DB0FHN

DG9EP  > LEXIKON  26.03.05 11:43l 924 Lines 37337 Bytes #999 (0) @ DL
BID : 26170DDB0IZ
Read: GUEST DG5YMS
Subj: FAQ: P G P im AFu (HTML-Format
Path: DB0KCP<DB0ULM<DB0LX<DB0RBS<DB0SEL<DB0ZDF<DB0GE<LX0PAC<ON5VL<DB0RWI<
      DB0IZ
Sent: 970126/1646z @:DB0IZ.#NRW.DEU.EU [JO31NE, Op: DL6EE] $:26170DDB0IZ
de DG9EP @ DB0IZ.#NRW.DEU.EU   (Walter)

to LEXIKON @ DL

ungepackt)
<html>
<title>Installation und Anwendung von PGP im Amateurfunk</title>
<body>
<center>
<h2>   Pretty Good Privacy Version 2.6.3i </h2>

<h1>   Installation und Anwendung von PGP <br>im Amateurfunk
</h1>

<h6> Basierend auf einem Text von Perry Metzger, <br>
          Colin Plumb, Derek Atkins,  <br>
       Jeffrey I. Schiller und anderen <br>
 Angepasst für PGP 2.6.3i durch Stale Schumacher <br>
<br>
      Übersetzt und angepasst  <br>
für den Amateurfunkbereich durch DG9EP
</h6><h5>
Version 0.6<br>
 26.Jan.97<br>
</h5> </center>
<hr>

<h2>INHALT</h2><ul COMPACT>
<li><a href="#QUICK"  >Schnellstart</a>
<p>
<li><a href="#INSTALL">Wie installiert man PGP</a>
<li><a href="#ENV"    >Die Umgebung einrichten</a>
<li><a href="#KG"     >Den eigenen Schlüssel erzeugen</a>
<li><a href="#CHKDIST">Überprüfung der PGP Auslieferung</a>
<li><a href="#RTFM"   >Lese die Dokumentation!</a>
<p>
<li><a href="#FINDKEY">Einen fremden öff.Schlüssel finden</a>
<li><a href="#KA"     >Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen</a>
<li><a href="#KS"     >Den öff.Schlüssel anderer beglaubigen</a>
<li><a href="#FINDKS" >Wo bekomme ich neue Beglaubigungen her?</a>
<li><a href="#DISTKEY">Den eigenen öffentlichen Schlüssel bekannt machen</a>
<li><a href="#SAT"    >Wie man einen Text unterschreibt</a>
<li><a href="#CHK"    >Wie überprüft man die Unterschrift unter fremden Texten</a>

<li><a href="#DANGER" >Was man beim unbedingt beachten muss</a>
<li><a href="#PGPPR"  >PGP-fähige PR-Programme</a>
<li><a href="#ONLYAFU">He! Das ist doch nur *Amateur*funk - das ist ja alles übertrieben!</a>
<p>
<li><a href="#ABSPANN">Wo kriegt man die neueste Version dieses Textes her?</a>
<li><a href="#AMIGA">Installation auf einem Amiga</a>
</ul>
<hr>

Vorbemerkungen:
<ul>
<li>Ich gehe hier bewusst nicht auf Sicherheitsaspekte ein - diese sind in
  der Rubrik PGP schon ausreichend diskutiert worden.
<li>Eigentlich sollte dieser Text überflüssig sein, denn wer PGP einsetzen
  will, sollte es eigentlich 100% verstanden haben.
  Allerdings scheint es sinnvoll auf Besonderheiten im AFubereich
  extra einzugehen.
<li>Selbstverständlich ist im AFu - Bereich nur das Signieren (Unterschreiben)
  von Texten in Klartext, sowie das Übertragen von öff.Schlüsseln offene
  Sprache im Sinne des Gesetzes
<li>In der Beschreibung wird von einer Installation auf einem PC ausgegangen.
  Es gibt allerdings kaum Betriebssystemabhaengiges ausser Syntax von Dateinamen.
<li>Im Anhang gibt es Hinweise fü:r die <a href="#AMIGA">Installation auf einem 
  Amiga</a> (von Rainer, DC8YH).
</ul>

<h2><a name="#QUICK">Schnellstart</a></h2>
Moechte man PGP verwenden, so geht man am besten folgendermassen vor:
<ul>
<lI><a href="#GETPGP">PGP besorgen</a>
<li><a href="#RTFM"   >Lese die Dokumentation!</a>
<li><a href="#INSTALL">PGP installieren</a>
<li><a href="#RTFM"   >Dokumentation lesen</a>
<li><a href="#FINDKEY">Einen fremden öff.Schlüssel finden</a>
<li><a href="#KA"     >Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen</a>
<li><a href="#CHK"    >Überprüfung der Unterschrift unter fremden Texten</a>
<li><a href="#KG"     >Den eigenen Schlüssel erzeugen</a>
<li><a href="#SAT"    >Wie man einen Text unterschreibt</a>
<li>Nun spielt man ein wenig mit PGP herum, und schaut, ob man damit zurecht kommt.
Dabei sollte man selber *nichts* verschicken! Gefällt einem PGP so lösche man seinen pubring.pgp und secring.pgp und macht nun ernst:
<li><a href="#RTFM"   >Lese die Dokumentation!</a>
<li><a href="#KG"     >Den eigenen Schlüssel erzeugen</a>
<li><a href="#FINDKS" >Wo bekomme ich neue Beglaubigungen her?</a>
<li><a href="#DISTKEY">Den eigenen öffentlichen Schlüssel bekannt machen</a>
<li><a href="#SAT"    >Wie man einen Text unterschreibt</a>
</ul>



<h2><a name="GETPGP">PGP besorgen</h2>

In den AFu Mailboxen wurden Versionen eingespielt(z.B. von DL1ALL im April 96).
Sie befinden sich entweder in der Rubrik PGP (z.B. in DB0IZ-0 oder bei DB0AAB),
oder auf einem EL Server (z.B. bei DB0GV:   EL S PGP  ).<p>
In anderen Boxen wird es wohl ähnlich sein<p>


