next up previous contents index
Next: 15. Spezielle Befehle Up: 2. KommandozeilenversionenPGP 2.6.x, 5.x, GnuPG Previous: 13. PGP bedienen

  14. Konfigurierbare Parameter: config.txt/pgp.cfg/options

    Die Datei config.txt (PGP 2.6x) bzw. pgp.cfg (PGP 5.0) enthält eine Reihe von Parametern, mit denen PGP den individuellen Bedürfnissen angepaßt werden kann. Die config.txt steht im PGP-Verzeichnis. Das Analogon für GnuPG ist die Datei options im GnuPG-Verzeichnis. In dieser Datei stehen Optionen, eventuell gefolgt von Parametern, die auch (mit zwei Strichen vorangestellt) auf der Kommandozeile stehen können. Im Folgenden finden Sie daher bei den Angaben der Einträge der config.txt die entsprechenden Kommandozeilenparameter für GnuPG.

GnuPG kennt einige weitere Optionen, die aber recht speziell sind und hier nicht besprochen werden. Sie finden sie aber alle via

man gpg

Ebenso hat PGP 5.0 einige Einstellungsmöglichkeiten, auf die wir in diesem Kapitel nicht näher eingehen:

Die US-englischen Erläuterungen bekommen Sie (auf Unix-Systemen) mit dem folgenden Befehl angezeigt:
man pgp.cfg

In config.txt kann beispielsweise eingestellt werden, in welchem Verzeichnis PGP temporäre Dateien speichert, in welcher Sprache PGP seine Meldungen ausgibt, oder wie skeptisch sich PGP bei der Prüfung von Unterschriften unter öffentlichen Schlüsseln verhält. Die einzelnen Konfigurationsparameter können je nach Typ als Wert ganze Zahlen, Zeichenketten (also Text), oder "on/off" haben. Eine Beispielkonfiguration, an der man sich bei der individuellen Einstellung orientieren kann, ist PGP beigelegt.

Leere Zeilen werden in config.txt ignoriert, ebenso alles, was in einer Zeile rechts von einem #, der Kommentarmarkierung, steht. Bei den Parameternamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

Beachten Sie, daß in der Beispielkonfiguration die Zeilen für die Einstellung mancher Parameter ebenfalls mit einem # beginnen. Für die Aktivierung dieser Parametereinstellungen muß das # am Zeilenanfang gelöscht werden. Die Verwendung eines # ist auch sinnvoll, um mehrere Parametereinstellungen auszuprobieren, ohne die Texte der einzelnen Einstellungen zu löschen.

Beispiel:

# Die folgende Einstellung ist besser, wenn Texte
# zu ver- oder entschlüsseln sind, die
# unter Windows bearbeitet wurden:
# charset = latin1
# Für MS-DOS ist das folgende besser:
charset = cp850

Hier wertet PGP nur die Zeile charset = cp850 aus; die auskommentierte Zeile charset = latin1 wird ignoriert. Die obere Einstellung kann durch einfaches Umstellen des # aktiviert werden.

Ein Ausschnitt aus einer typischen Konfigurationsdatei:

# TMP is the directory for PGP scratch files,
# such as a RAM disk.
# Can be overridden by environment variable TMP.
TMP = "e:\temp\"
# Use -a flag
# for ASCII armor whenever applicable.
Armor = on
# CERT_DEPTH is how deeply
# introducers may introduce introducers.
cert_depth = 3

Wenn bestimmte Parameter nicht in config.txt definiert sind oder wenn diese Datei nicht existiert bzw. PGP die Datei nicht findet, setzt es automatisch sinnvolle Standardwerte ein.

Die Parameter aus config.txt können auch in der Kommandozeile angegeben werden; bei PGP 2.6.x muß hierfür ein + vorangestellt werden, PGP 5.0 erwartet -. Dadurch ist es möglich, im Einzelfall mit anderen Parametern zu arbeiten, ohne daß config.txt extra hierfür geändert werden muß. Die beiden Kommandos im nachfolgenden Beispiel liefern dasselbe Ergebnis:
\begin{command}2.6.x: pgp -e +armor=on brief.txt mueller
2.6.x: pgp -ea brief.txt mueller
\end{command}

TMP - Name des Verzeichnisses für temporäre Dateien

Standardeinstellung: ""

TMP gibt an, welches Verzeichnis PGP für temporäre Dateien verwendet. Ein sinnvoller Platz für temporäre Dateien ist - falls vorhanden - eine RAM-Disk (also ein virtuelles Laufwerk im Hauptspeicher Ihres Rechners). Bei Verwendung einer RAM-Disk wird PGP etwas schneller, zudem wird die Sicherheit ein wenig gesteigert. Wenn TMP nicht definiert ist, werden temporäre Dateien im aktuellen Verzeichnis gespeichert. Falls eine Umgebungsvariable TMP definiert ist, verwendet PGP deren Wert als Namen des Verzeichnisses für temporäre Dateien. GnuPG verwendet keine temporären Dateien.

