Sie haben auf einem der Wege, die in den vorangegangenen Abschnitten
beschrieben worden sind, die Verschlüsselung von Daten (entweder aus
der Windows-Zwischenablage oder von Dateien) veranlaßt. PGP zeigt
Ihnen nun ein Fenster an, in dem Sie festlegen können, an wen es die
Daten verschlüsseln soll (Abb. 20.1).
Wenn Sie E-Mails aus einem Programm mit installiertem PGP-Plugin verschicken und die E-Mail-Adresse des Empfängers in den Benutzerkennungen der in Ihrem Schlüsselbund vorhandenen Schlüssel enthalten ist, dann entfällt dieser Schritt, da PGP den benötigten Schlüssel über die E-Mail-Adresse herausfinden kann. Wenn jedoch kein passender Schlüssel vorhanden ist, erscheint auch in diesem Fall das Schlüssel-Auswahl-Fenster. Beim Verschlüsseln von Dateien und Daten der Zwischenablage über PGPtray, die PGP Explorer-Erweiterungen oder PGPtools müssen Sie den Schlüssel immer manuell auswählen.
Die Schlüssel, an die die Daten verschlüsselt werden sollen, wählen Sie aus, indem Sie den jeweiligen Schlüssel in der Anzeigeliste in der oberen Hälfte des Fensters mit der Maus markieren und dann den Schlüssel mit gezogener Maustaste auf das Feld mit der Empfängerliste (Recipient List) ziehen und die Maustaste dort loslassen ("drag & drop"). Sie können auf diese Weise mehrere Schlüssel auswählen, an die verschlüsselt werden soll. Dann kann jede dieser Benutzerinnen die Daten mit ihrem privaten Schlüssel wieder entschlüsseln, solange Sie nicht unterschiedliche Schlüsselarten gemischt haben (siehe die nachfolgenden Absätze).
Zusätzlich zu den Schlüsseln können Sie im Schlüssel-Auswahl-Fenster noch folgende Optionen angeben:
![[*]](/icons/crossref.png){kind=icon}
gesagte. In PGP 5.0i können Sie zwar keine Daten mit dieser Option
verschlüsseln, Sie können derart verschlüsselte Daten aber wieder
entschlüsseln, wenn Ihnen das jeweilige Mantra bekannt ist.
Wenn alle gewünschten Empfänger in der Empfängerliste enthalten sind, können Sie die Verschlüsselung mit einem Klick auf die Schaltfläche OK starten. Falls Sie in der Empfängerliste RSA- und DSS/ElGamal-Schlüssel gemischt haben sollten, zeigt Ihnen PGP eine Meldung an, daß Benutzer von PGP-Versionen vor 5.0 die Daten nicht entschlüsseln können. Da dies leider den Tatsachen entspricht, sollten Sie nur dann verschiedene Schlüsselarten mischen, wenn Sie ganz sicher sind, daß alle Empfängerinnen PGP-Versionen ab 5.0 oder andere OpenPGP-kompatible Programme wie z.B. GnuPG einsetzen. Davon können Sie zur Zeit jedoch nicht ausgehen, es benutzen immer noch sehr viele Leute (teilweise aus guten Gründen) PGP 2.6.xi. Sie sollten also, wenn Sie Daten an Benutzer mit RSA-Schlüsseln und an Benutzerinnen mit DSS/ElGamal-Schlüsseln verschlüsseln möchten, dies in zwei getrennten Verschlüsselungsvorgängen für die beiden Schlüsselarten durchführen, dann gibt es keine Probleme.
Die eigentliche Verschlüsselung ist damit abgeschlossen. Wenn Sie die Funktion für Daten in der Windows-Zwischenablage aufgerufen haben, stehen die verschlüsselten Daten jetzt anstelle der Originaldaten in der Zwischenablage und Sie können Sie in Ihrem Anwendungsprogramm (z.B. E-Mail- oder Textverarbeitungsprogramm) mit den normalen Windows-Funktionen Einfügen bzw. Paste einsetzen.
Falls Sie eine Datei verschlüsselt haben, wird das Ergebnis der Verschlüsselung unter dem Namen der Ursprungsdatei mit angehängtem .pgp im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Aus einer Datei Text.txt wird also die Datei TEXT.TXT.pgp. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.
Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.
Wenn Sie auf einem der in den vorangegangenen Abschnitten
beschriebenen Wege das Unterschreiben einer Datei, der
Zwischenablage oder einer E-Mail veranlaßt haben, erscheint
ein Fenster, in dem Sie festlegen können, mit welchem privaten
Schlüssel die Daten signiert werden sollen (Abb. 20.3).
