jungen Dame lieber korrespondiert als mit einem Stck Software (was sie in Wirklichkeit natrlich ist), knnen Sie sich Adele so vorstellen:
Schicken Sie zunchst Adele Ihr ffentliches OpenPGP-Zertikat. Mit Hilfe des ffentlichen Schlssels aus diesem Zertikat sendet Adele eine verschlsselte E-Mail an Sie zurck. Diese Antwort von Adele entschlsseln Sie mit Ihrem eigenen geheimen Schlssel. Damit Sie wiederum Adele verschlsselt antworten knnen, legt Adele ihr eigenes ffentliches Zertikat bei. Adele verhlt sich also genau wie ein richtiger Korrespondenzpartner. Allerdings sind Adeles E-Mails leider bei weitem nicht so interessant wie die Ihrer echten Korrespondenzpartner. Andererseits knnen Sie mit Adele so oft ben, wie Sie wollen was Ihnen ein menschlicher Adressat wahrscheinlich ziemlich bel nehmen wrde. Exportieren Sie also nun Ihr ffentliches OpenPGP-Zertikat und senden dieses per E-Mail an Adele. Wie das geht, erfahren Sie auf den nchsten Seiten.
59
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats Exportieren Ihres ffentlichen OpenPGP-Zertikats Selektieren Sie in Kleopatra das zu exportierende ffentliche Zertikat (durch Klicken auf die entsprechende Zeile in der Liste der Zertikate) und klicken Sie dann auf DateiZertikate exportieren... im Men. Whlen Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie das ffentliche Zertikat im Dateityp .asc ab, z.B.: mein-OpenPGP-Zertifikat.asc. Die beiden anderen zur Auswahl stehenden Dateitypen, .gpg oder .pgp, speichern Ihr Zertikat im Binrformat. D.h., sie sind, anders als eine .asc-Datei, nicht im Texteditor lesbar. Achten Sie beim Auswhlen des Menpunktes unbedingt darauf, dass Sie auch wirklich nur Ihr ffentliches Zertikat exportieren und nicht aus Versehen das Zertikat Ihres kompletten Schlsselpaars mit zugehrigem geheimen Schlssel. Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu den Windows-Explorer und whlen Sie denselben Order aus, den Sie beim Exportieren angegeben haben. ffnen Sie die exportierte Zertikats-Datei mit einem Texteditor, z.B. mit WordPad. Sie sehen Ihr ffentliches OpenPGP-Zertikat im Texteditor so, wie es wirklich aussieht ein ziemlich wirrer Textund Zahlenblock:
60
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats Bei der Verffentlichung Ihres OpenPGP-Zertikats per E-Mail gibt es zwei Varianten, die bercksichtigen, ob ein E-Mail-Programm Anhnge versenden kann oder nicht. Variante 1: ffentliches OpenPGP-Zertikat als E-Mail-Text versenden Diese Mglichkeit funktioniert immer, selbst wenn Sie z.B. bei manchen E-Mail-Diensten im Web keine Dateien anhngen knnen. Zudem bekommen Sie so Ihr ffentliches Zertikat zum ersten Mal zu Gesicht und wissen, was sich dahinter verbirgt und woraus das Zertikat eigentlich besteht. Markieren Sie nun im Texteditor das gesamte ffentliche Zertikat von---BEGIN PGP PUBLIC KEY BLOCK---
bis---END PGP PUBLIC KEY BLOCK---
und kopieren Sie es mit dem Menbefehl oder mit dem Tastaturkrzel Strg+C. Damit haben Sie das Zertikat in den Speicher Ihres Rechners (bei Windows Zwischenablage genannt) kopiert. Nun starten Sie Ihr E-Mail-Programm es spielt keine Rolle, welches Sie benutzen und fgen Ihr ffentliches Zertikat in eine leere E-Mail ein. Der Tastaturbefehl zum Einfgen (Paste) lautet bei Windows Strg+V. Diesen Vorgang Kopieren und Einfgen kennen Sie vielleicht als Copy & Paste. Das E-Mail-Programm sollte so eingestellt sein, dass reine Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten (vgl. Abschnitt 13.3 und Anhang A). Adressieren Sie nun diese E-Mail an [email protected] und schreiben Sie in die Betreffzeile z.B. Mein ffentliches OpenPGP-Zertikat.
