5 Sie erzeugen Ihr Schlüsselpaar

5 Sie erzeugen Ihr Schlüsselpaar

Spätestens nachdem Sie gelesen haben, warum GnuPG eigentlich so sicher ist (Kapitel 24) und wie eine gute Passphrase als Schutz für Ihren geheimen Schlüssel entsteht (Kapitel 13), möchten Sie nun Ihr persönliches Schlüsselpaar erzeugen.

Ein Schlüsselpaar besteht, wie wir im Kapitel 3 gelernt haben, aus einem Zertifikat und einem geheimen Schlüssel. Das gilt sowohl für OpenPGP wie auch für S/MIME (die Schlüssel und Zertifikate entsprechen einem Standard mit der Bezeichnung X.509).

Eigentlich müsste man diesen wichtigen Schritt der Schlüsselpaarerzeugung ein paar Mal üben können...

Genau das können Sie tun - und zwar für OpenPGP:

Sie können den gesamten Ablauf der Schlüsselerzeugung, Verschlüsselung und Entschlüsselung durchspielen, so oft Sie wollen, bis Sie ganz sicher sind.

Ihr Vertrauen in Gpg4win wird sich durch diese „Trockenübung“ festigen, und die „heisse Phase“ der OpenPGP-Schlüsselerzeugung wird danach kein Problem mehr sein.

Ihr Partner bei diesen Übungen wird Adele sein.

Adele ist ein Testservice, der noch aus dem alten GnuPP Projekt stammt, bis auf weiteres noch in Betrieb und natürlich auch für Gpg4win verwendet werden kann. Mit Hilfe von Adele können Sie Ihr OpenPGP-Schlüsselpaar, das wir gleich erzeugen werden, ausprobieren und testen, bevor Sie damit Ernst machen. Doch dazu später mehr.

Los geht's!

Rufen Sie das Programm Kleopatra über das Windows-Startmenü auf:

Daraufhin sehen Sie das Hauptfenster von Kleopatra - die Zertifikatsverwaltung:

Zu Beginn ist diese Übersicht leer, da wir noch keine Zertifikate oder Schlüssel erstellt haben. Dies wollen wir jetzt nachholen...

Klicken Sie auf Datei -> Neues Zertifikat.

Im folgenden Dialog entscheiden Sie sich für ein Format, für das anschließend ein Zertifikat erstellt werden soll. Sie haben die Wahl: OpenPGP (PGP/MIME) oder X.509 (S/MIME). Zu den Unterschieden lesen Sie bitte Kapitel 3 auf Seite X.

Die weitere Vorgehensweise zum Erzeugen eines Schlüsselpaars

gliedert sich an dieser Stelle in zwei Abschnitte:

Abschnitt 5.1: OpenPGP-Schlüsselpaar erstellen und
Abschnitt 5.2: X.509-Schlüsselpaar erstellen .

Lesen Sie den entsprechenden Abschnitt weiter, für deren Zertifikatsformat Sie sich oben entschieden haben.

5.1 OpenPGP-Schlüsselpaar erstellen

Klicken Sie im obigen Auswahldialog auf [Create a personal OpenPGP key pair]. Geben Sie im nun folgenden Fenster Ihren Namen und Ihre E-Mail-Adresse an.

Wenn Sie die OpenPGP-Schlüsselpaarerzeugung zunächst einmal testen wollen, dann können Sie einfach einen beliebigen Namen und irgendeine ausgedachte E-Mail-Adresse eingeben, z.B.:
Heinrich Heine und heinrichh@gpg4win.de.

Optional können Sie einen Kommentar zum Schlüssel eingeben. Normalerweise bleibt dieses Feld leer; wenn sie aber einen Testschlüssel erzeugen, sollten Sie dort als Erinnerung „test“ eingeben. Dieser Kommentar ist Teil Ihrer User-ID und genau wie der Name und die E-Mail-Adresse später öffentlich sichtbar.

Die erweiterten Einstellungen benötigen Sie nur in Ausnahmefällen. Sie können sich im Kleopatra Handbuch (über Hilfe -> Kleopatra Handbuch) über die Details informieren.

Es werden nun noch einmal alle wesentlichen Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (voreingestellten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Sofern alles korrekt ist, klicken Sie anschließend auf [Create Key].

Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer Passphrase!

Während der Schlüsselgenerierung werden Sie aufgefordert Ihre persönliche Passphrase einzugeben:

Im Kapitel 13 geben wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer sicheren Passphrase beachten sollten. Nehmen Sie die Sicherheit Ihrer Passphrase ernst!

Sie sollten nun eine geheime, einfach zu merkende und schwer zu knackende Passphrase parat haben und im obigen Dialog eintragen.

Auch an dieser Stelle können Sie - wenn Sie wollen - zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Sie müssen Ihre geheime Passphrase zweimal eingegeben. Bestätigen Sie Ihre Eingabe jeweils mit [OK].
Nun wird Ihr OpenPGP-Schlüsselpaar angelegt:

Dies kann u.U. einige Minuten dauern. Sie können in der Zwischenzeit mit einer anderen Anwendung Ihres Rechner weiterarbeiten und erhöhen hierdurch sogar leicht die Qualität des erzeugten Schlüsselpaars.

Sobald die Schlüsselpaargenerierung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Im Ergebnis-Textfeld wird der 40-stelligen Fingerabdruck Ihres neu generierten OpenPGP-Schlüsselpaars angezeigt. Dieser sogenannte Fingerprint ist weltweit eindeutig, d.h. keine andere Person besitzt einen Schlüssel mit identischem Fingerabdruck. Es ist sogar vielmeher so, dass es schon mit 8 Zeichen ein ausserordentlicher Zufall wäre wenn diese weltweit ein zweites mal vorkämen. Daher werden oft nur die letzten 8 Zeichen des Fingerabdrucks verwendet bzw. angezeigt.

Sie brauchen sich die Zeichenkette nicht zu merken oder abschzureiben. In den Zertifikatsdetails von Kleopatra können Sie sich diese jederzeit später anzeigen lassen.

Als nächstes können Sie eine (oder mehrere) der folgenden drei Möglichkeiten durchführen:

Erstellen Sie eine Sicherungskopie Ihres geheimen(!) OpenPGP-Schlüsselpaares.: Klicken Sie dazu auf die Schaltfläche [Sicherheitskopie Ihres Zertifikats erstellen...] Geben Sie hier den Pfad an, wohin Ihr geheimer Schlüssel exportiert werden soll:

Kleopatra wählt automatischn den Dateityp und speichert Ihr Schlüsselpaar entweder als *.asc bzw. *.gpg Datei ab - abhängig davon. ob Sie die die Option ASCII-Mantel ein- bzw. ausschalten. Klicken Sie anschließend zum Exportieren auf [OK]. Wichtig: Falls Sie die Datei auf der Festplatte abgespeichert haben, so sollten Sie baldmöglichst diese Datei auf einen anderen Datenträger (USB Stick, Diskette oder CDROM) kopieren und diese Orginaldatei löschen. Bewahren Sie diesen Datenträger sicher auf. Sie können eine Sicherungskopie auch jederzeit später anlegen; wählen Sie hierzu aus dem Kleopatra-Hauptmenü: Datei -> Geheimen Schlüssel exportieren... (vgl. Kapitel 19).
Versenden Sie Ihr erstelltes öffentliches(!) Zertifikat per E-Mail.: Klicken Sie auf die Schaltfläche [Zertifikat per E-Mail versenden]. Es sollte dabei eine neue E-Mail erstellt werden - mit Ihrem neuen Zertifikat im Anhang. Ihr geheimer OpenPGP-Schlüssel wird selbstversändlich nicht versendet. Geben Sie eine Empfänger-E-Mail-Adresse an und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Sollte kein neues E-Mail-Fenster aufgehen, so beenden Sie den Zertifikatserstellungsdialog, speichern Ihr öffentliches Zertifikat durch Datei -> Zertifikat exportieren und versenden diese Datei per E-Mail an Ihre Korrespondenzpartner (Details im Abschnitt 6.1).
Speichern Sie Ihren neuen Schlüssel im Verzeichnisdienst.: Klicken Sie auf [Zertifikate zu Verzeichnisdienste senden...] und folgen Sie den Anweisungen. Sie müssen dafür vorher ein Verzeichnisdienst in Kleopatra konfiguriert haben. Wie Sie Ihr OpenPGP-Zertifikat auf einen weltweit verfügbaren Keyserver veröffentlichen, erfahren Sie in Kaptel 15.

