PGP Desktop for Windows User's...

PGP® Desktop 9.9 für Windows

Anwenderhandbuch

Versionsinformationen Anwenderhandbuch zu PGP® Desktop für Windows. PGP Desktop Version 9.9.1. Veröffentlichung: Dezember 2008.

Copyright-Informationen Copyright © 1991–2008, PGP Corporation. Alle Rechte vorbehalten. Dieses Dokument darf ohne ausdrückliche schriftliche Genehmigung der PGP Corporation weder im Ganzen noch in Teilen, in keiner Form und auf keine Weise, weder mechanisch noch elektronisch und zu keinem Zweck vervielfältigt oder weitergegeben werden.

Warenzeicheninformationen PGP®, Pretty Good Privacy und das PGP-Logo sind eingetragene Warenzeichen, Rest Secured ist ein Warenzeichen der PGP Corporation in den USA und anderen Ländern. IDEA ist ein Warenzeichen der Ascom Tech AG. Windows und ActiveX sind eingetragene Warenzeichen der Microsoft Corporation. AOL ist ein eingetragenes Warenzeichen, AOL Instant Messenger ist ein Warenzeichen von America Online, Inc. Red Hat und Red Hat Linux sind Warenzeichen oder eingetragene Warenzeichen von Red Hat, Inc. Linux ist ein eingetragenes Warenzeichen von Linus Torvalds. Solaris ist ein Warenzeichen oder eingetragenes Warenzeichen von Sun Microsystems, Inc. AIX ist ein Warenzeichen oder eingetragenes Warenzeichen der International Business Machines Corporation. HP-UX ist ein Warenzeichen oder eingetragenes Warenzeichen der Hewlett-Packard Company. SSH und Secure Shell sind Warenzeichen von SSH Communications Security, Inc. Rendezvous und Mac OS X sind Warenzeichen oder eingetragene Warenzeichen von Apple Computer, Inc. Alle eingetragenen und nicht eingetragenen Warenzeichen in diesem Dokument sind Eigentum Ihrer jeweiligen Eigentümer.

Lizenz- und Patentinformationen Der IDEA-Kryptographiealgorithmus, der in US-Patent Nr. 5.214.703 beschrieben wird, wurde von der Ascom Tech AG lizensiert. Der Verschlüsselungsalgorithmus CAST-128, der im RFC 2144 beschrieben wird, ist weltweit für die kommerzielle und nicht-kommerzielle Nutzung ohne Lizenzgebühren freigegeben. Die PGP Corporation hat sich eine Lizenz auf die Patentrechte im Patentantrag des Aufsichtskomitees der University of California mit der Seriennummer 10/655.563 und dem Titel Block Cipher Mode of Operation for Constructing a Wide-blocksize block Cipher from a Conventional Block Cipher gesichert. Teile der Software von Drittanbietern, die in PGP Universal™ Server enthalten sind, stehen unter der Lizenz der GNU General Public License (GPL). PGP Universal Server als Ganzes steht nicht unter der GPL. Eine Kopie des Quellcodes der GPL-Software, die in PGP Universal Server enthalten ist, erhalten Sie beim PGP-Support (http://www.pgp.com/support). Die PGP Corporation verfügt u. U. über Patente oder schwebende Patentanmeldungen zum Gegenstand dieser Software oder zu ihrer Dokumentation; durch die Auslieferung dieser Software oder Dokumentation wird keine Lizenz auf diese Patente erteilt.

Danksagungen Dieses Produkt enthält u. U.: • Die Komprimierungscodes Zip und ZLib von Mark Adler und Jean-Loup Gailly, die mit Genehmigung der kostenlosen Info-ZIP-Implementierung, die von zlib (http://www.zlib.net) entwickelt wurde, verwendet werden. • Libxml2, XML-C-Parser und -Toolkit, die für das GNOME-Projekt entwickelt wurden und unter der MIT-Lizenz (http://www.opensource.org/licenses/mit-license.html) vertrieben und urheberrechtlich geschützt werden. Copyright © 2007, Open Source Initiative. • bzip2 1.0, ein kostenlos erhältliches, qualitativ hochwertiges Datenkomprimierungsprogramm, urheberrechtlich geschützt von Julian Seward, © 1996-2005. • Anwendungsserver (http://www.jakarta.apache.org/), Webserver (http://www.apache.org/), Jakarta Commons (http://jakarta.apache.org/commons/license.html) und log4j, eine Bibliothek auf Java-Basis zum Parsen von HTML, die von der Apache Software Foun-dation entwickelt wurde. Die Lizenz ist unter www.apache.org/licenses/LICENSE-2.0.txt zu finden. • Castor, ein quelloffenes Data-Binding-Framework, mit den Daten von XML in Java-Objekte und von Java in Datenbanken transferiert werden können, wird von der ExoLab Group unter einer Lizenz nach der Apache-Lizenz 2.0 veröffentlicht, die unter http://www.castor.org/license.html einsehbar ist. • Xalan, eine quelloffene Softwarebibliothek der Apache Software Foundation, die die Transformationssprache XSLT XML und die Abfragesprache XPath XML implementiert, wird gemäß der Apache Software License Version 1.1 veröffentlicht, verfügbar unter http://xml.apache.org/xalan-j/#license1.1. • Apache Axis ist eine Implementierung von SOAP (Simple Object Access Protocol), das für die Kommunikation zwischen verschiedenen PGP-Produkten verwendet wird, und ist unter der Apache-Lizenz unter der URL http://www.apache.org/licenses/LICENSE-2.0.txt abrufbar.• mx4j, eine quelloffene Implementierung der Java Ma-nagement Extensions (JMX), wird unter einer Lizenz nach der Apache-Lizenz veröffentlicht, die unter http://mx4j.sourceforge.net/docs/ch01s06.html abrufbar ist. • jpeglib Version 6a basiert teilweise auf den Arbeiten der Independent JPEG Group. (http://www.ijg.org/) • libxslt, eine XSLT-C-Bibliothek, die für das GNOME-Projekt entwickelt wurde und für XML-Transformationen verwendet wird, wird unter der MIT-Lizenz http://www.opensource.org/licenses/mit-license.html vertrieben wird. • PCRE Version 4.5 Perl-Compiler für reguläre Ausdrücke, von der University of Cambridge urheberrechtlich geschützt und vertrieben. ©1997-2006. Die Lizenz-vereinbarung findet sich unter http://www.pcre.org/license.txt. • BIND-Protokolle für Balanced Binary Tree Library und Domain Name System (DNS), von Internet Systems Consortium, Inc. entwickelt und urheberrechtlich geschützt. (http://www.isc.org) • Kostenlose BSD-Implementierung für Daemon von The FreeBSD Project entwickelt, © 1994-2006. • Simple Network Management Protocol Library, entwickelt und urheberrechtlich geschützt von Car-negie Mellon University © 1989, 1991, 1992, Networks Associates Technology, Inc, © 2001- 2003, Cambridge Broadband Ltd. © 2001- 2003, Sun Microsystems, Inc., © 2003, Sparta, Inc, © 2003-2006, Cisco, Inc und Information Network Center of Beijing University of Posts and Telecommunications, © 2004. Lizenzvereinbarung hierfür unter http://net-snmp.sourceforge.net/about/license.html. • NTP Version 4.2, entwickelt von Network Time Protocol und für verschiedene Beteiligte urheberrechtlich geschützt. • Lightweight Directory Access Protocol, entwickelt und urheberrechtlich geschützt von OpenLDAP Foundation. OpenLDAP ist eine quelloffene Implementierung des Lightweight Directory Access Protocol (LDAP). Copyright © 1999-2003, The OpenLDAP Foundation. Die Lizenzvereinbarung findet sich unter http://www.openldap.org/software/release/license.html. • Secure shell OpenSSH Version 4.2.1, entwickelt und veröffentlicht vom OpenBSD Project unter einer Lizenz nach BSD, verfügbar unter http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/LICENCE?rev=HEAD. • PC/SC Lite ist eine kostenlose Implementierung von PC/SC, einer Spezifikation für die Integration von Smartcards, die unter der BSD-Lizenz veröffentlicht wird. • Postfix, ein quelloffener E-Mail-Übertragungsagent (MTA), wird unter der IBM Public License 1.0 veröffentlicht, die unter http://www.opensource.org/licenses/ibmpl.php verfügbar ist. • PostgreSQL, ein kostenloses objektrelationales Da-tenbankverwaltungssystem, wird unter einer Lizenz nach BSD veröffentlicht, die unter http://www.postgresql.org/about/licence verfügbar ist. • PostgreSQL-JDBC-Treiber, ein kostenloses Java-Programm zum Verbindungsaufbau zu PostgreSQL-Datenbanken, das standardisierten, datenbank-unabhängigen Java-Code verwendet, (c) 1997-2005, PostgreSQL Global Development Group, wird unter einer Lizenz nach BSD veröffentlicht und ist unter http://jdbc.postgresql.org/license.html verfügbar. • PostgreSQL Regular Expression Library, ein kostenloses objektrelationales Datenbankverwaltungssystem, wird unter einer Lizenz nach BSD veröffentlicht, die unter http://www.postgresql.org/about/licence verfügbar ist. • 21.vixie-cron ist die Vixie-Version von cron, einem UNIX-Standarddaemon, der bestimmte Pro-gramme zu vorgegebenen Zeiten ausführt. Copyright © 1993, 1994, Paul Vixie; mit Genehmigung verwendet. • JacORB, ein Java-Objekt, das zur Ver-besserung der Kommunikation zwischen Prozessen, die in Java geschrieben wurden, und der Sicherungsschicht verwendet wird, wird quelloffen unter der GNU Library General Public License (LGPL) lizenziert, die unter http://www.jacorb.org/lgpl.html abgerufen werden kann. Copyright © 2006 The JacORB Project. • TAO (The ACE ORB) ist eine quelloffene Implementierung eines CORBA Object Request Broker (ORB) und wird zur Kommunikation zwischen Prozessen, die in C/C++ geschrieben

4

PGP® Desktop 9.9 für Windows Allgemeine Informationen über PGP Desktop 9.9 für Windows

wurden, und der Sicherungsschicht verwendet. Copyright (c) 1993-2006, Douglas C. Schmidt und seine Forschungsgruppe an der Washington University, der University of California, Irvine und der Vanderbilt University. Die quelloffene Softwarelizenz findet sich unter http://www.cs.wustl.edu/~schmidt/ACE-copying.html. • libcURL, eine Bibliothek zum Herunterladen von Dateien über gemeinsame Netzwerk-dienste, ist eine quelloffene Software, die unter einer Ableitung der MIT/X-Lizenz, die unter http://curl.haxx.se/docs/copyright.html zu finden ist, bereit-gestellt wird. Copyright (c) 1996-2007, Daniel Stenberg. • libuuid, eine Bibliothek zur Erstellung eindeutiger Bezeichner, wird unter einer Lizenz nach BSD veröffentlicht, die unter http://thunk.org/hg/e2fsprogs/?file/fe55db3e508c/lib/uuid/COPYING abrufbar ist. Copyright (C) 1996, 1997 Theodore Ts'o. • libpopt, eine Bibliothek, die Befehlszeilenoptionen parst, wird unter den Bestimmungen der GNU Free Documentation License, die unter http://directory.fsf.org/libs/COPYING.DOC abrufbar ist, veröffentlicht. Copyright © 2000-2003 Free Software Foundation, Inc. • gSOAP, ein Entwicklungstool für Windows Clients zur Kommunikation mit dem Intel Corporation AMT Chipset auf einer Systemplatine, wird unter der GNU Public License, verfügbar unter http://www.cs.fsu.edu/~engelen/soaplicense.html veröffentlicht. Windows Template Library (WRT) wird zum Entwickeln von Benutzerschnittstellen-Komponenten verwendet und unter der Common Public License v1.0, die unter http://opensource.org/licenses/cpl1.0.php zu finden ist, vertrieben. Das Perl Kit bietet mehrere unabhängige Tools, die zur Automatisierung verschiedener Wartungsfunktionen verwendet werden und unter der Perl Artistic License unter http://www.perl.com/pub/a/language/misc/Artistic.html abrufbar ist.

Exportinformationen Der Export dieser Software und ihrer Dokumentation unterliegt u. U. den entsprechenden Durchführungsbestimmungen des Bureau of Export Administration, United States Department of Commerce, die den Export und erneuten Export von bestimmten Produkten und technischen Daten einschränken.

Nutzungseinschränkungen Die Software, zu der diese Dokumentation gehört, wird Ihnen für die persönliche Nutzung zu den Bedingungen, die in der zur Software mitgelieferten Anwender-Lizenzvereinbarung (EULA) aufgeführt sind, lizenziert. Die Informationen in diesem Dokument können sich ohne Vorankündigung ändern. Die PGP Corporation garantiert nicht, dass diese Daten Ihre Anforderungen erfüllen oder dass sie fehlerfrei sind. Diese Informationen können technische Ungenauigkeiten oder Tippfehler enthalten. Diese Informationen können geändert werden und in neuen Ausgaben dieses Dokuments enthalten sein, falls dies ggf. von der PGP Corporation zur Verfügung gestellt wird.

i

Inhalt

Allgemeine Informationen über PGP Desktop 9.9 für Windows 1

Was ist neu in PGP Desktop für Windows Version 9.9 .................................................................2 Dieses Handbuch verwenden ........................................................................................................5

„Zentral verwaltete“ und „Einzelplatz“-Anwender .............................................................5 In diesem Handbuch verwendete Konventionen.................................................................6

Adressaten dieses Dokuments ......................................................................................................6 PGP Desktop lizenzieren ................................................................................................................7

Lizenzdetails prüfen .............................................................................................................7 Hilfe und Support .........................................................................................................................11

Informationen zum Produkt ...............................................................................................11 Kontaktaufnahme mit dem technischen Support ..............................................................11

Grundlagen von PGP Desktop 13

Grundbegriffe von PGP Desktop..................................................................................................13 PGP-Produktkomponenten ................................................................................................13 Begriffe, die in PGP Desktop verwendet werden..............................................................15

Konventionelle und asymmetrische Kryptographie......................................................................16 Mehr über Kryptographie erfahren ....................................................................................17

PGP Desktop erstmals verwenden..............................................................................................17

PGP Desktop installieren 21

Installation vorbereiten.................................................................................................................21 Systemvoraussetzungen....................................................................................................21 Kompatibilität mit Citrix und Terminaldiensten ..................................................................22

PGP Desktop installieren und konfigurieren ................................................................................22 Software installieren ..........................................................................................................22 Software-Upgrade..............................................................................................................23 Upgrade von Einzelplatzinstallationen auf zentral verwaltete PGP Desktop-Versionen ....24 Setup-Assistenten ausführen.............................................................................................24

PGP Desktop deinstallieren..........................................................................................................25 PGP Desktop-Installation von einem Computer auf einen anderen migrieren ............................25

Die PGP Desktop-Benutzeroberfläche 27

Auf PGP Desktop-Komponenten zugreifen..................................................................................27 Der PGP Desktop-Hauptbildschirm....................................................................................28 PGP-Symbol in der Taskleiste verwenden.........................................................................30 Kontextmenüs im Windows Explorer verwenden.............................................................32 Startmenü verwenden .......................................................................................................34

PGP Desktop Notifier-Warnungen ...............................................................................................35 PGP Desktop Notifier für Messaging.................................................................................35 PGP Desktop Notifier für Laufwerksfunktionen ................................................................39 Notifier aktivieren oder deaktivieren ..................................................................................40

ii

PGP® Desktop 9.9 für Windows Inhalt

PGP -Protokoll anzeigen ...............................................................................................................42

Verwendung von PGP Keys 45

Schlüssel anzeigen.......................................................................................................................45 Ein Schlüsselpaar erstellen ..........................................................................................................46

Passwörter .........................................................................................................................49 Ihren privaten Schlüssel schützen................................................................................................50

Schlüssel und Schlüsselbunde schützen ...........................................................................51 Ihren privaten Schlüssel sichern ........................................................................................52 Was passiert, wenn Sie Ihren Schlüssel verlieren?...........................................................52

Ihren öffentlichen Schlüssel verteilen..........................................................................................52 Ihren öffentlichen Schlüssel auf einem Keyserver ablegen...............................................53 Ihren öffentlichen Schlüssel per E-Mail-Nachricht senden ................................................54 Ihren öffentlichen Schlüssel in eine Datei exportieren ......................................................55 Von einer Smartcard direkt auf den Schlüsselbund einer anderen Person kopieren.........56

Öffentliche Schlüssel anderer Personen abrufen ........................................................................56 Öffentliche Schlüssel von einem Keyserver abrufen.........................................................57 Öffentliche Schlüssel aus E-Mail-Nachrichten übernehmen .............................................58

Mit Keyserver arbeiten.................................................................................................................58 Hauptschlüssel verwenden..........................................................................................................60

Schlüssel zur Hauptschlüsselliste hinzufügen ...................................................................60 Schlüssel aus der Hauptschlüsselliste löschen .................................................................61

PGP-Schlüssel verwalten 63

Schlüsseleigenschaften anzeigen und festlegen .........................................................................64 Foto-IDs hinzufügen und entfernen .............................................................................................65 Anwendernamen und E-Mail-Adressen in einem Schlüssel verwalten .......................................66 Schlüssel und X.509-Zertifikate importieren ................................................................................67