61
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats So etwa sollte Ihre E-Mail nun aussehen:
Schicken Sie die E-Mail an Adele ab. Nur zur Vorsicht: Natrlich sollten Ihre E-Mails Ihre eigene E-Mail-Adresse als Absender haben. Andernfalls werden Sie nie Antwort von Adele bekommen ...
62
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats Variante 2: ffentliches OpenPGP-Zertikat als E-Mail-Anhang versenden Alternativ zu Variante 1 knnen Sie natrlich Ihr exportiertes ffentliches OpenPGP-Zertikat auch direkt als E-Mail-Dateianhang versenden. Das ist oftmals das einfachere und gebruchlichere Verfahren. Sie haben oben die Copy & Paste-Methode zuerst kennengelernt, weil sie transparenter und leichter nachzuvollziehen ist. Schreiben Sie Adele nun noch einmal eine neue E-Mail diesmal mit der Zertikatsdatei im Anhang: Fgen Sie die vorher exportierte Zertikatsdatei als Anhang zu Ihrer neuen E-Mail hinzu genauso wie Sie es mit jeder anderen Datei auch machen (z.B. durch Ziehen der Datei in das leere E-MailFenster). Ergnzen Sie den Empfnger ([email protected]) und einen Betreff, z.B.: Mein ffentliches OpenPGP-Zertikat - als Dateianhang. Selbstverstndlich drfen Sie auch noch ein paar erklrende Stze dazuschreiben. Adele braucht diese Erklrung jedoch nicht, denn sie ist zu nichts anderem als zu diesem bungszweck programmiert worden. Ihre fertige E-Mail sollte dann etwa so aussehen:
Senden Sie nun die E-Mail mit Anhang an Adele ab.
63
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats Kurz zusammengefasst Sie haben Ihr ffentliches OpenPGP-Zertikat in Kleopatra in eine Datei exportiert. Anschlieend haben Sie einmal den Inhalt der Datei direkt in eine E-Mail kopiert und einmal die komplette Datei als E-Mail-Anhang beigefgt. Beide E-Mails haben Sie an einen Korrespondenzpartner geschickt in Ihrem Fall also an Adele. Genauso gehen Sie vor, wenn Sie Ihr ffentliches Zertikat an eine echte E-Mail-Adresse senden. In der Regel sollten Sie ffentliche Zertikate als Dateianhang versenden, wie in Variante 2 geschildert. Dies ist fr Sie und Ihren Empfnger das Einfachste. Und es hat den Vorteil, dass Ihr Empfnger Ihre Zertikatsdatei direkt (ohne Umwege) in seine Zertikatsverwaltung (z.B. Kleopatra) importieren kann.
64
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats
8.2 Verffentlichen per OpenPGP-ZertikatsserverBeachten Sie bitte: Nur Ihr OpenPGP-Zertikat lsst sich ber einen OpenPGP-Zertikatsserver verbreiten. Die Publizierung Ihres ffentlichen OpenPGP-Zertikats auf einem ffentlichen Zertikatsserver bietet sich eigentlich immer an, selbst wenn Sie nur mit wenigen Partnern verschlsselte E-Mails austauschen. Ihr ffentliches Zertikat ist dann fr jedermann zugnglich auf einem Server im Internet verfgbar. Sie ersparen sich dadurch das Versenden Ihres Zertikats per E-Mail an jeden Ihrer Korrespondenzpartner. Allerdings kann die Verffentlichung Ihrer E-Mail-Adresse auf einem Zertikatsserver auch bedeuten, dass sich das Spam-Aufkommen fr diese E-Mail-Adresse erhht. Dagegen hilft nur ein wirksamer Spam-Schutz. Und so gehts: Whlen Sie Ihr ffentliches OpenPGP-Zertikat in Kleopatra aus und klicken Sie im Men auf DateiZertikate nach Server exportieren.... Sofern Sie noch keinen Zertikatsserver deniert haben, bekommen Sie eine Warnmeldung:
Es ist der ffentliche OpenPGP-Zertikatsserver keys.gnupg.net bereits voreingestellt. Klicken Sie auf [ Fortsetzen ], um Ihr ausgewhltes ffentliches Zertikat an diesen Server zu schicken. Von dort aus wird Ihr ffentliches Zertikat an alle weltweit verbundenen Zertikatsserver weitergereicht. Jedermann kann Ihr ffentliches Zertikat dann von einem dieser OpenPGP-Zertikatsserver herunterladen und dazu benutzen, Ihnen eine sichere E-Mail zu schreiben. Wenn Sie den Ablauf nur testen, dann schicken Sie das bungszertikat bitte nicht ab: Klicken Sie im obigen Dialog auf [ Abbrechen ]. Das Testzertikat ist wertlos und kann nicht mehr vom Zertikatsserver entfernt werden. Sie glauben nicht, wie viele Testzertikate mit Namen wie Julius Caesar, Helmut Kohl oder Bill Clinton dort schon seit Jahren herumliegen ...