<h2><a name="INSTALL">Wie installiert man PGP</h2>

PGP wird als Archiv verteilt. Dadurch hat man alle Dateien am Stück zusammen
und man spart Platz auf der Platte und Übertragungszeit.<p>

Die aktuelle Version,  2.6.3i, wurde mit ZIP gepackt. Sie heissen:<br><pre>
  PGP263I.ZIP      (MSDOS 16-bit)
  PGP263IX.ZIP     (MSDOS 32-bit)
  PGP263I2.ZIP     (OS/2 FAT)
  pgp263i-os2.zip  (OS/2 HPFS)
</pre>
Diese Archive enthalten die ausführbaren Dateien, die Dokumentation (in
englisch, allerdings sind auch dt. Übersetzungen erhältlich) und einige
Schlüssel (keys) und Unterschriften (signatures).<p>
Der Quellcode (C und Assmbler) ist ebenfalls erhältlich (PGP263IS.ZIP).
Man sollte ihn am selben Ort finden, wo man auch die anderen Archive
her hat. Falls nicht, sendet eine E-Mail an
<a href="mailto:pgp@hypnotech.com">pgp@hypnotech.com</a>
mit dem Titel (subject field): "INFO PGP" [oder per PR an dg9ep@db0iz].<p>


Man benötigt PKUNZIP version 2.0 (oder höher) um das Archiv auszupacken.
PKUNZIP ist Shareware und ist im allgemeinen auf DOS und OS/2 Rechnern
bereits vorhanden [Ebenso ist i.a. auch der kostenlose Klon UNZIP.EXE
einsetzbar]. Das Auspackprogramm muß natürlich im Pfad liegen.<p>

Nun muss ein Verzeichniss für die PGP Dateien erstellt werden. In dieser
Doku verwenden wir C:\PGP als Beispiel, aber man kann das natürlich
auf seine eigenen Verhältnisse anpassen. [So liegt PGP bei mir z.B. auf
F:\AFU\PGP].<p>

Man gebe also auf der Kommandozeile folgende Kommandos ein [in Windows
erreichbar in der Hauptgruppe als "MSDOS-Eingabeaufforderung"]:<pre>
   c:
   md \pgp
   cd \pgp
</pre>
Nun packen wir das Archiv in diesem Verzeichnis aus. Wir gehen mal davon
aus, daß dieses ZIP-Archiv auf Diskette im Laufwerk A: liegt:<pre>
   pkunzip -d a:pgp263i
</pre>
Das erzeugt dann die Dateien PGP263II.ZIP und PGP263II.ASC.
PGP263II.ZIP muss nochmals ausgepackt werden, mit dem Kommando:<pre>
   pkunzip -d pgp263ii
</pre>
Wenn man hier das "-d" nicht angibt, werden die Dateien, die normalerweise
in einem DOC-Unterverzeichnis gelandet wären, im C:\PGP gelandet. Das ist
dann m.E. etwas unübersichtlich.<p>

PGP263II.ZIP sollte aber nicht gelöscht werden. Wenn PGP gleich
läuft, kann man mittel PGP263II.ASC die digitalle Unterschrift unter
PGP263II.ZIP zu prüfen. Es sollte die von Stale Schumacher sein (dessen
Schlüssel in KEYS.ASC drin ist).<p>


<h2><a name="ENV">Die Umgebung einrichten</h2>

Als nächstes kann man eine Umgebungsvariable des Betriebssystems ("environment
variable") setzen, damit PGP weiss, wo es seine Hilfsdateien findet, falls
man PGP aus einen anderen als dem PGP-Verzeichnis ausfüfhren will.<p>
Mit jedem beleibigen Editor (z.B. EDIT unter DOS; NotePad/Editor unter Windows)
kann man folgenden Zeile in die Datei AUTOEXEC.BAT (DOS) oder CONFIG.SYS (OS/2)
(üblicherweise sind die auf der C: Platte) einfügen:<pre>
   SET PGPPATH=C:\PGP
   SET PATH=C:\PGP;%PATH%
</pre>
Wenn man ein anderes Verzeichnis als C:\PGP verwendet, muss man dann dieses
im obigen Beispiel einsetzen.<p>

Die CONFIG.TXT Datei enthält einige Voreinstellungen. Man kann damit die
Sprache änderen, in denen PGP sich äussert, und den Zeichensatz der in
den Texten verwendet wird.<p>
Auf IBM-kompatiblen PCs nennt man den normalen Zeichensatz
"Code Page 850" und dieser wird benutzt wenn man
die Zeile<pre>
 charset = cp850
</pre>
in die Datei CONFIG.TXT einfügt. [<i>Hier folgt im Original: "You probably
want to add that line". Wie übersezt man das? "Vielleicht möchte man
diese Zeile einfügen"? Klingt doof. Und ist m.E. auch nicht nötig
da unter DOS und OS/2 dieses eh die Voreinstellung ist</i>].<p>

Als Deutschsprachiger sollte man in der Datei CONFIG.TXT die Zeile<pre>
  Language = en</pre>
durch<pre>
  Language = de</pre>
ersetzen. Dann spricht PGP auch deutsch.<p>

Eine andere Variable, die man setzen sollte, heisst "TZ". Diese sagt
dem Betriebssystem, in welcher Zeitzone man sich befindet. Dadurch kann
PGP die Uhrzeit für Schlüssel und Unterschriften in GMT speichern
("create GMT timestamps").<p>

Wenn man TZ in der AUTOEXEC.BAT (bzw. CONFIG.SYS) richtig einstellt,
wird MSDOS (bzw. OS/2) brauchbare GMT-Uhrzeiten erzeugen und automatisch
Sommer- und Winterzeit berücksichtigen.<p>