Den Assistenten für den Zertifikatimport verwenden .......................................................68 Ihr Passwort ändern .....................................................................................................................69 Schlüssel, Anwender-IDs und Signaturen löschen ......................................................................71 Öffentliche Schlüssel deaktivieren und aktivieren .......................................................................72 Einen öffentlichen Schlüssel verifizieren......................................................................................73 Einen öffentlichen Schlüssel signieren ........................................................................................74

Ihre Signatur von einem öffentlichen Schlüssel widerrufen..............................................76 Vertrauen für Schlüsselvalidierungen gewähren..........................................................................77 Mit Unterschlüsseln arbeiten .......................................................................................................78

Separate Unterschlüssel verwenden.................................................................................79 Unterschlüssel anzeigen ....................................................................................................80 Neue Unterschlüssel erstellen...........................................................................................81 Unterschlüssel widerrufen.................................................................................................82 Unterschlüssel entfernen...................................................................................................83

Mit ADKs arbeiten........................................................................................................................83 Einen ADK zu einem Schlüsselpaar hinzufügen ................................................................84 Einen ADK aktualisieren.....................................................................................................84 Einen ADK entfernen .........................................................................................................85

iii


Mit Widerrufern arbeiten..............................................................................................................85 Einen designierten Widerrufer zu einem Schlüssel hinzufügen ........................................85 Einen Schlüssel widerrufen ...............................................................................................86

Schlüssel teilen und wieder zusammenfügen .............................................................................87 Einen geteilten Schlüssel erstellen....................................................................................87 Geteilte Schlüssel wieder zusammenfügen ......................................................................88

Wenn Sie Schlüssel oder Passwort verloren haben ....................................................................91 Schlüssel mit PGP Universal wiederherstellen..................................................................91 Schlüssel bei einer Einzelplatzinstallation wiederherstellen ..............................................93 Ihr Passwort zurücksetzen.................................................................................................97

Ihre Schlüssel schützen ...............................................................................................................99

E-Mail-Nachrichten schützen 101

Wie PGP Desktop E-Mail-Nachrichten schützt ......................................................................... 101 Ankommende Nachrichten ............................................................................................. 103 Ausgehende Nachrichten................................................................................................ 104

Die Offline-Richtlinie verwenden .............................................................................................. 104 Dienste und Richtlinien ............................................................................................................. 105

Dienste und Richtlinien anzeigen.................................................................................... 106 Einen neuen Messaging-Dienst erstellen ....................................................................... 107 Eigenschaften des Messaging-Service bearbeiten......................................................... 113 Einen Service deaktivieren oder aktivieren ..................................................................... 113 Einen Dienst löschen ...................................................................................................... 114 Mehrere Dienste verwenden.......................................................................................... 114 Probleme mit den PGP Messaging-Diensten beheben .................................................. 115

Eine neue Sicherheitsrichtlinie erstellen ................................................................................... 117 Platzhalterzeichen und reguläre Ausdrücke in Richtlinien .............................................. 122 Informationen zu Sicherheitsrichtlinien und Beispiele.................................................... 123

Mit der Sicherheitsrichtlinienliste arbeiten................................................................................ 126 Eine Sicherheitsrichtlinie bearbeiten............................................................................... 126 Eine Mailing-Listen-Richtline bearbeiten......................................................................... 127 Eine Sicherheitsrichtlinie löschen ................................................................................... 132 Reihenfolge der Richtlinien in der Liste ändern .............................................................. 133

PGP Desktop und SSL .............................................................................................................. 133 Schlüsselmodi ........................................................................................................................... 135

Den Schlüsselmodus festlegen ...................................................................................... 136 Den Schlüsselmodus ändern .......................................................................................... 137

PGP-Protokoll anzeigen ............................................................................................................. 138

Sicheres Instant Messaging 141

Info zum PGP Desktop Instant Messaging-Support ................................................................. 141 Kompatibilität mit Instant Messaging Clients ................................................................. 142

iv


Info zu den für Verschlüsselung verwendeten Schlüsseln ....................................................... 143 IM-Sitzungen verschlüsseln ...................................................................................................... 143

Laufwerke mit PGP Whole Disk Encryption schützen 145

Info zu PGP Whole Disk Encryption .......................................................................................... 146 Wie unterscheidet sich PGP WDE von PGP Virtual Disk?.............................................. 147

PGP Whole Disk Encryption lizenzieren.................................................................................... 147 Lizenzablauf..................................................................................................................... 148

Laufwerk auf die Veschlüsselung vorbereiten .......................................................................... 149 Unterstützte Laufwerkstypen ......................................................................................... 150 Unterstützte Tastaturen .................................................................................................. 151 Die Laufwerksintegrität vor der Verschlüsselung sicherstellen...................................... 153 Wiederherstellungsdatenträger erstellen ....................................................................... 153 Berechnen Sie die Verschlüsselungsdauer..................................................................... 155 Netzbetrieb während der Verschlüsselung beibehalten ................................................. 156 Pilottest ausführen, um die Softwarekompatibilität sicherzustellen............................... 157

Authentifizierungsmethode für die Festplatte festlegen .......................................................... 158 Passwort und Einzelanmeldung...................................................................................... 158 Authentifizierung mit einem öffentlichen Schlüssel ....................................................... 159 Token-basierte Authentifizierung .................................................................................... 159 Zweifaktorielle Authentifizierung mit einem USB-Flash-Laufwerk ................................. 159 Trusted Platform Module (TPM)-Authentifizierung......................................................... 160

Verschlüsselungsoptionen einstellen........................................................................................ 161 Verschlüsselung auf Partitionsebene.............................................................................. 162 Smartcard oder Token zur Verwendung für Authentifizierung vorbereiten .................... 162 Die Optionen von PGP Whole Disk Encryption verwenden ........................................... 165

Eine Festplatte oder Partition verschlüsseln............................................................................. 167 Unterstütze Zeichen für PGP WDE-Passwörter ............................................................. 168 Die Festplatte verschlüsseln........................................................................................... 169 Laufwerksfehler während der Verschlüsselung ............................................................. 173

PGP WDE-verschlüsselte Laufwerke verwenden..................................................................... 174 Authentifizierung im PGP Bootguard-Bildschirm ............................................................ 175 Tastaturbelegungen auswählen...................................................................................... 178

PGP WDE-Einzelanmeldung verwenden................................................................................... 180 Voraussetzungen für die Verwendung der Einzelanmeldung ......................................... 181 Das Laufwerk für die Verwendung der Einzelanmeldung verschlüsseln........................ 181 Mehrere Anwender und Einzelanmeldung ..................................................................... 182 Mit Einzelanmeldung anmelden...................................................................................... 182 Ihr Passwort für die Einzelanmeldung ändern ................................................................ 182 Dialogfeld „Windows-Anmeldung“ anzeigen ................................................................. 183

Den Schutz Ihrer Festplatte aufrechterhalten ........................................................................... 183 Laufwerks- und Partitionsinformationen abrufen............................................................ 184 Die Funktion „Umgehen“ verwenden............................................................................ 185 Andere Anwender zu verschlüsselten Laufwerken oder Partitionen hinzufügen........... 185 Anwender von verschlüsselten Laufwerken oder Partitionen löschen .......................... 186 Anwender-Passwörter ändern ........................................................................................ 187 Verschlüsselte Laufwerke oder Partitionen umschlüsseln............................................. 189

v


Automatische Sicherungssoftware auf einem PGP WDE-verschlüsselten Laufwerk verwenden ...................................................................................................................... 189 PGP Desktop von verschlüsselten Laufwerken oder Partitionen deinstallieren............. 190

Mit Wechsellaufwerken arbeiten .............................................................................................. 190 Wechsellaufwerke verschlüsseln ................................................................................... 191 Gesperrte (schreibgeschützte) Laufwerke als schreibgeschützte Laufwerke verwenden192 Wechselplattenlaufwerke in anderen Systemen verwenden......................................... 193 Verschlüsselten Wechseldatenträger neu formatieren .................................................. 194

PGP-WDE in einer mit PGP Universal-Server verwalteten Umgebung verwenden ................. 194 Administration von PGP Whole Disk Encryption ............................................................ 195 Wiederherstellungs-Token erstellen ............................................................................... 196 Wiederherstellungs-Token verwenden........................................................................... 197

Daten von einem verschlüsselten Laufwerk wiederherstellen................................................. 197 PGP WDE-verschlüsselte Laufwerke entschlüsseln................................................................. 198 Spezielle Sicherheitsfunktionen von PGP Desktop................................................................... 201 Das Windows Preinstallation Environment verwenden............................................................ 201

PGP Whole Disk Encryption mit IBM Lenovo ThinkPad Systemen verwenden ............ 201 PGP Whole Disk Encryption mit Microsoft Windows XP-Wiederherstellungskonsole verwenden ...................................................................................................................... 202

PGP Virtual Disk-Laufwerke verwenden 204

Info zu PGP Virtual Disk-Laufwerken ........................................................................................ 205 Neues PGP Virtual Disk-Laufwerk erstellen.............................................................................. 206 Die Eigenschaften eines PGP Virtual Disk-Laufwerks anzeigen ............................................... 209 PGP Virtual Disk-Laufwerke suchen.......................................................................................... 210 Ein aktiviertes PGP Virtual Disk-Laufwerk verwenden.............................................................. 211

PGP Virtual Disk-Laufwerk aktivieren ............................................................................. 211 PGP Virtual Disk-Laufwerk deaktivieren ......................................................................... 212 PGP Virtual Disk-Laufwerk komprimieren....................................................................... 212 PGP Virtual Disk-Laufwerke umschlüsseln..................................................................... 213

Arbeiten mit alternativen Benutzern ......................................................................................... 214 Alternative Benutzerkonten zu einem PGP Virtual Disk-Laufwerk hinzufügen............... 214 Alternative Benutzerkonten von einem PGP Virtual Disk-Laufwerk löschen.................. 215 Alternative Benutzerkonten deaktivieren und aktivieren ................................................ 216 Lese-/Schreib- und Schreibschutzstatus ändern............................................................. 216 Einem alternativen Benutzer Administratorstatus gewähren ......................................... 217

Anwender-Passwörter ändern .................................................................................................. 218 PGP Virtual Disk-Laufwerke löschen......................................................................................... 218 PGP Virtual Disk-Laufwerk pflegen ........................................................................................... 219

PGP Virtual Disk-Laufwerke auf einem entfernten Server aktivieren ............................. 219 PGP Virtual Disk-Laufwerke sichern ............................................................................... 220 PGP Virtual Disk-Laufwerke austauschen....................................................................... 220

PGP Virtual Disk-Verschlüsselungsalgorithmen ........................................................................ 221 Spezielle Sicherheitsfunktionen von PGP Virtual Disk .............................................................. 222

Passwortlöschung........................................................................................................... 222 Schutz des virtuellen Speichers ...................................................................................... 222 Ruhezustand ................................................................................................................... 222

vi


Schutz statischer Schlüssel im Speicher ........................................................................ 223 Weitere Sicherheitsaspekte............................................................................................ 223

PGP NetShare verwenden 225

Info zu PGP NetShare................................................................................................................ 226 PGP NetShare-Rollen ...................................................................................................... 228

PGP NetShare lizenzieren ......................................................................................................... 229 Autorisierte Benutzerschlüssel ................................................................................................. 230 Einen PGP NetShare Administrator (Eigentümer) einrichten.................................................... 230 „Positiv gelistete“ und „Negativ gelistete“ Dateien, Ordner und Anwendungen ................... 230

dateien„Negativ gelistete“ und andere Dateien, die Sie nicht schützen können .......... 231 „Negativ“ und "„Positiv“ gelistete Anwendungen......................................................... 232

Mit geschützten Ordnern arbeiten ............................................................................................ 233 Den Speicherort für einen geschützten Ordner auswählen ........................................... 233 Einen neuen geschützten PGP NetShare-Ordner erstellen ............................................ 236 Mit Dateien in einem geschützten PGP NetShare-Ordner arbeiten ............................... 242 Einen geschützten Ordner entsperren............................................................................ 242 Die Dateien in einem geschützten Ordner ermitteln ...................................................... 244 Unterordner zu einem geschützten Ordner hinzufügen ................................................. 244 Den Ordnerstatus überprüfen......................................................................................... 245 Geschützte Ordner an andere Speicherorte kopieren .................................................... 246

Mit berechtigten Benutzern arbeiten ........................................................................................ 246 Einen PGP NetShare-Benutzer hinzufügen..................................................................... 247 Die Rolle eines Benutzers ändern................................................................................... 248 Einen Benutzer aus einem geschützten Ordner löschen ............................................... 249

PGP NetShare-Zugangslisten importieren ................................................................................ 251 Mit Active Directory-Gruppen arbeiten ..................................................................................... 251

PGP NetShare für Gruppen einrichten............................................................................ 252 Gruppen aktualisieren ..................................................................................................... 252

Einen Ordner entfernen ............................................................................................................ 253 Einen Ordner umschlüsseln ...................................................................................................... 254 Ein Passwort löschen................................................................................................................ 255 Dateien außerhalb eines geschützten Ordners schützen ......................................................... 255 Auf PGP NetShare-Funktionen mithilfe des Kontextmenüs zugreifen ..................................... 257 PGP NetShare in einer von PGP Universal verwalteten Umgebung......................................... 258 Zugriff auf die Eigenschaften geschützter Dateien oder Ordner .............................................. 259 Verwenden der PGP NetShare-Menüs in PGP Desktop ........................................................... 260

Menü Datei ..................................................................................................................... 260 Menü Bearbeiten ............................................................................................................ 260 Menü NetShare............................................................................................................... 261

PGP Zip verwenden 263

Übersicht ................................................................................................................................... 263 PGP Zip-Archive erstellen.......................................................................................................... 264

In Empfängerschlüssel verschlüsseln............................................................................. 269 Verschlüsseln mit Passwort............................................................................................ 274

vii


Ein PGP Selbstentschlüsselndes Archiv (SDA) erstellen................................................ 277 Erstellen eines Archivs nur mit Signatur......................................................................... 280

Ein PGP Zip-Archiv öffnen ......................................................................................................... 283 Ein PGP Zip-SDA öffnen............................................................................................................ 284 Ein PGP Zip-Archiv bearbeiten .................................................................................................. 284 Signierte PGP Zip-Archive prüfen.............................................................................................. 286

Dateien mit PGP Shredder sicher löschen 289

Dateien und Ordner mit PGP Shredder dauerhaft löschen....................................................... 289 Dateien mithilfe des PGP Shredder-Symbols auf Ihrem Desktop sicher löschen .......... 291 Dateien aus PGP Desktop sicher löschen ...................................................................... 291 Dateien aus Windows Explorer sicher löschen .............................................................. 291

Einsatz des PGP Shred-Assistenten für freien Speicherplatz ................................................... 292 Sicheres Löschen des freien Speicherplatzes planen..................................................... 293

Speichern von Schlüsseln auf Smartcards und Token 297

Grundlegendes zu Smartcards und Token ................................................................................ 298 Unterstützte Smartcards................................................................................................. 299 Smartcards erkennen...................................................................................................... 300

Smartcard-Eigenschaften untersuchen..................................................................................... 301 Ein PGP-Schlüsselpaar auf einer Smartcard generieren ........................................................... 302 Den öffentlichen Schlüssel von einer Smartcard auf einen Schlüsselbund kopieren............... 304 Ein Schlüsselpaar von Ihrem Schlüsselbund auf eine Smartcard kopieren .............................. 304 Schlüssel von der Smartcard sicher löschen ............................................................................ 306 Mehrere Smartcards verwenden .............................................................................................. 307 Sonder-Token ............................................................................................................................ 308

Aladdin eToken konfigurieren ......................................................................................... 308

Einstellen der PGP Desktop-Optionen 311

Zugriff auf das Dialogfenster „PGP-Optionen“......................................................................... 311 Allgemeine Optionen ................................................................................................................ 312 Schlüsseloptionen ..................................................................................................................... 314 Hauptschlüsseloptionen............................................................................................................ 318 Messaging-Optionen................................................................................................................. 319

Proxy-Optionen ............................................................................................................... 321

viii


PGP NetShare-Optionen ........................................................................................................... 326 Laufwerksoptionen.................................................................................................................... 328 Notifier-Optionen....................................................................................................................... 330 Erweiterte Optionen.................................................................................................................. 333

Mit Passwörtern und Passphrasen arbeiten 335

Entscheidung über die Verwendung eines Passwortes oder einer Passphrase....................... 336 Die Passwort-Qualitätsanzeige ................................................................................................. 336 Starke Passwörter erstellen ...................................................................................................... 337 Was geschieht, wenn Sie Ihr Passwort vergessen?................................................................. 339

PGP Desktop mit PGP Universal Server verwenden 341

Übersicht ................................................................................................................................... 342 Für PGP-Administratoren .......................................................................................................... 343

Messaging mit Lotus Notes und MAPI 345

Grundlegendes zur Unterstützung von Lotus Notes und MAPI ............................................... 345 PGP Desktop mit Lotus Notes verwenden............................................................................... 346

E-Mails an Empfänger in einem Lotus Notes-Unternehmen senden............................. 346 E-Mails an Empfänger außerhalb eines Lotus Notes-Unternehmens senden ............... 346

An einen Universal Server binden ............................................................................................. 347 Vorbindung...................................................................................................................... 347 Manuelle Bindung ........................................................................................................... 347

Notes-Adressen......................................................................................................................... 348 Client-Einstellungen in Notes .................................................................................................... 349

Die Konfigurationsdatei Notes .ini................................................................................... 349

Stichwortverzeichnis 350

1

PGP® Desktop ist eine Sicherheitslösung, die Ihre Daten mittels Kryptographie vor unbefugtem Zugriff schützt.