LANGUAGE - Auswahl der Sprache für Textmeldungen von PGP

Standardeinstellung: en

  (GnuPG wertet die Umgebungsvariable LANG aus.) PGP gibt eine Reihe von Anfragen, Warnungen und Erläuterungen am Bildschirm aus. Normalerweise erscheinen diese Texte auf US-englisch. PGP kann so angepaßt werden, daß es diese Meldungen in anderen Sprachen ausgibt, ohne daß die Datei mit dem ausführbaren Programm geändert werden muß.

Eine Reihe von Menschen aus verschiedenen Ländern haben die Meldungen von PGP in ihre Muttersprache übersetzt. Diese übersetzten Texte stehen in einer speziellen Datei namens language.txt bzw. language50.txt, die im PGP-Programmpaket enthalten ist. Die Datei language.txt kann die Meldungen in mehreren Sprachen enthalten. Zur Zeit existieren neben den originalen englischen Texten Übersetzungen in Deutsch, Esperanto, Französisch, Holländisch, Italienisch, Lettisch, Litauisch, Russisch und Spanisch. Andere Sprachen können problemlos ergänzt werden. Das Format der language.txt ist sehr einfach: In einzelnen Blöcken, die durch Leerzeilen getrennt sind, wird je Zeile eine Übersetzung angegeben. Hierzu steht dort zunächst die US-englische Meldung, die nicht verändert werden darf, da sie fest im Programm eingebaut ist und zum Suchen der Übersetzung verwendet wird, anschließend folgen in einzelnen Zeilen die Übersetzungen. Jede Zeile beginnt mit dem Kürzel für die Sprache, das in LANGUAGE definiert ist. Ein Beispiel:

"\nClear signature file: %s\n"
de: "\nDateiname der Klartext-Unterschrift: %s\n"
es: "\nFichero normal con firma: %s\n"
fr: "\nFichier de signature en clair: %s\n"

"Invalid ASCII armor header line: \"%.40s\"\n\
ASCII armor corrupted.\n"
de: "\nUnzulässige Kopfzeile \"%.40s\"\n\
in der ASCII-Versandhülle. \
Die Versandhülle ist deshalb ungültig.\n"
es: "Línea incorrecta en la cabecera \
de la armadura ASCII:\n\
\"%.40s\"\n\
Armadura dañada\n"
fr: "Entête enveloppe ASCII invalide: \"%.40s\"\n\
l'enveloppe ASCII est corrompue"
Mehrzeilige Textmeldungen können auch verwendet werden, wie das Beispiel zeigt. Stellen, an denen PGP Texte oder Zahlen einsetzt, werden - wie in C üblich - durch %s oder ähnliche Konstrukte markiert. Es ist zu empfehlen, diese bei einer Übersetzung direkt zu übernehmen; falls mehrere vorhanden sind, darf die Reihenfolge nicht geändert werden.

Mit dem Parameter LANGUAGE wird festgelegt, in welcher Sprache die Meldungen angezeigt werden sollen. Für LANGUAGE sind folgende Werte definiert:

en für US-Englisch es für Spanisch
de für Deutsch nl für Holländisch
fr für Französisch it für Italienisch
ru für Russisch lt3 für Litauisch
lv für Lettisch esp für Esperanto.
Bei der Einstellung

LANGUAGE = fr
würden beispielsweise die Texte auf Französisch erscheinen - vorausgesetzt, language.txt enthält französische Texte.

Wenn PGP eine Meldung am Bildschirm anzeigen muß, sucht es in der Datei language.txt nach dem Text in der gewählten Sprache. Falls PGP die Datei nicht findet, oder wenn Texte in der gewählten Sprache in language.txt nicht vorhanden sind, oder wenn eine einzelne Meldung nicht übersetzt ist, wird der englische Text ausgegeben.

Um die Distribution klein zu halten, sind die meisten Übersetzungen nicht im PGP-Paket vorhanden, sondern getrennt erhältlich.

Sollen auch die Hilfetexte von PGP (Kommando pgp -h) in einer anderen Sprache als US-Englisch ausgegeben werden, muß außerdem eine Datei mit dem Suffix .hlp existieren, wobei der Name der Datei für einen der oben genannten Werte steht, also z.B. de.hlp für Deutsch.

