5 Sie erzeugen Ihr Schlüsselpaar

Inhalt

5 Sie erzeugen Ihr Schlüsselpaar

Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist (Kapitel 24) und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel entsteht (Kapitel 13), möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.

Ein Schlüsselpaar besteht, wie Sie im Kapitel 3 gelernt haben, aus einem öffentlichen und einem geheimen Schlüssel. Ergänzt mit den Metadaten (E-Mail-Adresse, Benutzer-Kennung etc.), die Sie bei der Erstellung Ihres Schlüsselpaars angeben, erhalten Sie Ihr Zertifikat mit dem öffentlichen und geheimen Schlüssel.

Diese Definition gilt sowohl für OpenPGP wie auch für S/MIME (die Zertifikate entsprechen einem Standard mit der Bezeichnung „X.509“).

Genau das können Sie tun - und zwar für OpenPGP:

Sie können den gesamten Ablauf der Schlüsselpaar-Erzeugung, Verschlüsselung und Entschlüsselung durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.

Ihr Vertrauen in Gpg4win wird sich durch diese „Trockenübung“ festigen, und die „heisse Phase“ der OpenPGP-Schlüsselpaar-Erzeugung wird danach kein Problem mehr sein.

Ihr Partner bei diesen Übungen wird Adele sein.

Adele ist ein Testservice, der noch aus dem alten GnuPP-Projekt stammt und ist bis auf weiteres noch in Betrieb. „Das Gpg4win-Kompendium“ verwendet diesen zuverlässigen Übungsroboter und dankt den Inhabern von gnupp.de für den Betrieb von Adele.

Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das Sie gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst machen. Doch dazu später mehr.

Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:

Klicken Sie auf Datei -> Neues Zertifikat.

Im folgenden Dialog entscheiden Sie sich für ein Format, für das anschließend ein Zertifikat erstellt werden soll. Sie haben die Wahl zwischen OpenPGP (PGP/MIME) oder X.509 (S/MIME). Zu den Unterschieden lesen Sie bitte Kapitel 3 auf Seite X.

gliedert sich an dieser Stelle in zwei Abschnitte:

• Abschnitt 5.1: OpenPGP-Schlüsselpaar erstellen und
• Abschnitt 5.2: X.509-Schlüsselpaar erstellen

Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat Sie sich oben entschieden haben.

5.1 OpenPGP-Schlüsselpaar erstellen

Klicken Sie im obigen Auswahldialog auf die Schaltfläche [Persönliches OpenPGP-Schlüsselpaar erzeugen].

Geben Sie im nun folgenden Fenster Ihren Namen und Ihre E-Mail-Adresse an.

Optional können Sie einen Kommentar zum Schlüsselpaar eingeben. Normalerweise bleibt dieses Feld leer; wenn sie aber einen Testschlüssel erzeugen, sollten Sie dort als Erinnerung „test“ eingeben. Dieser Kommentar ist Teil Ihrer User-ID und genau wie der Name und die E-Mail-Adresse später öffentlich sichtbar.

Die erweiterten Einstellungen benötigen Sie nur in Ausnahmefällen. Sie können sich im Kleopatra Handbuch (über Hilfe -> Kleopatra Handbuch) über die Details informieren.

Klicken Sie auf [Weiter].

Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (voreingestellten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer Passphrase!

Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche Passphrase einzugeben:

Sie sollten nun eine geheime, einfach zu merkende und schwer zu knackende Passphrase parat haben und im obigen Dialog eintragen.

Auch an dieser Stelle können Sie ­- wenn Sie wollen ­- zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie Ihre Eingabe jeweils mit [OK].
Nun wird Ihr OpenPGP-Schlüsselpaar angelegt:

Sobald die Schlüsselpaargenerierung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Sie brauchen sich die Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von Kleopatra können Sie sich diese jederzeit später anzeigen lassen.

Als nächstes können Sie eine oder mehrere der folgenden drei Schaltflächen betätigen:

Sicherungskopie Ihres Zertifikats erstellen ...