PGP Desktop schützt Ihre Daten, wenn sie per E-Mail oder Instant Messaging (IM) gesendet werden. Sie können die gesamte Festplatte oder Partition verschlüsseln, damit alle Daten ständig geschützt sind, oder nur einen Teil der Festplatte mithilfe eines virtuellen Laufwerks, um hier Ihre vertraulichsten Daten sicher zu speichern. Sie können Ihre Dateien und Ordner sicher mit anderen Anwendern im Netzwerk gemeinsam nutzen. Beliebige Kombinationen von Dateien und Ordnern können in einem verschlüsselten Paket komprimiert werden, um sie auf einfache Weise weiterzugeben oder zu sichern. Außerdem können Sie mit PGP Desktop vertrauliche Dateien sicher löschen (damit kein Zugriff mehr möglich ist) sowie den freien Speicherplatz auf der Festplatte überschreiben, damit keine unsicheren Dateifragmente zurückbleiben.

Mit PGP Desktop können Sie PGP-Schlüsselpaare erstellen sowie Ihre privaten Schlüsselpaare und die öffentlichen Schlüssel der anderen Anwender verwalten.

Damit Sie PGP Desktop bestmöglich nutzen können, sollten Sie sich zuerst mit den Grundbegriffen von PGP Desktop (auf Seite 13) vertraut machen. Außerdem ist Grundwissen zu konventioneller und asymmetrischer Kryptographie notwendig. Weitere Informationen hierzu finden Sie unter Konventionelle und asymmetrische Kryptographie (auf Seite 16).

Kapitelinhalt

Neuerungen in PGP Desktop für Windows Version 9.9............................ 1 Dieses Handbuch verwenden ................................................................... 5 Adressaten dieses Dokuments ................................................................. 6 PGP Desktop lizenzieren ........................................................................... 7 Hilfe und Support..................................................................................... 11

1 Allgemeine Informationen

über PGP Desktop 9.9 für

Windows

2


Was ist neu in PGP Desktop für Windows Version 9.9

PGP Desktop 9.9 für Windows baut auf der bewährten PGP-Technologie auf und weist die folgenden neuen und verbesserten Leistungsmerkmale auf:

Allgemeines

Änderungen an der Anwenderoberfläche zur Einhaltung des

amerikanischen Behindertengleichstellungsgesetzes (ADA). Die Einhaltung der Bestimmungen des amerikanischen Behindertengleichstellungsgesetzes (Americans with Disabilities Act - ADA) bezüglich eines zugänglichen Entwurfs wird auch in dieser Version weiter verbessert. PGP Universal Server beinhaltet nun Tastenkürzel für alle Aktionen in PGP Universal Web Messenger und PGP Verified Directory Web-Seiten. Die PDF-Dokumentation für alle PGP-Produkte in dieser Version ist mit Tags versehen, um Anwendern die technische Hilfsmittel verwenden das Lesen und Zurechtfinden in der Dokumentation zu erleichtern.

PGP NetShare

PGP NetShare für Umgebungen mit mehreren Anwendern. PGP NetShare ist nun mit gewissen Microsoft Terminal Services und Citrix Presentation Server-Umgebungen kompatibel.

PGP NetShare Anwendungsverschlüsselungsrichtlinie. PGP NetShare weitet die verwaltete Unterstützung nun auf die auf Richtlinien basierte Verschlüsselung nach Anwendung aus. Ein Beispiel für dieses Leistungsmerkmal wäre, alle Anwender in der Finanzabteilung so zu konfigurieren, dass alle mit Microsoft Excel erstellten Dokumente automatisch von PGP NetShare verschlüsselt werden, wohingegen die Microsoft Word-Dokumente, die von Anwendern in der Rechtsabteilung erstellt wurden, geschützt werden.

PGP Whole Disk Encryption

PGP WDE BootGuard-Sperre. PGP Universal Server erlaubt nun dem Administrator eine PGP WDE BootGuard-Sperre (Lockout) zu erzwingen, wobei PGP BootGuard den Zugang zum System sperrt, sobald ein Anwender die festgelegte Höchstzahl von fehlgeschlagenen Authentisierungsversuchen durchgeführt hat.

PGP WDE Erweiterte Verwaltung von beschädigten Sektoren. Wenn PGP Whole Disk Encryption in verwalteten Umgebungen bei der Verschlüsselung auf beschädigte Sektoren trifft, wird dieses Ereignis ohne Fehlermeldung protokolliert, die Verschlüsselung fortgesetzt und der beschädigte Sektor dem Universal Server gemeldet. Weitere Informationen zu bewährten PGP WDE-Methoden zur Vorbereitung von Laufwerken können Sie dem PGP Desktop Anwenderhandbuch entnehmen.

3


Erweiterte PGP WDE-Richtlinie. Administratoren können nun eine sehr weitreichende Kontrolle über die Berechtigungen der Endanwender von PGP Whole Disk Encryption ausüben. Ein Administrator kann jetzt Startlaufwerksfunktionen von Wechseldatenträgerfunktionen getrennt verwalten, indem er zum Beispiel die Verschlüsselung eines Startlaufwerks unterbinden, aber gleichzeitig die Ver- und Entschlüsselung von Wechseldatenträgern erlauben kann.

Computername auf dem PGP BootGuard-Bildschirm. Der Computername sowie die ID (wie sie im Dialogfeld „Systemeigenschaften“ angegeben wurden) können nun auf dem PGP BootGuard-Bildschirm angezeigt werden, damit der System-Anwender sofort sehen kann, welcher Computer gerade verwendet wird. Da der Anwender somit in der Lage ist, diese Information weiterzugeben, kann der PGP Universal Server-Administrator oder ein Helpdesk-Mitarbeiter dem Anwender nun problemlos das richtige Wiederherstellungs-Token bereitstellen.

Erweiterte Tastaturunterstützung. PGP Whole Disk Encryption hat die Unterstützung auf die folgenden regionalen Tastaturen ausgeweitet:

Belgisch

Bosnisch, Kroatisch, Serbisch und Slovenisch

Chinesisch Vereinfacht (China/Singapur)

Chinesisch Traditionell (Hong Kong/Taiwan)

Dänisch

Englisch

Englisch (USA International)

Estnisch

Finnisch

Französisch

Französisch (Kanada)

Französisch (Schweiz)

Deutsch

Deutsch (Deutscland/Österreich)

Deutsch (Schweiz)

Irisch

Isländisch

Italienisch

Japanisch

Kanadisch Multilingual (Standard)

Koreanisch

4


Niederländisch

Norwegisch

Polnisch

Portugiesisch (Brasilien)

Portugiesisch (Portugal)

Rumänisch

Schwedisch

Spanisch

Spanisch (Lateinamerika)

Spanisch (Variation)

Tschechisch (QWERTY)

Ungarisch

PGP Messaging

Steuerelemente der Offline-Richtlinie. Administratoren können nun Richtlinien für Offline-Anwender durchsetzen, indem sie festlegen, was mit E-Mail-Nachrichten passieren soll, wenn der PGP Universal Server von PGP Desktop nicht erreicht werden kann. Zu den Optionen zählen: ausgehende Nachrichten blockieren, ausgehenden Nachrichten im Klartext senden oder Anwendern erlauben lokal definierte Richtlinien zu befolgen. Wahlweise kann ein dem PGP Notifier ähnliches Fenster angezeigt werden, um den Anwender davon in Kenntnis zu setzen, dass die Richtlinie nicht umgesetzt werden konnte, und ihm die Entscheidung zu überlassen, ob die Nachricht ungesichert gesendet werden soll oder nicht. Sollte bei einem Client die Offline-Umgehungsfunktion eingesetzt werden, so wird das vom PGP Universal Server protokolliert.

PGP Universal Richtlinienprotokollierung

Rich-Client-Richtlinienprotokollierung. PGP Universal Server protokolliert nun eine Vielzahl von Informationen über den Empfang und die Verwendung der auf den Client heruntergeladenen Richtlinien. Zu diesen Informationen gehört auch eine Liste der aktivierten PGP Desktop-Module, Lizenzinformationen für den Client sowie die Verarbeitungspräferenzen für die Verschlüsselung von PGP NetShare-Ordnern (das heisst festgelegte schwarze und weisse Listen für den Client).

Erweiterte zentralisierte Ereignisprotokollierung. PGP Universal Server bietet nun eine erheblich erweiterte Berichterstellung über die Verwendung von PGP Whole Disk Encryption auf Client-Systemen. Zu den nun bereitgestellten Informationen zählen der Name des Anwenders und die primäre E-Mail-Adresse des Systems, letzter Zugriff des Anwenders, die verwendete PGP Desktop-Version sowie weitere System-spezifische Informationen.

5


Dieses Handbuch verwenden

In diesem Handbuch finden Sie Informationen zur Konfiguration und zur Verwendung von Komponenten in PGP Desktop. Jedes Kapitel dieses Handbuchs widmet sich einer Komponente von PGP Desktop.

„Zentral verwaltete“ und „Einzelplatz“-Anwender

Mit einem PGP Universal Server können die Richtlinien und Einstellungen der Komponenten von PGP Desktop gesteuert werden. Diese Funktion wird häufig in Unternehmen genutzt, die PGP-Software verwenden. PGP Desktop-Anwender werden in dieser Konfiguration als zentral verwaltete Anwender bezeichnet, da die Einstellungen und Richtlinien, die in deren PGP Desktop-Software zur Verfügung stehen, von einem PGP-Administrator vorkonfiguriert wurden und über einen PGP Universal Server zentral verwaltet werden. Wenn Sie sich in einer zentral verwalteten Umgebung befinden, gibt es in Ihrem Unternehmen u. U. spezifische Benutzungsanforderungen. So kann z. B. zentral verwalteten Anwendern das Versenden von Klartext-E-Mails erlaubt oder verboten werden, oder sie müssen ihre Laufwerke mit PGP Whole Disk Encryption verschlüsseln.

Anwender, die nicht über einen PGP Universal Server verwaltet werden, werden Einzelplatzanwender genannt.

In diesem Dokument wird beschrieben, wie PGP Desktop in beiden Situationen funktioniert; zentral verwaltete Anwender können jedoch u. U. während des Umgangs mit dem Produkt feststellen, dass einige Einstellungen, die in diesem Dokument beschrieben werden, in ihrer Umgebung nicht verfügbar sind. Weitere Informationen finden Sie unter PGP Desktop mit PGP Universal Server verwenden (auf Seite 341).

Hinweis: Verweise auf mit PGP Universal zentral verwaltete Umgebungen gelten nicht für die Produkte PGP® Virtual Disk und PGP® Virtual Disk Professional.

Funktionen, die von Ihrem PGP Universal-Administrator angepasst wurden

Wenn Sie PGP Desktop als „zentral verwalteter“ Anwender in einer zentral mit PGP Universal verwalteten Umgebung verwenden, können einige Einstellungen von Ihrem Administrator festgelegt werden. Durch diese Einstellungen ändert sich u. U. die Anzeige bestimmter Funktionen in PGP Desktop.

Deaktivierte Funktionen. Ihr PGP Universal-Administrator kann bestimmte Funktionen aktivieren oder deaktivieren. So kann Ihr Administrator z. B. die Möglichkeit deaktivieren, mit PGP NetShare geschützte Ordner zu erstellen.

6


Wenn eine Funktion deaktiviert wurde, wird das Bedienelement auf der linken Seite nicht angezeigt und das Menü für diese Funktion steht nicht zur Verfügung. Die in diesem Handbuch enthaltenen Abbildungen zeigen die Standardinstallation, bei der alle Funktionen aktiviert sind. Die Schnittstelle von PGP Desktop sieht u. U. anders aus, wenn Ihr Administrator die verfügbaren Funktionen angepasst hat.

Anwenderdefinierter BootGuard. Wenn Sie PGP Desktop in einer mit PGP Universal zentral verwalteten Umgebung einsetzen, hat Ihr PGP-Administrator u. U. den BootGuard-Bildschirm von PGP Whole Disk Encryption so angepasst, dass zusätzlicher Text oder ein benutzerdefiniertes Bild (z. B. das Logo Ihres Unternehmens) angezeigt wird. Die in diesem Handbuch enthaltenen Abbildungen zeigen die Standardinstallation. Ihr tatsächlicher Anmeldebildschirm sieht möglicherweise anders aus, wenn er vom Administrator angepasst wurde.

In diesem Handbuch verwendete Konventionen

Hinweise, Vorsichtsmaßnahmen und Warnungen werden folgendermaßen verwendet.

Hinweis: Hinweise enthalten zusätzliche, wichtige Informationen. Ein Hinweis lenkt Ihre Aufmerksamkeit auf wichtige Aspekte des Produkts. Durch das Lesen der Hinweise können Sie das Produkt besser verwenden.

Achtung: Mit Achtung gekennzeichnete Vorsichtsmaßnahmen zeigen die Möglichkeit von Datenverlusten oder kleineren Sicherheitsverletzungen an. Ein solcher Warnhinweis informiert Sie über Situationen, in denen Probleme auftreten können, sofern keine Vorsichtsmaßnahmen getroffen werden. Beachten Sie Vorsichtsmaßnahmen unbedingt.

Warnung: Warnungen zeigen die Möglichkeit schwerwiegender Datenverluste oder umfangreicher Sicherheitsverletzungen an. Eine Warnung bedeutet, dass schwerwiegende Probleme entstehen können, sofern Sie keine geeigneten Maßnahmen treffen. Bitten nehmen Sie Warnungen sehr ernst.

Adressaten dieses Dokuments

Dieses Dokument ist für alle Personen bestimmt, die PGP Desktop für Windows zum Schutz ihrer Daten verwenden werden.

Hinweis: Wenn Sie keine Erfahrungen mit Kryptographie haben und einen Überblick über die Grundbegriffe und Konzepte von PGP Desktop wünschen, finden Sie weitere Informationen unter Eine Einführung in die Kryptographie. Dieses Dokument wurde bei der Installation von PGP Desktop auf Ihrem System installiert.

7


PGP Desktop lizenzieren

Die Funktionalität Ihrer PGP-Software wird mittels einer Lizenz aktiviert. Diese Lizenz legt gleichzeitig das Ablaufdatum der Software fest. Je nach Lizenz können einige oder alle Anwendungen der PGP Desktop-Produktfamilie genutzt werden. Nach der Eingabe der Lizenzinformationen müssen Sie die Software von der PGP Corporation (manuell oder online) aktivieren lassen.

Sie haben folgende Möglichkeiten, eine Lizenz für PGP Desktop zu erhalten:

Wenn Sie in einer zentral verwalteten Umgebung arbeiten, besitzen Sie wahrscheinlich bereits eine lizenzierte Kopie von PGP Desktop. Überprüfen Sie die Lizenzdetails wie unter Lizenzdetails prüfen (auf Seite 7) beschrieben. Falls Sie Fragen haben, wenden Sie sich an Ihren PGP-Administrator.

Wenn Sie ein Einzelplatzanwender oder ein PGP-Administrator sind, können Sie Ihre Lizenzdetails wie in Lizenzdetails prüfen (auf Seite 7) beschrieben prüfen. Wenn Ihre Version von PGP Desktop aktiviert werden muss, folgen Sie den Anweisungen unter PGP Desktop für Windows aktivieren (auf Seite 8).

Lizenzdetails prüfen

So zeigen Sie die Details Ihrer PGP Desktop-Lizenz an

1 Doppelklicken Sie auf das PGP Desktop-Symbol in der Taskleiste.

2 Klicken Sie auf Hilfe > Lizenz. Das Dialogfenster „PGP Desktop-Lizenz“ wird angezeigt.

8


In diesem Dialogfenster werden folgende Details angezeigt:

Objekt Beschreibung

Lizenztyp Der Name des lizenzierten Produkts.

Lizenzplätze Die Anzahl der Plätze, für die diese Lizenz gilt.

Lizenzablauf Das Datum, an dem die Lizenz abläuft.

Produktinformationen Die Komponenten, die mit der Lizenz aktiviert werden. Wenn Sie mit der Maus über den Produktnamen fahren, werden Informationen zum Produkt angezeigt. Hier erfahren Sie auch, ob Sie derzeit über eine Lizenz zur Nutzung des Produkts verfügen.

Hinweis: Wenn Sie Ihre Kopie von PGP Desktop nicht aktivieren, steht nur eine begrenzte Anzahl von Funktionen zur Verfügung (PGP® Zip und PGP Keys).