Ein paar Beispieleinstellungen:
<pre>
Los Angeles:  SET TZ=PST8PDT
Arizona:      SET TZ=MST7                     (Arizona hat keine Sommerzeit!)
New York:     SET TZ=EST5EDT
London:       SET TZ=GMT0BST
Düsseldorf:   SET TZ=MET-1DST
      oder:   SET TZ=CET-1DST
Moscow:       SET TZ=MSK-3MSD
Aukland:      SET TZ=NZT-12DST
</pre>
[<i>Da sind unsere Freunde etwas zu optimistisch. Im Dunstkreis von Win95 und
  TZ habe ich schon einige graue Haare gekriegt.... Man sollte TZ auf
  MET-1DST setzen, und bei Sommerzeit auf MET-2DST ändern, dann ist
  die Uhrzeit einigermassen genau (+- 1h)</i>]<p>

So. Nun muss man wieder booten, damit PGPPATH und TZ wirksam werden [furchtbar
wg. jedem Mist muss man diese Rechner booten]<p>

Wenn man nach dem Booten in das Verzeichniss C:\PGP (oder wie auch immer es
 bei dir heisst) geht, und dort PGP eingibt, sollte sich PGP melden
 und höflich vorstellen<p>


<h2><a name="KG">Den eigenen Schlüssel erzeugen</h2>

Eine der ersten Sachen, die man wirklich mit PGP machen will (ausser es
einfach nur zu testen) ist die Erzeugung eines eigenen Schlüssels.
Dies ist detaillierter im Kapitel "RSA Key Generation" des PGP-Handbuchs
beschrieben.<p>

Man sollte sich klarmachen, daß der Schlässel so etwas wie eine geschriebe
Unterschrift, die PIN der Scheckkarte oder der Generalschlüssel eines Hauses
ist - Also muß man ihn geheim und verschlossen halten.<p>

Also:

  PGP -kg

eingeben, und schon geht die Fragerei los.<p>

Als erstes wird nach der
Schlüssellänge gefragt. 768 oder 1024 sind m.E. die besten Werte. Je höher
die Schlüssellänge ist, desto "sicherer" ist der Schlüssel, aber um so
länger dauern die damit verbundenen Operationen.<p>

Anschliessen wird nach der BenutzerID (UserID) gefragt. M.E. sollte
diese für den AFu Bereich etwas so aussehen:
<pre>
   Vorname Nachname <call>
</pre>
oder
<pre>
   Vorname Nachname <call@mailbox.#region.dl.eu>
</pre>
also z.B.
<pre>
   Walter Koch <dg9ep@db0iz.#nrw.dl.eu>
</pre>
Man kann die UserID zwar später jederzeit ändern, doch damit werden
auf diese UserID gemüntzte Beglaubigungen des Schlüssels wertlos.<p>

Danach wird man nach dem "Mantra" gefragt. Dies ist eine dt. Bezeichnung für
Password. <p>
Mit diesem Matra wird die Datei SECRING.PGP vor Ausspähung geschützt.
SECRING.PGP enthält den geheimzuhaltenden Teil des Schlüssel und ist nur mit
Hilfe des Mantras zugreifbar.<p>
Verwende ein langes, nicht zu erratendes und nicht triviales Mantra.
Vergiss dieses Mantra nicht!<p>

Jetzt wird es scheinbar etwas seltsam bis magisch. PGP bittet einen nämlich
irgendwelchen Text auf der Tastatur zu schreiben, um die Zeit zwischen den
Tastendrücken als Startwert für die Berechnung scheinzufälliger
Zahlen für den Key zu bestimmen. Die genaue Erklärung und
Begründung dafür ist etwas aufwendiger. Deswegen spare
ich sie mir hier.<p>
Tut einfach das, was PGP Euch sagt :)<p>

Anschliessend rödelt der Rechner eine ganze Weile, und wenn er dann fertig ist
gibt es zwei neue Dateien (Schlüsselbund/Keyring):
<ul>
<li>
 PUBRING.PGP dort ist der öffentliche Teil des neuen Keys drin (und neue
             fremde Schlüssel werden automatisch dort landen)
<li>
 SECRING.PGP enthält den geheimen Teil des Schlüssels, der sofort auf einer Diskette
             gesichert werden sollte, die anschliessend schreibgeschützt wird
             (den kleinen Schieber schieben)<br>
[SECRING.PGP darf auf keinen Fall in die Hände anderer fallen. Also darauf
achten, daß niemand Zugang zu dem Rechner hat, oder ein RemoteVerzeichniss
darauf zeitg].
</ul>
<p>

M.E. sollte man jetzt auch mal den PUBRING.PGP sichern (also eine Kopie
davon machen).<p>

Jetzt kan man ein paar andere öffentliche Schlüssel in den
Schlüsselbund reintun.
Als Beispiel sind ein paar Beispielschlüssel in der Datei KEYS.ASC zu
finden.<p>
Man fügt sie hinzu in dem man einfach
<pre>
  PGP -ka KEYS.ASC
</pre>
eingibt.<p>


<h2><a name="CHKDIST">Überprüfung der PGP Auslieferung</h2>

So, da PGP läuft und einige öffentlich Schlüssel (z.B. aus KEYS.ASC) drin
sind, kann man die Seriösität der benutzen Auslieferung ("distribution")
überprüfen.<p>
Das geht so:
<pre>
   pgp pgp263ii.asc
</pre>
PGP sagt dann, daß pgp263ii.asc  eine Unterschrift, aber keinen Text
enthält. Es fordert einen dann wohl auf einen Dateinamen einzugeben der
zu der Unterschrift gehört.<p>

Man gebe nun "pgp263ii.zip" ein [ man könnte auch direkt<pre>
    pgp pgp263ii.asc pgp263ii.zip
</pre>eingeben]

PGP sollte einem dann sagen:<pre>
   BESTÄTIGTE Unterschrift von Stale Schumacher <stale@hypnotech.com>
</pre>

Ausserdem sagt er dann noch was davon daß er diesem Schlüssel nicht traut
("<pre>WARNUNG: Da dieser öffentliche Schlüssel nicht mit einer vertrauenswürdigen
Unterschrift beglaubigt ist, ist nicht sicher, daß er wirklich zu
"Stale Schumacher <stale@hypnotech.com>" gehört.</pre>").
Das liegt daran, dass
PGP nicht wissen kann, daß der Key in KEYS.ASC wirklich zu Herrn Schumacher
gehört [Das wird in der Rubrik PGP des öfteren mal gefragt und erklärt].<p>