Geben Sie hier den Pfad an, wohin Ihr vollständiges Zertifikat (das Ihr neues Schlüsselpaar enthält) exportiert werden soll:

Kleopatra wählt automatisch den Dateityp und speichert Ihr Zertifikat als .asc bzw. .gpg Datei ab - abhängig davon, ob Sie die Option ASCII-geschützt (engl. „ASCII armor“) ein- bzw. ausschalten. Klicken Sie anschließend zum Exportieren auf [OK]. Wichtig: Falls Sie die Datei auf der Festplatte abgespeichern, so sollten Sie baldmöglichst diese Datei auf einen anderen Datenträger (USB Stick, Diskette oder CDROM) kopieren und diese Orginaldatei rückstandslos löschen (nicht im Papierkorb belassen). Bewahren Sie diesen Datenträger sicher auf. Sie können eine Sicherungskopie auch jederzeit später anlegen; wählen Sie hierzu aus dem Kleopatra-Hauptmenü: Datei -> Geheimes Zertifiakt exportieren... (vgl. Kapitel 19).

Zertifikat per E-Mail versenden

Nach Drücken dieser Schaltfläche sollte eine neue E-Mail erstellt werden - mit Ihrem neuen öffentlichen Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird selbstversändlich nicht versendet. Geben Sie eine Empfänger-E-Mail-Adresse an und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Sollte kein neues E-Mail-Fenster aufgehen, so beenden Sie den Zertifikatserstellungs-Assistenten, speichern Ihr öffentliches Zertifikat durch Datei -> Zertifikat exportieren und versenden diese Datei per E-Mail an Ihre Korrespondenzpartner (Details im Abschnitt 6.1).

Zertifikate zu Zertifikatsserver senden...

Wie genau Sie einen weltweit verfügbaren OpenPGP-Zertifikatsserver in Kleopatra einrichten und wie Sie anschließend Ihr öffentliches Zertifikat auf diesen Server publizieren, erfahren Sie in Kapitel 15.

[Fertigstellen], um die Erzeugung Ihres OpenPGP-Zertifikats abzuschließen.

Weiter geht's mit dem Abschnitt Schlüsselpaar-Erzeugung abgeschlossen auf Seite X. Von da an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

5.2 X.509-Schlüsselpaar erstellen

Klicken Sie im Zertifikatsformat-Auswahldialog von Seite X auf die Schaltfläche
[Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellen].

Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre E-Mail-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.

Wenn Sie die X.509-Schlüsselpaar-Erzeugung zunächst einmal testen wollen, dann machen Sie beliebige Angaben für Name, Organisation und Ländercode sowie geben irgendeine ausgedachte E-Mail-Adresse ein, z.B. CN=Heinrich Heine, O=Test, C=DE und heinrichh@gpg4win.de.

Klicken Sie auf [Weiter].

Es werden nun noch einmal alle Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (voreingestellten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer Passphrase!

Während der Schlüsselgenerierung werden Sie aufgefordert Ihre Passphrase einzugeben:

Im Kapitel 13, Seite X, erhalten Sie wertvolle Tipps, was Sie bei der Erzeugung einer sicheren Passphrase beachten sollten. Nehmen Sie die Sicherheit Ihrer Passphrase ernst!

Sie sollten nun eine geheime, einfach zu merkende und schwer zu knackende Passphrase parat haben und im obigen Dialog eintragen.

Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz ist oder keine Zahlen / Sonderzeichen enthält), werden Sie darauf hingewiesen.

Auch an dieser Stelle können Sie ­- wenn Sie wollen ­- zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Um sicher zu gehen, dass Sie sich nicht vertippen, müssen Ihre geheime Passphrase zweimal eingeben. Abschließend werden Sie noch ein drittes Mal aufgefordert Ihre Passphrase einzugeben, um Ihre Zertifikatsanfrage mit Ihrem neuen geheimen Schlüssel zu signieren. Bestätigen Sie Ihre Eingaben jeweils mit [OK].
Nun wird Ihr X.509-Schlüsselpaar angelegt:

Sobald die Schlüsselpaargenerierung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Anfrage in Datei speichern...