PGP Desktop für Windows aktivieren

Wenn Sie eine neue Lizenznummer angeben müssen oder die Lizenzaktivierung während der Konfiguration übersprungen haben, führen Sie die nachstehenden Schritte aus, um die Software zu aktivieren.

9


Hinweis: Stellen Sie zunächst sicher, dass eine Verbindung zum Internet besteht. Sollten Sie nicht über eine Internetverbindung verfügen, müssen Sie einen Antrag auf manuelle Aktivierung stellen.

Vor der Aktivierung

Nach dem Kauf von PGP Desktop haben Sie eine E-Mail mit der Auftragsbestätigung und einer PDF-Datei als Anlage erhalten.

1 Notieren Sie Name, Unternehmen und Lizenznummer, die in dieser E-Mail angegeben sind. Diese Daten finden Sie im Abschnitt Wichtiger Hinweis in der PDF-Datei. Sie benötigen diese Daten für das Lizenzierungsverfahren.

Während der Konfiguration von PGP Desktop müssen Sie den Namen, das Unternehmen, die E-Mail-Adresse und die Lizenznummer eingeben, damit Ihre Kopie der PGP Desktop-Software beim Lizenzaktivierungsserver der PGP Corporation aktiviert werden kann.

Hinweis: Die Lizenznummer befindet sich auch auf der Download-Seite Ihres PGP-Produkts.

Doppelklicken Sie auf das PGP Desktop-Symbol in der Taskleiste.

2 Klicken Sie auf Hilfe > Lizenz. Das Dialogfenster „PGP Desktop-Lizenz“ wird angezeigt.

3 Klicken Sie auf Lizenz ändern. Das Dialogfeld „PGP-Lizenzassistent“ wird angezeigt.

10


4 Geben Sie den Namen und das Unternehmen genau wie in der PDF-Datei der PGP-Auftragsbestätigungs-E-Mail ein. Diese Daten finden Sie im Abschnitt Wichtiger Hinweis in der PDF-Datei. Sollte die PDF-Datei keinen Abschnitt mit der Überschrift Wichtiger Hinweis enthalten, werden der Name und das Unternehmen verwendet, die Sie bei Ihrem ersten Aktivierungsversuch angeben.

5 Geben Sie die E-Mail-Adresse ein, die Sie zur Lizenzierung des Produkts verwenden möchten.

6 Geben Sie die E-Mail-Adresse zur Bestätigung erneut ein.

Hinweis: Wenn Sie diese Lizenznummer bereits früher aktiviert haben, müssen Sie unter Name, Unternehmen und E-Mail-Adresse dieselben Angaben machen wie bei der ersten Aktivierung. Falls Sie andere Informationen eingeben, schlägt die Aktivierung fehl.

7 Klicken Sie auf Weiter.

8 Führen Sie einen der folgenden Schritte aus:

Geben Sie Ihre 28-stellige Lizenznummer in die dafür vorgesehenen Felder ein (z. B. DEMO1-DEMO2-DEMO3-DEMO4-DEMO5-ABC).

Hinweis: Um Tippfehler zu vermeiden und die Aktivierung zu vereinfachen, können Sie die komplette Lizenznummer kopieren. Setzen Sie dann den Cursor in das erste Lizenznummerfeld und fügen Sie den kopierten Eintrag ein. Die Lizenznummer wird dann automatisch in alle sechs Felder eingefügt.

Um eine einmalige 30-Tage-Evaluierungsversion von PGP Desktop anzufordern, wählen Sie Fordern Sie eine einmalige 30-Tage-

Evaluierung von PGP Desktop an. Wenn Sie eine Lizenz erwerben, könne Sie die Lizenznummer jederzeit vor Ablauf der 30-tägigen Evaluierungszeit eingeben. Falls Sie keine gültige Lizenz eingeben, wird PGP Desktop nach Ablauf der 30-tägigen Evaluierung auf die nicht lizenzierten Funktionen zurückgesetzt.

Um eine PGP Desktop-Lizenz zu kaufen, wählen Sie Erwerben Sie

jetzt eine Lizenznummer aus. Ein Web-Browser öffnet sich und der PGP-Online-Store wird angezeigt.

Um PGP Desktop ohne Lizenz zu verwenden, wählen Sie Ohne

Lizenz verwenden und die meisten Funktionen deaktivieren. Die einzigen Funktionen von PGP Desktop, die ohne Lizenz genutzt werden können, sind PGP Zip und PGP Keys.

9 Klicken Sie zur Aktivierung auf Weiter.

10 Wenn PGP aktiviert wurde, werden die Funktionen angezeigt, die durch die Lizenz aktiviert wurden. Klicken Sie auf Weiter und dann auf Beenden, um den Vorgang abzuschließen.

11


Lizenzaktivierungsfehler beheben

Fehler, die während der Aktivierung der Software gemeldet werden, müssen entsprechend ihrer Ursache behoben werden. Lösungsvorschläge zu aufgetretenen Fehlern finden Sie im Abschnitt HOW-TO:License PGP Desktop 9.x auf dem PGP Support Portal (https://support.pgp.com).

Hilfe und Support

Nachstehend finden Sie Hinweise auf weitere Ressourcen, die Ihnen zur Verfügung stehen.

Informationen zum Produkt

Sofern nicht anders angegeben, wird die Produktdokumentation in Form von Adobe Acrobat-PDF-Dateien bereitgestellt, die zusammen mit PGP Desktop installiert werden.

Nach der Veröffentlichung von PGP Desktop werden zusätzliche Informationen zum Produkt im Internet in der Wissensdatenbank auf dem PGP Corporation Support Portal (https://support.pgp.com) veröffentlicht.

Kontaktaufnahme mit dem technischen Support

Wenn Sie sich über die PGP-Supportoptionen informieren oder Kontakt mit dem technischen Support der PGP Corporation aufnehmen möchten, besuchen Sie bitte die PGP Corporation Support Home Page (http://www.pgp.com/support).

Auf der Website des PGP Support-Portals (https://support.pgp.com) können Sie auf die PGP Support-Wissensdatenbank zugreifen und technischen Support von der PGP Corporation anfordern. Beachten Sie, dass Sie

bestimmte Teile der PGP Support Knowledge Base ohne Support-

Vertrag nutzen können; Technische Unterstützung erhalten jedoch nur

Kunden, die über einen gültigen Support-Vertrag verfügen.

Alle weiteren Kontaktinformationen zur PGP Corporation finden Sie auf der PGP Kontaktseite (http://www.pgp.com/company/contact/index.html).

Allgemeine Informationen über die PGP Corporation finden Sie auf der PGP-Website (http://www.pgp.com).

Über die Website PGP Support (http://forums.pgpsupport.com) können Sie auf die PGP Support-Foren zugreifen. Hierbei handelt es sich um Support-Foren der Anwendergemeinde, die von der PGP Corporation gehostet werden.

12


13

In diesem Abschnitt werden die Grundbegriffe von PGP Desktop beschrieben und einige wichtige Grundlagen zur Kryptographie erläutert.

Kapitelinhalt

Grundbegriffe von PGP Desktop ............................................................. 13

Konventionelle und asymmetrische Kryptographie ................................ 16 PGP Desktop erstmals verwenden ......................................................... 17

Grundbegriffe von PGP Desktop

Um PGP Desktop optimal nutzen zu können, sollten Sie sich mit den Begriffen im folgenden Abschnitt vertraut machen.

PGP-Produktkomponenten

PGP Desktop und seine Komponenten werden in der folgenden Liste beschrieben. Möglicherweise stehen Ihnen nicht alle Funktionen zur Verfügung. Dies hängt von Ihrer Lizenz ab. Weitere Informationen finden Sie unter PGP Desktop lizenzieren (auf Seite 7).

PGP Desktop: Ein Software-Werkzeug, das Ihre Daten mittels Kryptographie vor unbefugtem Zugriff schützt. PGP Desktop ist für die Betriebssysteme Mac OS X und Windows verfügbar.

PGP Messaging: Eine Funktion von PGP Desktop, die alle Ihre E-Mail-Programme automatisch und transparent über Richtlinien unterstützt, die von Ihnen angelegt werden. PGP Desktop verwendet dazu ein neues Proxy-Verfahren; die ältere Plug-in-Technologie steht ebenfalls zur Verfügung. Außerdem schützt PGP Messaging viele IM-Clients, darunter AIM und iChat (bei beiden Anwendern muss PGP Messaging aktiviert sein).

2 Grundlagen von PGP

Desktop

14

PGP® Desktop 9.9 für Windows Grundlagen von PGP Desktop

PGP Whole Disk Encryption: Eine Komponente von PGP Desktop, mit der ganze Festplatten oder Partitionen einschließlich des MBR (Master Boot Record) verschlüsselt werden können. Dadurch werden sämtliche Dateien geschützt, wenn Sie sie nicht verwenden. Sie können PGP Whole Disk Encryption und PGP Virtual Disk-Laufwerke gemeinsam auf einem System einsetzen. Zur Erhöhung der Sicherheit können die verschlüsselten Festplatten oder Partitionen durch ein Passwort oder ein Schlüsselpaar auf einem USB-Token geschützt werden.

PGP NetShare: Eine Funktion von PGP Desktop für Windows, mit der Sie Dateien und Ordner sicher und transparent für ausgewählte Personen freigeben können. Anwender, die PGP NetShare verwenden, können ihre Dateien und Ordner einfach dadurch schützen, dass sie sie in einen Ordner, der als geschützt gekennzeichnet wird, verschieben.

PGP Keys: Eine Funktion von PGP Desktop, die Ihnen die vollständige Kontrolle über Ihre eigenen PGP-Schlüssel und die Schlüssel von Personen, mit denen Sie sichere E-Mail-Nachrichten austauschen, gibt.

PGP Virtual Disk-Laufwerke: Die PGP Virtual Disk-Laufwerke sind eine weitere Komponente von PGP Desktop, mit der Sie Bereiche Ihrer Festplatte als verschlüsselte virtuelle Laufwerke verwenden können. PGP Virtual Disk-Laufwerke können mit einem Schlüssel oder einem Passwort geschützt werden. Sie können sogar weitere Anwender für ein Laufwerk erstellen und dadurch autorisierten Personen den Zugriff gestatten. Die PGP Virtual Disk-Funktion ist besonders auf Laptops von unschätzbarem Wert. Kommt Ihr Laptop auf irgendeine Weise abhanden, sind die vertraulichen Daten auf dem PGP Virtual Disk-Laufwerk zuverlässig vor unbefugtem Zugriff geschützt.

PGP Shred: Eine Funktion von PGP Desktop, mit der Sie Daten sicher und vollständig vom System löschen können. Die Dateien werden von PGP Shred vollständig überschrieben und können selbst mit Datenwiederherstellungssoftware nicht wiederhergestellt werden.

PGP Zip: Eine Funktion von PGP Desktop, mit der Sie eine beliebige Kombination von Dateien und Ordnern zum Zweck des bequemen Transports bzw. der Sicherung zu einem einzigen verschlüsselten, komprimierten Paket zusammenfassen können. Sie können ein PGP Zip-Archiv durch einen PGP-Schlüssel oder Passwort schützen.

PGP Universal: Ein Werkzeug für Unternehmen, das den Austausch von E-Mail-Nachrichten ihrer Mitarbeiter automatisch und transparent sichert. Wenn Sie PGP Desktop in einer mit PGP Universal geschützten Umgebung einsetzen, werden Ihre Messaging-Richtlinien und sonstigen Einstellungen vom PGP-Administrator Ihres Unternehmens gesteuert.

15


PGP® Global Directory: Ein kostenloser Server für öffentliche Schlüssel, der von der PGP Corporation gehostet wird. Das PGP Global Directory ermöglicht den schnellen und einfachen Zugriff auf PGP-Schlüssel. Er verwendet die neueste Keyserver-Technologie, um die E-Mail-Adresse eines Schlüssels abzurufen (um zu überprüfen, ob der Eigentümer der E-Mail-Adresse seinen Schlüssel tatsächlich übermitteln möchte) und den Anwendern die Verwaltung ihrer Schlüssel zu ermöglichen. Durch die Verwendung des PGP Global Directory haben Sie wesentlich höhere Chancen, einen gültigen öffentlichen Schlüssel einer Person zu finden, der Sie sichere Nachrichten senden möchten. PGP Desktop wurde für die enge Zusammenarbeit mit dem PGP Global Directory konzipiert.

Begriffe, die in PGP Desktop verwendet werden

Bevor Sie PGP Desktop verwenden, sollten Sie sich mit den folgenden Begriffen vertraut machen.

Entschlüsseln: Der Prozess, in dem verschlüsselte (verwürfelte) Daten wieder in sinnvolle Daten umgewandelt werden. Wenn Sie Daten empfangen, die von einer anderen Person mit Ihrem öffentlichen Schlüssel verschlüsselt wurden, können Sie sie mit Ihrem privaten Schlüssel entschlüsseln.

Verschlüsseln: Der Prozess, mit dem Daten verwürfelt werden, damit unbefugte Personen nichts damit anfangen können, falls sie Zugriff darauf erhalten. Die Daten werden so verwürfelt, dass sie bedeutungslos sind.

Signieren: Der Vorgang, in dem eine digitale Signatur mithilfe Ihres privaten Schlüssels auf Daten angewendet wird. Da Daten, die mit Ihrem privaten Schlüssel signiert wurden, nur durch Ihren öffentlichen Schlüssel verifiziert werden können, wird durch die Verifizierung der signierten Daten mit Ihrem öffentlichen Schlüssel belegt, dass Ihr privater Schlüssel die Daten signiert hat.

Verifizieren: Der Prozess, in dem bewiesen wird, dass der private Schlüssel einer Person zum digitalen Signieren der Daten verwendet wurde. Dies geschieht mithilfe des öffentlichen Schlüssels der betreffenden Person. Da Daten, die mit einem privaten Schlüssel signiert wurden, nur durch den dazugehörigen öffentlichen Schlüssel verifiziert werden können, beweist die Tatsache, dass ein bestimmter öffentlicher Schlüssel signierte Daten verifizieren kann, dass der Signierer wirklich der Eigentümer des privaten Schlüssels ist.

Schlüsselpaar: Eine Kombination von privatem und öffentlichem Schlüssel. Wenn Sie einen PGP-Schlüssel erstellen, wird eigentlich ein Schlüsselpaar erstellt. Da Ihr Schlüsselpaar neben dem privaten und dem öffentlichen Schlüssel auch Ihren Namen und Ihre E-Mail-Adresse enthält, können Sie es sich besser als Ihren digitalen Ausweis vorstellen. Es identifiziert Sie in der digitalen Welt, so wie Sie Ihr Personalausweis oder Führerschein in der realen Welt ausweist.

16


Privater Schlüssel: Der Schlüssel, den Sie sehr, sehr geheim halten sollen. Sie können nur mit Ihrem privaten Schlüssel Daten entschlüsseln, die mit Ihrem öffentlichen Schlüssel verschlüsselt wurden. Darüber hinaus kann nur Ihr privater Schlüssel eine digitale Signatur erstellen, die Ihr öffentlicher Schlüssel verifizieren kann.

Achtung: Geben Sie Ihren privaten Schlüssel oder dessen Passwort niemals an andere Personen weiter! Bewahren Sie Ihren privaten Schlüssel sicher auf.

Öffentlicher Schlüssel: Der Schlüssel, den Sie an andere Personen weitergeben, damit diese Ihnen geschützte Nachrichten (Nachrichten, die nur mit Ihrem privaten Schlüssel entschlüsselt werden können) senden und Ihre digitale Signatur prüfen können. Öffentliche Schlüssel sollen so weit wie möglich verbreitet werden.

Ihr öffentlicher und Ihr privater Schlüssel sind, mathematisch betrachtet, miteinander verwandt. Dennoch ist es unmöglich, aus dem öffentlichen Schlüssel einer Person deren privaten Schlüssel zu ermitteln.

Keyserver: Ein Aufbewahrungsort für Schlüssel. Einige Unternehmen betreiben eigene Keyserver für die öffentlichen Schlüssel ihrer Mitarbeiter, damit diese ihre öffentlichen Schlüssel abrufen und geschützt miteinander kommunizieren können. Das PGP Global Directory (https://keyserver.pgp.com) ist ein kostenloser und öffentlich zugänglicher Server für öffentliche Schlüssel, der von der PGP Corporation unterhalten wird.

Smartcards und Token: Smartcards und Token sind portable Geräte, auf denen Sie Ihr PGP-Schlüsselpaar erstellen oder auf die Sie es kopieren können. Wenn Sie Ihr PGP-Schlüsselpaar auf einer Smartcard oder einem Token erstellen, wird die Sicherheit erhöht, da der Besitz der Smartcard oder des Tokens eine Voraussetzung für das Verschlüsseln, Signieren, Entschlüsseln oder Verifizieren ist. Ihre verschlüsselten Daten bleiben daher auch dann geschützt, wenn eine unbefugte Person Zugriff auf Ihren Computer erlangt, da Sie Ihr PGP-Schlüsselpaar auf der Smartcard oder dem Token stets mit sich führen. Kopieren Sie Ihr PGP-Schlüsselpaar auf eine Smartcard oder einen Token, wenn Sie es auf einem anderen System als Ihrem Hauptsystem verwenden oder sichern bzw. Ihren öffentlichen Schlüssel weitergeben möchten.

