8 Verbreitung des öffentlichen Zertifikats | Inhalt |
Beim täglichen Gebrauch von Gpg4win ist es sehr praktisch, dass Sie es beim Verschlüsseln und Signaturprüfen stets nur mit „ungeheimen“ (also öffentlichen) Zertifikaten zu tun haben, die nur öffentliche Schlüssel enthalten. Solange Ihr eigener geheimer Schlüssel und die ihn schützende Passphrase sicher sind, haben Sie das Wichtigste zur Geheimhaltung bereits erledigt.
Jedermann darf und soll Ihr öffentliches Zertifikat haben, und Sie können und sollen öffentliche Zertifikate von Ihren Korrespondenzpartnern haben - je mehr, desto besser.
Denn:
Um sichere E-Mails austauschen zu können, müssen beide Partner jeweils das öffentliche Zertifikat des anderen besitzen und benutzen. Natürlich benötigt der Empfänger auch ein Programm, das mit Zertifikaten umgehen kann - wie z.B. das Softwarepaket Gpg4win mit der Zertifikatsverwaltung Kleopatra.
Wenn Sie also an jemanden verschlüsselte E-Mails schicken wollen, müssen Sie dessen öffentliches Zertifikat haben und zum Verschlüsseln benutzen.
Wenn - andersherum - jemand Ihnen verschlüsselte E-Mails schicken will, muss er Ihr öffentliches Zertifikat haben und zum Verschlüsseln benutzen.
Deshalb sollten Sie nun Ihr öffentliches Zertifikat zugänglich machen. Je nachdem, wie groß der Kreis Ihrer Korrespondenzpartner ist und welches Zertifikatsformat Sie einsetzen, gibt es dazu verschiedene Möglichkeiten. Verbreiten Sie Ihr öffentliches Zertifikat beispielsweise ...
Die ersten beiden Varianten können Sie sich nun auf den folgenden Seiten näher anschauen.
Sie wollen Ihr öffentliches Zertifikat Ihrem Korrespondenzpartner
bekannt machen? Schicken Sie ihm doch einfach Ihr exportiertes
öffentliches Zertifikat per E-Mail. Wie das genau funktioniert,
erfahren Sie in diesem Abschnitt.
Üben Sie jetzt diesen Vorgang einmal mit Ihrem öffentlichen
OpenPGP-Zertifikat! Adele soll Ihnen dabei behilflich sein. Die
folgenden Übungen gelten nur für OpenPGP, Anmerkungen zum
Veröffentlichen von öffentlichen X.509-Zertifikaten finden Sie auf
Seite X.
Adele ist ein sehr netter E-Mail-Roboter, mit dem Sie zwanglos korrespondieren können. Weil man gewöhnlich mit einer klugen und netten jungen Dame lieber korrespondiert als mit einem Stück Software (was sie in Wirklichkeit natürlich ist), können Sie sich Adele so vorstellen:
Schicken Sie zunächst Adele Ihr öffentliches OpenPGP-Zertifikat. Mit Hilfe des öffentlichen Schlüssels aus diesem Zertifikat sendet Adele eine verschlüsselte E-Mail an Sie zurück.
Diese Antwort von Adele entschlüsseln Sie mit Ihrem eigenen geheimen Schlüssel. Damit Sie wiederum Adele verschlüsselt antworten können, legt Adele ihr eigenes öffentliches Zertifikat bei.
Adele verhält sich also genau wie ein richtiger Korrespondenzpartner. Allerdings sind Adeles E-Mails leider bei weitem nicht so interessant wie die Ihrer echten Korrespondenzpartner. Andererseits können Sie mit Adele so oft üben, wie Sie wollen - was Ihnen ein menschlicher Adressat wahrscheinlich ziemlich übel nehmen würde.
Exportieren Sie also nun Ihr öffentliches OpenPGP-Zertifikat und senden dieses per E-Mail an Adele. Wie das geht, erfahren Sie auf den nächsten Seiten.
Selektieren Sie in Kleopatra das zu exportierende öffentliche Zertifikat (durch Klicken auf die entsprechende Zeile in der Liste der Zertifikate) und klicken Sie dann auf Datei -> Zertifikate exportieren... im Menü. Wählen Sie einen geeigneten Dateiordner auf Ihrem PC aus und speichern Sie das öffentliche Zertifikat im Dateityp .asc ab, z.B.: mein-OpenPGP-Zertifikat.asc. Die beiden anderen zur Auswahl stehenden Dateitypen, .gpg oder .pgp, speichern Ihr Zertifikat im Binärformat. D.h., sie sind, anders als eine .asc-Datei, nicht im Texteditor lesbar.
Achten Sie beim Auswählen des Menüpunktes unbedingt darauf, dass Sie auch wirklich nur Ihr öffentliches Zertifikat exportieren - und nicht aus Versehen das Zertifikat Ihres kompletten Schlüsselpaars mit zugehörigem geheimen Schlüssel.