65
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats Kurz zusammengefasst Sie wissen nun, wie Sie Ihr ffentliches OpenPGP-Zertikat auf einem OpenPGP-Zertikatsserver im Internet verffentlichen. Wie Sie das ffentliche OpenPGP-Zertikat eines Korrespondenzpartners auf Zertikatsservern suchen und importieren, erfahren Sie im Kapitel 16. Sie knnen dieses Kapitel jetzt lesen oder spter, wenn Sie diese Funktion bentigen.
66
Das Gpg4win-Kompendium 3.0.0 Kapitel 8. Verbreitung des ffentlichen Zertikats
8.3 Verffentlichen von X.509-ZertikatenBei ffentlichen X.509-Zertikaten funktioniert die Sache sogar noch einfacher: es gengt, wenn Sie Ihrem Korrespondenzpartner eine signierte S/MIME-E-Mail senden. Ihr ffentliches X.509-Zertikat ist in dieser Signatur enthalten und kann von dem Empfnger in seine Zertikatsverwaltung importiert werden. Leider mssen Sie bei X.509-Zertikaten auf ein paar bungsrunden mit Adele verzichten, denn Adele untersttzt nur OpenPGP. Zum ben sollten Sie sich also einen anderen Korrespondenzpartner aussuchen oder testweise an sich selbst schreiben. Die Verbreitung von ffentlichen X.509-Zertikaten erfolgt in einigen Fllen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise ber X.509-Zertikatsserver, die sich im Unterschied zu den OpenPGP-Zertikatsservern allerdings nicht weltweit synchronisieren. Beim Exportieren Ihres ffentlichen X.509-Zertikats knnen Sie die vollstndige ffentliche Zertikatskette markieren und in einer Datei abspeichern in der Regel also Wurzelzertikat, CA-Zertikat und Persnliches Zertikat oder nur Ihr ffentliches Zertikat. Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen mglicherweise Teile der Kette, die er sonst zusammensuchen msste. Klicken Sie dazu in Kleopatra alle Elemente der Zertikatskette mit gedrckter Shift-/Umschalttaste an und exportieren Sie die so markierten Zertikate gemeinsam in eine Datei. Hatte Ihr Korrespondenzpartner das Wurzelzertikat noch nicht, so muss er diesem das Vertrauen aussprechen bzw. durch einen Administrator aussprechen lassen, um letztlich auch Ihnen zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu der selben Wurzel gehren), dann besteht diese Vertrauensstellung bereits.
67
9 E-Mails entschlsseln, mit bung fr OpenPGPAlles, was Sie zum Entschlsseln von E-Mails bentigen, ist Gpg4win, das Zertikat Ihres Schlsselpaars und natrlich Ihre Passphrase. In diesem Kapitel wird Schritt fr Schritt erklrt, wie Sie Ihre E-Mails in Microsoft Outlook mit der Gpg4win-Programmkomponente GpgOL entschlsseln. Zunchst knnen Sie diesen Vorgang wieder mit Adele und Ihrem ffentlichen OpenPGP-Zertikat ben. Die folgenden bungen gelten wieder nur fr OpenPGP Anmerkungen zur Entschlsselung von S/MIME-E-Mails nden Sie am Ende dieses Kapitels auf Seite 71. Abschnitt 8.1 haben Sie Ihr ffentliches OpenPGP-Zertikat an Adele geschickt. Mit Hilfe dieses Zertikats verschlsselt Adele nun eine E-Mail und sendet die Nachricht an Sie zurck. Nach kurzer Zeit sollten Sie Adeles Antwort erhalten.