Konventionelle und asymmetrische Kryptographie

Konventionelle Kryptographie verwendet das gleiche Passwort zum Verschlüsseln und Entschlüsseln von Daten. Konventionelle Kryptographie eignet sich hervorragend für stationäre Daten, da die Ver- und Entschlüsselung sehr schnell erfolgt. Konventionelle Kryptographie eignet sich jedoch nicht so gut für Situationen, in denen Sie die verschlüsselten Daten an andere Personen senden müssen, insbesondere wenn Sie mit diesen Personen noch nie Kontakt hatten.

17


Asymmetrische Kryptographie verwendet zwei Schlüssel (ein sog. Schlüsselpaar) für das Ver- und Entschlüsseln. Einer dieser beiden Schlüssel ist Ihr privater Schlüssel. Wie der Name schon sagt, muss er privat bleiben: er muss sehr, sehr vertraulich behandelt werden. Der andere Schlüssel ist Ihr öffentlicher Schlüssel. Er kann, wie Sie bereits vermutet haben, ohne Bedenken weitergegeben werden. Mehr noch, er ist geradezu zur öffentlichen Weitergabe bestimmt.

Asymmetrische Kryptographie funktioniert folgendermaßen: Angenommen, Sie und Ihre Kusine in einer anderen Stadt möchten persönliche Nachrichten austauschen. Sie verwenden beide PGP Desktop. Zuerst müssen Sie beide ein Schlüsselpaar erstellen: einen privaten Schlüssel und einen öffentlichen Schlüssel. Ihren privaten Schlüssel halten Sie geheim, Ihren öffentlichen Schlüssel senden Sie zu einem öffentlichen Keyserver wie PGP Global Directory (keyserver.pgp.com), einer allgemein zugänglichen Einrichtung zum Verteilen öffentlicher Schlüssel. (Einige Unternehmen verfügen über eigene, nicht allgemein zugängliche Keyserver.)

Sobald sich die öffentlichen Schlüssel auf dem Keyserver befinden, können Sie den öffentlichen Schlüssel Ihrer Kusine von dort abrufen. Auf die gleiche Weise verfährt Ihre Kusine mit Ihrem öffentlichen Schlüssel (zum Austauschen öffentlicher Schlüssel gibt es auch andere Möglichkeiten; weitere Informationen erhalten Sie unter Verwendung von PGP Keys auf Seite 45). Dies ist wichtig, denn um eine verschlüsselte E-Mail-Nachricht zu senden, die nur Ihre Kusine entschlüsseln kann, müssen Sie die Nachricht mit dem öffentlichen Schlüssel Ihrer Kusine verschlüsseln. Das funktioniert, weil nur mit dem privaten Schlüssel Ihrer Kusine eine Nachricht entschlüsselt werden kann, die mit ihrem öffentlichen Schlüssel verschlüsselt wurde. Obwohl Sie im Besitz des öffentlichen Schlüssels Ihrer Kusine sind, können Sie die Nachricht nicht mehr entschlüsseln, nachdem sie mit ihrem öffentlichen Schlüssel verschlüsselt wurde. Nur mit dem privaten Schlüssel können Daten entschlüsselt werden,

die zuvor mit dem zugehörigen öffentlichen Schlüssel verschlüsselt

wurden.

Der öffentliche und der private Schlüssel stehen zwar mathematisch miteinander in Beziehung, aber dennoch kann der private Schlüssel nicht anhand des öffentlichen Schlüssels ermittelt werden.

Mehr über Kryptographie erfahren

Weitere Informationen über Kryptographie finden Sie unter Eine Einführung in die Kryptographie. Diese Datei wurde bei der Installation von PGP Desktop auf Ihrem System installiert. Die Datei ist über das Startmenü zugänglich.

PGP Desktop erstmals verwenden

Die PGP Corporation empfiehlt folgende Vorgehensweise, um die Arbeit mit PGP Desktop zu beginnen:

18


1 Installieren Sie PGP Desktop auf Ihrem Computer.

Falls Sie ein Anwender in einem Unternehmen sind, hat Ihr PGP-Administrator möglicherweise spezifische Installationsanweisungen für Sie vorbereitet oder Ihren PGP-Installer mit bestimmten Einstellungen vorkonfiguriert. In jedem Fall ist die Installation von PGP Desktop der erste Schritt.

2 Führen Sie die Einrichtung mit dem Setup-Assistenten durch.

Nachdem Sie PGP Desktop installiert und den Computer neu gestartet haben, wird der Setup-Assistent geöffnet. Er unterstützt Sie bei folgenden Aufgaben:

Lizenzieren von PGP Desktop

Erstellen eines Schlüsselpaares mit oder ohne Unterschlüssel (falls noch kein Schlüsselpaar vorhanden ist)

Veröffentlichen Ihres öffentlichen Schlüssels im PGP Global Directory

Aktivieren von PGP Messaging

Anzeigen eines Überblicks über die weiteren Funktionen

Wenn Ihr PGP-Administrator das Installationsprogramm von PGP Desktop konfiguriert hat, können mit dem Setup-Assistenten möglicherweise noch andere Aufgaben durchgeführt werden.

3 Tauschen Sie öffentliche Schlüssel mit anderen Personen aus.

Nachdem Sie ein Schlüsselpaar erstellt haben, können Sie auf sichere Weise E-Mail-Nachrichten mit anderen PGP Desktop-Anwendern austauschen (nachdem Sie Ihre öffentlichen Schlüssel ausgetauscht haben). Sie können auch die Laufwerksschutzfunktionen von PGP Desktop verwenden.

Das Austauschen der öffentlichen Schlüssel ist ein wichtiger erster Schritt. Zum Senden von sicheren Nachrichten benötigen Sie eine Kopie des öffentlichen Schlüssels des Empfängers. Wenn dieser mit einer geschützten Nachricht antworten möchte, benötigt er Ihren öffentlichen Schlüssel. Falls Sie Ihren öffentlichen Schlüssel noch nicht mit dem Setup-Assistenten in das PGP Global Directory übertragen haben, führen Sie dies nun durch. Wenn Sie nicht über den öffentlichen Schlüssel eines Empfängers verfügen, suchen Sie zuerst im PGP Global Directory. Diese Aufgabe übernimmt PGP Desktop für Sie. Wenn Sie eine E-Mail senden, werden die Schlüssel der anderen PGP Desktop-Anwender automatisch gesucht und verifiziert. Danach wird die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und gesendet.

4 Verifizieren Sie die öffentlichen Schlüssel, die Sie von nicht

vertrauenswürdigen Keyservern erhalten.

19


Wenn Sie den öffentlichen Schlüssel von einem nicht vertrauenswürdigen Keyserver beziehen, sollten Sie überprüfen, dass er nicht verändert wurde und dass er tatsächlich dem angeblichen Besitzer gehört. Zu diesem Zweck können Sie mit PGP Desktop den eindeutigen Fingerabdruck auf Ihrer Version des öffentlichen Schlüssels der Person mit dem Fingerabdruck auf dem Schlüssel dieser Person vergleichen (z. B. indem Sie den Eigentümer des Schlüssels einfach anrufen und sich die Daten des Fingerabdrucks vorlesen lassen, sodass Sie sie vergleichen können). Schlüssel von vertrauenswürdigen Keyservern wie z. B. dem PGP Global Directory sind bereits verifiziert.

5 Schützen Sie Ihre E-Mail-, Datei- oder Instant Messaging-Sitzungen.

Nachdem Sie Ihr Schlüsselpaar erstellt und die öffentlichen Schlüssel ausgetauscht haben, können Sie beginnen, E-Mail-Nachrichten und Dateien zu verschlüsseln, zu entschlüsseln, zu signieren und zu verifizieren. Die Schutzfunktion für Instant Messaging-Sitzungen erzeugt automatisch eigene Schlüssel und kann daher verwendet werden, bevor Sie Ihr Schlüsselpaar erstellen. Die einzige Voraussetzung für sichere Sitzungen ist, dass sie mit anderen PGP Desktop-Anwendern stattfinden.

6 Achten Sie auf Informationsfenster der Funktion PGP Desktop Notifier.

Wenn Sie E-Mail-Nachrichten senden oder empfangen oder andere PGP Desktop-Funktionen ausführen, zeigt der PGP Desktop Notifier Informationsfenster an, die in einer Ecke des Bildschirms eingeblendet werden. Um welche Ecke es sich handelt, können Sie selbst festlegen. In diesen PGP Desktop Notifier-Fenstern wird gemeldet, welche Aktion von PGP Desktop durchgeführt wurde oder durchgeführt wird. Wenn Sie sich mit dem Senden und Empfangen von Nachrichten vertraut gemacht haben, können Sie die PGP Notifier-Optionen ändern oder die Funktion deaktivieren.

7 Nachdem Sie einige Nachrichten gesendet oder empfangen haben,

prüfen Sie die Protokolle, um sicherzustellen, dass alles korrekt

funktioniert.

Wenn Sie mehr Informationen benötigen, als von PGP Notifier angezeigt werden, erhalten Sie im PGP-Protokoll genaue Daten zu allen Messaging-Vorgängen.

8 Modifizieren Sie Ihre Messaging-Richtlinien, falls erforderlich.

20


E-Mail-Nachrichten werden automatisch und nahtlos gesendet und empfangen, wenn die Messaging-Richtlinien von PGP Desktop richtig konfiguriert wurden. Wenn sich der Schlüssel des Empfängers im PGP Global Directory befindet, verwenden die Standardrichtlinien von PGP Desktop eine opportunistische Verschlüsselung. Das bedeutet, dass PGP Desktop die Nachricht automatisch verschlüsselt, wenn es über alle Informationen verfügt, die es benötigt (z. B. den verifizierten öffentlichen Schlüssel des Empfängers). Andernfalls wird die Nachricht im Klartext (unverschlüsselt) gesendet. Die Standardrichtlinien von PGP Desktop ermöglichen auch eine optionale erzwungene Verschlüsselung. Dadurch muss eine Nachricht verschlüsselt werden, wenn in der Betreffzeile „[PGP]“ angegeben wird. Wenn keine verifizierten Schlüssel gefunden werden, wird die Nachricht nicht gesendet und ein Notifier-Fenster mit einer entsprechenden Meldung wird angezeigt.

9 Verwenden Sie die anderen Funktionen von PGP Desktop.

Sie können mit PGP Desktop auch die Daten auf Ihrer Festplatte schützen:

Mit PGP Whole Disk Encryption können Sie eine Startfestplatte, eine Festplattenpartition, eine externe Festplatte oder einen USB ThumbDrive verschlüsseln. Alle Dateien auf der Festplatte oder Partition werden während der Verwendung ver- und entschlüsselt. Dieser Prozess ist für Sie vollständig transparent.

Mit PGP Virtual Disk können Sie eine sichere „virtuelle Festplatte“ erstellen. Diese virtuelle Festplatte können Sie wie einen Tresor für Ihre Dateien verwenden. Sie können die virtuelle Festplatte mit PGP Desktop, dem Windows Explorer oder dem Mac OS X Finder deaktivieren und sperren. Ihre Dateien sind dann sicher, selbst wenn der Rest des Computers nicht gesperrt ist.

Mit PGP Zip können Sie komprimierte, verschlüsselte PGP Zip-Archive erstellen. Auf diese Weise können Sie Ihre Dateien geschützt weitergeben oder sichern.

Mit PGP® Shredder können Sie vertrauliche Dateien, die Sie nicht mehr benötigen, sicher löschen. PGP Shredder entfernt die Dateien vollständig von der Festplatte. Sie können danach nicht mehr wiederhergestellt werden.

Mit PGP NetShare können Sie Dateien und Ordner einfach und sicher für eine beliebige Anzahl von Personen freigeben und gleichzeitig höchste Zugriffskontrolle behalten.

21

In diesem Abschnitt erfahren Sie, wie Sie PGP Desktop auf Ihrem Computer installieren und konfigurieren.

Kapitelinhalt

Installation vorbereiten ............................................................................ 21 PGP Desktop installieren und konfigurieren............................................ 22

PGP Desktop deinstallieren ..................................................................... 25 PGP Desktop-Installation von einem Computer auf einen anderen migrieren.......................................................................... 25

Installation vorbereiten

In diesem Abschnitt erfahren Sie die Systemgrundvoraussetzungen, die zur Installation von PGP Desktop auf einem Windows-Computer benötigt werden.

Systemvoraussetzungen

Überprüfen Sie vor der Installation, dass Ihr System folgende Mindestanforderungen erfüllt:

Microsoft Windows 2000 (Servicepack 4), Windows Server 2003 (Servicepack 1), Windows XP (Servicepack 1, 2 oder 3, 32-Bit-und 64-Bit-Versionen), Windows Vista (alle 32-Bit- und 64-Bit-Versionen, einschließlich Servicepack 1), Microsoft Windows XP Tablet PC Edition 2005 (angeschlossene Tastatur notwendig)

Hinweis: Die oben aufgeführten Betriebssysteme werden nur dann unterstützt, wenn die neuesten Hotfixes und Sicherheitspatches von Microsoft installiert wurden.

PGP Whole Disk Encryption (WDE) erfordert Windows 2000 (Servicepack 4), Windows XP (Servicepack 1 oder 2) oder Windows Vista; unter Windows 2000 Server oder 2003 Server wird es nicht unterstützt.

512 MB RAM

64 MB Festplattenspeicher

3 PGP Desktop installieren

22

PGP® Desktop 9.9 für Windows PGP Desktop installieren

Informationen zu den unterstützten E-Mail-, Instant Messaging- und Virenschutzprogrammen finden Sie in den Veröffentlichungshinweisen zu PGP Desktop 9.9 für Windows.

Kompatibilität mit Citrix und Terminaldiensten

PGP Desktop für Windows wurde mit den folgenden Terminaldiensten getestet:

Citrix Presentation Server 4.0

Citrix Metaframe XP

Windows 2003 Terminaldienste

Die folgenden Funktionen von PGP Desktop für Windows für Windows sind in diesen Umgebungen verfügbar:

Die E-Mail-Verschlüsselung wird voll unterstützt.

PGP Zip wird voll unterstützt.

PGP Shred wird voll unterstützt.

PGP Virtual Disk-Laufwerke können nicht über Citrix/TS als Laufwerksbuchstaben, jedoch auf NTFS-Datenträgern in Verzeichnissen aktiviert werden.

PGP Whole Disk Encryption wird nicht unterstützt.

PGP NetShare wird voll unterstützt.

Informationen zur Installation von PGP Desktop auf einem Citrix-Server entnehmen Sie bitte dem PGP Support KB Artikel 832 (https://support.pgp.com/?faq=832).

PGP Desktop installieren und konfigurieren

In diesem Abschnitt finden Sie Informationen zur Installation oder Aktualisierung von PGP Desktop sowie zum Setup-Assistenten.

Software installieren

So installieren Sie PGP Desktop auf Ihrem Windows-System

1 Suchen Sie das Installationsprogramm für PGP Desktop. Bei diesem Installationsprogramm handelt es sich um eine .MSI-Datei, die Ihnen Ihr PGP-Administrator u. U. über das Bereitstellungsprogramm Microsoft SMS übermittelt hat.

2 Doppelklicken Sie auf das Installationsprogramm von PGP Desktop.

3 Folgen Sie der Anleitung auf dem Bildschirm.

23


4 Starten Sie Ihr System nach Aufforderung neu.

Hinweis: Falls Sie sich in einer Domain befinden, die durch einen PGP Universal Server geschützt ist, hat Ihr PGP-Administrator das Installationsprogramm für PGP Desktop u. U. mit bestimmten Funktionen oder Einstellungen vorkonfiguriert.

Software-Upgrade

Hinweis: PGP Desktop für Windows und PGP Universal Satellite für Windows können nicht gleichzeitig auf dem gleichen System installiert sein. Die Installationsprogramme der beiden Produkte prüfen, ob das jeweils andere Programm installiert ist, und brechen den Installationsvorgang ab, wenn das andere Produkt gefunden wird.

Sie können bei Vorgängerversionen von folgenden Produkten ein Upgrade auf PGP Desktop für Windows durchführen:

PGP Desktop für Windows

PGP Universal Satellite für Windows

Wenn auf Ihrem Computer Windows XP installiert ist, können Sie nur ein Upgrade von PGP Desktop 8.x auf PGP Desktop 9.6 oder höher durchführen. Wenn Sie ein System mit Windows 2000 verwenden, können Sie ein Upgrade von den PGP Desktop-Versionen 6.x, 7.x oder 8.x durchführen.

Wichtiger Hinweis: Wenn Sie den Computer auf Microsoft Windows Vista aufrüsten und diese Version von PGP Desktop verwenden möchten, müssen Sie vor dem Upgrade auf Windows Vista zunächst alle früheren Versionen von PGP Desktop deinstallieren, dann auf Windows Vista aufrüsten und anschließend diese Version von PGP Desktop installieren. Stellen Sie sicher, dass Sie vor der Deinstallation Sicherheitskopien Ihrer Schlüssel und Schlüsselbunde anlegen. Beachten Sie, dass Sie zunächst die Festplatte entschlüsseln müssen, um PGP Desktop zu deinstallieren, wenn Sie PGP Whole Disk Encryption verwendet haben.