GnuPG ist auf die modernere Art "lokalisiert", es wertet die Umgebungsvariable LANG aus und verwendet Textmeldungen, die im Standardpfad für lokalisierte Textmeldungen untergebracht sind. Auf meinem System ist das /usr/share/""locale/""<Sprache> /""LC_MESSAGES/. Bei der Installation werden hier Sprachdateien für Deutsch (de), Brasilianisches Portugiesich (pt_BR), Spanisch (es), Französisch (fr), Italienisch (it), Polnisch (pl) und Russisch (ru) installiert, US-Englisch ist im Programm eingebaut.

MYNAME - Standard-Benutzer-ID für Unterschriften

Standardeinstellung: ""
GnuPG: default-key

Mit MYNAME/default-key kann ausgewählt werden, welchen geheimen Schlüssel PGP automatisch für Unterschriften wählt. Wenn MYNAME nicht definiert ist, wird der neueste geheime Schlüssel verwendet. Wenn die Option -u Benutzer-ID beim Aufruf von PGP angegeben wird, hat diese Auswahl Vorrang vor der Auswahl durch MYNAME.

TEXTMODE - Standardmäßig Text verschlüsseln

Standardeinstellung: off
GnuPG: textmode

Der Parameter TEXTMODE ist äquivalent zu der Kommandozeilen-Option -t. Wenn TEXTMODE=on gewählt wird[*], geht PGP davon aus, daß die zu verschlüsselnden Daten keine Binärdaten, sondern Text sind. In diesem Fall werden die Daten vor der Verschlüsselung in eine kanonische, also systemunabhängige, Form konvertiert. Text in kanonischer Form verwendet als Zeichensatz latin1 (bzw. im neuen Datenformat utf-8) und als Zeilentrennung die Zeichen Wagenrücklauf und Zeilenvorschub. Näheres zur Konvertierung finden Sie im folgenden Abschnitt. PGP schaltet die Konvertierung in kanonische Form automatisch aus, wenn es Daten erkennt, die es für Binärdaten hält.

CHARSET - Der Zeichensatz Ihres Computers

Standardeinstellung: NOCONV
GnuPG: charset

PGP kann die Sonderzeichen vieler Sprachen für die Zeichensätze verschiedener Computer konvertieren. Damit dies korrekt funktioniert, müssen Sie den Parameter CHARSET richtig einstellen. Diese Konvertierung erfolgt nur bei der Verschlüsselung von Textdateien. Falls Sie mit PGP ausschließlich Texte ver- und entschlüsseln, die nur Buchstaben des "normalen Alphabets", also keine Umlaute, Buchstaben mit Akzenten oder anderen diakritischen Zeichen enthalten, ist der Parameter CHARSET für Sie unwichtig. Das dürfte aber kaum der Fall sein, wenn Sie deutschsprachige Texte schreiben oder empfangen - der Zeichensatz reicht nicht einmal für englische Texte aus, beispielsweise das Wort "na"ive" läßt sich damit nicht schreiben. Daher sollten Sie CHARSET korrekt setzen, damit auch Empfänger mit einem anderen Betriebssystem Ihre Nachrichten korrekt lesen können. CHARSET teilt PGP mit, welchen Zeichensatz Ihr Computer verwendet.


 
Tabelle: In PGP 2.6.x definierte Werte für CHARSET
Wert Bedeutung
NOCONV keine Konvertierung
LATIN1 ISO 8859-1 Lateinisches Alphabet 1
KOI8 verwendet auf vielen russischen Unix-Anlagen
ALT_CODES verwendet auf russischen MS-DOS-Computern
ASCII 7-Bit-Zeichensatz ohne Umlaute
CP850 MS-DOS, für Deutsch, Französisch etc.
 

CHARSET kann bei PGP 2.6.x die in Tabelle II-14.1 angegebenen Werte annehmen. PGP 2.6.x verwendet für die interne kanonische Textdarstellung latin1. Wenn also CHARSET=LATIN1 gewählt wird, findet keine Zeichenkonvertierung statt. Zu beachten ist, daß PGP auch KOI8 wie LATIN1 behandelt, obwohl KOI8 für einen völlig anderen Zeichensatz (kyrillisch) steht. Eine Konvertierung von KOI8 in LATIN1 oder CP850 wäre aber sinnlos. Die Einstellungen NOCONV, LATIN1 und KOI8 sind für PGP äquivalent.

Wenn Sie mit MS-DOS arbeiten und Nachrichten verschicken oder erhalten, die in einer westeuropäischen Sprache geschrieben sind, sollten Sie CHARSET=CP850 einstellen. Wenn Sie dann eine Nachricht mit der Option -t oder TEXTMODE=on verschlüsseln, konvertiert PGP Ihren Text vor der Verschlüsselung in den LATIN1-Zeichensatz. Bei der Entschlüsselung wird LATIN1 in CP850 umgewandelt.

Für Windows stellen Sie bitte CHARSET=latin1 ein.