Man lese deshalb den Abschnitt "How to Protect Public Keys from Tampering"
in Band 1 des PGP Handbunch.<p>


<h2><a name="RTFM">Lese die Dokumentation!</h2>

LESE die Dokumentation! Zumindest Band I des PGP-Handbuchs
("PGP User's Guide", den es wohl auch auf deutsch gibt).<p>
Signatur Software kann man leicht falsch verwenden/bedienen. Und wenn man
Sie nicht richtig benutzt, geht viel von der Sicherheit, die sie einem
bieten kann, verloren!<p>

Vielfach sind einem auch die Konzepe der asymetrischen Verschlüsselung und
Signatur nicht vertraut, das Handbuch erläutert sie.
Auch wenn man diese Konzepte schon kennt, ist es wichtig, wie diese Konzepte
in PGP verwirklicht wurden.<p>

PGP mag ein unknackbares Schloss sein, aber man muss es richtig an der
Tür anbringen, oder es ist nutzlos.<p>


[<i>ab hier ist der Text komplett auf meinem Mist gewachsen</i>]<p>

<h2><a name="FINDKEY">Einen fremden öff.Schlüssel finden</h2>

  Wo findet man einen fremden Schlüssel?<p>
  <ul>
   <li>Im BBS-System in der Rubrik PGP (allerdings haben einige Boxen diese 
       Rubrik offenbar als unerwünscht gekennzeichnet,
       aber z.B. in DB0AAB, DB0GV oder DB0IZ sind sie hinreichend lange drin)
   <li>Im direkten QSO mit demjenigen, dessen Schlüssel man sucht.
   <li>Im QSO mit irgendwem anderen oder im Convers danach fragen.
   <li>Auf einem sog. Keyserver im Internet z.B.<br>
       <ul>
       <li><a href="http://dh1dae.nue.et-inf.uni-siegen.de/cgi-bin/pgp/frontend.cmd">http://dh1dae.nue.et-inf.uni-siegen.de/cgi-bin/pgp/frontend.cmd </a>
       <li>http://swissnet.ai.mit.edu:11371/pks   (nicht getestet)
       <li><a href="http://ourworld.compuserve.com/homepages/WalterKoch/pgp.htm">http://ourworld.compuserve.com/homepages/WalterKoch/pgp.htm     </a>
       </ul>
  </ul>
  Aber: Egal woher der Key dann ist - immer dran denken, daß ein Key ohne
        richtige Beglaubigung nicht viel wert ist.<p>


<h2><a name="KA">Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen</h2>

 Findet man in der Box neue Schlüssel (meist in der Rubrik PGP, erkennbar
 am Text: ---BEGIN PUBLIC KEY BLOCK ---), so kann man sie dem eigenen
 Schlüsselbund hinzufügen, um Texte des Einspielers verifizieren zu
 können.<p>

 Hat man ein <a href="#PGPPR">PGP-fähiges PR-Programm</a> so geht das hinzufügen
 vollautomatisch.<p>

 Ansonsten schreibt man am besten die ganze Mailbox-Session mit ("SAVE")
 und ruft amschliessend PGP mit dem Filename auf
<pre>
   PGP -ka <filename>
</pre>
 z.B.
<pre>
   PGP -ka save0001.txt
</pre>
 Daraufhin untersucht PGP den Text nach neuen Schlüsseln, prüft sie
 und fügt sie dem Schlüsselbund hinzu.<p>
 PGP findet dabei auch mehrere im Text vorkommenden neue Schlüssel.<p>

 Man wird während des Vorgangs u.U. gefragt, ob man jemanden vertrauen will
 bzw. ob man sich sicher ist, ob ein Schlüssel wirklich zu demjenigen
 gehört, der in der UserID steht. Ist man sich irgendwie unsicher sollte man
 immer "Nein" bzw. "Ich weiss nicht" wählen.<p>



<h2><a name="KS">Den öff.Schlüssel anderer beglaubigen</h2>

 Ist man sich absolut sicher, daß ein Schlüssel wirklich dem behaupteten
 Benutzer gehört, und dieser bittet einem, seinen Schlüssel zu beglaubigen
 oder zu unterschreiben (was dasselbe ist), geht man folgendermassen vor.<p>

 Man besorgt sich den Schlüssel des Anderen (z.B. aus der Rubrik PGP oder
 aus einem DirektQSO), <a href="#FINDKS">überprüft die Echtheit</a>
 des Anderen (NICHT über AFu!!! sondern auf einem anderen Weg UND
 aus erster Hand!!! - Bester Weg: Auf einem Afu-Treffen o.ä).<p>
 Diesen fügt man seinem Schlüsselbund hinzu (s.o.)<p>
 Danach gibt man ein:
<pre>
      pgp -ks <FremdCall>
</pre>
 Danach fragt PGP normalerweise nochmal nach ob man wirklich den fremden
 Schlüssel beglaubigen will.  Danach schreibt PGP das Ergebnis dann
 in die Datei PUBRING.PGP mit hinein.<p>
 Nun kann man sich mit
<pre>
      PGP -kvv <FremdCall>
</pre>
 ansehen, ob man es richtig gem8 hat.<p>
 Nun kann man mit
<pre>
      PGP -kxa <FremdCall>
</pre>
 eine versendbare Datei <FremdCall>.ASC erzeugen, die den nunmehr
 beglaubigten Schlüssel enthält und an <FremdCall> per
 BBS verschicken.<p>

 Man sollte ihn NICHT in die Rubrik PGP (oder sonstwo öffentlich)
 einspielen, da für die Verbreitung einen Schlüssels und
 seiner Unterschriften m.E. nach nur der Eigentümer verantwortlich
 ist.<p>

 Achtung: Mit so einer Unterschrift BÜRGT man mit seinem guten Ruf
   für die ECHTHEIT des Schlüssel des anderen, entsprechend
   vorsichtig sollte man sein!<p>

 Aber: Man haftet natürlich nicht für den INHALT von Texten,
   die jemand mit diesem Key unterschreibt.<p>

 Es macht keinen grossen Sinn, wenn man einen anderen Schlussel beglaubigt,
 aber sein eigenen Schlüssel nicht verteilt.<p>



<h2><a name="FINDKS">Wo bekomme ich neue Beglaubigungen her?</h2>
Am einfachsten von Leuten, die man kennt & regelmässig auch sieht.<p>

Auf Messen und Tagungen etc. Da sollte man sich für vorbereiten:

<ul>
 <li>Sich verabreden, damit man einen Tauschpartner hat :-)<br>
     Besonders nett sind Veranstaltungen, die einen Treffpunkt
     für sowas ausgezeichnet haben.

