|
|
|
|
| 6 Sie veröffentlichen Ihr Zertifikat | Inhalt |
Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es beim Ver- und Entschlüsseln stets nur mit dem „ungeheimen“ Zertifikat (Ihren öffentlichen Schlüssel) zu tun haben. Solange Ihr eigener geheimer Schlüssel und die ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
Jedermann darf und soll Ihr Zertifikat haben, und Sie können und sollen Zertifikate von Ihren Korrespondenzpartnern haben - je mehr, desto besser.
Denn:
Um sichere E-Mails austauschen zu können, müssen beide Partner jeweils das Zertifikat des anderen besitzen und benutzen. Natürlich braucht der Empfänger auch ein Programm, das mit den Zertifikaten umgehen kann, wie zum Beispiel Gpg4win.Wenn Sie also an jemanden verschlüsselte E-Mails schicken wollen, müssen Sie dessen Zertifikat haben und zum Verschlüsseln benutzen.
Wenn - andersherum - jemand Ihnen verschlüsselte E-Mails schicken will, muss er Ihr Zertifikat haben und zum Verschlüsseln benutzen.
Deshalb werden Sie nun Ihr Zertifikat öffentlich zugänglich machen. Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, gibt es verschiedene Möglichkeiten. Verbreiten Sie Ihr Zertifikat beispielsweise ...
Die ersten beiden Varianten werden wir uns auf den folgenden Seiten näher anschauen.
Sie wollen Ihr Zertifikat Ihrem Korrespondenzpartner bekannt machen? Schicken Sie ihm doch einfach ihr exportiertes Zertifikat per E-Mail. Wie das genau funktioniert, erfahren Sie in diesem Abschnitt.
Adele soll uns dabei behilflich sein. Achtung: Die folgenden Übungen gelten nur für OpenPGP! Anmerkungen zur Veröffentlichung von X.509-Zertifikaten finden Sie auf Seite X.
Adeleist ein sehr netter E-Mail-Roboter, mit dem Sie zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen und netten jungen Dame lieber korrespondiert als mit einem Stück Software (was Adele in Wirklichkeit natürlich ist), haben wir sie uns so vorgestellt:
Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können, legt Adele ihren eigenen öffentlichen Schlüssel bei.
Adele verhält sich also genau wie ein richtiger Korrespondenzpartner. Allerdings sind Adeles E-Mails leider bei weitem nicht so interessant wie die Ihrer echten Korrespondenzpartner. Andererseits können Sie mit Adele so oft üben, wie Sie wollen - was Ihnen ein menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
Wir exportieren also nun Ihr OpenPGP-Zertifikat und senden dieses per E-Mail an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
Selektieren Sie in Kleopatra das zu exportierende Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der Zertifikate) und klicken Sie dann auf Datei -> Zertifikate exportieren ... im Menü. Wählen Sie einen geeigneten Ordner auf Ihrem PC aus und speichern Sie das Zertifikat im Dateityp *.asc ab - z.B.: mein-OpenPGP-Zertifikat.asc.
Wichtig: Achten Sie beim Auswählen des Menüpunktes darauf,dass Sie auch wirklich nur Ihr (öffentliches) Zertifikat exportieren - und nicht aus Versehen Ihren zugehörigen geheimen Schlüssel exportieren.
Sehen Sie sich zur Kontrolle diese Datei an. Nutzen Sie dazu Ihren Windows Explorer und wählen denselben Ordern aus, den Sie beim Exportieren angegeben haben.
Öffnen Sie die exportierte Zertifikats-Datei mit einemTexteditor, z.B. mit WordPad. Sie sehen Ihr OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht - ein ziemlich wirrer Text- und Zahlenblock:
Die hier zuerst gezeigte Möglichkeit funktioniert immer, selbst wenn Sie - z.B. bei manchen E-Mail-Services im Web - keine Dateien anhängen können. Zudem bekommen Sie so Ihr Zertifikat zum ersten Mal zu Gesicht und wissen, was sich dahinter verbirgt und woraus der Schlüssel eigentlich besteht.
Markieren Sie nun im Texteditor den gesamten öffentlichenSchlüssel von
-----BEGIN PGP PUBLIC KEY BLOCK----------END PGP PUBLIC KEY BLOCK-----
und kopieren Sie ihn mit dem Menübefehl oder mit dem Tastaturkürzel Strg+C. Damit haben Sie den Schlüssel in den Speicher Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
Nun starten Sie Ihr Mailprogramm - es spielt keine Rolle, welches Sie benutzen - und fügen Ihr Zertifikat in eine leere E-Mail ein. Der Tastaturbefehl zum Einfügen („Paste“) lautet bei Windows Strg+V. Es ist sinnvoll vorher das Mailprogramm so zu konfigurieren, dass reine Textnachrichten gesendet werden und keine HTML formatierte Nachrichten.
Diesen Vorgang - Kopieren und Einfügen - kennen Sie sicher als „Copy & Paste“.
Adressieren Sie nun diese E-Mail anadele@gnupp.de und
schreiben in die Betreffzeile z.B.: Mein OpenPGP-Zertifikat.
So etwa sollte Ihre E-Mail nun aussehen:
Nur zur Vorsicht: Natürlich
sollten Ihre E-Mails nicht heinrichh@gpg4win.de oder ein andere
Beispieladresse als Absender haben, sondern Ihre eigene
E-Mail-Adresse. Denn sonst werden Sie nie Antwort von Adele
bekommen...
Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes OpenPGP-Zertifikat auch direkt als E-Mail-Dateianhang versenden. Das ist oftmals das einfachere und gebräuchlichere Verfahren. Wir haben Ihnen oben die „Copy & Paste“-Methode zuerst vorgestellt, weil sie transparenter und leichter nachzuvollziehen ist.
Schreiben wir Adele nun noch einmal eine neue Mail mit der Zertifikatsdatei im Anhang:
Fügen Sie die exportierte Zertifikatsdatei als Anhang zu Ihrer neuen
E-Mail hinzu - genauso wie Sie es mit jeder anderen Datei auch
machen (z.B. durch Ziehen der Datei in das leere E-Mail-Fenster).
Ergänzen Sie den Empfänger
(adele@gnupp.de) und einen Betreff, z.B.
Mein OpenPGP-Zertifikat - als Dateianhang.
Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben. Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
Ihre fertige E-Mail sollte dann etwa so aussehen:
Sie haben Ihr OpenPGP-Zertifikat in Kleopatra in eine Datei exportiert. Anschließend haben wir einmal den Inhalt der Datei direkt in eine E-Mail kopiert und einmal die komplette Datei als E-Mail-Anhang eingefügt. Beide E-Mails haben wir an einen Korrespondenzpartner (in unserem Fall Adele) geschickt.
Genauso gehen Sie vor, wenn Sie Ihr Zertifikat an eine echte E-Mail-Adresse senden. Sie entscheiden sich dabei natürlich für eine der beiden oben vorgestellten Varianten - in der Regel sollten Sie Ihr OpenPGP-Zertifikat per Dateianhang versenden. Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
Sie gelernt haben, wie Sie Ihr OpenPGP-Zertifikat per E-Mail veröffentlichen, wird Sie sicher interessieren wie das Gleiche für X.509-Zertifikate funktioniert (vgl. auch Kapitel 3).
Die Antwort lautet: Genauso wie bei OpenPGP! Sie exportieren Ihr X.509-Zertifikat in Kleopatra, speichern dieses z.B. im Dateiformat *.pem ab und versenden die Datei als E-Mail-Anhang.
Der einzige Unterschied zum oben beschriebenen OpenPGP-Vorgehen: Sie können Adele nicht benutzen! Adele unterstützt nur OpenPGP! Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner aussuchen oder Sie schreiben testweise an sich selber.
Beim Exportieren Ihres X.509-Zertifikats haben Sie die Wahl, ob Sie die ganze (öffentliche) Zertifikatskette (in der Regel: Wurzel - Zertifizierungsstelle - Ihr Zertifikat) oder nur Ihr Zertifikat in eine Datei abspeichern wollen. Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette die er sonst zusammensuchen müsste. Klicken Sie dazu in Kleopatra alle Kettenelemente mit gedrückter Shift-Taste an und exportieren Sie diese markierten Elemente nach oben beschriebener Regel.
Hatte Ihr Korrespondenzpartner das Wurzel-Zertifkat noch nicht, so muss er dieser Wurzel das Vertrauen aussprechen bzw. durch einen Administrator ausprechen lassen um letztlich auch Ihnen zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zur selben Wurzel gehören, selbst bei unterschiedlichen Zertifizierungstellen), dann besteht das Vertrauen unmittelbar mit der Verfügbarkeit der Kette.
Die Veröffentlichung Ihres OpenPGP-Zertifikats auf einem internationalen Schlüsselserver bietet sich eigentlich immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte E-Mails austauschen. Ihr Zertifikat ist dann für jedermann zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich dadurch die Versendung Ihres Zertifikats per E-Mail an jeden Ihrer Korrespondenzpartner.
VORSICHT: DIE VERöFFENTLICHUNG IHRER E-MAIL-ADRESSE AUF EINEM KEYSERVER BIRGT LEIDER DAS RISIKO, DASS IHNEN AUCH UNGEBETENE PERSONEN E-MAILS SCHREIBEN KöNNEN UND DIE SPAM-MENGE FüR IHRE E-MAIL-ADRESSE DADURCH ZUNEHMEN KANN. SIE SOLLTEN DAHER IM ZWEITEN FALL EINEN AUSREICHENDEN SPAM-SCHUTZ NUTZEN. FALLS SIE KEINEN WIRKSAMEN SPAMFILTER BENUTZEN, SOLLTEN SIE U.U. VON DER VERöFFENTLICHUNG IHRES SCHLüSSELS AUF EINEM KEYSERVER ABSEHEN.
Menü auf Datei -> Zertifikate nach Server exportieren....
Sofern Sie noch keinen Schlüsselserver definiert haben, bekommen Sie eine Warnmeldung:
Wenn Sie den Ablauf im Moment nur testen, dann schicken Sie den Übungsschlüssel bitte nicht ab. Er ist wertlos und kann nicht mehr vom Schlüsselserver entfernt werden. Sie glauben nicht, wieviele Testkeys mit Namen wie „Julius Caesar“, „Helmut Kohl“ oder „Bill Clinton“ dort schon seit Jahren herumliegen...
Sie wissen nun, wie Sie Ihr OpenPGP-Zertifikat auf einem Schlüsselserver im Internet veröffentlichen.
Wie Sie das OpenPGP-Zertifikat eines Korrespondenzpartners auf Schlüsselservern suchen und importieren, beschreiben wir im Kapitel 15. Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.Fällen durch die Zertifizierungsstelle. Das passiert typischerweise über LDAP-Server. Im Unterschied zu den OpenPGP-Schlüsselservern synchronisieren sich die LDAP-Server jedoch nicht weltweit untereinander.
|
|
|
|
| 6 Sie veröffentlichen Ihr Zertifikat | Inhalt |