So nehmen Sie ein Upgrade auf PGP Desktop 9.9 für Windows vor:

Von PGP Desktop 8.x für Windows: Führen Sie den normalen Installationsvorgang für PGP Desktop 9.6 für Windows aus.

PGP Desktop für Windows 8.x wird automatisch deinstalliert; dann wird PGP Desktop 9.9 für Windows installiert. Bestehende Schlüsselbunde und die Dateien der PGP Virtual Disks können in der höheren Version verwendet werden.

Von einer früheren Version von PGP Desktop für Windows als PGP

Desktop 8.0: Deinstallieren Sie die Version von PGP Desktop manuell, bevor Sie PGP Desktop 9.9 für Windows installieren. Bestehende Schlüsselbunde und die Dateien von PGP Virtual Disks können in der neuen Version verwendet werden.

24


Von PGP Universal Satellite 1.2 für Windows oder älteren Versionen:

Führen Sie den Installationsvorgang für PGP Desktop 9.6 für Windows aus.

Bestehende Versionen von PGP Universal Satellite für Windows werden automatisch deinstalliert; danach wird PGP Desktop 9.9 für Windows installiert. Die bestehenden Einstellungen bleiben erhalten.

Achtung: Die Installation einer beliebigen Version von PGP Universal Satellite auf PGP Desktop 9.9 für Windows wird nicht unterstützt. Keines der Programme wird in diesem Fall ordnungsgemäß funktionieren. Deinstallieren Sie beide Programme. Installieren Sie anschließend nur PGP Desktop.

Von PGP Desktop für Windows (Version 8.x) und

PGP Universal Satellite: Führen Sie den Installationsvorgang für PGP Desktop 9.9 für Windows aus.

Die Versionen von PGP Desktop und PGP Universal Satellite für Windows werden automatisch deinstalliert; danach wird PGP Desktop 9.9 für Windows installiert. Bestehende Schlüsselbunde und die Dateien der PGP Virtual Disk-Laufwerke können in der höheren Version verwendet werden.

Upgrade von Einzelplatzinstallationen auf zentral verwaltete PGP Desktop-

Versionen

Wenn Sie bisher PGP Desktop als eigenständiges Produkt genutzt haben und nun über einen PGP Universal Server zentral verwaltet werden, müssen Sie eine gebundene und gekennzeichnete Version von PGP Desktop auf Ihre Einzelplatzversion installieren. Danach müssen Sie sich anmelden. Ihr PGP-Administrator stellt Ihnen eine .msi-Datei bereit, mit der Sie eine gebundene und gekennzeichnete Version installieren können.

Setup-Assistenten ausführen

Wenn die Installation von PGP Desktop abgeschlossen wurde, werden Sie dazu aufgefordert, den Computer neu zu starten. Nach dem Neustart wird der Setup-Assistent von PGP Desktop automatisch gestartet, sobald der Windows-Arbeitsplatz zu sehen ist. Der Setup-Assistent zeigt mehrere Dialogfenster mit Fragen an. Ihre Antworten werden dann zur Konfiguration von PGP Desktop verwendet.

Der Setup-Assistent für Ihr System umfasst nur bestimmte Dialogfenster, die für Ihre Installation relevant sind. Dies hängt von einer Reihe von Faktoren ab.

Mit dem Setup-Assistenten werden nicht alle PGP Desktop-Einstellungen konfiguriert. Wenn Sie den Setup-Assistenten abgeschlossen haben, können Sie die Einstellungen konfigurieren, die nicht vom Setup-Assistenten abgedeckt werden.

25


PGP Desktop deinstallieren

Sie können PGP Desktop mit den PGP Desktop-Deinstallationsprogramm oder mit der Windows-Funktion Software in der Systemsteuerung deinstallieren. Die folgende Anleitung beschreibt die Deinstallation direkt über das PGP Desktop-Deinstallationsprogramm.

Wenn Sie ein Upgrade von PGP Desktop 8.x oder höher durchführen, müssen Sie PGP Desktop nicht vorher deinstallieren. Weitere Informationen finden Sie unter Software-Upgrade (auf Seite 23).

So deinstallieren Sie PGP Desktop

1 Klicken Sie im Start-Menü auf Programme > PGP > PGP Desktop

deinstallieren. Ein Dialogfenster zur Bestätigung wird angezeigt.

2 Klicken Sie auf Ja, um mit dem Deinstallationsvorgang fortzufahren. Die PGP Desktop-Software wird aus dem System entfernt.

3 Die Schlüsselbunddateien, die Dateien von PGP Virtual Disk und von PGP Zip (.pgp) werden nicht aus dem System gelöscht, falls Sie PGP Desktop später erneut installieren möchten.

4 Starten Sie den Computer nach Aufforderung neu, um die Deinstallation abzuschließen.

Hinweis: Alternativ zur Deinstallation von PGP Desktop können Sie auch die PGP Desktop-Hintergrunddienste anhalten. Dadurch werden Ihre E-Mail- und Instant Messaging-Nachrichten nicht mehr durch PGP Desktop geschützt, Sie können aber weiterhin auf die PGP Virtual Disk-Laufwerke und die mit PGP Whole Disk Encryption verschlüsselten Festplatten und Partitionen zugreifen. Wenn Sie lediglich die E-Mail- oder IM-Proxies von PGP Desktop deaktivieren möchten, führen Sie dies über das PGP-Dialogfeld „Optionen“ durch (wählen Sie Werkzeuge > Optionen, klicken Sie auf die Registerkarte „Messaging“ und deaktivieren Sie die Optionen je nach Bedarf.

PGP Desktop-Installation von einem Computer auf einen

anderen migrieren

Es ist nicht sehr kompliziert, eine PGP Desktop-Installation von einem Computer auf einen anderen zu verschieben (Migration). Es müssen jedoch einige wichtige Schritte erfolgreich ausgeführt werden. Dieser Vorgang umfasst folgende Schritte:

26


So übertragen Sie eine PGP Desktop-Installation auf einen anderen

Computer

1 Deinstallieren Sie PGP Desktop. Gehen Sie dazu auf Start > Programme >

PGP > PGP Desktop deinstallieren. Sie können auch die Funktion Software in der Systemsteuerung von Windows verwenden. Bei älteren Versionen des Programms ist die Entfernung über die Systemsteuerung die einzige Möglichkeit, PGP Desktop zu deinstallieren.

Beachten Sie, dass mit diesem Schritt die Schlüsselbunddateien nicht gelöscht werden.

2 Übertragen Sie die Schlüsselbunde. Kopieren Sie dazu die Schlüsselbunddateien (sowohl pubring.pkr als auch secring.skr) von dem alten Computer auf eine Diskette oder einen anderen Wechseldatenträger und dann auf den neuen Computer. Der Standardspeicherort für Schlüsselbunddateien ist C:\Dokumente und Einstellungen\<Anwender>\Eigene Dateien\PGP\.

Wenn PGP Desktop noch nie auf dem neuen Computer installiert war, müssen Sie diesen Ordner zuerst erstellen, bevor Sie die Schlüsselbunddateien auf den Computer kopieren.

3 Installieren Sie PGP Desktop auf dem neuen Computer. Laden Sie dazu PGP Desktop über den Download-Link in der ursprünglichen Bestellbestätigungs-E-Mail der PGP Corporation herunter.

4 Führen Sie dann während des Installationsvorgangs folgende Schritte aus:

Klicken Sie im Setup-Assistenten von PGP Desktop auf dem neuen Computer Nein, ich habe bereits Schlüsselbunde und geben Sie den Speicherort an, an den Sie die Schlüsselbunddateien auf dem neuen Computer kopiert haben.

Verwenden Sie die gleichen Angaben für Name, Unternehmen und Lizenznummer, die bei der ursprünglichen Aktivierung von PGP Desktop verwendet wurden.

27

In diesem Abschnitt wird die Benutzeroberfläche von PGP Desktop beschrieben.

Kapitelinhalt

Auf PGP Desktop-Komponenten zugreifen ............................................. 27 PGP Desktop Notifier-Warnungen........................................................... 35

PGP Desktop-Protokoll anzeigen............................................................. 42

Auf PGP Desktop-Komponenten zugreifen

Für den Zugriff auf PGP Desktop gibt es vier grundlegende Möglichkeiten:

PGP Desktop-Hauptfenster (siehe „Der PGP Desktop-Hauptbildschirm“ auf Seite 28)

PGP-Symbol in der Taskleiste (siehe „PGP-Symbol in der Taskleiste verwenden“ auf Seite 30)

Kontextmenüs im Windows Explorer (siehe „Kontextmenüs im Windows Explorer verwenden“ auf Seite 32)

Startmenü (siehe „Startmenü verwenden“ auf Seite 34)

4 Die PGP Desktop-

Benutzeroberfläche

28

PGP® Desktop 9.9 für Windows Die PGP Desktop-Benutzeroberfläche

Der PGP Desktop-Hauptbildschirm

Der Hauptbildschirm von PGP Desktop ist Ihre wichtigste Schnittstelle zum Produkt.

Der PGP Desktop-Hauptbildschirm enthält folgende Elemente:

1 Menüleiste. Ermöglicht den Zugriff auf PGP Desktop-Befehle. Die Zusammenstellung der Menüs auf der Menüleiste ändert sich in Abhängigkeit davon, welches Bedienfeld ausgewählt wird.

2 Symbolleiste. Auf diesem Steuerelement sind die am häufigsten benötigten Funktionen angeordnet. Sie können ein neues PGP Zip-Archiv erstellen, ein bestehendes PGP Zip-Archiv verifizieren, ausgewählte Dateien sicher löschen, nach einem Schlüssel suchen, Ihre Schlüssel synchronisieren und in den Anwender-IDs der Schlüssel, die gegenwärtig im Arbeitsbereich PGP Keys angezeigt werden, nach Text suchen.

3 Bedienfeld „PGP Keys“. Mit diesem Symbol verwalten Sie die PGP-Schlüssel.

4 Bedienfeld „PGP Messaging“. Mit diesem Symbol steuern Sie PGP Messaging.

5 Bedienfeld „PGP Zip“. Mit diesem Bedienfeld steuern Sie die Funktionen von PGP Zip sowie des PGP Zip-Assistenten, der Sie bei der Erstellung neuer PGP Zip-Archive unterstützt.

6 Bedienfeld „PGP Disk“. Mit diesem Symbol steuern Sie PGP Disk.

29


7 Bedienfeld „PGP NetShare“. Mit diesem Symbol steuern Sie PGP NetShare.

8 Bedienfeldsteuerung ein-/ausblenden. Mit diesem Symbol blenden Sie die Bedienfelder ein oder aus.

9 Arbeitsbereich von PGP Desktop. Hier werden neben verschiedenen Informationen die Aktionen angezeigt, die Sie für das ausgewählte Bedienfeld durchführen können.

10 Suchfeld „PGP Keys“. Hier können Sie nach Schlüsseln in Ihrem Schlüsselbund suchen. Wenn Sie in diesem Feld Text eingeben, zeigt PGP Desktop Suchergebnisse von Namen und E-Mail-Adressen an.

Jedes Bedienfeld kann ausgeklappt werden, um verfügbare Optionen anzuzeigen. Standardmäßig ist es platzsparend ausgeblendet (nur das Symbol des Bedienfelds wird angezeigt). Sie können das Bedienfeld ausklappen, indem Sie auf das Symbol klicken. Sie können das Bedienfeld wieder ausblenden, indem Sie auf den Pfeil Ein-/Ausblenden oben rechts klicken.

Wenn das Bedienfeld ausgeklappt ist, ändert sich sein Inhalt in Abhängigkeit davon, welche Funktionen für das betreffende Bedienfeld vorgesehen sind, welche Objekte Sie gerade bearbeiten und welche Objekte gerade ausgewählt sind. Wenn beispielsweise das Bedienfeld PGP Keys aktiv und gleichzeitig ein öffentlicher Schlüssel ausgewählt ist, werden am unteren Rand des Bedienfelds PGP Keys die Optionen E-Mail an diesen Empfänger senden und Diesen

Schlüssel per E-Mail senden angezeigt. Wenn ein privater Schlüssel ausgewählt ist, steht nur die Option Diesen Schlüssel per E-Mail senden zur Verfügung. Ist kein Schlüssel ausgewählt, wird keine dieser Optionen angezeigt.

Hinweis: Klicken Sie auf E-Mail an diesen Empfänger senden, um das Standard-E-Mail-Programm Ihres Systems zu öffnen und eine neue E-Mail mit der Adresse des ausgewählten Schlüssels zu verfassen. Damit vereinfacht sich das Senden einer Nachricht an eine Person, deren Daten auf Ihrem Schlüsselbund gespeichert sind. Klicken Sie auf Diesen Schlüssel per E-Mail

senden, um das Standard-E-Mail-Programm Ihres Systems zu öffnen und eine neue E-Mail zu verfassen, an die der ausgewählte öffentliche Schlüssel als Anlage angehängt ist. Die Nachricht ist zunächst nicht adressiert. Diese Variante ist hilfreich, wenn Sie Ihren öffentlichen Schlüssel oder einen öffentlichen Schlüssel auf Ihrem Schlüsselbund an jemanden senden möchten, der noch nicht über diesen Schlüssel verfügt.

30


PGP-Symbol in der Taskleiste verwenden

Eine Möglichkeit, auf viele der PGP Desktop-Funktionen zuzugreifen, ist das PGP-Symbol im Infobereich der Taskleiste.

Tipp: Sie können PGP Desktop öffnen, indem Sie im Infobereich der Taskleiste auf das PGP-Symbol doppelklicken.

Das Symbol zeigt je nach Situation eines von vier verschiedenen Motiven:

Normaler Betrieb ( ): PGP Desktop arbeitet im Normalbetrieb. Es wurden keine Passwörter zwischengespeichert, der Nachrichten-Proxy ist aktiviert und es werden keine weiteren PGP-Vorgänge ausgeführt.

Passwörter zwischengespeichert ( ): PGP Desktop arbeitet im Normalbetrieb. Zusätzlich wurde mindestens ein Passwort für private Schlüssel zwischengespeichert. Die Zwischenspeicherung von Passwörtern ist eine optionale, zeitsparende Funktion, da ein zwischengespeichertes Passwort nicht manuell eingegeben werden muss, wenn beispielsweise ein Schlüssel signiert werden soll. Gleichzeitig stellt die Nutzung dieser Funktion ein gewisses Sicherheitsrisiko dar: Wenn Sie Ihren Arbeitsplatz verlassen, während das Passwort zwischengespeichert ist, kann jede andere Person PGP Desktop nutzen, ohne das gültige Passwort tatsächlich zu kennen.

Nachrichten-Proxy deaktiviert ( ): Der E-Mail-Proxy wurde deaktiviert; ankommende verschlüsselte Nachrichten werden nicht entschlüsselt oder verifiziert, ausgehende Nachrichten werden nicht verschlüsselt oder signiert. Sie können das Nachrichten-Proxying mit dem Menü des PGP-Symbols im Infobereich der Taskleiste oder über die PGP-Optionen wieder aktivieren.

Beschäftigt ( ): PGP Desktop führt gerade einen Vorgang aus, beispielsweise die Verschlüsselung eines Laufwerks. Nach Abschluss des Vorgangs wird im Infobereich der Taskleiste ein anderes PGP-Symbol angezeigt, das zur jeweiligen Situation passt.

Wenn Sie mit der rechten oder linken Maustaste auf das PGP-Symbol im Infobereich der Taskleiste klicken, wird ein Menü mit den folgenden Optionen angezeigt (von oben nach unten):

31


PGP-Dienste beenden. Die PGP Desktop-Dienste auf dem Computer werden angehalten. Verwenden Sie diesen Befehl mit Bedacht. Sie stoppen damit die automatische Verschlüsselung und Entschlüsselung von E-Mails und Instant Messaging-Sitzungen.

Wenn Sie die PGP-Dienste wieder starten möchten, starten Sie entweder Ihren Computer neu oder wählen im Startmenü die Befehlsfolge Start >

Programme > PGP > PGP Desktop aus.

PGP Desktop-Info. Zeigt die verwendete PGP Desktop-Version und Lizenzinformationen an.

Auf Aktualisierungen prüfen. Es wird eine Verbindung zum Aktualisierungsserver von PGP hergestellt und geprüft, ob eine neuere Version von PGP Desktop zum Download zur Verfügung steht.

Hilfe. Öffnet die integrierte Online-Hilfe von PGP Desktop.

Optionen. Öffnet das Dialogfeld mit den Optionen von PGP Desktop.

Notifier anzeigen. Zeigt die letzten Meldungen für eingehende und ausgehende Nachrichten an.

PGP-Protokoll anzeigen. Zeigt das Protokoll von PGP Desktop an. Mit dieser Funktion können Sie sehen, welche Schritte PGP Desktop unternimmt, um Ihre Daten zu schützen.

PGP Desktop öffnen. Öffnet den Hauptbildschirm von PGP Desktop. Alternativ dazu können Sie PGP Desktop auch öffnen, indem Sie im Infobereich der Taskleiste auf das Symbol von PGP Desktop doppelklicken.