Geben Sie den genauen Pfad an, wohin Ihre X.509-Zertifizierungs-Anfrage gespeichert werden soll und bestätigen Sie Ihre Eingabe. Kleopatra fügt beim Speichern automatisch die Dateiendung .p10 hinzu. Sie könnne diese Datei dann später auf verschiedene Weise an eine Zertifizierungsstelle geben.

Anfrage per E-Mail versenden

Es wird eine neue E-Mail erstellt - mit der soeben erstellen Zertifizierungs-Anfrage im Anhang. Geben Sie eine Empfänger-E-Mail-Adresse an (in der Regel die Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Sollte kein neues E-Mail-Fenster aufgehen, so speichern Sie Ihre Anfrage zunächst in eine Datei (siehe oben) und versenden diese Datei per E-Mail an Ihre Zertifizierungsstelle. Sobald der Request von der CA bestätigt wurde, erhalten Sie von Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete X.509-Zertifikat Ihres Schlüsselpaars. Dieses müssen Sie dann nur noch in Kleopatra importieren (vgl. Kapitel 19).

Beenden Sie anschließend den Kleopatra-Assistenten mit [Fertigstellen].

Erstellung eines X.509-Schlüsselpaars mit www.cacert.org

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (CA), die kostenlos X.509-Zertifikate ausstellt.

Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können, müssen Sie sich zunächst unter www.cacert.org registrieren.

Anschließend können Sie sich mit Ihrem CAcert-Account ein (oder mehrere) Client-Zertifikat(e) erstellen: Sie sollten dabei auf eine ausreichende Schlüssellänge (z.B. 2048 Bit) achten. In dem startenden Assistenten legen Sie Ihre sichere Passphrase für Ihr Zertifikat fest.

Ihre X.509-Zertifikatsanfrage wird nun erstellt.

Im Anschluß daran erhalten Sie eine E-Mail mit zwei Links zu Ihrem neu erstellten X.509-Zertifikat und dem dazugehörigen CAcert-Root-Zertifikat. Laden Sie sich beide Zertifikate herunter.

Folgen Sie den Anweisungen und installieren Ihr Zertifikat mit Ihrem Browser. Mit Firefox können Sie danach z.B. über Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate Ihr installiertes Zertifikat unter dem ersten Reiter „Ihre Zertifikate“ mit dem Namen (CN) CAcert WoT User finden.

Ihren Namen (im CN-Feld) trägt. Dazu müssen Sie sich mit Ihrem CAcert-Account von anderen Mitglieder bestätigen lassen. Das sogenannte „CACert-Web-of-Trust“ wächst dadurch. Was Sie für so eine Bestätigung tun müssen, erfahren Sie auf den Internetseiten von CAcert.

Speichern Sie abschließend eine Sicherungskopie Ihres X.509-Schlüsselpaars in einem X.509-Zertifikat (.p12 Datei). Achtung: Diese .p12 Datei enthält Ihren öffentlichen und Ihren zugehörigen geheimen Schlüssel. Achten Sie darauf, dass diese Datei nicht in unbefugte Hände gelangt.

Wie Sie Ihr privates X.509-Zertifikat in Kleopatra importieren erfahren Sie in Kapitel 19.

auf der nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

5.3 Schlüsselpaar-Erstellung abgeschlossen

Sie sehen jetzt wieder das Hauptfenster von Kleopatra. Das soeben erzeugte OpenPGP-/X.509-Schlüsselpaar finden Sie in der Zertifikatsverwaltung unter dem Reiter Meine Zertifikate (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):

Ihr Zertifikat ist unbegrenzt gültig, d.h. er hat kein „eingebautes Verfallsdatum“. Um die Gültigkeit nachträglich zu verändern, klicken Sie auf [Ablaufdatum ändern].

5 Sie erzeugen Ihr Schlüsselpaar

Inhalt