 <li>Auf Papier den eigenen Schlüssel-Fingerabdruck (fingerprint)
     und die Key-ID ausdrucken/aufschreiben. Das sind 16 Hex-Zahlen,
     die man mit
<pre>
         PGP -kvc  <Eigenes_Call>
</pre>
     sich anzeigen lassen kann. Bei mir sieht das etwas so aus:
<pre>
  Typ  Bits/ID       Datum      Benutzer
  öff  1024/18A85CC1 1995/08/29 Walter Koch <dg9ep@db0iz.#nrw.deu.eu>
  Fingerabdruck des Schlüssels: 33 D4 AE EF D6 17 78 41  CF 66 ED 9D 22 3C 53 48
</pre>
  Diesen Zettel gebe man dann auf der Messe den potentiellen Beglaubiger
  und zeige ihm dann auf Verlangen einen (Ausweis & Lis). Übrigens:
  Wenn der andere NICHT von selber nach meiner ID fragt, so würde ich
  mir das merken, und denjenigen bei mir als nicht vertrauenswürdig
  kennzeichnen - er ist nämlich offenbar zu gutgläubig... :-)<p>

  Natürlich kann man auch Disketten mit seinem öffentlichen Key
  verteilen. Was man NICHT machen sollte: Den Laptop mit rumschleppen,
  und auf der Stelle fremde Keys beglaubigen. Abgesehen davon, daß man
  Dich sehr einfach bei Eintippen des SecRing-Passwortes beobachten kann,
  ist ja Dein geheimer Schlüssel auf dem Laptop...<p>
</ul>

Wieder zu Hause besorge man sich irgendwie (z.B. aus der Rubrik PGP) den
Key des Schlüsselbesitzers. Den füge man seinem Schlüsselbund hinzu,
testet ihn wiederum mit   
<pre>
    pgp -kvc <SeinCall>
</pre>
Sind die Zahlen auf dem
Zettel nun gleich denen, die PGP jetzt anzeigt, kann man davon ausgehen,
daß dies der echte Schluessel ist. Diesen kann man nun - wenn man
möchte - beglaubigen (   PGP -ks <SeinCall>   ) und ihm dem
Schlüsselbesitzer  z.B. per PR schicken.<p>


<h2><a name="DISTKEY">Den eigenen öffentlichen Schlüssel bekannt machen</h2>

 Man muss natürlich eine Schlüsselpaar erzeugt haben (s.o.).<p>

 Den eigenen Key auch selber unterschreiben (warum steht im PGP - FAQ).<br>

 Das geht mit<pre>
   pgp -ks <deinCall> -u <deinCall>
</pre>
 als z.B.
<pre>
   pgp -ks dg9ep -u dg9ep
</pre>
 Nun muss man jemanden finden, der einem den Public Key beglaubigt -
 möglichst jemanden der schon "bekannter" ist, oder dessen Schlüssel
 von einem "Bekannteren" unterzeichnet wurde.<p>

 Wie das geht, ist unter <a href="#KS">Den öff.Schlüssel anderer
 beglaubigen</a> aus der Sicht des bekannteren beschrieben.<p>

 Einen nicht unterzeichenten Schlüssel ins Netz zu spielen macht nicht
 allzuviel Sinn...<p>

 Den eigenen nunmehr beglaubigten *K*ey aus dem Schluesslbund e*X*trahieren
 und in eine *A*scii-Datei schreiben. Das geht mit:<pre>
  PGP -kxa
</pre>
 Dann wird im Dialog (oder auf modischdeutsch:"interaktiv") nach der
 BenutzerID gefragt. Normalerweise reicht es dann das eigene Rufzeichen
 einzugeben.<p>

 Dann wird nach dem Dateiname gefragt, wo der Schlüssel rein soll. Da kann
 man was beliebiges eintragen - man sollte sich nur daran erinnern, denn
 dieser File wird nachher zur Box hochgeladen.<p>

 Man kann auch:<pre>
   pgp -kxa  <DeinCall>  <Ausgabedateiname>
</pre>
 machen, also z.B.
<pre>
   pgp -kxa   dg9ep     c:\tmp\dg9ep.txt
</pre>

  So, nun ab in die Box damit. Ein
<pre>
   S PGP@DL Public Key  <DeinCall>
</pre>
  abgeschickt, und die gerade erzeugte Datei als TEXT abschicken (Aber ohne
  jede Umlautwandlung, bitte).<p>

  Fertig.<p>

  Übrigens:
   Nie den PUBRING.PGP selber versenden (warum steht im Handbuch), und
   niemals, niemals, niemals SECRING.PGP per Remote zugreifbar machen oder
   gar versenden!<p>


<h2><a name="SAT">Wie man einen Text unterschreibt</h2>

 Hat man eine <a href="#PGPPR">PGP-fähiges PR-Programm</a> ist es sehr einfach. Bei GP/2 ruft
 man den Maileditor auf, schreibt seinen Text, und kreuzt vor dem Senden
 das entsprechende Feld ("Signatur") und gibt im Feld daneben das Passwort
 an. Fertig.<p>

 Ansonsten:<br>
 Mit einem Texteditor (EDIT, NotePad oder dem Editor von GP-DOS...) den Text
 schreiben und abspeichern.<br>
 Verwendet man ein Textverarbeitung, so muss man es als "MSDOS-Text"
 abspeichern.<p>