Für GnuPG gilt fast dasselbe, hier sind aber bislang nur die Zeichensätze iso-8859-1 (westeuropäische Sprachen, default, entspricht latin1), iso-8859-2 (osteuropäische Sprachen) und koi8-r definiert, außerdem werden im neuen Datenformat alle Texte in das Unicode-Format utf-8 gebracht, womit ein verlustfreier Transport einer großen Menge von Sprachen (einschließlich aller europäischen Sprachen und eines Großteils der japanischen Standard-Schriftzeichen) möglich ist, ohne daß reiner ASCII-Text irgendwie aufgebläht werden müßte.

ARMOR - ASCII-Darstellung verschlüsselter Dateien

Standardeinstellung: off
GnuPG: armor

Der Parameter ARMOR ist äquivalent zur Kommandozeilenoption -a. Wenn ARMOR=on gewählt wird[*], stellt PGP die verschlüsselten Daten im Radix-64-Format dar. Dieses Format ist für den Versand über manche E-Mail-Kanäle sinnvoll. Die von PGP erzeugten Dateien im Radix-64-Format haben das Suffix .asc.

Es ist vermutlich sinnvoll, ARMOR=on zu wählen. Weiteres hierzu steht im Abschnitt 13.10.

ARMORLINES - maximale Größe von ASCII-dargestellten Dateien

Standardeinstellung: 720

 

Wenn PGP eine sehr große Datei im Radix-64-Format erzeugen soll, teilt es diese Datei in mehrere Dateien auf, die jeweils klein genug sind, um im Internet versandt zu werden.

Der Parameter ARMORLINES gibt an, wieviele Zeilen eine von PGP erzeugte .asc-Datei maximal enthalten darf. Wird ARMORLINES auf 0 gesetzt, kann eine .asc-Datei beliebig groß werden.

Viele Mail-Transport-Programme im Internet lassen keine Nachrichten zu, die mehr als etwa 50000 Byte groß sind. Eine Datei mit 720 Zeilen im Radix-64-Format liegt weit genug unter dieser Grenze, um problemlos versandt werden zu können. Die einzelnen Dateien, die PGP erzeugt, erhalten als Suffix .as1, .as2, .as3 usw.

GnuPG erzeugt immer nur eine einzelne Ausgabedatei, da heutzutage die meisten E-Mail-Programme dazu in der Lage sind, überlange Nachrichten mit Hilfe des MIME-Standards zu zerteilen.

KEEPBINARY - verschlüsselte Binärdatei nach Entschlüsselung nicht löschen

Standardeinstellung: off

Wenn PGP eine .asc-Datei einliest, erkennt es automatisch, daß es eine Datei im Radix-64-Format ist, und konvertiert sie zurück in ihre binäre Form (also eine .pgp Datei), bevor es mit der eigentlichen Entschlüsselung beginnt. Bei der Entschlüsselung erzeugt PGP natürlich auch eine Datei mit dem Klartext.

PGP ermöglicht die Auswahl, ob man die .pgp-Datei behalten möchte, oder ob sie nach der Entschlüsselung gelöscht werden soll. Die .asc-Datei bleibt in jedem Fall erhalten.

Wenn KEEPBINARY=on eingestellt wird, bleibt die .pgp-Datei erhalten; wird KEEPBINARY=off eingestellt, wird die .pgp-Datei nach der Entschlüsselung gelöscht.

Mit GnuPG können Sie die ASCII-Transportverpackung so entfernen:
\begin{command}gpg: gpgm --dearmor datei.asc
\end{command}

COMPRESS - Datenkompression ein- oder ausschalten

Standardeinstellung: on

Mit COMPRESS=on/off kann eingestellt werden, ob PGP den Klartext vor der Verschlüsselung komprimiert. COMPRESS=off ist im wesentlichen für das Debuggen von PGP interessant; in der Regel sollte COMPRESS=on gewählt werden, damit PGP den Klartext vor der Verschlüsselung komprimiert.

Sollten Sie diese Option bei GnuPG wirklich brauchen, können Sie auf der Kommandozeile -z 0 hinzufügen.

COMPLETES_NEEDED - Anzahl der erforderlichen voll vertrauenswürdigen Unterschriften

Standardeinstellung: 1
GnuPG: completes-needed

Mit COMPLETES_NEEDED läßt sich einstellen, wieviele voll vertrauenswürdige Unterschriften PGP unter einem Schlüssel verlangt, um diesen Schlüssel als vollständig bestätigt zu betrachten. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen. Genaueres hierüber finden Sie im Abschnitt 7.3.

