next up previous contents index
Next: 21. PGP-Grundeinstellungen Up: 3. Windowsversionen Previous: 19. PGP benutzen - Aufrufmöglichkeiten

Unterkapitel


20. PGP benutzen - Aktionen durchführen

  1. Daten verschlüsseln

  Abb. 20.1: Auswahl der Empfänger
  (5.5.3i) Sie haben auf einem der Wege, die in den vorangegangenen Abschnitten beschrieben worden sind, die Verschlüsselung von Daten (entweder aus der Windows-Zwischenablage oder von Dateien) veranlaßt. PGP zeigt Ihnen nun ein Fenster an, in dem Sie festlegen können, an wen es die Daten verschlüsseln soll (Abb. 20.1).

Wenn Sie E-Mails aus einem Programm mit installiertem PGP-Plugin verschicken und die E-Mail-Adresse des Empfängers in den Benutzerkennungen der in Ihrem Schlüsselbund vorhandenen Schlüssel enthalten ist, dann entfällt dieser Schritt, da PGP den benötigten Schlüssel über die E-Mail-Adresse herausfinden kann. Wenn jedoch kein passender Schlüssel vorhanden ist, erscheint auch in diesem Fall das Schlüssel-Auswahl-Fenster. Beim Verschlüsseln von Dateien und Daten der Zwischenablage über PGPtray, die PGP Explorer-Erweiterungen oder PGPtools müssen Sie den Schlüssel immer manuell auswählen.

Die Schlüssel, an die die Daten verschlüsselt werden sollen, wählen Sie aus, indem Sie den jeweiligen Schlüssel in der Anzeigeliste in der oberen Hälfte des Fensters mit der Maus markieren und dann den Schlüssel mit gezogener Maustaste auf das Feld mit der Empfängerliste (Recipient List) ziehen und die Maustaste dort loslassen ("drag & drop"). Sie können auf diese Weise mehrere Schlüssel auswählen, an die verschlüsselt werden soll. Dann kann jede dieser Benutzerinnen die Daten mit ihrem privaten Schlüssel wieder entschlüsseln, solange Sie nicht unterschiedliche Schlüsselarten gemischt haben (siehe die nachfolgenden Absätze).

Zusätzlich zu den Schlüsseln können Sie im Schlüssel-Auswahl-Fenster noch folgende Optionen angeben:

Textausgabe (Text Output)
Wenn Sie eine Datei über PGPtools oder die Explorer-Erweiterungen verschlüsseln, können Sie PGP mit dieser Option dazu bringen, die verschlüsselten Daten im 7-Bit-ASCII-Format auszugeben. Hiermit können Sie ganz sicher sein, daß die verschlüsselte Datei einen Transport per E-Mail unbeschadet übersteht, dafür wächst die Dateigröße der verschlüsselten Datei um etwa 30% an. Bei Verschlüsselung von Daten aus der Zwischenablage oder per Plugin in Ihrem E-Mailprogramm ist diese Option immer aktiviert und kann nicht abgeschaltet werden (bei PGP 6.0i wird Sie dann gar nicht erst angezeigt). Wenn Sie die verschlüsselte Datei per E-Mail verschicken möchten, sollten Sie diese Option aktivieren. Näheres zu diesem Ausgabeformat finden Sie in Abschnitt 13.10.
Original löschen (Wipe Original)
Wenn Sie eine Datei verschlüsseln, können Sie mit dieser Option PGP dazu bringen, das unverschlüsselte Original nach der Verschlüsselung automatisch zu löschen. Gehen Sie mit dieser Option vorsichtig um, um ungewollten Datenverlust zu vermeiden! Bei PGP 5.0i steht diese Funktion nicht zur Verfügung, bei PGP 6.0i wird sie nur angezeigt, wenn eine Datei verschlüsselt wird, nicht beim Verschlüsseln bspw. der Zwischenablage. Abb. 20.2: Konventionelle Verschlüsselung
    (5.5.3i)
  • [Konventionelle Verschlüsselung] (Conventional Encryption)  (nicht bei PGP 5.0i) In den PGP-Versionen ab 5.5.3 können Sie beim Verschlüsseln auch (wie schon bei 2.x) auswählen, daß die Verschlüsselung nicht über das Verfahren mit öffentlichem und geheimen Schlüsselbund erfolgen soll, sondern über ein Mantra, das sowohl die Absenderin als auch der Empfänger kennen müssen, es muß also auf sicherem Wege übertragen werden. Diese Option ist für E-Mail nicht empfehlenswert, da Sie den großen Vorteil der asymmetrischen Verschlüsselung außer Funktion setzt, nämlich daß der Schlüssel selbst nicht auf sicherem Wege übertragen werden muß. Für das Verschlüsseln von Dateien zur Aufbewahrung auf dem eigenen Rechner hingegen ist die Option sehr sinnvoll. Wenn Sie sich für die Aktivierung der Konventionellen Verschlüsselung entscheiden, dann werden die Schlüssellisten mit zur Verfügung stehenden Schlüsseln und Empfängern ausgeblendet. Nach dem Bestätigen mit OK erscheint ein Fenster, in dem Sie das Mantra für die konventionelle Verschlüsselung zweimal eingeben müssen (Abb. 20.2). Zu der Anzeige "passphrase quality" gilt das auf Seite [*] gesagte. In PGP 5.0i können Sie zwar keine Daten mit dieser Option verschlüsseln, Sie können derart verschlüsselte Daten aber wieder entschlüsseln, wenn Ihnen das jeweilige Mantra bekannt ist.
  • Wenn alle gewünschten Empfänger in der Empfängerliste enthalten sind, können Sie die Verschlüsselung mit einem Klick auf die Schaltfläche OK starten. Falls Sie in der Empfängerliste RSA- und DSS/ElGamal-Schlüssel gemischt haben sollten, zeigt Ihnen PGP eine Meldung an, daß Benutzer von PGP-Versionen vor 5.0 die Daten nicht entschlüsseln können. Da dies leider den Tatsachen entspricht, sollten Sie nur dann verschiedene Schlüsselarten mischen, wenn Sie ganz sicher sind, daß alle Empfängerinnen PGP-Versionen ab 5.0 oder andere OpenPGP-kompatible Programme wie z.B. GnuPG einsetzen. Davon können Sie zur Zeit jedoch nicht ausgehen, es benutzen immer noch sehr viele Leute (teilweise aus guten Gründen) PGP 2.6.xi. Sie sollten also, wenn Sie Daten an Benutzer mit RSA-Schlüsseln und an Benutzerinnen mit DSS/ElGamal-Schlüsseln verschlüsseln möchten, dies in zwei getrennten Verschlüsselungsvorgängen für die beiden Schlüsselarten durchführen, dann gibt es keine Probleme.

    Die eigentliche Verschlüsselung ist damit abgeschlossen. Wenn Sie die Funktion für Daten in der Windows-Zwischenablage aufgerufen haben, stehen die verschlüsselten Daten jetzt anstelle der Originaldaten in der Zwischenablage und Sie können Sie in Ihrem Anwendungsprogramm (z.B. E-Mail- oder Textverarbeitungsprogramm) mit den normalen Windows-Funktionen Einfügen bzw. Paste einsetzen.

    Falls Sie eine Datei verschlüsselt haben, wird das Ergebnis der Verschlüsselung unter dem Namen der Ursprungsdatei mit angehängtem .pgp im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Aus einer Datei Text.txt wird also die Datei TEXT.TXT.pgp. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.

    Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.

      2. Daten signieren

      Abb. 20.3: Daten signieren
  (5.5.3i) Wenn Sie auf einem der in den vorangegangenen Abschnitten beschriebenen Wege das Unterschreiben einer Datei, der Zwischenablage oder einer E-Mail veranlaßt haben, erscheint ein Fenster, in dem Sie festlegen können, mit welchem privaten Schlüssel die Daten signiert werden sollen (Abb. 20.3).