 Den Text signieren:
    PGP -sat <textdateiname>
 anschliessend wird nach dem Passwort gefragt. Danach rödelt der Rechner
 ein bischen und erzeugt eine Datei mit der Endung .ASC.
 Diese versendet man dann mit Texttransfer o.ä in die BBS.
 ACHTUNG: Beim Senden darf keine Umlautwandlung oder ähnliches
 eingeschaltet sein (z.B. in GP/DOS nimmt der Texteditor Wandlungen vor).<p>



<h2><a name="CHK">Wie überprüft man die Unterschrift unter fremden Texten</h2>

 Hat man ein <a href="#PGPPR">PGP-fähiges PR-Programm</a>
 so geht dies vollautomatisch.<p>

 Ansonsten schreibt man am besten die ganze Mailbox-Session mit ("SAVE")
 und ruft amschliessend PGP mit dem Filename auf
<pre>
   PGP <filename>
</pre>
 z.B.
<pre>
   PGP save0001.txt
</pre>
 Daraufhin untersucht PGP den Text nach unterschriebenen Texten, prüft sie
 und gibt seinen Kommentar dazu aus (PGP findet bei einem Aufruf lediglich
 mit einem Filenamen als Argument alle in dieser Datei vorkommenden
 Unterschriften und erkennt auch neue PublicKeys und neue Unterschriften
 unter bereits vorhandenen Schlüsseln, die er nach Nachfrage auch
 automatisch in den Schlüsselbund aufnimmt. Man braucht also -
 ausser beim Unterschreiben selber - fast nie irgendwelche Optionen
 anzugeben).<p>

 Die möglichen Antworten von PGP:<p>
<hr size=1>
<pre>
BESTÄTIGTE Unterschrift von "Ulf Saran, DH1DAE",
Unterschrift erzeugt am 1996/11/25 15:48 GMT mit 768-Bit-Schlüssel 0xB496469D.
</pre>
 Text & Unterschrift stimmt, und stammt von DH1DAE.
 Alles in Ordnung. Prima. Problemlos. Hurra.
<hr size=1>
<pre>
WARNUNG: Die Unterschrift stimmt nicht mit dem Datei-Inhalt überein!
FEHLERHAFTE Unterschrift von "Ulf Saran, DH1DAE",
Unterschrift erzeugt am 1996/11/25 15:48 GMT mit 768-Bit-Schlüssel 0xB496469D.
</pre>
 Ups. Das ist eindeutig. Im AFu Bereich passiert sowas aber nicht nur durch
 einen bewussten Fälschungs-Versuch, sondern auch durch
 Übertragungsfehler oder
 vorhanden Umlautkonvertierungen der PR-Terminalprogramms [ich habe diese
 Meldung erzeugt, indem ich den signierten Text änderte - also einen
 Fälschungsversuch vornahm...].<p>

 Also ganz schnell die Einspielbox connecten und nochmals den Text auslesen.
 Ist dieser auch falsch, dann sofort Sysops und den Rufzeicheninhaber
 verständigen (möglichst nicht per PR...). Und eine kleine Mail
 in die gleiche Rubrik setzen.<p>
 Und - natürlich - bis zur Klärung des Sachverhalts den Inhalt der
 Mail ignorieren.<p>
<hr size=1>
<pre>
Der zur erwarteten Schlüssel-ID F5780045 passende Schlüssel
ist nicht in der Datei 'pubring.pgp' enthalten.
Dateiname des öffentlichen Schlüssels: <ENTER>
WARNUNG: Ich kann den passenden öffentlichen Schlüssel nicht finden.
Eine Überprüfung der Unterschrift ist nicht möglich.
</pre>
 Spricht (hoffentlich) für sich selber. 
 S.a. <a href="#FINDKEY">Einen fremden öff.Schlüssel finden"</a><p>
<hr size=1>
<pre>
FEHLER: Falsche Prüfsumme der Versandhülle
FEHLER beim Entfernen der Versandhülle von Datei 'xyz'.
</pre>
 Da ist was fürchterlich schief gegangen. Offenbar ist die Signatur (das
 ist dieses Buchstaben und Zahlengewirr unter dem Text:
<pre>
 -----BEGIN PGP SIGNATURE----
 Version: 2.6.3i
 Charset: noconv

 iQB1AwUBMpm/wQ3Vofu0lkadAQG9wgL9FAYbQVf+II3ByfpD6k6+c5LSypas0On2
 t2kLkzNoa9ho6Xjk0d4xA3TJnlWXfHn5seFAcspmrPaDGdilSWp+Hzh8zUv+hsZ/
 4cXoIo4JOkxnLP13djRE547UhJGRv8Ff
 =Yjpr
 -----END PGP SIGNATURE----
</pre>
 ) formal nicht korrekt. Ursache wie oben, oder mal wieder ein plumper
 Versuch PGP zu veralbern (durch nachgeäffte Buchstaben und
 Zahlenkombinationen).
<hr size=1>
<pre>
FEHLER: Die Datei 'xyz' ist nicht verschlüsselt
und enthält weder eine Unterschrift noch einen oder mehrere Schlüssel.
</pre>
Da wurde wohl versucht eine Datei zu überprüfen, in der nix von PGP
bearbeitbares drin ist.<p>
<hr size=1>

 Und dann gibt es noch die Variante:
<pre>
BESTÄTIGTE Unterschrift von "Stale Schumacher <stale@hypnotech.com>",
Unterschrift erzeugt am 1996/01/18 13:56 GMT mit 1024-Bit-Schlüssel 0xCCEF447D.