Sehen Sie sich zur Kontrolle einmal diese Datei an. Nutzen Sie dazu den Windows-Explorer und wählen Sie denselben Order aus, den Sie beim Exportieren angegeben haben.
Öffnen Sie die exportierte Zertifikats-Datei mit einem Texteditor, z.B. mit WordPad. Sie sehen Ihr öffentliches OpenPGP-Zertifikat im Texteditor so, wie es wirklich aussieht - ein ziemlich wirrer Text- und Zahlenblock:
Bei der Veröffentlichung Ihres OpenPGP-Zertifikats per E-Mail gibt es zwei Varianten, die berücksichtigen, ob ein E-Mail-Programm Anhänge versenden kann oder nicht.
Diese Möglichkeit funktioniert immer, selbst wenn Sie - z.B. bei
manchen E-Mail-Diensten im Web - keine Dateien anhängen können.
Zudem bekommen Sie so Ihr öffentliches Zertifikat zum ersten Mal zu
Gesicht und wissen, was sich dahinter verbirgt und woraus das
Zertifikat eigentlich besteht.
Markieren Sie nun im Texteditor das gesamte öffentliche Zertifikat von
---BEGIN PGP PUBLIC KEY BLOCK---
bis
---END PGP PUBLIC KEY BLOCK---
und kopieren Sie es mit dem Menübefehl oder mit dem Tastaturkürzel Strg+C. Damit haben Sie das Zertifikat in den Speicher Ihres Rechners (bei Windows Zwischenablage genannt) kopiert.
Nun starten Sie Ihr E-Mail-Programm - es spielt keine Rolle, welches Sie benutzen - und fügen Ihr öffentliches Zertifikat in eine leere E-Mail ein. Der Tastaturbefehl zum Einfügen („Paste“) lautet bei Windows Strg+V. Diesen Vorgang - Kopieren und Einfügen - kennen Sie vielleicht als „Copy & Paste“.
Das E-Mail-Programm sollte so eingestellt sein, dass reine Textnachrichten gesendet werden und keine HTML-formatierten Nachrichten (vgl. Abschnitt 13.3 und Anhang 25.4).
Adressieren Sie nun diese E-Mail an adele@gnupp.de und schreiben Sie in die Betreffzeile z.B. Mein öffentliches OpenPGP-Zertifikat.
So etwa sollte Ihre E-Mail nun aussehen:
Schicken Sie die E-Mail an Adele ab.
Nur zur Vorsicht: Natürlich sollten Ihre E-Mails Ihre eigene E-Mail-Adresse als Absender haben. Andernfalls werden Sie nie Antwort von Adele bekommen ...
Alternativ zu Variante 1 können Sie natürlich Ihr exportiertes öffentliches OpenPGP-Zertifikat auch direkt als E-Mail-Dateianhang versenden. Das ist oftmals das einfachere und gebräuchlichere Verfahren. Sie haben oben die „Copy & Paste“-Methode zuerst kennengelernt, weil sie transparenter und leichter nachzuvollziehen ist.
Schreiben Sie Adele nun noch einmal eine neue E-Mail - diesmal mit der Zertifikatsdatei im Anhang:
Fügen Sie die vorher exportierte Zertifikatsdatei als Anhang zu Ihrer neuen E-Mail hinzu - genauso wie Sie es mit jeder anderen Datei auch machen (z.B. durch Ziehen der Datei in das leere E-Mail-Fenster). Ergänzen Sie den Empfänger (adele@gnupp.de) und einen Betreff, z.B.: Mein öffentliches OpenPGP-Zertifikat - als Dateianhang.
Selbstverständlich dürfen Sie auch noch ein paar erklärende Sätze dazuschreiben. Adele braucht diese Erklärung jedoch nicht, denn sie ist zu nichts anderem als zu diesem Übungszweck programmiert worden.
Ihre fertige E-Mail sollte dann etwa so aussehen:
Senden Sie nun die E-Mail mit Anhang an Adele ab.
Sie haben Ihr öffentliches OpenPGP-Zertifikat in Kleopatra in eine Datei exportiert. Anschließend haben Sie einmal den Inhalt der Datei direkt in eine E-Mail kopiert und einmal die komplette Datei als E-Mail-Anhang beigefügt. Beide E-Mails haben Sie an einen Korrespondenzpartner geschickt - in Ihrem Fall also an Adele.
Genauso gehen Sie vor, wenn Sie Ihr öffentliches Zertifikat an eine echte E-Mail-Adresse senden. In der Regel sollten Sie öffentliche Zertifikate als Dateianhang versenden, wie in Variante 2 geschildert. Dies ist für Sie und Ihren Empfänger das Einfachste. Und es hat den Vorteil, dass Ihr Empfänger Ihre Zertifikatsdatei direkt (ohne Umwege) in seine Zertifikatsverwaltung (z.B. Kleopatra) importieren kann.