Caches löschen. Alle zwischengespeicherten Daten, wie etwa Passwörter und zwischengespeicherte öffentliche Schlüssel, werden aus dem Arbeitsspeicher des Computers entfernt.

32


Hinweis: Wenn Sie eine Smartcard oder ein Token verwendet haben, um auf einen von PGP NetShare geschützten Ordner zuzugreifen und die Smartcard bzw. den Token entfernt haben, wird ein zwischengelagertes Passwort nicht gelöscht. Wenn Sie das zwischengelagertes Passwort löschen wollen, erstellen Sie einen Tastaturbefehl. Weitere Informationen finden Sie unter Erweiterte Optionen (auf Seite 333).

PGP Virtual Disks deaktivieren. Deaktiviert alle aktivierten PGP Virtual Disk-Laufwerke.

Aktuelles Fenster. Wendet die Funktionen von PGP Desktop (Entschlüsseln und Verifizieren, Verschlüsseln und Signieren, Signieren, Verschlüsseln) auf den Inhalt des aktuellen Fensters an.

Zwischenablage. Wendet die Funktionen von PGP Desktop (Entschlüsseln und Verifizieren, Verschlüsseln und Signieren, Signieren, Verschlüsseln) auf den Inhalt der Zwischenablage an. Außerdem können Sie den Inhalt der Zwischenablage löschen oder bearbeiten.

Kontextmenüs im Windows Explorer verwenden

Die PGP Desktop-Funktionen stehen auch in den Kontextmenüs von Windows Explorer zur Verfügung. Öffnen Sie einfach Windows Explorer und klicken Sie mit der rechten Maustaste auf die Objekte, die Sie bearbeiten möchten.

Welche PGP Desktop-Funktionen im Kontextmenü von Windows Explorer angeboten werden, richtet sich danach, auf welche Art von Objekt Sie geklickt haben:

33


Laufwerk. Wenn Sie im Windows Explorer mit der rechten Maustaste auf ein Laufwerk Ihres Systems klicken und im angezeigten Kontextmenü den Befehl PGP Desktop wählen, können die folgenden Aktionen ausgeführt werden:

Freien Speicherplatz mit PGP Shred sicher löschen

PGP Virtual Disk. Wenn Sie im Windows Explorer mit der rechten Maustaste auf eine aktivierte PGP Virtual Disk-Festplatte Ihres Systems klicken und im angezeigten Kontextmenü den Befehl PGP Desktop wählen, können die folgenden Aktionen ausgeführt werden:

PGP Virtual Disk deaktivieren

PGP Virtual Disk-Datei (.pgd) im Windows Explorer suchen

PGP Virtual Disk-Eigenschaften bearbeiten

Wenn Sie im Windows Explorer mit der rechten Maustaste auf die PGP Virtual Disk-Datei (.pgd) eines deaktivierten Laufwerks klicken und im angezeigten Kontextmenü den Befehl PGP Desktop wählen, können außerdem die folgenden Aktionen ausgeführt werden:

Nicht verwendeten Speicherplatz komprimieren

Die PGP Virtual Disk mit PGP Shred sicher löschen (beachten Sie, dass dadurch auch alle Daten auf der Festplatte gelöscht werden)

PGP Virtual Disk umschlüsseln

Ordner. Wenn Sie in Windows Explorer mit der rechten Maustaste auf einen Ordner Ihres Systems klicken und im angezeigten Kontextmenü den Befehl PGP Desktop wählen, können mit dem Ordner die folgenden Aktionen ausgeführt werden:

Zu neuem PGP Zip-Archiv hinzufügen

Selbstentschlüsselndes Archiv (SDA) mit dem Inhalt des Ordners erstellen

Mit einem Schlüssel oder Passwort sichern

Entschlüsseln und Verifizieren

Zu PGP NetShare hinzufügen

Sicher löschen

Datei. Wenn Sie im Windows Explorer mit der rechten Maustaste auf eine Datei klicken und im angezeigten Kontextmenü die Option PGP Desktop auswählen, können Sie abhängig davon, um was für eine Datei es sich handelt, folgende Aktionen ausführen:

Wenn Sie eine nicht verschlüsselte Datei auswählen, können Sie sie mit einem Schlüssel oder einem Passwort schützen, signieren, sicher löschen oder ein selbstentschlüsselndes Archiv (SDA) daraus erstellen.

Wenn Sie eine verschlüsselte Datei auswählen, können Sie die Datei entschlüsseln, verifizieren oder sicher löschen.

34


Wenn Sie ein deaktiviertes PGP Virtual Disk-Laufwerk (.pgd) auswählen, können Sie es aktivieren oder bearbeiten; Wenn Sie ein aktiviertes Laufwerk auswählen, können Sie es deaktivieren.

Wenn Sie eine PGP Zip-Datei (.pgp) auswählen, können Sie die Datei entschlüsseln und verifizieren, anzeigen oder sicher löschen.

Wenn Sie eine PGP-Schlüsseldatei (.asc) auswählen, können Sie die Datei entschlüsseln und verifizieren oder sicher löschen. Wenn Sie den Befehl zum Entschlüsseln und Verifizieren auswählen, besteht die Möglichkeit, die Datei zu importieren.

Wenn Sie die Datei eines öffentlichen oder privaten PGP-Schlüsselbunds (.pkr beziehungsweise .skr) auswählen, können Sie die darin enthaltenen Schlüssel zu Ihrem Schlüsselbund hinzufügen oder die Datei sicher löschen.

Startmenü verwenden

Sie können auch über das Windows-Startmenü auf PGP Desktop zugreifen. Gehen Sie dazu auf Start > Programme > PGP.

Über das Startmenü können Sie auf folgende Komponenten zugreifen:

Dokumentation zu PGP Desktop in den Sprachen Englisch, Deutsch und Japanisch

Anwendung PGP Desktop

PGP Desktop deinstallieren

35


PGP Desktop Notifier-Warnungen

Die Notifier-Funktion von PGP Desktop zeigt in einem kleinen Fenster Informationen zum Status von ankommenden und ausgehenden E-Mail-Nachrichten sowie zu Instant Messaging-Sitzungen an.

Hinweis: PGP Desktop Notifier meldet auch den Status der Programmkomponenten PGP Whole Disk Encryption und PGP NetShare auf Ihrem Computer. Weitere Informationen finden Sie unter PGP Desktop Notifier für Laufwerksfunktionen (auf Seite 39).

PGP Desktop Notifier für Messaging

PGP Desktop Notifier für Messaging bietet folgende Funktionen:

Anzeigen von Benachrichtigungen, ob eingehende E-Mail-Nachrichten richtig entschlüsselt und/oder signiert wurden.

Anzeigen von Benachrichtigungen, ob ausgehende E-Mail-Nachrichten richtig verschlüsselt und/oder signiert werden.

Verhindern des Sendens von E-Mail-Nachrichten, wenn die Verschlüsselungsoptionen nicht Ihren Wünschen entsprechen.

Anzeigen einer kurzen Übersicht mit Absender, Betreff und Verschlüsselungsschlüssel einer E-Mail-Nachricht.

Überprüfen des Status der bereits in der aktuellen Windows-Sitzung empfangenen und gesendeten E-Mail-Nachrichten.

Anzeigen von Benachrichtigungen, ob eine Chat-Sitzung mit einem anderen Anwender von PGP Desktop geschützt wird.

Sie können mit PGP Desktop Notifier alle eingehenden oder bestimmte eingehende E-Mail-Nachrichten überwachen und das Senden aller oder bestimmter abgehender E-Mail-Nachrichten genau steuern. Die Entscheidung liegt bei Ihnen. Sie können verschiedene Notifier-Optionen festlegen oder bei Bedarf PGP Desktop Notifier vollständig deaktivieren.

Beachten Sie bei der Arbeit mit PGP Desktop Notifier folgende zusätzlichen Hinweise:

Sie können mit den Pfeilschaltflächen in der rechten oberen Ecke des Notifier-Fensters in den Meldungen vor- und zurückblättern. Auf diese Weise können Sie die Meldungen überprüfen, die vor oder nach der aktuell angezeigten Meldung eingetragen wurden.

36


Die Notifier-Benachrichtigungsfenster werden zunächst teilweise transparent angezeigt, damit der Bildschirminhalt nicht verdeckt wird. Sie werden undurchsichtig angezeigt, wenn sich der Mauszeiger über ihnen befindet. Sobald Sie die Maus aus einem Meldungsfenster nehmen, wird es wieder transparent.

Wenn sich der Cursor nicht gerade auf der Notifier-Benachrichtigung befindet, wird sie vier Sekunden lang angezeigt. Diese Standardeinstellung kann in den Notifier-Optionen geändert werden. Wenn Sie mehr Zeit zum Lesen einer Meldung benötigen, zeigen Sie mit dem Cursor auf die Meldung, damit sie eingeblendet bleibt.

Wenn Sie eine Notifier-Benachrichtigung verpassen oder eine ältere Meldung noch einmal ansehen möchten, gehen Sie wie folgt vor:

Windows-Systeme: Klicken Sie im PGP-Symbol in der Taskleiste auf Notifier anzeigen.

Mac OS X-Systeme: Klicken Sie im PGP Desktop-Symbol in der Menüleiste von Mac OS X auf Notifier anzeigen.

Sie können eine Notifier-Benachrichtigung schließen, indem Sie auf X klicken (oben rechts in der Nachricht bei Windows-Systemen, oben links in Mac OS X-Systemen).

Weitere Informationen zur Einstellung der PGP Desktop Notifier-Optionen finden Sie unter Notifier-Optionen.

PGP Desktop Notifier-Benachrichtigungen zu eingehenden E-Mail-Nachrichten

Meldungen zu eingehenden E-Mails informieren darüber, ob die E-Mail entschlüsselt und verifiziert wurde oder mit einem unbekannten oder nicht verifizierten Schlüssel entschlüsselt oder signiert wurde. Folgendes Beispiel zeigt eine E-Mail-Nachricht, die empfangen und erfolgreich entschlüsselt wurde und bei der verifiziert wurde, dass sie von der Person stammt, von der sie zu stammen vorgibt.

37


PGP Desktop Notifier-Benachrichtigungen zu ausgehenden E-Mail-Nachrichten

Wenn nur eine Meldung erfolgen soll, wenn eine E-Mail gesendet wird, wählen Sie die Option, dass PGP Desktop Notifier kurz angezeigt wird. Diese Option kann so eingestellt werden, dass eine Meldung für alle E-Mails oder nur für E-Mails, die bestimmte Kriterien erfüllen, angezeigt wird. Das folgende Beispiel zeigt eine ausgehende E-Mail-Nachricht, die für das geschützte Versenden bereit ist. Die E-Mail wird gesendet, ohne dass Sie eingreifen müssen.

Alternativ dazu können Sie PGP Desktop so konfigurieren, dass im Notifier-Fenster die Schaltflächen Nachricht blockieren und Nachricht senden angezeigt werden.

So verwalten Sie ausgehende E-Mails mit diesem Notifier

1 Gehen Sie im Feld Ausgehende Nachricht des PGP Notifier wie folgt vor:

Klicken Sie auf Nachricht blockieren, wenn die Nachricht nicht gesendet werden soll. Beachten Sie, dass dadurch nur diese ausgehende E-Mail-Nachricht blockiert wird; andere E-Mail-Nachrichten an diesen Empfänger können gesendet werden.

Klicken Sie auf Nachricht senden, wenn diese Nachricht gesendet werden soll, obwohl der Schlüssel des Empfängers nicht gefunden wurde.

Wenn die Verarbeitung der Nachricht verzögert werden soll, lassen Sie die Maus auf dem Notifier-Feld. Wenn die Maus das Notifier-Feld verlässt, wird die Nachricht entsprechend der Standardregel verarbeitet.

38


Mit der Notifier-Option Ausgehende E-Mails verzögern für legen Sie fest, nach wie vielen Sekunden eine E-Mail ohne Eingriff Ihrerseits gesendet wird. Die verbleibende Zeit wird angezeigt.

2 Wenn Sie weitere Informationen wie z. B. den Vorgang, den Empfänger, die Richtlinie oder den Signierschlüssel anzeigen möchten, klicken Sie auf Mehr.

Sie müssen diese zusätzlichen Informationen nicht unbedingt überprüfen. Um diese Informationen wieder auszublenden, klicken Sie auf Weniger.

Ausgehende PGP Desktop Notifier-Meldungen für Offline-Richtlinie

Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, hat Ihr Administrator möglicherweise festgelegt, welche Maßnahmen bei ausgehenden Nachrichten zu ergreifen sind, wenn der PGP Universal Server nicht verfügbar ist. Die ausgehende Notifier-Meldung weist auf eine der folgenden Möglichkeiten hin:

39


Ihr PGP Universal Server ist nicht verfügbar und nach der festgelegten Richtlinie werden alle Nachrichten blockiert. Ihre E-Mail-Nachrichten verbleiben im Postausgang und werden dann gesendet, wenn der PGP Universal Server wieder kontaktiert werden kann.

Ihr PGP Universal Server ist nicht verfügbar und nach der festgelegten Richtlinie werden alle Nachrichten als Klartext gesendet.

Ihr PGP Universal Server ist nicht verfügbar und nach der festgelegten Richtlinie hat Ihre lokale Richtlinie Vorrang.

In den beiden letzteren Fällen liegt, wie bei jeder anderen ausgehenden Nachricht auch, die Entscheidung bei Ihnen, ob Sie die ausgehende Nachricht senden oder blockieren wollen.

PGP Notifier für Instant Messaging

Wenn PGP Desktop auf Ihrem Computer installiert ist und Sie die Notifier-Funktion für Instant Messaging aktiviert haben (auf der Registerkarte „Benachrichtigungen“ in den PGP Desktop-Einstellungen), teilt Ihnen der Notifier mit, ob Ihre AIM-Sitzungen (AOL Instant Messenger) mit anderen PGP Desktop-Anwendern geschützt sind.

Wenn Sie die Funktion für sicheres Instant Messaging verwenden, informiert Sie der Notifier beim Anmelden im Instant Messaging-Programm darüber, dass der Chat sicher ist. Gleichzeitig wird auf den meisten AIM-kompatiblen Instant Messaging-Programmen neben Ihrem Buddy-Namen ein Schlosssymbol angezeigt.

Wenn Sie sich vom Instant Messaging-Programm abmelden, informiert Sie eine abschließende Notifier-Benachrichtigung darüber, dass die sichere Sitzung beendet wurde.

Weitere Informationen zur Konfiguration und zur Verwendung des sicheren Instant Messaging für Chats finden Sie unter „Sicheres Instant Messaging“.

PGP Desktop Notifier für Laufwerksfunktionen

PGP Desktop Notifier für Laufwerksfunktionen hält Sie bei der Arbeit mit den Programmkomponenten PGP NetShare und PGP Whole Disk Encryption auf dem Laufenden.

40


Hinweis: Der Notifier zeigt außerdem den Status von ankommenden und ausgehenden E-Mail-Nachrichten auf Ihrem Computer an. Weitere Informationen finden Sie unter PGP Desktop Notifier für Messaging (auf Seite 35).

PGP NetShare

Wenn Sie PGP Desktop Notifier zusammen mit PGP NetShare verwenden, werden Sie von Folgendem benachrichtigt:

Vorgänge in freigegebenen Ordnern.

Pfad des betreffenden Ordners

Name des betreffenden Ordners

Name des Anwenders, der die Aktion durchgeführt hat

PGP Whole Disk Encryption

Wenn Sie PGP Desktop Notifier zusammen mit PGP Whole Disk Encryption verwenden, werden Sie von Folgendem benachrichtigt:

Das verschlüsselte Laufwerk

Größe und Typ des Laufwerks

Status des Verschlüsselungsvorgangs

Notifier aktivieren oder deaktivieren

So aktivieren und deaktivieren Sie Notifier-Benachrichtungen

1 Öffnen Sie PGP Desktop und klicken Sie auf Extras > PGP-Optionen.

2 Klicken Sie auf die Registerkarte „Notifier“.

41


3 Legen Sie die Bildschirmposition fest. PGP Desktop-Benachrichtigungen können in jeder der vier Bildschirmecken (Unten rechts, Unten links, Oben

rechts oder Oben links) angezeigt werden. Wählen Sie die Ecke aus, in der die PGP Desktop-Benachrichtigungen angezeigt werden sollen. Die Standardposition ist Unten rechts.

4 Wenn Sie PGP Desktop Messaging verwenden und die PGP Desktop Notifier-Benachrichtigungen eingeblendet werden sollen, in denen der Verschlüsselungs- oder Signierstatus beim Senden von E-Mails angezeigt wird, aktivieren Sie das Kontrollkästchen Meldung bei der Verarbeitung

ausgehender E-Mails. Deaktivieren Sie dieses Kontrollkästchen, wenn Sie beim Senden von E-Mails keine Benachrichtigungen zum Verschlüsselungs- und/oder Signierungsstatus wünschen.