    Wenn Sie mehrere private Schlüssel in Ihrem Schlüsselbund haben, können Sie den für die Signatur gewünschten über das Listenfeld mit der Überschrift Signing Key auswählen. Um die Daten mit dem jeweils gewählten privaten Schlüssel zu signieren, müssen Sie danach im darunterliegenden Feld mit der Überschrift Enter passphrase for the above key das zum ausgewählten Schlüssel passende Mantra eingeben. Wenn die Option Hide Typing in diesem Fenster aktiviert ist (dies ist die Standardeinstellung), dann wird der Text Ihres Mantras nicht auf dem Bildschirm angezeigt, damit niemand das Mantra ablesen kann, der sich in der Nähe befindet.

    Scheuen Sie sich nicht, Anwesende darum zu bitten, sich kurz umzudrehen, das ist auch beim Chef oder guten Freunden nicht unhöflich - aufmerksame, höfliche Menschen drehen sich ohnehin von selbst kurz weg, wenn sie bemerken, daß Sie irgendeine Art von Paßwort eingeben.

      Wenn Sie eine Datei nur signieren, aber nicht verschlüsseln möchten, stehen Ihnen in diesem Fenster noch die Optionen Textausgabe (Text Output) und Abgetrennte Signaturdatei (Detached Signature File) zur Verfügung.

    Die Bedeutung der Option Textausgabe wurde im vorangegangenen Abschnitt 20.1 erläutert.

    Die Option Abgetrennte Signaturdatei erzeugt, wenn Sie aktiviert ist, eine von der Ursprungsdatei getrennte Signaturdatei. Die Ursprungsdatei bleibt dabei unverändert, auch eine Binärdatei kann von den Empfängerinnen verwendet werden, selbst wenn diese PGP nicht verwenden. Eine Prüfung der Signatur ist ohne PGP natürlich nicht möglich.

    Wird keine abgetrennte Signaturdatei erzeugt, sondern die Signatur in die Ursprungsdatei eingefügt, so können Binärdaten (wie z.B. Bilddaten oder ausführbare Programme) nur von Leuten benutzt werden, die ebenfalls PGP verwenden, denn nur sie sind in der Lage, die Signatur von den eigentlichen Binärdaten zu trennen. Diese Option ist extrem sinnvoll, wenn Sie z.B. selbstgeschriebene Programme allgemein zur Verfügung stellen wollen - vermutlich haben Sie auch schon auf einem ftp-Server Dateien mit der Endung .asc oder .sig gesehen, die zusätzlich zu den eigentlichen Archiven zur Verfügung standen. Mit diesen abgetrennten Unterschriften können Sie sicherstellen, daß das Archiv, welches Sie vom Server geladen haben, tatsächlich vom Programmautoren stammt.

    Wenn Sie in einem Arbeitsgang eine Datei sowohl verschlüsseln als auch signieren, stehen Ihnen diese beiden Optionen nicht zur Verfügung. Hier wählen Sie bereits im Verschlüsselungsdialog aus, ob die Ausgabedatei im 7-Bit Format abgespeichert werden soll. Eine abgetrennte Signatur ist in diesem Fall nicht vorgesehen. Dies hat insofern keine Bedeutung, als die verschlüsselte Datei sowieso nur von der Inhaberin des passenden privaten Schlüssels wieder gelesen werden kann. Da diese Person zum Entschlüsseln ohnehin PGP verwenden muß, ist sie automatisch auch in der Lage, die Signatur von den Daten zu trennen. Außerdem wird bei PGP die Unterschrift zusammen mit den Daten verschlüsselt. Mit OK schließen Sie die Signatur der Daten ab, mit der Schaltfläche Cancel brechen Sie ab, ohne eine Signatur zu erzeugen.