MARGINALS_NEEDED - Anzahl der erforderlichen teilweise vertrauenswürdigen Unterschriften

Standardeinstellung: 2
GnuPG: marginals-needed

Mit MARGINALS_NEEDED läßt sich einstellen, wieviele teilweise vertrauenswürdige Unterschriften PGP unter einem Schlüssel verlangt, damit dieser Schlüssel als vollständig bestätigt betrachtet wird. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen. Genaueres hierüber finden Sie im Abschnitt 7.3. Der Standardwert bei GnuPG ist 3.

CERT_DEPTH - Schachtelungstiefe von Unterschriften

Standardeinstellung: 4
GnuPG: max-cert-depth

CERT_DEPTH gibt an, bis zu welcher Tiefe PGP Unterschriften unter öffentliche Schlüssel prüft, d.h. wie "indirekt" die Bestätigung der Echtheit eines Schlüssels sein darf. Wenn Sie beispielsweise CERT_DEPTH=1 wählen, erkennt PGP nur solche Schlüssel als voll bestätigt an, die von einer Person unterschrieben sind, deren öffentlichen Schlüssel Sie persönlich mit Ihrem geheimen Schlüssel unterschrieben haben. Setzen Sie CERT_DEPTH=0, erkennt PGP nur die Unterschriften als voll vertrauenswürdig, die Sie selbst geleistet haben. Wenn Sie CERT_DEPTH=2 setzen, ist für PGP auch der Schlüssel von Carol voll bestätigt, wenn Carols Schlüssel von Bob, Bobs Schlüssel von Alice, und Alices Schlüssel von Ihnen selbst unterschrieben ist und Sie Alices und Bobs Schlüssel als vertrauenswürdig erklärt haben.

Der Standardwert für GnuPG beträgt 5, der kleinste zulässige Wert für CERT_DEPTH ist 0, der größte 8. Genaueres hierüber finden Sie im Abschnitt 7.3.

BAKRING - Dateiname der Sicherheitskopie des Bundes mit geheimen Schlüsseln

Standardeinstellung: ""

 

Die Prüfung der Echtheit eines öffentlichen Schlüssels durch Unterschriften basiert letztlich auf der Echtheit Ihres eigenen Schlüssels, den PGP als absolut vertrauenswürdig ansieht. (Sie können auch mehrere eigene Schlüssel haben, die PGP als voll vertrauenswürdig anerkennt.)

Um mögliche Fälschungen an Ihrem Bund mit öffentlichen Schlüsseln erkennen zu können, muß PGP kontrollieren, ob auch Ihr eigener Schlüssel nicht gefälscht wurde. Hierfür vergleicht PGP Ihren öffentlichen Schlüssel mit einer Sicherheitskopie Ihres geheimen Schlüssels, die auf einem fälschungssicheren Medium, beispielsweise einer schreibgeschützten Diskette, gespeichert ist. Im geheimen Schlüssel sind alle Informationen gespeichert, die Ihr öffentlicher Schlüssel hat (aber nicht die Unterschriften darunter). Dies bedeutet, daß PGP Ihren öffentlichen Schlüssel mit der Sicherheitskopie Ihres geheimen Schlüssels vergleichen kann.

Mit dem Parameter BAKRING können Sie den Pfadnamen festlegen, unter dem PGP die Sicherheitskopie Ihres geheimen Schlüssels sucht. (Beispielsweise können Sie unter MS-DOS/Windows mit einer Einstellung der Art BAKRING=a:\secring.pgp erreichen, daß PGP die Sicherheitskopie auf einer (hoffentlich schreibgeschützten) Diskette sucht. Diese müßten Sie dann bei Bedarf immer einlegen.) Diesen Vergleich mit der Sicherheitskopie führt PGP nur durch, wenn Sie mit pgp -kc Ihren gesamten Bund mit öffentlichen Schlüsseln prüfen (vgl. Abschnitt 15.14). GnuPG bietet leider keine derartige Prüfung.

Wenn BAKRING nicht definiert ist, führt PGP diese Kontrolle Ihres eigenen öffentlichen Schlüssel nicht durch.

PUBRING - Dateiname des Bundes mit öffentlichen Schlüsseln

Standardeinstellung: $PGPPATH/pubring.pgp
GnuPG: keyring

Dies legt den Namen der Datei fest, in der PGP die öffentlichen Schlüssel sucht. $PGPPATH wird von PGP durch die Umgebungsvariable PGPPATH ersetzt. Bei GnuPG lassen sich mit dieser Angabe beliebig viele Schlüsselbunde angeben, der Default-Schlüsselbund läßt sich z.B. so festlegen:

keyring gnupg-ring:~/.gnupg/pubring.gpg
keyring bigring.gpg

SECRING - Dateiname des Bundes mit privaten Schlüsseln

Standardeinstellung: $PGPPATH/secring.pgp
GnuPG: secret-keyring

Analog zu PUBRING legt SECRING den Namen der Datei mit privaten (geheimen) Schlüsseln fest. Für GnuPG gelten die Kommentare aus dem vorangegangenen Abschnitt analog.