Beenden Sie anschließend den Kleopatra-Assistenten mit

[Finish], um die Erstellung Ihres OpenPGP-Schlüsselpaars abzuschließen.

Weiter geht's mit dem Abschnitt Schlüsselpaar-Erstellung abgeschlossen auf Seite X. Von da an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

5.2 X.509-Schlüsselpaar erstellen

Klicken Sie im Zertifikatsformat-Auswahldialog von Seite X auf die Schaltfläche
[Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellen].

Geben Sie im nun folgenden Fenster Ihren Namen (CN), Ihre E-Mail-Adresse (EMAIL), Ihre Organisation (O) und Ihren Ländercode (C) an. Optional können Sie noch Ort (L) und Abteilung (OU) ergänzen.

Wenn Sie die X.509-Schlüsselpaarerzeugung zunächst einmal testen wollen, dann machen Sie beliebige Angaben für Name, Organisation und Ländercode sowie geben irgendeine ausgedachte E-Mail-Adresse ein, z.B. CN=Heinrich Heine, O=Test, C=DE und heinrichh@gpg4win.de.

Die erweiterten Einstellungen benötigen Sie nur in Ausnahmefällen. Sie können Sich im Kleopatra Handbuch (über Hilfe -> Kleopatra Handbuch) über die Details informieren.

Es werden nun noch einmal alle Eingaben und Einstellungen zur Kontrolle aufgelistet. Falls Sie sich für die (voreingestellten) Experten-Einstellungen interessieren, können Sie diese über die Option Alle Details einsehen.

Sofern alles korrekt ist, klicken Sie anschließend auf [Create Key].

Jetzt folgt der wichtigste Teil: Die Eingabe Ihrer Passphrase!

Während der Schlüsselgenerierung werden Sie aufgefordert Ihre Passphrase einzugeben:

Im Kapitel 13, Seite X, geben wir Ihnen einige wertvolle Tipps, was Sie bei der Erzeugung einer sicheren Passphrase beachten sollten. Nehmen Sie die Sicherheit Ihrer Passphrase ernst!

Sie sollten nun eine geheime, einfach zu merkende und schwer zu knackende Passphrase parat haben und im obigen Dialog eintragen.

Falls die Passphrase nicht sicher genug sein sollte (z.B. weil sie zu kurz ist oder keine Zahlen/Sonderzeichen enthält), werden Sie darauf hingewiesen.

Auch an dieser Stelle können Sie - wenn Sie wollen - zunächst eine Test-Passphrase eingeben oder auch gleich „Ernst machen“.

Sie müssen Ihre geheime Passphrase dreimal eingegeben. Bestätigen Sie Ihre Eingabe jeweils mit [OK].
Nun wird Ihr X.509-Schlüsselpaar angelegt:

Sobald die Schlüsselpaargenerierung erfolgreich abgeschlossen ist, erhalten Sie folgenden Dialog:

Als nächstes können Sie eine (oder mehrere) der folgenden drei Möglichkeiten durchführen:

Speichern Sie Ihre Zertifizierungs-Anfrage als Datei.: Klicken Sie dazu auf die Schaltfläche [Anfrage in Datei speichern...] Geben Sie den genauen Pfad an, wohin Ihre X.509 Zertifizierungs-Anfrage gespeichert werden soll und bestätigen Sie Ihre Eingabe. Kleopatra fügt beim Speichern automatisch die Dateiendung *.p10 hinzu. Sie könnne diese Datei dann später auf verschiedene Weise an eine Zertifizierungsstelle geben.
Versenden Sie die Zertifizierungs-Anfrage per E-Mail.: Klicken Sie auf die Schaltfläche [Anfrage per E-Mail versenden]. Es wird eine neue E-Mail erstellt - mit der soeben erstellen Zertifizierungs-Anfrage im Anhang. Geben Sie eine Empfänger-E-Mail-Adresse an (in der Regel die Ihrer zuständigen Zertifizierungsstelle (CA)) und ergänzen Sie ggf. den vorbereiteten Text dieser E-Mail. Beachten Sie: Nicht alle E-Mail-Programme unterstützen diese Funktion. Sollte kein neues E-Mail-Fenster aufgehen, so speichern Sie Ihre Anfrage zunächst in eine Datei (siehe oben) und versenden diese Datei per E-Mail an Ihre Zertifizierungsstelle. Sobald der Request von der CA bestätigt wurde, erhalten Sie von Ihrem zuständigen CA-Systemadministrator das fertige und unterzeichnete X.509-Zertifikat. Dieses müssen Sie dann nur noch in Kleopatra importieren (vgl. Kapitel 19).