Wenn Sie mehrere private Schlüssel in Ihrem Schlüsselbund haben, können Sie den für die Signatur gewünschten über das Listenfeld mit der Überschrift Signing Key auswählen. Um die Daten mit dem jeweils gewählten privaten Schlüssel zu signieren, müssen Sie danach im darunterliegenden Feld mit der Überschrift Enter passphrase for the above key das zum ausgewählten Schlüssel passende Mantra eingeben. Wenn die Option Hide Typing in diesem Fenster aktiviert ist (dies ist die Standardeinstellung), dann wird der Text Ihres Mantras nicht auf dem Bildschirm angezeigt, damit niemand das Mantra ablesen kann, der sich in der Nähe befindet.
Scheuen Sie sich nicht, Anwesende darum zu bitten, sich kurz umzudrehen, das ist auch beim Chef oder guten Freunden nicht unhöflich - aufmerksame, höfliche Menschen drehen sich ohnehin von selbst kurz weg, wenn sie bemerken, daß Sie irgendeine Art von Paßwort eingeben.
Wenn Sie eine Datei nur signieren, aber nicht verschlüsseln möchten, stehen Ihnen in diesem Fenster noch die Optionen Textausgabe (Text Output) und Abgetrennte Signaturdatei (Detached Signature File) zur Verfügung.
Die Bedeutung der Option Textausgabe wurde im vorangegangenen Abschnitt 20.1 erläutert.
Die Option Abgetrennte Signaturdatei erzeugt, wenn Sie aktiviert ist, eine von der Ursprungsdatei getrennte Signaturdatei. Die Ursprungsdatei bleibt dabei unverändert, auch eine Binärdatei kann von den Empfängerinnen verwendet werden, selbst wenn diese PGP nicht verwenden. Eine Prüfung der Signatur ist ohne PGP natürlich nicht möglich.
Wird keine abgetrennte Signaturdatei erzeugt, sondern die Signatur in die Ursprungsdatei eingefügt, so können Binärdaten (wie z.B. Bilddaten oder ausführbare Programme) nur von Leuten benutzt werden, die ebenfalls PGP verwenden, denn nur sie sind in der Lage, die Signatur von den eigentlichen Binärdaten zu trennen. Diese Option ist extrem sinnvoll, wenn Sie z.B. selbstgeschriebene Programme allgemein zur Verfügung stellen wollen - vermutlich haben Sie auch schon auf einem ftp-Server Dateien mit der Endung .asc oder .sig gesehen, die zusätzlich zu den eigentlichen Archiven zur Verfügung standen. Mit diesen abgetrennten Unterschriften können Sie sicherstellen, daß das Archiv, welches Sie vom Server geladen haben, tatsächlich vom Programmautoren stammt.
Wenn Sie in einem Arbeitsgang eine Datei sowohl verschlüsseln als auch signieren, stehen Ihnen diese beiden Optionen nicht zur Verfügung. Hier wählen Sie bereits im Verschlüsselungsdialog aus, ob die Ausgabedatei im 7-Bit Format abgespeichert werden soll. Eine abgetrennte Signatur ist in diesem Fall nicht vorgesehen. Dies hat insofern keine Bedeutung, als die verschlüsselte Datei sowieso nur von der Inhaberin des passenden privaten Schlüssels wieder gelesen werden kann. Da diese Person zum Entschlüsseln ohnehin PGP verwenden muß, ist sie automatisch auch in der Lage, die Signatur von den Daten zu trennen. Außerdem wird bei PGP die Unterschrift zusammen mit den Daten verschlüsselt. Mit OK schließen Sie die Signatur der Daten ab, mit der Schaltfläche Cancel brechen Sie ab, ohne eine Signatur zu erzeugen.
Wenn Sie Text signieren, dann läßt PGP die Ursprungsdaten im
Klartext![[*]](/icons/footnote.png){kind=icon}
und hängt daran die
Signatur (im 7-Bit Format für E-Mail-Versand) an. Auf diese Weise
kann die entsprechende Nachricht auch von Personen gelesen werden, die
nicht mit PGP arbeiten, diese können allerdings die Signatur nicht
überprüfen. Wenn Sie Daten in der Zwischenablage verschlüsseln und
signieren, erfolgt die Ausgabe ebenfalls mit der Option Textausgabe -
natürlich ohne lesbaren Klartext.
Wenn Sie eine Datei verschlüsselt und signiert haben, wird das Ergebnis der Verschlüsselung unter dem Namen der Ursprungsdatei (in Großbuchstaben) mit angehängtem .pgp im selben Verzeichnis wie die Ursprungsdatei abgespeichert, genau wie bei Verschlüsselung ohne Signatur. Aus einer Datei Text.txt wird also die Datei TEXT.TXT.pgp. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.
Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.
Falls Sie eine abgetrennte Signaturdatei erzeugt haben, wird diese
unter dem Namen der signierten Datei mit angehängtem
.sig im selben Verzeichnis wie die signierte Datei
abgespeichert. Zu einer Datei Text.txt wird also die
Signaturdatei TEXT.TXT.sig erzeugt. Auch hier gilt das eben
gesagte über das Speichern unter-Fenster.