RANDSEED - Dateiname der Datei für die Zufallszahlen

Standardeinstellung: $PGPPATH/randseed.bin

Diese Einstellung bezeichnet die Datei, die PGP als "Pool" für die Zufallszahlen dient. Diese Datei wird von PGP nach Generierung der Zufallszahlen verschlüsselt, um einem möglichen Angriff vorzubeugen. Wenn Sie den Zufallszahlen von PGP nicht vertrauen, können Sie die Datei nach jeder Benutzung löschen - dann müssen Sie aber immer mit Tastatureingaben für neue Zufallszahlen sorgen. Näheres finden Sie in Abschnitt 4.3. GnuPG verwendet immer vom Betriebssystem bereitgestellte Zufallszahlen, so daß für diesen Parameter keine Verwendung mehr besteht.

  Achtung: Wenn PGP 5.0 nicht mit einer Quelle wie /dev/random arbeitet, muß die Datei randseed.bin unbedingt an ihrem im Programm eingebrannten Platz (also $PGPPATH/randseed.bin) bleiben - ansonsten verschlüsselt PGP jede Nachricht mit demselben Wegwerf-Schlüssel, was im Endeffekt fast dasselbe ist wie gar keine Verschlüsselung. Das ist natürlich kein beabsichtigtes Feature, sondern ein schwerwiegender Programmfehler.

PAGER - Auswahl eines Programms für die Textanzeige am Bildschirm

Standardeinstellung: ""

 

Wenn Sie beim Entschlüsseln die Option -m angeben, können Sie den entschlüsselten Text am Bildschirm lesen, ohne daß PGP ihn in eine Datei schreibt. Standardmäßig verwendet PGP hierzu eigene Routinen, die ähnlich dem Programm more bei Unix arbeiten.

Falls Sie ein anderes Programm für Textanzeige am Bildschirm bevorzugen, können Sie es unter PAGER eintragen. Unter Unix bietet sich less an, unter MS-DOS können Sie beispielsweise das populäre Programm LIST von Vernon D. Buerg verwenden. In diesem Fall würde der PAGER-Eintrag so lauten:

PAGER = list

Wenn jedoch die Absenderin einer Nachricht die Option -m (Klartext nach Entschlüsseln nicht in eine Datei schreiben) angegeben hat, verwendet PGP in jedem Fall seine eigene Anzeigefunktion, da die meisten "pager" auch eine Funktion zum Editieren oder Speichern eines Textes haben. GnuPG verwendet selbst keinen "pager", so daß die Option keinen Sinn macht.

SHOWPASS - Anzeige des Mantra während der Eingabe

Standardeinstellung: off

Normalerweise zeigt PGP das Mantra während der Eingabe nicht am Bildschirm an. Dadurch wird es für neugierige Augen schwerer, das Mantra mitzulesen. Es gibt aber Menschen, die Schwierigkeiten haben, ihr Mantra korrekt einzutippen, ohne daß sie es am Bildschirm sehen können. So entstand der Wunsch, PGP für die Anzeige des Mantra konfigurierbar zu machen. In der Abgeschiedenheit einer Wohnung ist es nicht allzu problematisch, das Mantra am Bildschirm anzeigen zu lassen. Wird SHOWPASS=on eingestellt, zeigt PGP das Mantra beim Eintippen am Bildschirm an.

TZFIX - Zeitzonenkorrektur

Standardeinstellung: 0

 

    PGP versieht Schlüssel und Unterschriften mit einer Zeitmarke. Hierzu wird intern Coordinated Universal Time (UTC) (oder Greenwich Mean Time (GMT), was für unsere Zwecke dasselbe ist,) verwendet. GMT ist die Zeit in Großbritannien, ohne Sommerzeit.

Die Kurzfassung des Folgenden für Ungeduldige: Wenn beim Aufruf

pgp
eine falsche GMT-Uhrzeit angezeigt wird, versuchen Sie es unter MS-DOS zunächst mit dem Befehl
SET TZ=MET-1DST
pgp
und wenn das noch nicht hilft, setzen Sie TZFIX auf die Abweichung, die die angezeigte Zeit von der echten Zeit hat. PGP kommt leider nur mit Zeitzonen mit ganzzahligen Abweichungen von GMT klar. So sollte das Ergebnis beispielsweise während der Sommerzeit aussehen:

[ccr@nescio pgp_doku]$ date
Tue Sep 28 11:55:52 CEST 1999
[ccr@nescio pgp_doku]$ pgp
...
Aktuelles Datum und Uhrzeit: 1999/09/28 09:56 GMT
...