WARNUNG: Da dieser öffentliche Schlüssel nicht mit einer vertrauenswürdigen
Unterschrift beglaubigt ist, ist nicht sicher, daß er wirklich zu
"Stale Schumacher <stale@hypnotech.com>" gehört.
</pre>
 D.h. daß die in der Datei vorhandene Unterschrift zu dem Text passt,
 und daß der Schlüssel mit dem diese Unterschrift erzeugt wurde,
 wirklich die ID 0xCCEF447D hat. Aber es ist eben nicht sicher,
 daß dieser Schlüssel wirklich von Herrn Schumacher
 eingespielt und benutzt wurde. Denn niemand (oder niemand, den wir
 vertrauenswürdig finden) hat diese Tatsache beglaubigt.<p>

 Das ist übrigens eins der beiden zentralen
 Verständnissschwierigkeiten gewesen, als PGP sich im AFu
 breitmachte (das andere war die Sache mit der offenen Sprache).<p>

<!--  Was tun? [ $toDo ]  -->


<h2><a name="DANGER">Was man beim unbedingt beachten muss</h2>
Ich habe zwar gesagt, ich will auf Sicherheitsaspekte nicht eingehen,
aber trotzdem:
<pre>
 1) Gib niemals Deinen privaten Schluessel in fremde Haende!
 2) Schuetze Deinen privaten Schluessel immer mit einem nicht trivialen Passwort!
 3) Fertige eine Sicherheitskopie Deines privaten Schluessels an und
    verwahre Sie an einem sicheren Ort. Wenn Du den Schluessel verlierst
    und einen neuen anfertigen musst, ist Dein frueherer oeffentlicher
    Schluessel nicht mehr gueltig und muss gegen den neuen ausgetauscht
    werden!
 4) Akzeptiere niemals blind einen oeffentlichen Schluessel, dessen
    Herkunft Du nicht kennst und von keiner Person unterschrieben ist, der
    Du uneingeschraenkt vertrauen kannst!
 5) Beglaubige niemals einen fremden Schluessel, ohne Dich vorher selbst
    ueber dessen Authentizitaet ueberzeugt zu haben (z.B. durch Erfragen
    des Fingerabdrucks beim Besitzer des Schluessels). Mit Deiner
    Unterschrift verbuergst Du Dich fuer die Echtheit des Schluessels!
    Selbst, wenn der Schluessel bereits von einer anderen Person signiert
    ist, vertraue in diesem Fall der Signatur nicht blind! Sei besonders
    vorsichtig, wenn Du um die Beglaubigung eines Schluessels gebeten
    wirst. Stellt sich ein von Dir beglaubigter Schluessel spaeter als
    gefaelscht heraus, hat dies negative Auswirkungen auf Deine
    Glaubwuerdigkeit!
</pre>
<cite>(Hemmungslos kopiert bei DH1DAE)</cite>



<h2><a name="PGPPR">PGP-fähige PR-Programme</h2>

<a href="http://dh1dae.nue.et-inf.uni-siegen.de/gp_os2">GP/2 für OS/2</a>
von DH1DAE.
Dieses kann automatisch alle für AFu relevante
PGP-Funktionen ausführen (ueberpruefen, signieren, Keys hinzufuegen)
wenn eine funktionsfähige PGP Installation vorhanden ist.<p>

MCuT (DOS) von DG4IAD enthaelt rudimentaere
PGP-Untersuetzung. Signaturen werden automatisch
ueberprueft und Nachrichten, die im internen Editor geschrieben wurden,
koennen signiert werden.
Das ganze ist am 8.12.96 in die Rubrik SOFTWARE eingespielt worden.<p>

Gerd-Michael, DL5FBD@DB0GV hat ein Programm BOXPGP geschrieben, was in
Mailboxen (z.B. DB0GV) läuft.
Man ist momentan sehr geteilter Meinung ob dies Sinn macht, aber für
C64 Besitzer ist es wohl die einzige Möglichkeit, eine Unterschrift
zu begucken...<p>

Von Andreas (DG1KFA @ DK0MWX.#NRW.DEU.EU) gibt es ein Program namens
PGPSERV. Auszug aus der Ankündigung:
"PGPSERV ist ein in (soweit getestet) jeder PR-Software einsetzbares
Remote-Programm, um einen fernsteuerbaren PGP-Keyserver aufzubauen.
Es eignet sich
sowohl für den Einsatz im Mailboxen (getestet nur mit BayBox) als auch in
herkömmlichen Terminal-Programmen wie GP, SP, BayCom, Air-TE und
wahrscheinlich auch den meisten anderen (nicht getestet)."<p>

 Es gibt diverse Oberflächen ("Shells") für PGP, die einen menügesteurten
 Zugriff auf alle PGP-Funktionen erlauben. Welche Programme es alles gibt
 weiss ich nicht, aber eine Suche in den diversen Suchmaschinen mit den
 Schlagworten
<pre>
    PGP Shell Menu
</pre>
 sollte zu einem ausreichenden Ergebniss führen.<p>


<h2><a name="ONLYAFU">Hee! Das ist doch nur *Amateur*funk - das ist ja
                                               alles übertrieben!</h2>
 Oder wie z.B. DL7QG formulierte:<br>
 <cite>WER? hat WARUM? ein so vehementes Interesse an der Durchsetzung von PGP
 im Hobby "Amateurfunk"?</cite><br>
 Worauf DH1DAE u.anderem antwortete:<br>
 <i>WER? hat WARUM? ein so vehements Interesse GEGEN die Anwendung von PGP im
 Hobby "Amateurfunk"?</i><p>

 Amateurfunkinhalte sind per Definition unwichtig. Also weshalb stört
 PGP dann? Es ist halt so, dass im AFu manchmal Sachen gemacht werden, die
 unnoetigt erscheinen. Aber das ist doch in Ordnung... Ansonsten koennte man
 auch sagen: Wozu funken? Ruf doch einfach mit Telefon an.
 <p>


<h2><a name="ABSPANN">Wo kriegt man die neueste Version dieses Textes her?</h2>
Die aktuellste Version ist immer per PR in DB0IZ-0 (und in anderen Mailboxen)
in der Rubrik PGP zu finden.<p>

Im Internet gibt es auf meiner
<a href="http://ourworld.compuserve.com/homepages/WalterKoch/pgp.htm">PGP-Seite</a>
 einen Link hierhin<p>