68
Das Gpg4win-Kompendium 3.0.0 Kapitel 9. E-Mails entschlsseln, mit bung fr OpenPGP Nachricht mit MS Outlook und GpgOL entschlsseln Fr die meisten E-Mail-Programme gibt es spezielle Programmerweiterungen (engl. plugins), mit denen die Ver- und Entschlsselung direkt im jeweiligen E-Mail-Programm erledigt werden kann. GpgOL ist eine solche Programmerweiterung fr MS Outlook, das in diesem Abschnitt benutzt wird, um die E-Mail von Adele zu entschlsseln. Hinweise zu weiteren Software-Lsungen nden Sie im Anhang B. Sie knnen diesen Abschnitt jetzt lesen oder spter, wenn Sie diese Funktion bentigen. Starten Sie MS Outlook und ffnen Sie die Antwort-E-Mail von Adele. Kleopatra haben Sie bisher nur als Zertikatsverwaltung kennengelernt. Das Programm leistet aber weitaus mehr: Es kann die eigentliche Verschlsselungs-Software GnuPG steuern und damit nicht nur Ihre Zertikate verwalten, sondern auch smtliche kryptograschen Aufgaben (eben mit Hilfe von GnuPG) erledigen. Kleopatra sorgt fr die graphische Benutzeroberche, also die Dialoge, die Sie als Benutzer sehen, whrend Sie eine E-Mail ver- oder entschlsseln. Kleopatra bearbeitet also die verschlsselte E-Mail von Adele. Diese E-Mail hat Adele mit Ihrem ffentlichen OpenPGP-Schlssel verschlsselt. Um die Nachricht zu entschlsseln, fragt Kleopatra Sie nun nach Ihrer Passphrase, die Ihren privaten Schlssel schtzt. Geben Sie Ihre Passphrase ein. Die Entschlsselung war erfolgreich, wenn Sie keinen Fehlerdialog bekommen! Sie knnen nun die entschlsselte E-Mail lesen. Einen genauen Ergebnisdialog der Entschlsselung knnen Sie manuell aufrufen, indem Sie im Men der geffneten E-Mail auf ExtrasGpgOL Entschlsseln/Prfen klicken. Doch nun wollen Sie sicher das Ergebnis, die entschlsselte Nachricht, endlich einmal sehen ...
69
Das Gpg4win-Kompendium 3.0.0 Kapitel 9. E-Mails entschlsseln, mit bung fr OpenPGP Die entschlsselte Nachricht Die entschlsselte Antwort von Adele sieht in etwa so aus1 : Hallo Heinrich Heine, hier ist die verschlsselte Antwort auf Ihre E-Mail. Ihr ffentlicher Schlssel mit der Schlssel-ID FE7EEC85C93D94BA und der Bezeichnung Heinrich Heine wurde von mir empfangen. Anbei der ffentliche Schlssel von [email protected], dem freundlichen E-Mail-Roboter. Viele Gre, [email protected] Der Textblock, der darauf folgt, ist das ffentliche Zertikat von Adele. Im nchsten Kapitel werden Sie dieses Zertikat importieren und zu Ihrer Zertikatsverwaltung hinzufgen. Importierte ffentliche Zertikate knnen Sie jederzeit zum Verschlsseln von Nachrichten an Ihren Korrespondenzpartner benutzen oder zum Prfen dessen signierter E-Mails verwenden.
1
Abhngig von der Softwareversion von Adele kann dies auch etwas unterschiedlich aussehen.