    Wenn Sie Text signieren, dann läßt PGP die Ursprungsdaten im Klartext[*] und hängt daran die Signatur (im 7-Bit Format für E-Mail-Versand) an. Auf diese Weise kann die entsprechende Nachricht auch von Personen gelesen werden, die nicht mit PGP arbeiten, diese können allerdings die Signatur nicht überprüfen. Wenn Sie Daten in der Zwischenablage verschlüsseln und signieren, erfolgt die Ausgabe ebenfalls mit der Option Textausgabe - natürlich ohne lesbaren Klartext.

    Wenn Sie eine Datei verschlüsselt und signiert haben, wird das Ergebnis der Verschlüsselung unter dem Namen der Ursprungsdatei (in Großbuchstaben) mit angehängtem .pgp im selben Verzeichnis wie die Ursprungsdatei abgespeichert, genau wie bei Verschlüsselung ohne Signatur. Aus einer Datei Text.txt wird also die Datei TEXT.TXT.pgp. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.

    Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.

    Falls Sie eine abgetrennte Signaturdatei erzeugt haben, wird diese unter dem Namen der signierten Datei[*] mit angehängtem .sig im selben Verzeichnis wie die signierte Datei abgespeichert. Zu einer Datei Text.txt wird also die Signaturdatei TEXT.TXT.sig erzeugt. Auch hier gilt das eben gesagte über das Speichern unter-Fenster.

    Sie können sowohl die Signaturdateien als auch die signierten Dateien umbenennen, ohne die Gültigkeit der Signatur zu beeinträchtigen. Allerdings geht dadurch die automatische Zuordnung von Signatur zu signierter Datei verloren, Sie müssen dann bei der Signaturprüfung angeben, zu welcher Datei die Signatur gehört. Wenn Sie Signaturdateien für Benutzer erzeugen möchten, die mit MS-DOS oder Windows 3.x arbeiten, das keine langen Dateinamen beherrscht, sollten Sie das dennoch tun, da sich diese Empfänger sonst mit den doch recht kryptischen MS-DOS-Abkürzungen der langen Dateinamen herumschlagen müssen. Aus Erikas Text.txt.sig wird unter MS-DOS so etwas wie erikas~1.sig. Wenn Sie diesen Empfängern eine automatische Zuordnung vereinfachen wollen, nehmen Sie als Dateinamen erikatxt.txt und erikatxt.sig.

      3. Daten verschlüsseln und signieren

    Haben Sie auf einem der oben genannten Wege die Verschlüsselung und gleichzeitige Signierung von Daten (entweder aus der Windows-Zwischenablage oder von Dateien) veranlaßt, startet PGP automatisch nacheinander zuerst den Dialog für die Verschlüsselung und anschließend den Dialog für die Signatur. Bitte lesen Sie hierzu die Abschnitte 20.1 und 20.2. Die Reihenfolge der Dialoge ist technisch gesehen verdreht, da PGP Daten zuerst signiert und anschließend verschlüsselt, so daß nur der vorgesehene Empfänger anhand der Unterschrift erkennen kann, wer die Nachricht versandt hat.

      4. Verschlüsselte Daten wieder entschlüsseln

      Abb. 20.4: Entschlüsselungsmantra
  eingeben (5.5.3i) Wenn Sie die Entschlüsselung von Daten aufrufen (siehe hierzu die Abschnitte 19.2.5, 19.3.4 und 19.1) und die Daten an einen Schlüssel verschlüsselt worden sind, der sich in Ihrem privaten Schlüsselbund befindet, so fordert PGP Sie auf, in einem Fenster das zum jeweiligen privaten Schlüssel passende Mantra einzugeben (Abb. 20.4). Wie in allen Fenstern von PGP, in denen Sie das Mantra Ihres privaten Schlüssels eingeben müssen, finden Sie auch hier die Option, die Anzeige des Mantras auf dem Bildschirm zu unterdrücken (Standardeinstellung). Im oberen Feld des Fensters werden Ihnen die Schlüssel angezeigt, an die die Daten verschlüsselt worden sind. Im unteren Feld des Fensters geben Sie das passende Mantra ein und bestätigen mit Klick auf die Schaltfläche OK.

