|
|
|
|
| 6 Sie publizieren Ihr öffentliches Zertifikat | Inhalt |
Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es beim Ver- und Entschlüsseln stets nur mit dem „ungeheimen“ Zertifikat (das Ihren öffentlichen Schlüssel enthält) zu tun haben. Solange Ihr eigener geheimer Schlüssel und die ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie können und sollen öffentliche Zertifikate von Ihren Korrespondenzpartnern haben - je mehr, desto besser.
Denn:
Um sichere E-Mails austauschen zu können, müssen beide Partner jeweils das öffentliche Zertifikat des anderen besitzen und benutzen. Natürlich braucht der Empfänger auch ein Programm, das mit Zertifikaten umgehen kann, wie z.B. das Softwarepaket Gpg4win mit der Zertifikatsverwaltung Kleopatra.Wenn Sie also an jemanden verschlüsselte E-Mails schicken wollen, müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln benutzen.
Wenn - andersherum - jemand Ihnen verschlüsselte E-Mails schicken will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln benutzen.
Deshalb sollten Sie nun Ihr öffentliches Zertifikat frei zugänglich machen. Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat beispielsweise...
Die ersten beiden Varianten können Sie sich nun auf den folgenden Seiten näher anschauen.
Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner bekannt machen? Schicken Sie ihm doch einfach ihr exportiertes öffentliches Zertifikat per E-Mail. Wie das genau funktioniert, erfahren Sie in diesem Abschnitt.
Adele soll Ihnen dabei behilflich sein. Achtung: Die folgenden Übungen gelten nur für OpenPGP! Anmerkungen zur Publizierung von öffentlichen X.509-Zertifikaten finden Sie auf Seite X.
Adeleist ein sehr netter E-Mail-Roboter, mit dem Sie zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen und netten jungen Dame lieber korrespondiert als mit einem Stück Software (was Adele in Wirklichkeit natürlich ist), können Sie sich Adele so vorgestellen:
Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können, legt Adele ihr eigenes öffentliches Zertifikat bei.
Adele verhält sich also genau wie ein richtiger Korrespondenzpartner. Allerdings sind Adeles E-Mails leider bei weitem nicht so interessant wie die Ihrer echten Korrespondenzpartner. Andererseits können Sie mit Adele so oft üben, wie Sie wollen - was Ihnen ein menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und senden dieses per E-Mail an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
Selektieren Sie in Kleopatra das zu exportierende öffentliche Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der Zertifikate) und klicken Sie dann auf Datei -> Zertifikate exportieren... im Menü. Wählen Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie das öffentliche Zertifikat im Dateityp .asc, ab - z.B.: mein-OpenPGP-Zertifikat.asc. (Die beiden anderen zur Auswahl stehenden Dateitypen, .gpg oder .pgp, speichern Ihr Zertifikat im Binärformat. D.h. es ist, anders als die .asc-Datei, nicht im Texteditor lesbar.)
Wichtig: Achten Sie beim Auswählen des Menüpunktes darauf,dass Sie auch wirklich nur Ihr öffentliches Zertifikat exportieren - und nicht aus Versehen das Zertifikat Ihres kompletten Schlüsselpaars mit Ihrem zugehörigen geheimen Schlüssel.
Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren Windows Explorer und wählen denselben Ordern aus, den Sie beim Exportieren angegeben haben.
Öffnen Sie die exportierte Zertifikats-Datei mit einemTexteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht - ein ziemlich wirrer Text- und Zahlenblock:
Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn Sie - z.B. bei manchen E-Mail-Services im Web - keine Dateien anhängen können. Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu Gesicht und wissen, was sich dahinter verbirgt und woraus das Zertifikat eigentlich besteht.
Markieren Sie nun im Texteditor das gesamte öffentlicheZertifikat von
-----BEGIN PGP PUBLIC KEY BLOCK----------END PGP PUBLIC KEY BLOCK-----
und kopieren Sie es mit dem Menübefehl oder mit dem Tastaturkürzel Strg+C. Damit haben Sie das Zertifikat in den Speicher Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
Nun starten Sie Ihr E-Mail-Programm - es spielt keine Rolle, welches Sie benutzen - und fügen Ihr öffentliches Zertifikat in eine leere E-Mail ein. Der Tastaturbefehl zum Einfügen („Paste“) lautet bei Windows Strg+V. Es ist sinnvoll vorher das E-Mail-Programm so zu konfigurieren, dass reine Textnachrichten gesendet werden und keine HTML formatierte Nachrichten (vgl. Abschnitt 10.3 und Anhang 25.4).
Diesen Vorgang - Kopieren und Einfügen - kennen Sie sicher als „Copy & Paste“.
Adressieren Sie nun diese E-Mail anadele@gnupp.de und
schreiben in die Betreffzeile z.B.: Mein öffentliches OpenPGP-Zertifikat.
So etwa sollte Ihre E-Mail nun aussehen:
Nur zur Vorsicht: Natürlich
sollten Ihre E-Mails nicht heinrichh@gpg4win.de oder ein andere
Beispieladresse als Absender haben, sondern Ihre eigene
E-Mail-Adresse. Denn sonst werden Sie nie Antwort von Adele
bekommen...
Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes öffentliches OpenPGP-Zertifikat auch direkt als E-Mail-Dateianhang versenden. Das ist oftmals das einfachere und gebräuchlichere Verfahren. Sie haben oben die „Copy & Paste“-Methode zuerst kennengelernt, weil sie transparenter und leichter nachzuvollziehen ist.