70
Das Gpg4win-Kompendium 3.0.0 Kapitel 9. E-Mails entschlsseln, mit bung fr OpenPGP Kurz zusammengefasst 1. Sie haben eine verschlsselte E-Mail mit Ihrem geheimen Schlssel entschlsselt. 2. Ihr Korrespondenzpartner hat sein eigenes ffentliches Zertikat beigelegt, damit Sie ihm verschlsselt antworten knnen. E-Mails entschlsseln mit S/MIME So werden also E-Mails mit dem geheimen OpenPGP-Schlssel entschlsselt wie funktioniert das Ganze mit S/MIME? Die Antwort lautet auch hier: genauso wie bei OpenPGP! Zum Entschlsseln einer S/MIME-verschlsselten E-Mail ffnen Sie die Nachricht in Outlook und geben im Pinentry-Dialog Ihre Passphrase ein. Sie bekommen einen hnlichen Statusdialog wie bei OpenPGP. Nach dem Schlieen dieses Dialogs sehen Sie die entschlsselte S/MIME-E-Mail. Im Unterschied zu OpenPGP-Entschlsselungen mssen Sie bei S/MIME allerdings auf ein paar bungsrunden mit Adele verzichten, denn Adele untersttzt nur OpenPGP.
71
10 ffentliches Zertikat importierenIhr Korrespondenzpartner muss nicht jedes Mal sein ffentliches Zertikat mitschicken, wenn er Ihnen signiert schreibt. Sie bewahren sein ffentliches Zertikat einfach in Ihrer Zertikatsverwaltung auf z.B. Kleopatra. ffentliches Zertikat abspeichern Bevor Sie ein ffentliches Zertikat in Kleopatra importieren, mssen Sie es in einer Datei abspeichern. Abhngig davon, ob Sie das Zertikat als E-Mail-Dateianhang oder als Textblock innerhalb Ihrer E-Mail bekommen haben, gehen Sie wie folgt vor: Liegt das ffentliche Zertikat als Dateianhang bei, speichern Sie es auf Ihrer Festplatte ab genau wie Sie es von Ihrem E-Mail-Programm gewohnt sind. Wurde das ffentliche Zertikat als Textblock innerhalb der E-Mail bermittelt, dann mssen Sie das vollstndige Zertikat markieren: Bei (ffentlichen) OpenPGP-Zertikaten markieren Sie den Bereich von---BEGIN PGP PUBLIC KEY BLOCK---
bis---END PGP PUBLIC KEY BLOCK---
so wie Sie es im Abschnitt 8.1 schon getan haben. Setzen Sie den markierten Abschnitt per Copy & Paste in einen Texteditor ein und speichern Sie das ffentliche Zertikat ab. Als Dateiendung sollten Sie fr OpenPGP-Zertikate .asc oder .gpg und fr X.509-Zertikate .pem oder .der whlen.
72
Das Gpg4win-Kompendium 3.0.0 Kapitel 10. ffentliches Zertikat importieren ffentliches Zertikat in Kleopatra importieren Ob Sie nun das ffentliche Zertikat als E-Mail-Anhang oder als Textblock abgespeichert haben in beiden Fllen importieren Sie es in Ihre Zertikatsverwaltung Kleopatra. Starten Sie dafr Kleopatra, sofern das Programm noch nicht luft. Klicken Sie im Men auf DateiZertikat importieren..., suchen das eben abgespeicherte ffentliche Zertikat aus und importieren es. Sie erhalten einen Informations-Dialog mit dem Ergebnis des Importvorgangs:
Das erfolgreich importierte, ffentliche Zertikat wird nun in Kleopatra angezeigt und zwar unter einem separaten Reiter Importierte Zertikate von :
Dieser Reiter dient zur Kontrolle, weil einer Datei durchaus auch mehr als nur ein Zertikat enthalten kann. Schlieen Sie diesen Reiter ber das Men FensterReiter schlieen (oder ber die Reiter schlieen-Schaltche am rechten Fensterrand). Wechseln Sie auf den Reiter Andere Zertikate. Hier sollten Sie nun das von Ihnen importierte ffentliche Zertikat ebenfalls sehen. Damit haben Sie ein fremdes Zertikat in diesem Beispiel das ffentliche OpenPGP-Zertikat von Adele in Ihre Zertikatsverwaltung importiert. Sie knnen dieses Zertikat nun jederzeit benutzen, um verschlsselte Nachrichten an den Besitzer dieses Zertikats zu senden und dessen Signaturen zu prfen.
73
Das Gpg4win-Kompendium 3.0.0 Kapitel 10. ffentliches Zertikat importieren Sobald Sie E-Mails huger und mit vielen Korrespondenzpartnern verschlsselt austauschen, wollen Sie wahrscheinlich die Zertikate ber weltweit erreichbare Zertikatsserver suchen und importieren wollen. Wie das geht, knnen Sie im Kapitel 16 nachlesen.