Ab jetzt folgt die Langversion, die Sie nur bei Einstellungsproblemen brauchen sollten und auch dann nur ein einziges mal:

Wenn PGP das Betriebssystem nach Datum und Zeit fragt, nimmt es an, daß die Zeit als GMT-Zeit zurückgegeben wird. Unter Umständen wird die Zeit aber auf schlecht konfigurierten MS-DOS-Rechnern als US Pacific Standard Time interpretiert und daher die lokale Zeit plus acht Stunden zurückgegeben. Seltsam, nicht wahr? Vielleicht liegt es an einer Art US-Westküsten-Chauvinismus, daß MS-DOS bzw. der Borland Compiler davon ausgeht, die lokale Zeit sei die US Pacific Time, und GMT darauf basierend ausrechnet. Dies wirkt sich nachteilig auf das Verhalten der MS-DOS-internen Funktionen aus, die PGP verwendet.

Wenn jedoch die MS-DOS Umgebungsvariable TZ für Ihre Zeitzone korrekt definiert ist, korrigiert dies auch die irrtümliche Annahme von MS-DOS, die ganze Welt lebe an der Westküste der USA.

TZFIX gibt die Anzahl der Stunden an, die PGP zur "Betriebssystemzeit" addiert, um GMT-Zeitangaben für Unterschriften und Schlüssel zu erhalten. Wenn die Betriebssystemzeit korrekt ist, also bspw. die MS-DOS Umgebungsvariable TZ korrekt definiert ist, kann TZFIX auf dem Standardwert 0 bleiben. Unter Unix ist TZFIX in der Regel auch nicht notwendig. TZFIX kann aber für irgendwelche obskuren Betriebssysteme sinnvoll sein, die nie etwas von GMT gehört haben.

In Los Angeles: SET TZ=PST8PDT In London: SET TZ=GMT0BST
In Denver: SET TZ=MST7MDT In Bielefeld: SET TZ=MET-1DST
In Arizona: SET TZ=MST7 In Moskau: SET TZ=MSK-3MSD
In Chicago: SET TZ=CST6CDT In Auckland: SET TZ=NZT-13
In New York: SET TZ=EST5EDT

Eine wesentlich sauberere Lösung ist die Definition der MS-DOS-Umgebungsvariablen TZ in der autoexec.bat. In diesem Fall liefert MS-DOS die korrekte GMT-Zeit und berücksichtigt auch die Sommerzeit, abhängig von der jeweiligen Zeitzone. (Die Einstellung für Bielefeld Bielefeld
gilt auch für den Rest Deutschlands, für die Schweiz, Österreich, die Niederlande, Frankreich etc.)

Die ersten drei Zeichen des Wertes von TZ müssen Buchstaben sein, danach muß eine ein- oder zweistellige Zahl, ggf. mit einem Minuszeichen davor, stehen. Stehen hinter der Zahl noch Buchstaben, wertet gmtime() dies als Signal, daß es eine Sommerzeit gibt. Welche Buchstaben vor und ggf. hinter der Zahl stehen, wertet gmtime() nicht weiter aus.

Bei der Sommerzeit-Option ist zu beachten, daß gmtime() unter MS-DOS (und evtl. noch weiteren Systemen) als Beginn und Ende der Sommerzeit die in den USA zutreffenden Tage verwendet, die glücklicherweise inzwischen auch in Europa gelten. Wie es in anderen Zeitzonen aussieht, entzieht sich meiner Kenntnis.

CLEARSIG - Nachrichten im Klartext mit ASCII-Unterschrift

Standardeinstellung: on

 

Eine Erklärung hierzu finden Sie weiter vorne in Abschnitt 13.11. Die Option in config.txt wirkt sich nur dann aus, wenn eine Textnachricht nur signiert (also nicht verschlüsselt) wird und das Ergebnis auch (per -a oder ARMOR-Eintrag in config.txt) ASCII-kodiert ausgegeben werden soll. Das kann paradoxerweise dazu führen, daß eine Nachricht, die laut Kommandozeile mit ASCII-Verpackung versandt werden sollte, doch Umlaute enthält, die evtl. auf dem Transportweg beschädigt werden.

VERBOSE - keine, normale oder ausführliche Meldungen

Standardeinstellung: 1
GnuPG: verbose

VERBOSE kann auf 0, 1 oder 2 gesetzt werden, je nachdem, wie detailliert die Meldungen von PGP sein sollen:

0
Meldungen werden nur ausgegeben, wenn es Probleme gibt. Das richtige für Unix-Fans.
1
Die Standardeinstellung. PGP zeigt in sinnvollem Umfang diagnostische Meldungen und Bedienungshinweise.
2
Ausführliche Meldungen. Diese Option ist hauptsächlich für die Fehlersuche gedacht. Normalerweise ist sie nicht sinnvoll.
Die Option verbose für GnuPG erhält kein Argument, sie kann aber zweimal gesetzt werden, um das Äquivalent zu VERBOSE=2 zu erhalten.