    Bei PGP 5.0i entfällt die Auflistung der Schlüssel. Wenn Sie unter PGP 5.0i mehrere private Schlüssel benutzen und nicht wissen, an welchen die betreffenden Daten verschlüsselt worden sind, müssen Sie leider ausprobieren, welches Mantra PGP akzeptiert (das heißt, welcher Schlüssel benutzt wurde).

    Wenn Daten an mehrere Ihrer privaten Schlüssel verschlüsselt worden sind (beispielsweise an Ihren Privat- und Ihren Firmenschlüssel), so müssen Sie ein Mantra eingeben, das zu einem beliebigen der im oberen Feld aufgelisteten Schlüssel paßt (natürlich nicht zu einem öffentlichen Schlüssel anderer Personen, die ebenfalls aufgelistet werden; aber deren Mantra kennen Sie ja auch nicht). PGP findet automatisch heraus, zu welchem Schlüssel das Mantra gehört und startet den Entschlüsselungsvorgang.

    Wenn das Mantra richtig eingegeben wurde, wird die Entschlüsselung abgeschlossen, sonst erscheint eine entsprechende Fehlermeldung. Wenn Sie diese bestätigen, kommen Sie wieder zurück zum Eingabefenster und können das Mantra erneut eingeben.

    Abb. 20.5: Nachricht ist nicht für Sie
  verschlüsselt (5.5.3i) Wenn sich kein passender privater Schlüssel in Ihrem Schlüsselbund befindet, so zeigt Ihnen PGP eine entsprechende Meldung an, daß Sie die Daten nicht entschlüsseln können (Abb. 20.5). In diesem Fall können Sie diese Meldung nur mit Cancel bestätigen und damit den Vorgang abbrechen. Wenn die Daten für Sie bestimmt waren, müssen Sie den Absender bitten, sie noch einmal mit Ihrem Schlüssel verschlüsselt zu schicken.

    Falls Sie eine verschlüsselte Datei entschlüsselt haben, wird das Ergebnis der Entschlüsselung unter dem Namen der Ursprungsdatei im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Die beim Verschlüsseln hinzugefügte Endung .pgp wird dabei wieder entfernt, der ursprüngliche Dateiname wird also wieder hergestellt, wenn die Datei nicht zwischenzeitlich umbenannt worden ist. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei dieses Namens überschreiben können.

    Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.

      5. Signaturen prüfen

    Die Prüfung von Signaturen (Aufruf siehe Abschnitte 19.1,
    19.2.5, 19.3.4) nimmt PGP, wenn die Daten mit einem Schlüssel signiert worden sind, der sich in Ihrem Schlüsselbund befindet, automatisch vor und zeigt Ihnen das Ergebnis der Signaturprüfung an.

    Wenn es sich um eine abgetrennte Signaturdatei handelt, müssen Sie unter Umständen angeben, auf welche Datei sich die Signatur bezieht. Bei PGP 5.0i ist dies immer der Fall, bei den anderen Versionen nur dann, wenn sich keine Datei mit passendem Namen im Verzeichnis befindet, wo sich auch die Signaturdatei befindet. Wenn sich in diesem Verzeichnis eine Datei befindet, die denselben Namen wie die Signaturdatei hat, jedoch ohne .sig am Ende, nimmt PGP an, daß die Signaturdatei zu dieser Datei gehört. Wenn sich hier keine entsprechende Datei befindet, müssen Sie in dem erscheinenden Dateiauswahl-Fenster die Datei von Hand auswählen, zu der die Signatur gehört.