Sie können sowohl die Signaturdateien als auch die signierten Dateien umbenennen, ohne die Gültigkeit der Signatur zu beeinträchtigen. Allerdings geht dadurch die automatische Zuordnung von Signatur zu signierter Datei verloren, Sie müssen dann bei der Signaturprüfung angeben, zu welcher Datei die Signatur gehört. Wenn Sie Signaturdateien für Benutzer erzeugen möchten, die mit MS-DOS oder Windows 3.x arbeiten, das keine langen Dateinamen beherrscht, sollten Sie das dennoch tun, da sich diese Empfänger sonst mit den doch recht kryptischen MS-DOS-Abkürzungen der langen Dateinamen herumschlagen müssen. Aus Erikas Text.txt.sig wird unter MS-DOS so etwas wie erikas~1.sig. Wenn Sie diesen Empfängern eine automatische Zuordnung vereinfachen wollen, nehmen Sie als Dateinamen erikatxt.txt und erikatxt.sig.
Haben Sie auf einem der oben genannten Wege die Verschlüsselung und gleichzeitige Signierung von Daten (entweder aus der Windows-Zwischenablage oder von Dateien) veranlaßt, startet PGP automatisch nacheinander zuerst den Dialog für die Verschlüsselung und anschließend den Dialog für die Signatur. Bitte lesen Sie hierzu die Abschnitte 20.1 und 20.2. Die Reihenfolge der Dialoge ist technisch gesehen verdreht, da PGP Daten zuerst signiert und anschließend verschlüsselt, so daß nur der vorgesehene Empfänger anhand der Unterschrift erkennen kann, wer die Nachricht versandt hat.
Wenn Sie die Entschlüsselung von Daten aufrufen (siehe hierzu die
Abschnitte 19.2.5,
19.3.4 und 19.1) und die Daten an
einen Schlüssel verschlüsselt worden sind, der sich in Ihrem privaten
Schlüsselbund befindet, so fordert PGP Sie auf, in einem Fenster das
zum jeweiligen privaten Schlüssel passende Mantra einzugeben
(Abb. 20.4). Wie in allen Fenstern von PGP, in denen
Sie das Mantra Ihres privaten Schlüssels eingeben müssen, finden Sie
auch hier die Option, die Anzeige des Mantras auf dem Bildschirm zu
unterdrücken (Standardeinstellung). Im oberen Feld des Fensters
werden Ihnen die Schlüssel angezeigt, an die die Daten verschlüsselt
worden sind. Im unteren Feld des Fensters geben Sie das passende
Mantra ein und bestätigen mit Klick auf die Schaltfläche OK.
Bei PGP 5.0i entfällt die Auflistung der Schlüssel. Wenn Sie unter PGP 5.0i mehrere private Schlüssel benutzen und nicht wissen, an welchen die betreffenden Daten verschlüsselt worden sind, müssen Sie leider ausprobieren, welches Mantra PGP akzeptiert (das heißt, welcher Schlüssel benutzt wurde).
Wenn Daten an mehrere Ihrer privaten Schlüssel verschlüsselt worden sind (beispielsweise an Ihren Privat- und Ihren Firmenschlüssel), so müssen Sie ein Mantra eingeben, das zu einem beliebigen der im oberen Feld aufgelisteten Schlüssel paßt (natürlich nicht zu einem öffentlichen Schlüssel anderer Personen, die ebenfalls aufgelistet werden; aber deren Mantra kennen Sie ja auch nicht). PGP findet automatisch heraus, zu welchem Schlüssel das Mantra gehört und startet den Entschlüsselungsvorgang.
Wenn das Mantra richtig eingegeben wurde, wird die Entschlüsselung abgeschlossen, sonst erscheint eine entsprechende Fehlermeldung. Wenn Sie diese bestätigen, kommen Sie wieder zurück zum Eingabefenster und können das Mantra erneut eingeben.
Wenn sich kein passender privater Schlüssel in Ihrem Schlüsselbund
befindet, so zeigt Ihnen PGP eine entsprechende Meldung an, daß Sie
die Daten nicht entschlüsseln können (Abb. 20.5). In
diesem Fall können Sie diese Meldung nur mit Cancel
bestätigen und damit den Vorgang abbrechen. Wenn die Daten für Sie
bestimmt waren, müssen Sie den Absender bitten, sie noch einmal mit
Ihrem Schlüssel verschlüsselt zu schicken.