Beenden Sie anschließend den Kleopatra-Assistenten mit [Finish].

Erstellung eines X.509-Schlüsselpaars mit www.cacert.org

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (CA), die kostenlos X.509-Zertifikate ausstellt.

Damit Sie sich ein (Client-)Zertifikat bei CAcert erstellen können, müssen Sie sich zunächst unter www.cacert.org registrieren.

Anschließend können Sie sich mit Ihrem CAcert-Account ein (oder mehrere) Client-Zertifikat(e) erstellen: Sie sollten dabei auf eine hohe Schlüsselgröße achten. In dem startenden Assistenten legen Sie Ihre sichere Passphrase für Ihr Zertifikat fest.

Ihre X.509-Zertifikatsanfrage wird nun erstellt.

Im Anschluß daran erhalten Sie eine E-Mail mit zwei Links zu Ihrem neu erstellten X.509-Zertifikat und dem dazugehörigen CAcert-Root-Zertifikat. Laden Sie sich beide Zertifikate herunter.

Folgen Sie den Anweisungen und installieren Ihr Zertifikat mit Ihrem Browser. Mit Firefox können Sie danach z.B. über Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate Ihr installiertes Zertifikat unter dem ersten Reiter „Ihre Zertifikate“ mit dem Namen CAcert WoT User finden.

Wenn Sie sich von anderen Mitglieder des CACert-Web-of-Trust bestätigen lassen, können Sie auch personalisierte Zertifikate mit Ihrem Namen (CN) ausstellen.

Speichern Sie abschließend eine Sicherungskopie Ihres X.509-Zertifikatspaars in einer *.p12 Datei. Achtung: Diese *.p12 Datei enthält Ihr (öffentliches) Zertifikat und Ihren zugehörigen geheimen Schlüssel. Achten Sie darauf, dass diese Datei nicht in unbefugte Hände gelangt.

Wie Sie Ihr X.509-Schlüsselpaar in Kleopatra importieren erfahren Sie in Kapitel 19.

Weiter geht's mit dem Abschnitt Schlüsselpaar-Erstellung abgeschlossen

auf der nächsten Seite. Von nun an sind die Erklärungen für OpenPGP und X.509 wieder identisch.

5.3 Schlüsselpaar-Erstellung abgeschlossen

Damit ist die Erzeugung Ihres OpenPGP- bzw. X.509-Schlüsselpaares abgeschlossen. Sie besitzen nun einen einmaligen und sicheren digitalen Schlüssel.

Sie sehen jetzt wieder das Hauptfenster von Kleopatra. Das soeben erzeugte OpenPGP-/X.509-Schlüsselpaar finden Sie in der Zertifikatsverwaltung unter dem Reiter Meine Zertifikate (hier und im weiteren wird exemplarisch ein OpenPGP-Zertifikat verwendet):

Doppelklicken Sie auf Ihr neues Zertifikat, um alle Zertifikatsdetails nachlesen zu können:

Was bedeuten die einzelnen Zertifikatsdetails?

Ihr Schlüssel ist unbegrenzt gültig d.h., er hat kein „eingebautes Verfallsdatum“. Um die Gültigkeit nachträglich zu verändern, klicken Sie auf [Ablaufdatum ändern].

Ein Schlüssel mit einer Länge von 1024 Bit ist ein sicherer Schlüssel, der trotzdem nicht zuviel Rechenkraft auf Ihrem Computer beansprucht.

Weitere Informationen zu den Zertifikatsdetails finden Sie im Kapitel 14. Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Informationen benötigen.

© 22. Oktober 2008, v3.0.0-beta1 und evtl. seitdem weiter bearbeitet
Das Gpg4win Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.

5 Sie erzeugen Ihr Schlüsselpaar

Inhalt