    Abb. 20.6: Signatur ist korrekt (5.0i) PGP 5.0i zeigt Ihnen ein Dialogfenster mit dem Ergebnis der Prüfung in Textform (Abb. 20.6). Wenn die Signatur zu den Daten paßt, erscheint der Text Good Signature from (gültige Unterschrift von), gefolgt vom Benutzernamen der Unterschreibenden und Datum und Uhrzeit der Erzeugung. Wenn die Daten nicht zur Signatur passen, also nach dem Signieren verändert worden sind, erscheint der Text Bad Signature from (ungültige Unterschrift von), gefolgt vom Benutzernamen des Unterschreibenden und Datum und Uhrzeit der Erzeugung. Falls der öffentliche Teil des Schlüssels, mit dem die Signatur erzeugt wurde, sich nicht in Ihrem Schlüsselbund befindet, erscheint die Meldung Could not find a public key to verify the signature on this message (Konnte keinen öffentlichen Schlüssel finden, mit dem sich die Unterschrift prüfen läßt).

    Abb. 20.7: <TT>PGPlog</TT> - Ergebnis der
  Signaturprüfung (5.5.3i) Bei PGP 5.5.3i und PGP 6.0i wird das Programm PGPlog gestartet, wenn Daten eine PGP-Signatur enthalten. In dessen Fenster (Abb. 20.7) wird das Ergebnis der Signaturprüfung angezeigt. Ein Bleistiftsymbol vor dem Dateinamen bzw. der Ursprungsbezeichnung (z.B. Clipboard für die Windows-Zwischenablage) in Kombination mit Angabe von Datum und Uhrzeit in der Spalte Signed (Signiert) bedeutet, daß die Daten zur Signatur passen. Wenn das Bleistiftsymbol durchgestrichen ist, konnte die Signatur entweder nicht überprüft werden, weil der dazu nötige Schlüssel nicht in Ihrem Schlüsselbund enthalten ist (dann steht in der Spalte Signed der Text Signing key not found), oder die Signatur paßt nicht zu den Daten, weil diese nach der Erzeugung der Signatur verändert worden sind (dann steht in der Spalte Signed der Text Bad Signature).

    Außer den obenstehenden Informationen über das Ergebnis der Signaturprüfung zeigt Ihnen PGPlog noch den Standard-Benutzernamen und die Gültigkeit des Schlüssels an, mit dem die Signatur erzeugt worden ist. Wenn der Schlüssel nicht in Ihrem Schlüsselbund enthalten ist, erscheint in der Spalte Benutzernamen in Klammern der Text unkown signer (unbekannter Unterzeichner).

    Falls Sie die Signatur einer Datei geprüft haben, bei der die Signatur in der Datei enthalten ist (also keine abgetrennte Signatur), dann wird die Signatur aus der Datei bei der Prüfung entfernt und eine Ausgabedatei erzeugt, die die Daten ohne Signatur enthält. Diese Datei wird unter dem Namen der Ursprungsdatei im selben Verzeichnis wie die Ursprungsdatei abgespeichert. Die beim Signieren hinzugefügte Endung .pgp wird dabei wieder entfernt, der ursprüngliche Dateiname wird also wieder hergestellt, wenn die Datei nicht zwischenzeitlich umbenannt worden ist. Wenn der betreffende Dateiname im jeweiligen Verzeichnis bereits vorhanden ist, erscheint ein Speichern unter-Fenster, in dem Sie einen anderen Namen angeben, ein anderes Verzeichnis auswählen oder, wenn Sie den Namen beibehalten möchten, die bereits bestehende Datei diesen Namens überschreiben können.

    Bei PGP 5.0i erscheint dieses Speichern unter-Fenster immer, auch wenn der betreffende Dateiname noch nicht vorhanden ist.

      6. Entschlüsseln und Signatur prüfen

    Rufen Sie auf einem der oben beschriebenen Wege diese Funktion auf, so startet PGP nacheinander die Dialoge zum Entschlüsseln und - wenn die Entschlüsselung erfolgreich verlaufen ist - zur Unterschriftenprüfung. Näheres zu diesen Dialogen finden Sie in den Abschnitten 20.4 und 20.5.


    next up previous contents index
    Next: 21. PGP-Grundeinstellungen Up: 3. Windowsversionen Previous: 19. PGP benutzen - Aufrufmöglichkeiten
    Christopher Creutzig