Falls Sie eine verschlüsselte Datei entschlüsselt haben, wird das Ergebnis der Entschlüsselung unter dem Namen der Ursprungsdatei im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Die beim Verschlüsseln hinzugefügte Endung .pgp wird dabei wieder entfernt, der ursprüngliche Dateiname wird also wieder hergestellt, wenn die Datei nicht zwischenzeitlich umbenannt worden ist. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei dieses Namens überschreiben können.
Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.
Die Prüfung von Signaturen (Aufruf siehe Abschnitte
19.1,
19.2.5,
19.3.4) nimmt PGP, wenn die Daten mit einem
Schlüssel signiert worden sind, der sich in Ihrem Schlüsselbund
befindet, automatisch vor und zeigt Ihnen das Ergebnis der
Signaturprüfung an.
Wenn es sich um eine abgetrennte Signaturdatei handelt, müssen Sie unter Umständen angeben, auf welche Datei sich die Signatur bezieht. Bei PGP 5.0i ist dies immer der Fall, bei den anderen Versionen nur dann, wenn sich keine Datei mit passendem Namen im Verzeichnis befindet, wo sich auch die Signaturdatei befindet. Wenn sich in diesem Verzeichnis eine Datei befindet, die denselben Namen wie die Signaturdatei hat, jedoch ohne .sig am Ende, nimmt PGP an, daß die Signaturdatei zu dieser Datei gehört. Wenn sich hier keine entsprechende Datei befindet, müssen Sie in dem erscheinenden Dateiauswahl-Fenster die Datei von Hand auswählen, zu der die Signatur gehört.
PGP 5.0i zeigt Ihnen ein Dialogfenster mit dem Ergebnis der Prüfung in
Textform (Abb. 20.6). Wenn die Signatur zu den Daten
paßt, erscheint der Text Good Signature from (gültige
Unterschrift von), gefolgt vom Benutzernamen der Unterschreibenden und
Datum und Uhrzeit der Erzeugung. Wenn die Daten nicht zur Signatur
passen, also nach dem Signieren verändert worden sind, erscheint der
Text Bad Signature from (ungültige Unterschrift von),
gefolgt vom Benutzernamen des Unterschreibenden und Datum und Uhrzeit
der Erzeugung. Falls der öffentliche Teil des Schlüssels, mit dem die
Signatur erzeugt wurde, sich nicht in Ihrem Schlüsselbund befindet,
erscheint die Meldung Could not find a public key
to verify the signature on this message (Konnte keinen
öffentlichen Schlüssel finden, mit dem sich die Unterschrift prüfen
läßt).
Bei PGP 5.5.3i und PGP 6.0i wird das Programm PGPlog
gestartet, wenn Daten eine PGP-Signatur enthalten. In dessen Fenster
(Abb. 20.7) wird das Ergebnis der Signaturprüfung
angezeigt. Ein Bleistiftsymbol vor dem Dateinamen bzw. der
Ursprungsbezeichnung (z.B. Clipboard für die
Windows-Zwischenablage) in Kombination mit Angabe von Datum und
Uhrzeit in der Spalte Signed (Signiert) bedeutet, daß die
Daten zur Signatur passen. Wenn das Bleistiftsymbol durchgestrichen
ist, konnte die Signatur entweder nicht überprüft werden, weil der
dazu nötige Schlüssel nicht in Ihrem Schlüsselbund enthalten ist (dann
steht in der Spalte Signed der Text Signing key not
found), oder die Signatur paßt nicht zu den Daten, weil diese nach
der Erzeugung der Signatur verändert worden sind (dann steht in der
Spalte Signed der Text Bad Signature).
Außer den obenstehenden Informationen über das Ergebnis der Signaturprüfung zeigt Ihnen PGPlog noch den Standard-Benutzernamen und die Gültigkeit des Schlüssels an, mit dem die Signatur erzeugt worden ist. Wenn der Schlüssel nicht in Ihrem Schlüsselbund enthalten ist, erscheint in der Spalte Benutzernamen in Klammern der Text unkown signer (unbekannter Unterzeichner).
Falls Sie die Signatur einer Datei geprüft haben, bei der die Signatur in der Datei enthalten ist (also keine abgetrennte Signatur), dann wird die Signatur aus der Datei bei der Prüfung entfernt und eine Ausgabedatei erzeugt, die die Daten ohne Signatur enthält. Diese Datei wird unter dem Namen der Ursprungsdatei im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Die beim Signieren hinzugefügte Endung .pgp wird dabei wieder entfernt, der ursprüngliche Dateiname wird also wieder hergestellt, wenn die Datei nicht zwischenzeitlich umbenannt worden ist. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.
Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.
Rufen Sie auf einem der oben beschriebenen Wege diese Funktion auf, so startet PGP nacheinander die Dialoge zum Entschlüsseln und - wenn die Entschlüsselung erfolgreich verlaufen ist - zur Unterschriftenprüfung. Näheres zu diesen Dialogen finden Sie in den Abschnitten 20.4 und 20.5.