Bevor Sie weitermachen, eine ganz wichtige Frage: Woher wissen Sie eigentlich, dass das ffentliche OpenPGP-Zertikat wirklich von Adele stammt? Man kann E-Mails auch unter falschem Namen versenden die Absenderangabe besagt eigentlich gar nichts. Wie knnen Sie also sichergehen, dass ein ffentliches Zertikat auch wirklich seinem Absender gehrt? Diese Kernfrage der Zertikatsprfung wird im nchsten Kapitel 11 erlutert.
74
11 Die ZertikatsprfungWoher wissen Sie eigentlich, dass das fremde Zertikat wirklich vom genannten Absender stammt? Und umgekehrt warum sollte Ihr Korrespondenzpartner glauben, dass das Zertikat, das Sie ihm geschickt haben, auch wirklich von Ihnen stammt? Die Absenderangabe auf einer E-Mail besagt eigentlich gar nichts, genauso wie die Absenderangabe auf einem Briefumschlag. Wenn Ihre Bank z.B. eine E-Mail mit Ihrem Namen und der Anweisung erhlt, Ihr smtliches Guthaben auf ein Nummernkonto auf den Bahamas zu berweisen, wird sie sich hoffentlich weigern E-MailAdresse hin oder her. Eine E-Mail-Adresse besagt berhaupt nichts ber die Identitt des Absenders.
75
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung Der Fingerabdruck Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist die Sache mit der Identitt schnell geregelt: Sie prfen den Fingerabdruck des anderen Zertikats. Jedes Zertikat trgt eine einmalige Kennzeichnung, die es zweifelsfrei identiziert; besser noch als ein Fingerabdruck eines Menschen. Deshalb bezeichnet man diese Kennzeichnung ebenfalls als Fingerabdruck. Wenn Sie sich die Details eines Zertikats in Kleopatra anzeigen lassen, z.B. durch Doppelklick auf das Zertikat, sehen Sie u.a. dessen 40-stelligen Fingerabdruck:
Der Fingerabdruck des oben dargestellten OpenPGP-Zertikats ist also:7EDC0D141A82250847448E91FE7EEC85C93D94BA
Wie gesagt der Fingerabdruck identiziert das Zertikat und seinen Besitzer eindeutig. Rufen Sie Ihren Korrespondenzpartner einfach an und lassen Sie sich von ihm den Fingerabdruck seines Zertikats vorlesen. Wenn die Angaben mit dem Ihnen vorliegenden Zertikat bereinstimmen, haben Sie eindeutig das richtige Zertikat. Natrlich knnen Sie sich auch persnlich mit dem Eigentmer des Zertikats treffen oder auf einem anderen Wege sicherstellen, dass Zertikat und Eigentmer zusammen gehren. Hug ist der Fingerabdruck auch auf Visitenkarten abgedruckt; wenn Sie also eine garantiert authentische Visitenkarte haben, so knnen Sie sich den Anruf ersparen.
76
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung OpenPGP-Zertikat beglaubigen Nachdem Sie sich per Fingerabdruck von der Echtheit des Zertikats berzeugt haben, knnen Sie es beglaubigen allerdings nur in OpenPGP. Bei X.509 knnen Benutzer keine Zertikate beglaubigen das bleibt den Beglaubigungsinstanzen (CAs) vorbehalten. Durch das Beglaubigen eines Zertikats teilen Sie anderen (Gpg4win-)Benutzern mit, dass Sie dieses Zertikat fr echt also autentisch halten: Sie bernehmen so etwas wie die Patenschaft fr dieses Zertikat und erhhen das allgemeine Vertrauen in seine Echtheit. Wie funktioniert das Beglaubigen nun genau? Selektieren Sie in Kleopatra das OpenPGP-Zertikat, das Sie fr echt halten und beglaubigen mchten. Whlen Sie anschlieend im Men: ZertikateZertikat beglaubigen... Im nachfolgenden Dialog besttigen Sie nun noch einmal das zu beglaubigende OpenPGP-Zertikat mit [ Weiter ]:
77
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung Im nchsten Schritt whlen Sie Ihr eigenes OpenPGP-Zertikat aus, mit dem Sie das im letzten Schritt ausgewhlte Zertikat beglaubigen wollen:
Entscheiden Sie hier, ob Sie [ Nur fr mich selbst beglaubigen ] oder [ Fr alle sichtbar beglaubigen ] wollen. Bei letzterer Variante haben Sie die Option, das beglaubigte Zertikat anschlieend auf einen OpenPGP-Zertikatsserver hochzuladen und damit der Welt ein mit Ihrer Beglaubigung versehenes, aktualisiertes Zertikat zur Verfgung zu stellen. Besttigen Sie Ihre Auswahl mit [ Beglaubigen ]. Wie beim Signieren einer E-Mail mssen Sie auch beim Beglaubigen eines Zertikats (mit Ihrem privaten Schlssel) Ihre Passphrase eingeben. Erst nach korrekter Eingabe ist die Beglaubigung abgeschlossen.