Schreiben Sie Adele nun noch einmal eine neue E-Mail mit der Zertifikatsdatei im Anhang:
Fügen Sie die oben exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
E-Mail hinzu - genauso wie Sie es mit jeder anderen Datei auch
machen (z.B. durch Ziehen der Datei in das leere E-Mail-Fenster).
Ergänzen Sie den Empfänger
(adele@gnupp.de) und einen Betreff, z.B.:
Mein öffentliches OpenPGP-Zertifikat - als Dateianhang.
Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben. Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
Ihre fertige E-Mail sollte dann etwa so aussehen:
Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei direkt in eine E-Mail kopiert und einmal die komplette Datei als E-Mail-Anhang eingefügt. Beide E-Mails haben Sie an einen Korrespondenzpartner (in Ihrem Fall Adele) geschickt.
Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine echte E-Mail-Adresse senden. Sie entscheiden sich dabei natürlich für eine der beiden oben vorgestellten Varianten - in der Regel sollten Sie Ihr öffentliches OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
Sie gelernt haben, wie Sie Ihr öffentliches OpenPGP-Zertifikat per E-Mail veröffentlichen, wird Sie sicher interessieren wie das Gleiche für öffentliche X.509-Zertifikate funktioniert (vgl. auch Kapitel 3).
Die Antwort lautet: Sie können es ganuso wie bei OpenPGP machen. Sie exportieren Ihr öffentliches X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat .pem ab und versenden die Datei als E-Mail-Anhang. Aber im konkreten Fall ist es unnötig. Es genügt, wenn Sie Ihrem Korrespondenzpartner eine signierte S/MIME-E-Mail senden. Ihr öffentliches X.509-Zertifikat ist in dieser Signatur enthalten und kann von dem Empfänger in die Zertifikatsverwaltung importiert werden.
Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie können Adele nicht benutzen! Adele unterstützt nur OpenPGP! Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner aussuchen oder Sie schreiben testweise an sich selber.
Beim Exportieren Ihres öffentlichen X.509-Zertifikats haben Sie die Wahl, ob Sie die ganze öffentliche Zertifikatskette (in der Regel: Wurzelzertifikat - CA-Zertifikat - Ihr Zertifikat) oder nur Ihr öffentliches Zertifikat in eine Datei abspeichern wollen. Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette die er sonst zusammensuchen müsste. Klicken Sie dazu in Kleopatra alle Kettenkomponenten mit gedrückter Shift-Taste an und exportieren Sie diese markierten Komponenten nach oben beschriebener Regel.
Hatte Ihr Korrespondenzpartner das Wurzelzertifkat noch nicht, so muss er diesem Wurzelzertifikat das Vertrauen aussprechen bzw. durch einen Administrator ausprechen lassen um letztlich auch Ihnen zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zur selben „Wurzel„ gehören, selbst bei unterschiedlichen Zertifizierungstellen), dann besteht das Vertrauen unmittelbar mit der Verfügbarkeit der Kette.
Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte E-Mails austauschen. Ihr öffentliches Zertifikat ist dann für jedermann zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich dadurch die Versendung Ihres Zertifikats per E-Mail an jeden Ihrer Korrespondenzpartner.
VORSICHT: DIE VERöFFENTLICHUNG IHRER E-MAIL-ADRESSE AUF EINEM ZERTIFIKATSSERVER BIRGT LEIDER DAS RISIKO, DASS IHNEN AUCH UNGEBETENE PERSONEN E-MAILS SCHREIBEN KöNNEN UND DIE SPAM-MENGE FüR IHRE E-MAIL-ADRESSE DADURCH ZUNEHMEN KANN. SIE SOLLTEN DAHER IM ZWEITEN FALL EINEN AUSREICHENDEN SPAM-SCHUTZ NUTZEN. FALLS SIE KEINEN WIRKSAMEN SPAMFILTER BENUTZEN, SOLLTEN SIE U.U. VON DER VERöFFENTLICHUNG IHRES öFFENTLICHEN ZERTIFIKATS AUF EINEM ZERTIFIKATSSERVER ABSEHEN.
OpenPGP-Zertifikat in Kleopatra aus und klicken im Menü auf Datei -> Zertifikate nach Server exportieren....
Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie eine Warnmeldung:
Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat bitte nicht ab, indem Sie im obigen Dialog auf [Abbrechen] klicken. Er ist wertlos und kann nicht mehr vom Zertifikatsserver entfernt werden. Sie glauben nicht, wieviele Testkeys mit Namen wie „Julius Caesar“, „Helmut Kohl“ oder „Bill Clinton“ dort schon seit Jahren herumliegen...
Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einen OpenPGP-Zertifikatsserver im Internet publizieren.
Wie Sie das öffentliche OpenPGP-Zertifikat eines Korrespondenzpartners auf Zertifikatsservern suchen und importieren, erfahren Sie im Kapitel 15. Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.Fällen durch die Zertifizierungsstelle. Das passiert typischerweise über X.509-Zertifikatsserver, die per LDAP erreichbar sind. Im Unterschied zu den OpenPGP-Zertifikatsservern synchronisieren sich die X.509-Zertifikatsserver jedoch nicht weltweit untereinander.
|
|
|
|
| 6 Sie publizieren Ihr öffentliches Zertifikat | Inhalt |