INTERACTIVE - Bestätigungsabfrage beim Hinzufügen von öffentlichen Schlüsseln

Standardeinstellung: off

Wenn INTERACTIVE=on gesetzt wird, fragt PGP beim Bearbeiten einer Datei, die mehrere öffentliche Schlüssel enthält, für jeden Schlüssel einzeln nach, ob er aufgenommen werden soll.

NOMANUAL - Erzeugung von Schlüsseln zulassen, ohne daß ein Handbuch auf der Festplatte vorhanden ist

Standardeinstellung: off

 

Es ist wichtig, daß PGP nur zusammen mit den Handbuchdateien, die zum normalen PGP-Distributionspaket gehören, vertrieben wird. Das Handbuch enthält wichtige Informationen zur Bedienung von PGP, sowie wichtige rechtliche Hinweise. Manche Leute haben aber ältere Versionen von PGP ohne das Handbuch vertrieben, was bei den Leuten, die dieses "Vertriebspaket" bekamen, zu einer Reihe von Problemen führte. (Bitte beachten Sie hierzu auch den Abschnitt F.3.) Um die Weitergabe von PGP ohne Dokumentation zu unterbinden, wurde PGP so modifiziert, daß es prüft, ob die Handbuchdateien irgendwo auf dem Computer vorhanden sind (z.B. im PGP-Verzeichnis), bevor es die Erzeugung eines Schlüsselpaares zuläßt.

Manche Menschen verwenden PGP aber auf winzigen Palmtop-Rechnern mit sehr beschränkter Speicherkapazität. Hier kann es sinnvoll sein, die Handbuchdateien von der Festplatte zu löschen. Um diesen Anwenderinnen gerecht zu werden, kann PGP mit Hilfe der NOMANUAL-Option so eingestellt werden, daß es Schlüsselgenerierung auch dann zuläßt, wenn es die Handbuchdateien nicht findet. Dies geschieht mit der NOMANUAL-Option beim Kommando für die Schlüsselerzeugung:
\begin{command}2.6.x: pgp -kg +nomanual
\end{command}
Die NOMANUAL-Option kann nur in der Kommandozeile angegeben werden. Folglich müssen Sie schon das Handbuch lesen, um herauszufinden, wie diese Option funktioniert. Damit steht diese Beschreibung genaugenommen im falschen Abschnitt, aber die Option wird auf der Kommandozeile genauso verwendet wie alle anderen Optionen dieses Kapitels, was ein starkes Argument dafür ist, sie hier einzusortieren. GnuPG und PGP 5.0 haben keine derartigen Einschränkungen, also auch diesen Parameter nicht.

COMMENT - Kommentar für Radix64-codierte Daten

Standardeinstellung: ""
GnuPG: comment

Mit COMMENT läßt sich ein beliebiger Text festlegen, der bei Verwendung von Radix-64 als "Comment:" oder eine entsprechende Übersetzung in die zweite Zeile geschrieben wird (im Klartext)[*].

EncryptToSelf - Eigenen Schlüssel implizit als Empfänger eintragen

Standardeinstellung: off
GnuPG: encrypt-to

 

Mit EncryptToSelf läßt sich PGP so einstellen, daß alle ausgehenden Nachrichten zusätzlich zu den angegebenen Empfängern auch für den eigenen Schlüssel (näheres siehe Abschnitt MYNAME) verschlüsselt werden. GnuPG bietet die Konfigurationsoption encrypt-to, mit der beliebige Schlüssel angegeben werden können, an die jede Nachricht mitverschlüsselt wird.

Bitte beachten Sie, daß diese Option nicht verwendet werden sollte, wenn Sie anonyme Nachrichten versenden möchten, da Sie sonst durch den zusätzlichen in der Nachricht eingetragenen Empfänger Ihre Identität preisgeben. GnuPG bietet hierfür die Option -no-encrypt-to (ohne Parameter aufzurufen), für PGP können Sie +encrypttoself=off auf die Kommandozeile schreiben.

LEGAL_KLUDGE - (nicht) von 2.3a lesbare Dateien erzeugen

Standardeinstellung: on

Mit dieser Option (der Version 2.6.2i) läßt sich PGP dazu bewegen, Dateien zu erzeugen, die von PGP-Versionen <2.6 gelesen werden können. Näheres steht in Anhang B.


next up previous contents index
Next: 15. Spezielle Befehle Up: 2. KommandozeilenversionenPGP 2.6.x, 5.x, GnuPG Previous: 13. PGP bedienen
Christopher Creutzig