78
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung Nach erfolgreicher Beglaubigung erhalten Sie folgendes Fenster:
Wollen Sie die erfolgte Beglaubigung nun einmal prfen? Dann ffnen Sie die Zertikatsdetails des eben beglaubigten Zertikats. Whlen Sie den Reiter Benutzer-Kennungen und Beglaubigungen und klicken Sie auf die Schaltche [ Hole Beglaubigungen ein ]. Sortiert nach den Benutzerkennungen sehen Sie alle Beglaubigungen, die in diesem Zertikat enthalten sind. Hier sollten Sie auch Ihr Zertikat wiedernden, mit dem Sie soeben beglaubigt haben.
79
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung Das Netz des Vertrauens Durch das Beglaubigen von Zertikaten entsteht auch ber den Kreis von Gpg4win-Benutzern und Ihre tglichen Korrespondenz hinaus ein Netz des Vertrauens (Web of Trust, WoT), bei dem Sie nicht mehr zwangslug darauf angewiesen sind, ein OpenPGP-Zertikat direkt auf Echtheit (Autentizitt) zu prfen.
Natrlich steigt das Vertrauen in ein Zertikat, wenn mehrere Leute es beglaubigen. Ihr eigenes OpenPGP-Zertikat wird im Laufe der Zeit die Beglaubigungen vieler anderer GnuPG-Benutzer tragen. Damit knnen immer mehr Menschen darauf vertrauen, dass dieses Zertikat wirklich Ihnen und niemandem sonst gehrt. Wenn man dieses Web of Trust weiterspinnt, entsteht eine exible Beglaubigungs-Infrastruktur. Eine einzige Mglichkeit ist denkbar, mit der man diese Zertikatsprfung aushebeln kann: Jemand schiebt Ihnen ein falsches Zertikat unter. Also einen ffentlichen OpenPGP-Schlssel, der vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde. Wenn ein solches geflschtes Zertikat beglaubigt wird, hat das Netz des Vertrauens natrlich ein Loch. Deshalb ist es so wichtig, sich zu vergewissern, ob ein Zertikat wirklich zu der Person gehrt, der es zu gehren vorgibt, bevor man es beglaubigt. Was aber, wenn eine Bank oder Behrde prfen mchte, ob die Zertikate ihrer Kunden echt sind? Alle anzurufen kann hier sicher nicht die Lsung sein ...