Beachten Sie bitte: Nur Ihr OpenPGP-Zertifikat lässt sich über einen OpenPGP-Zertifikatsserver verbreiten.
Die Publizierung Ihres öffentlichen OpenPGP-Zertifikats auf einem öffentlichen Zertifikatsserver bietet sich eigentlich immer an, selbst wenn Sie nur mit wenigen Partnern verschlüsselte E-Mails austauschen. Ihr öffentliches Zertifikat ist dann für jedermann zugänglich auf einem Server im Internet verfügbar. Sie ersparen sich dadurch das Versenden Ihres Zertifikats per E-Mail an jeden Ihrer Korrespondenzpartner.
Allerdings kann die Veröffentlichung Ihrer E-Mail-Adresse auf einem Zertifikatsserver auch bedeuten, dass sich das Spam-Aufkommen für diese E-Mail-Adresse erhöht. Dagegen hilft nur ein wirksamer Spam-Schutz.
Und so geht's: Wählen Sie Ihr öffentliches
OpenPGP-Zertifikat in Kleopatra aus und klicken Sie im Menü auf
Datei -> Zertifikate nach Server exportieren....
Sofern Sie noch keinen Zertifikatsserver definiert haben, bekommen Sie eine Warnmeldung:
Es ist der öffentliche OpenPGP-Zertifikatsserver keys.gnupg.net bereits voreingestellt. Klicken Sie auf [Fortsetzen], um Ihr ausgewähltes öffentliches Zertifikat an diesen Server zu schicken. Von dort aus wird Ihr öffentliches Zertifikat an alle weltweit verbundenen Zertifikatsserver weitergereicht. Jedermann kann Ihr öffentliches Zertifikat dann von einem dieser OpenPGP-Zertifikatsserver herunterladen und dazu benutzen, Ihnen eine sichere E-Mail zu schreiben.
Wenn Sie den Ablauf nur testen, dann schicken Sie das Übungszertifikat bitte nicht ab: Klicken Sie im obigen Dialog auf [Abbrechen]. Das Testzertifikat ist wertlos und kann nicht mehr vom Zertifikatsserver entfernt werden. Sie glauben nicht, wie viele Testzertifikate mit Namen wie „Julius Caesar“, „Helmut Kohl“ oder „Bill Clinton“ dort schon seit Jahren herumliegen ...
Sie wissen nun, wie Sie Ihr öffentliches OpenPGP-Zertifikat auf einem OpenPGP-Zertifikatsserver im Internet veröffentlichen.
Wie Sie das öffentliche OpenPGP-Zertifikat eines Korrespondenzpartners auf Zertifikatsservern suchen und importieren, erfahren Sie im Kapitel 16. Sie können dieses Kapitel jetzt lesen oder später, wenn Sie diese Funktion benötigen.
Bei öffentlichen X.509-Zertifikaten funktioniert die Sache sogar noch einfacher: es genügt, wenn Sie Ihrem Korrespondenzpartner eine signierte S/MIME-E-Mail senden. Ihr öffentliches X.509-Zertifikat ist in dieser Signatur enthalten und kann von dem Empfänger in seine Zertifikatsverwaltung importiert werden.
Leider müssen Sie bei X.509-Zertifikaten auf ein paar Übungsrunden mit Adele verzichten, denn Adele unterstützt nur OpenPGP. Zum Üben sollten Sie sich also einen anderen Korrespondenzpartner aussuchen oder testweise an sich selbst schreiben.
Die Verbreitung von öffentlichen X.509-Zertifikaten erfolgt in einigen Fällen durch die Beglaubigungsinstanz (CA). Das passiert typischerweise über X.509-Zertifikatsserver, die sich im Unterschied zu den OpenPGP-Zertifikatsservern allerdings nicht weltweit synchronisieren.
Beim Exportieren Ihres öffentlichen X.509-Zertifikats können Sie die vollständige öffentliche Zertifikatskette markieren und in einer Datei abspeichern - in der Regel also Wurzelzertifikat, CA-Zertifikat und Persönliches Zertifikat - oder nur Ihr öffentliches Zertifikat.
Ersteres ist empfehlenswert, denn Ihrem Korrespondenzpartner fehlen möglicherweise Teile der Kette, die er sonst zusammensuchen müsste. Klicken Sie dazu in Kleopatra alle Elemente der Zertifikatskette mit gedrückter Shift-/Umschalttaste an und exportieren Sie die so markierten Zertifikate gemeinsam in eine Datei.
Hatte Ihr Korrespondenzpartner das Wurzelzertifikat noch nicht, so muss er diesem das Vertrauen aussprechen bzw. durch einen Administrator aussprechen lassen, um letztlich auch Ihnen zu vertrauen. Ist das bereits vorher geschehen (z.B. weil sie beide zu der selben „Wurzel“ gehören), dann besteht diese Vertrauensstellung bereits.
© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der
GNU Free Documentation License v1.2 lizensiert.
8 Verbreitung des öffentlichen Zertifikats | Inhalt |