Es gibt auch ein
<a href="http://www.zerberus.de/~christopher/pgp/index.html">deutsches
Handbuch</a> von PGP.
Es wurde auch von DG1DAC im Juni 96 ins BBS System eingespielt (Rubrik PGP,
BID: 216608DB0ERF, Title: "Alles ueber PGP" )<p>


<hr>

<h2><a name="AMIGA">Installation auf einem Amiga (A500+, 2MB RAM, keine HD)</h2>
<i>von Rainer, DC8YH</i><p>


Auch PGP fuer den Amiga wird als Archiv verteilt. Man kann es
sich als Funkamateur entweder vom EL-Fileserver DB0NOS-8, 
Verzeichnis C:\EL\AMIGA\UTILS, von der CD 2/95 der Zeitschrift AMIGA
plus oder vom einem FTP-Server des AMINET bzw. einer entsprechenden 
AMINET-CD, Pfad util/crypt, herunterladen.<p>

Ich habe die Version 2.6.3i von DB0NOS. Nach dem Extrahieren und
Dekodieren mit 7Plus erhaelt man das Archiv PGPAmiga-2.6.3is.lha .<p>

Zum Auspacken benoetigt man LhA, ich benutze die Version 1.38 .
Das Archiv ist nach dem Auspacken 955164 Byte gross und passt 
somit nicht mehr auf eine DD-Diskette. Besitzer eines Amigas ohne
Festplatte sollten aber dennoch weiterlesen.<p>

Zuerst werden in der Shell die Befehle copy, delete, list und
rename mit
<pre>
    resident c:....
</pre>
speicherresident gemacht.<p>

Dann habe ich LhA auf die RAM-Disk (2MB) kopiert und das 
PGP-Archiv mit
<pre>
    lha x DF0:PGPAmiga-2.6.3is.lha RAM:
</pre>
in das RAM ausgepackt. Man erhaelt im Verzeichnis RAM:PGPAmiga-
2.6.3i die Dateien PGPAmiga-263i.asc und PGPAmiga-263i.lzh sowie
den File ReadMe.1st.<p>

Als Naechstes legt man eine vorformatierte und PGP genannte Dis-
kette in das Laufwerk ein und wechselt das aktuelle Verzeichnis:
<pre>
    cd RAM:PGPAmiga-2.6.3i
</pre>
Danach:
<pre>
    copy ReadMe.1st PGP:ReadMe_by_Peter_Simons clone
</pre>
Aus Platzgruenden werden nur die benoetigten Files aus dem Archiv
ausgepackt und auf die Diskette geschrieben:
<pre>
    lha x PGPAmiga-263i.lzh bin/#? RAM:
</pre>
Das Verzeichnis RAM:bin enthaelt nun zwei PGP-Versionen, die fuer
die beiden Motorola CPUs 68000 und 68020 uebersetzt wurden. Eine
Version - bei mir ist es die fuer die CPU 68020 - kann geloescht
werden, die andere wird umbenannt:
<pre>
    delete RAM:bin/PGP263i-020
    rename RAM:bin/PGP263i-000 RAM:bin/PGP
</pre>
Dann wird das komplette Verzeichnis auf die Diskette kopiert:
<pre>
    copy RAM:bin/#? PGP: clone
</pre>
Und weiter:
<pre>
    lha x PGPAmiga-263i.lzh doc/#? PGP:
    lha x PGPAmiga-263i.lzh src/#? PGP:
    lha x PGPAmiga-263i.lzh keys.asc PGP:
    lha x PGPAmiga-263i.lzh readme.#? PGP:
    lha x PGPAmiga-263i.lzh setup.doc PGP:
</pre>
Nach dem Sichern der Originalversion der Konfiguration ist diese
mit dem betriebssystemeigenen Editor anzupassen:
<pre>
    cd PGP:
    copy config.txt config.bak clone
    ed config.txt
</pre>
Im Wesentlichen gilt die Beschreibung fuer den PC von Walter,
DG9EP. Amiga-spezifisch sind jedoch die Eintraege:
<pre>
    CharSet = noconv
    TMP = "RAM:T"
    TZFix = -7
</pre>
Mit TZFix = -7 zeigt mein Amiga die systeminterne Uhrzeit in GMT
an.<p>

Bei der Benutzung von PGP sollte man mit
<pre>
    cd PGP:
</pre>
in das Verzeichnis der Diskette PGP: wechseln. Files, die man
unterschreiben will oder deren Unterschrift ueberprueft werden soll,
werden entweder vorher in die RAM-Disk kopiert (verhindert haeufigen
Diskettenwechsel) oder mit vollem Pfadnamen eingegeben.<p>

Die Amiga-Version der PGP-Auslieferung traegt uebrigens die bestaetigte
Unterschrift von Peter Simons <simons@peti.rhein.de>.<p>

Besitzer eines Amiga mit Festplatte haben es bei der Installation
und Benutzung von PGP etwas leichter und koennen meine Anleitung
sicher entsprechend anpassen.<p>


<hr>

Dank fuer die Hilfe bei der Erstellung an alle Diskussionsteilnehmer in
der BBS-Rubrik PGP, insbesondere an DH1DAE, der ausserdem durch seinen
<A HREF="http://dh1dae.nue.et-inf.uni-siegen.de/papers/pgp/pgp-script.html">PGP-Vortrag</A> auf der
12. Internationalen PR-Tagung in Darmstadt den PGP - Stein im AFu mit ins
Rollen brachte.<p>

<hr>

Dies ist nur eine vorläufige Version des Textes. Ich bitte um Resonaz
(Tippfehler, Sachliche Fehler oder Ergänzungen, offene Fragen etc.) an
dg9ep@DB0IZ oder an meine <a href="mailto:walterk@ddorf.rhein-ruhr.de">E-Mail
Adresse</a><p>

Alle Angaben ohne Gewähr.<p>

Verbreitung des Textes nur im Sinne der
 <A HREF="http://www.aball.de/~pg/nordlink/index.htm">ALAS</A>.<p>

</body>
</html>



Read previous mail | Read next mail