80
Das Gpg4win-Kompendium 3.0.0 Kapitel 11. Die Zertikatsprfung Beglaubigungsinstanzen Hier braucht man eine bergeordnete Instanz, der alle Benutzer vertrauen knnen. Sie prfen ja auch nicht persnlich den Personalausweis eines Unbekannten durch einen Anruf beim Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende Behrde diese berprfung korrekt durchgefhrt und beglaubigt hat. Solche Beglaubigungsinstanzen gibt es auch fr OpenPGP-Zertikate. In Deutschland bietet unter anderem z.B. die Zeitschrift ct schon lange einen solchen Dienst kostenlos an, ebenso wie viele Universitten. Wenn man also ein OpenPGP-Zertikat erhlt, das durch eine solche Beglaubigungsinstanz per Beglaubigung seine Echtheit besttigt, sollte man sich darauf verlassen knnen. Derartige Beglaubigungsinstanzen oder Trust Center sind auch bei anderen Verschlsselungsverfahren wie z.B. S/MIME vorgesehen. Im Gegensatz zum Web of Trust sind sie hierarchisch strukturiert: Es gibt eine Oberste Beglaubigungsinstanz, die weitere Unterinstanzen beglaubigt und ihnen das Recht gibt, Benutzerzertikate zu beglaubigen (vgl. Kapitel 5). Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: Die Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu berechtigte Institution geben, die die Befugnis dazu wiederum von einer bergeordneten Stelle erhalten hat. Technisch ist eine Beglaubigung nichts anderes als eine Signatur eines Zertikates durch den Beglaubigenden. Die hierarchischen Beglaubigungs-Infrastrukturen entsprechen natrlich wesentlich besser den Bedrfnissen staatlicher und behrdlicher Instanzen als das lose, auf gegenseitigem Vertrauen beruhende Web of Trust von GnuPG. Der Kern der Beglaubigung selbst ist allerdings vllig identisch: Gpg4win untersttzt neben dem Web of Trust (OpenPGP) zustzlich auch eine hierarchische Beglaubigungsstruktur (S/MIME). Demnach bietet Gpg4win eine Grundlage, um dem Signaturgesetz der Bundesrepublik Deutschland zu entsprechen. Wenn Sie sich weiter fr dieses Thema interessieren, dann knnen Sie sich z.B. bei folgenden Webadressen ber dieses und viele andere IT-Sicherheits-Themen informieren: www.bsi.de www.bsi-fuer-buerger.de www.gpg4win.de Eine weitere, eher technische Informationsquelle zum Thema der Beglaubigungsinfrastrukturen bietet das GnuPG Handbuch das Sie ebenfalls im Internet nden unter:www.gnupg.org/gph/de/manual
81
12 E-Mails verschlsselnJetzt wird es noch einmal spannend: Sie versenden eine verschlsselte E-Mail. In diesem Beispiel brauchen Sie dazu Outlook (oder ein anderes E-Mail-Programm, das Kryptograe untersttzt), Kleopatra und natrlich ein ffentliches Zertikat Ihres Korrespondenzpartners. Hinweis fr OpenPGP: Zum ben der Verschlsselung mit OpenPGP knnen Sie wieder Adele nutzen; S/MIME wird dagegen, wie Sie wissen, von Adele nicht untersttzt. Ihre zu verschlsselnde E-Mail an [email protected]. Der Inhalt der Nachricht ist beliebig Adele kann nicht wirklich lesen. Hinweis fr S/MIME: Nach der Installation von Gpg4win ist die S/MIME-Funktionalitt in GpgOL bereits aktiviert. Wenn Sie S/MIME (mit GnuPG) ausschalten wollen, um z.B. Outlooks eigene S/MIME-Funktionalitt zu nutzen, mssen Sie in dem folgenden GpgOL-Optionsdialog unter ExtrasOptionenGpgOL die Option S/MIME Untersttzung einschalten deaktivieren:
82
Das Gpg4win-Kompendium 3.0.0 Kapitel 12. E-Mails verschlsseln
83
Das Gpg4win-Kompendium 3.0.0 Kapitel 12. E-Mails verschlsseln
84
Das Gpg4win-Kompendium 3.0.0 Kapitel 12. E-Mails verschlsseln Nachricht verschlsselt versenden Verfassen Sie zunchst in Outlook eine neue E-Mail und adressieren Sie diese an Ihren Korrespondenzpartner. Dann veranlassen Sie, dass Sie Ihre Nachricht verschlsselt versendet wird: Whlen Sie im Men des Nachrichtenfensters den Punkt ExtrasNachricht verschlsseln. Die Schaltche mit dem SchlossIcon in der Symbolleiste ist aktiviert Sie knnen auch direkt auf das Schloss klicken. Ihr Outlook-Nachrichtenfenster sollte nun etwa so aussehen:
Klicken Sie nun auf [ Senden ]. Gpg4win erkennt nun automatisch, fr welches Protokoll OpenPGP oder S/MIME das ffentliche Zertikat Ihres Korrespondenzpartners vorliegt. Sofern die Zertikatsauswahl ein