5 PGP Desktop sucht bei jedem Empfänger, an den Sie E-Mail-Nachrichten senden, nach einem öffentlichen Schlüssel. Wenn für einen Empfänger kein öffentlicher Schlüssel gefunden werden kann, wird die betreffende E-Mail per Voreinstellung als Klartext (ohne Verschlüsselung) gesendet. Aktivieren Sie Fragen, bevor E-Mails gesendet werden, wenn der öffentliche

Schlüssel des Empfängers nicht gefunden wird, wenn Sie informiert werden möchten, wenn ein Schlüssel nicht gefunden wird. Sie erhalten dann die Möglichkeit, die E-Mail zu blockieren, sodass sie nicht gesendet wird. Sie haben dann folgende Optionen:

Senden von E-Mails immer bestätigen lassen: Aktivieren Sie dieses Kontrollkästchen, wenn Sie jede E-Mail bestätigen möchten, die Sie senden. Sie können den Verschlüsselungsstatus im Notifier überprüfen und dann entscheiden, ob die E-Mail gesendet werden soll oder nicht.

Ausgehende E-Mails n Sekunde(n) zur Bestätigung verzögern (wobei n eine Zahl von 1 bis 30 ist; Standard sind 4 Sekunden). Die Zeit, die ausgehende Nachrichten verzögert werden und die eine PGP Desktop Notifier-Benachrichtigung angezeigt wird, kann mit den Pfeiltasten nach oben und unten verändert werden. Während der Verzögerung können Sie die PGP Desktop Notifier-Benachrichtigung überprüfen.

(Weitere Informationen zu den Einstellungen der Standardrichtlinien von PGP Desktop finden Sie unter Dienste und Richtlinien auf Seite 105.)

6 Geben Sie für eingehende E-Mails an, wie ihr Status beim Empfang angezeigt werden soll. Wählen Sie unter Benachrichtigungen für

ankommende E-Mails anzeigen eine der folgenden Optionen aus:

Wenn verschlüsselte E-Mail empfangen wird: Ein Notifier wird jedes Mal angezeigt, wenn Sie eine verschlüsselte E-Mail erhalten. Dieses Fenster enthält den Absender der E-Mail, den Betreff, den Status von Verschlüsselung und Verifizierung sowie die E-Mail-Adresse des Absenders.

42


Nur, wenn Nachrichtenüberprüfung fehlschlägt: Für ankommende E-Mails wird nur dann eine Notifier-Benachrichtigung angezeigt, wenn PGP Desktop die Signatur der ankommenden E-Mail nicht verifizieren kann.

Nie: Wählen Sie diese Option, wenn Sie beim Empfang von E-

Mails keine Notifier-Benachrichtigung wünschen. Diese Option

wirkt sich nicht auf die Notifier-Benachrichtigungen für

ausgehende E-Mails aus.

7 Aktivieren Sie das Kontrollkästchen Vom Status verschlüsselter PGP-IM-

Sitzungen benachrichtigen, wenn zu Beginn und bei Beendigung eines Instant Messaging-Chats kurz ein PGP Desktop Notifier-Fenster angezeigt werden soll.

PGP -Protokoll anzeigen

Mit dieser Funktion können Sie sehen, welche Schritte PGP Desktop unternimmt, um Ihre Daten zu schützen.

PGP -Protokoll anzeigen

1 Um Protokolle anzeigen zu können, muss die Protokollfunktion aktiviert sein. Klicken Sie dazu in PGP Desktop auf Extras > PGP-Protokolle aktivieren.


Klicken Sie auf das PGP- Symbol in der Windows-Taskleiste und klicken Sie im Kontextmenü auf PGP-Protokoll anzeigen. Das PGP-Protokoll wird in einem neuen Fenster geöffnet.

Klicken Sie in PGP Desktop auf Extras > PGP-Protokoll anzeigen. Das PGP-Protokoll wird im Anwendungsfenster geöffnet.

Klicken Sie in PGP Desktop auf das Bedienfeld „PGP-Messaging“ und wählen Sie PGP-Protokoll aus. Das PGP Desktop-Protokoll wird im Fenster der Anwendung angezeigt.

43


3 So ändern Sie die Anzeigeoptionen und filtern bestimmte Protokolldaten heraus:

Wenn Sie das Datum der Protokolle, die angezeigt werden sollen, auswählen möchten, klicken Sie auf den Pfeil Log anzeigen für.

Wenn Sie die Art der Protokolle, die angezeigt werden sollen, auswählen möchten, klicken Sie auf den Pfeil Betreff anzeigen. Sie haben die Wahl zwischen Alle, PGP, E-Mail, IM, Whole Disk, NetShare, Zip/SDA und Virtual Disk.

Wenn Sie die Anzeigenstufe der Protokolleinträge, die angezeigt werden sollen, auswählen möchten, klicken Sie auf den Pfeil Ebene

anzeigen. Sie haben die Wahl zwischen Fehler, Warnung, Info oder Ausführlich. Beachten Sie, dass die Option Ausführlich zu sehr großen Protokolldateien führen kann.

4 Nach der Anzeige des Protokolls:

Klicken Sie auf Speichern, um eine Kopie des PGP-Protokolls zu speichern.

Klicken Sie auf Sicher löschen, wenn Sie die Einträge im PGP-Protokoll löschen möchten.

Klicken Sie auf Schließen, um das PGP-Protokollfenster zu schließen.

45

PGP Keys ist eine Funktion von PGP Desktop, mit der Sie eigene PGP-Schlüsselpaare erstellen und die öffentlichen Schlüssel anderer PGP Desktop-Anwender verwalten können.

In diesem Abschnitt wird beschrieben, wie Sie Schlüssel anzeigen, ein Schlüsselpaar erstellen, Ihren öffentlichen Schlüssel verteilen, die öffentlichen Schlüssel anderer Personen abrufen und mit Keyservern arbeiten.

Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP-Administrator u. U. bestimmte Funktionen deaktiviert. Wenn eine Funktion deaktiviert wurde, wird das Bedienelement auf der linken Seite nicht angezeigt und das Menü und andere Optionen für diese Funktion stehen nicht zur Verfügung. Die in diesem Handbuch enthaltenen Abbildungen zeigen die Standardinstallation, bei der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktion deaktiviert hat, betrifft Sie der entsprechende Abschnitt nicht.

Kapitelinhalt

Schlüssel anzeigen .................................................................................. 45 Ein Schlüsselpaar erstellen...................................................................... 46 Ihren privaten Schlüssel schützen........................................................... 50

Ihren öffentlichen Schlüssel verteilen ..................................................... 52 Öffentliche Schlüssel anderer Personen abrufen.................................... 56 Mit Keyserver arbeiten ............................................................................ 58 Hauptschlüssel verwenden ..................................................................... 60

Schlüssel anzeigen

Wenn Sie Schlüssel am lokalen Schlüsselbund anzeigen möchten, öffnen Sie PGP Desktop und klicken Sie auf das Bedienfeld „PGP Keys“. Sie haben dann folgende Möglichkeiten:

Alle Schlüssel. Zeigt alle PGP-Schlüssel auf Ihren Schlüsselbunden an.

Eigene private Schlüssel. Zeigt nur die privaten Schlüssel auf Ihren Schlüsselbunden an.

5 Verwendung von PGP

Keys

46

PGP® Desktop 9.9 für Windows Verwendung von PGP Keys

Nach Schlüsseln suchen. Ermöglicht Ihnen die Suche nach Schlüsseln auf Ihren Schlüsselbunden auf der Basis Ihrer Suchkriterien.

Smartcard-Schlüssel. Wenn im System eine Smartcard vorhanden ist, steht auch diese Option zur Verfügung.

Einige der häufiger verwendeten Aufgaben stehen im Bedienfeld von PGP Keys oder im Arbeitsbereich zur Verfügung. Es handelt sich hierbei um folgende Optionen:

Wenn ein öffentlicher Schlüssel in einer Ansicht von PGP Keys auf Ihren Schlüsselbunden ausgewählt ist, wird die Option E-Mail an diesen

Empfänger senden im Bedienfeld von PGP Keys eingeblendet.

Wenn Sie eine Suche durchführen und einen öffentlichen Schlüssel auswählen, der bei der Suche gefunden wurde und der sich nicht auf Ihren lokalen Schlüsselbunden befindet, wird im Bedienfeld von PGP Keys die Option Zu eigenem Schlüsselbund hinzufügen angezeigt.

Um die Eigenschaften aller Schlüssel anzuzeigen, die im Arbeitsbereich angezeigt werden, können Sie einfach auf einen Teil des aufgeführten Schlüssels doppelklicken, um das Dialogfeld „Eigenschaften“ für diesen Schlüssel zu öffnen.

Wenn Sie eine Suche durchführen, erscheint die Option Diese Schlüsselsuche

speichern im Bedienfeld „PGP-Keys“. Damit können Sie im Handumdrehen die Ergebnisse zur späteren Verwendung speichern.

Ein Schlüsselpaar erstellen

Verweise auf mit PGP Universal verwaltete Umgebungen gelten nicht für die Produkte PGP Virtual Disk und PGP Virtual Disk Professional. Weitere Informationen über mit PGP Universal verwaltete Umgebungen finden Sie im Abschnitt „Zentral verwaltete“ und „Einzelplatz“-Anwender (auf Seite 5).

Sie haben wahrscheinlich schon ein PGP-Schlüsselpaar für sich erstellt, entweder mit dem PGP Desktop Setup-Assistenten oder mit einer früheren Version von PGP Desktop. Ist dies nicht der Fall, müssen Sie es jetzt nachholen. Fast alles, was Sie mit PGP Desktop tun, erfordert ein Schlüsselpaar.

Achtung: Es ist nicht empfehlenswert, für sich selbst immer neue Schlüssel zu erstellen. Ein PGP-Schlüsselpaar ist wie ein digitaler Ausweis oder Pass; wenn Sie viele davon erstellen, verwirren Sie am Ende nur sich selbst und die Personen, die Ihnen verschlüsselte Nachrichten senden möchten. Am besten besitzen Sie nur einen einzigen Schlüssel, der alle von Ihnen verwendeten E-Mail-Adressen enthält. Das PGP Global Directory veröffentlicht nur einen Schlüssel pro E-Mail-Adresse.

Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung einsetzen, ist die Erstellung von Schlüsselpaaren möglicherweise deaktiviert.

47


So erstellen Sie ein PGP-Schlüsselpaar

1 Achten Sie darauf, dass das Bedienfeld „PGP Keys“ ausgewählt ist.

2 Klicken Sie auf Datei > Neuer PGP-Schlüssel oder drücken Sie Strg+N. Der erste Bildschirm des PGP-Schlüsselerstellungs-Assistenten wird angezeigt.

3 Lesen Sie die Informationen auf diesem Bildschirm.

4 Falls Sie Ihr neues PGP-Schlüsselpaar auf einem Token oder einer Smartcard erstellen wollen, stellen Sie sicher, dass der Token bzw. die Smartcard an das System angeschlossen ist, und markieren Sie die Option Schlüssel erstellen auf Token: [Name der Smartcard oder des Tokens

im System]. Weitere Informationen zu Smartcards und Token finden Sie unter Schlüssel auf Smartcards und Token speichern (auf Seite 297).

5 Klicken Sie auf Weiter. Der Bildschirm Zuweisung von Name und E-Mail wird angezeigt.

6 Geben Sie im Feld Vollständiger Name Ihren Namen und im Feld Primäre

E-Mail Ihre korrekte E-Mail-Adresse ein. Es ist nicht unbedingt notwendig, Ihren echten Namen oder Ihre E-Mail-Adresse einzugeben. Durch die Verwendung Ihres echten Namens können andere Anwender Sie jedoch einfacher als den Besitzer Ihres öffentlichen Schlüssels identifizieren. Ihre echte E-Mail Adresse ist ebenfalls erforderlich, wenn Sie Ihren öffentlichen Schlüssel auf das PGP Global Directory hochladen (das ihn auf einfache Weise für andere PGP Desktop-Anwender verfügbar macht).

7 Falls Sie dem Schlüssel, den Sie erstellen, weitere E-Mail-Adressen hinzufügen wollen, klicken Sie auf Mehr. Geben Sie die Adressen in die entsprechenden Felder ein.

8 Falls Sie erweiterte Einstellungen für den Schlüssel angeben wollen, den Sie erstellen, klicken Sie auf Erweitert. Das Dialogfeld „Erweiterte Schlüsseleinstellungen“ wird angezeigt. In diesem Dialogfeld können Sie den Typ, die Größe, die Gültigkeitsdauer und andere Einstellungen für den Schlüssel festlegen.

9 Wählen Sie Einstellungen für die folgenden Punkte aus:

Schlüsseltyp. Wählen Sie zwischen Diffie-Hellman/DSS und RSA.

Separaten Signatur-Unterschlüssel generieren. Markieren Sie dieses Feld, wenn Sie einen separaten Unterschlüssel zum Signieren benötigen. Zusammen mit dem neuen Schlüsselpaar wird ein separater Signatur-Unterschlüssel erstellt. Nachdem der neue Schlüssel erstellt wurde, können Sie jederzeit weitere Signatur- oder Verschlüsselungsschlüssel erstellen. Weitere Informationen zu separaten Signatur- und Verschlüsselungsunterschlüsseln finden Sie unter Unterschlüssel verwenden (auf Seite 78).

48


Schlüsselgröße. Geben Sie zwischen 1024 Bit und 4096 Bit ein. Je größer der Schlüssel, desto sicherer ist er, desto länger dauert aber auch seine Erstellung. Einige Smartcards und Token begrenzen die Schlüsselgröße auf 1024 Bit.

Ablaufdatum. Wählen Sie Nie aus oder geben Sie ein Datum an, an dem das Schlüsselpaar, das Sie erstellen, abläuft.

Zulässige Algorithmen. Entfernen Sie die Markierung aller Algorithmen, die vom erstellten Schlüsselpaar nicht unterstützt werden sollen.

Bevorzugter Algorithmus. Wählen Sie den Algorithmus aus, der in Fällen verwendet werden soll, für die kein Algorithmus festgelegt wurde. Nur ein zulässiger Algorithmus kann als bevorzugt festgelegt werden.

Zulässige Hash-Algorithmen. Entfernen Sie die Markierung aller Hash-Algorithmen, die vom erstellten Schlüsselpaar nicht unterstützt werden sollen.

Bevorzugter Hash-Algorithmus. Wählen Sie den Hash-Algorithmus aus, der in Fällen verwendet werden soll, für die kein Hash-Algorithmus festgelegt wurde. Nur ein zulässiger Hash-Algorithmus kann als bevorzugt festgelegt werden.

10 Klicken Sie auf OK, um das Dialogfeld „Erweiterte Schlüsseleinstellungen“ zu schließen.


12 Wenn Ihr Computer zu einer mit PGP Universal zentral verwalteten Umgebung gehört, wird u. U. das Dialogfenster „Unternehmenseinstellungen“ angezeigt. Hier werden die Schlüssel aufgeführt, die der PGP-Administrator zu Ihrer Version von PGP Desktop hinzufügt (z. B. den Additional Decryption Key (ADK) des Unternehmens oder den Unternehmensschlüssel).

Der Bildschirm „Zuweisung des Passworts“ erscheint.

13 Geben Sie das Passwort ein, das Sie verwenden wollen, um den exklusiven Zugriff auf den privaten Schlüssel des erstellten Schlüsselpaares beizubehalten.

14 Zur Bestätigung Ihrer Eingabe drücken Sie die Tabulatortaste, um den Cursor in das Bestätigungsfeld zu setzen. Geben Sie dasselbe Passwort nochmals ein. Informationen zur Passwort-Qualitätsanzeige finden Sie unter Passwort-Qualitätsanzeige (auf Seite 336).

Hinweis: Als zusätzliche Sicherheitsmaßnahme werden die für das Passwort eingegebenen Zeichen gewöhnlich nicht auf dem Bildschirm angezeigt. Wenn Sie jedoch sicher sind, dass Sie nicht beobachtet werden, und die Zeichen beim Eingeben des Passworts sehen möchten, aktiveren Sie die Option Tastatureingabe anzeigen.

49


Warnung: Niemand, auch nicht die PGP Corporation, kann einen Schlüssel wiederherstellen, dessen Passwort vergessen wurde, es sei denn, Ihr PGP-Administrator hat eine PGP-Schlüsselwiederherstellungsrichtlinie für Ihr Unternehmen implementiert.

15 Klicken Sie auf Weiter, um den Schlüsselerstellungsvorgang zu starten. PGP Desktop erstellt Ihr neues Schlüsselpaar.

Dieser Vorgang kann einige Minuten dauern.

16 Wenn der Schlüsselerstellungsvorgang anzeigt, dass er abgeschlossen ist, klicken Sie auf Weiter. Sie werden aufgefordert, den öffentlichen Teil des soeben erstellten Schlüssels zum PGP Global Directory hinzuzufügen.

17 Lesen Sie den Text auf dem Bildschirm und klicken Sie auf Weiter, um den neuen Schlüssel zum PGP Global Directory hinzuzufügen (empfohlen). Klicken Sie auf Überspringen, wenn Sie nicht wollen, dass der öffentliche Schlüssel im PGP Global Directory veröffentlicht wird.

18 Klicken Sie auf Fertig. Ihr neues PGP-Schlüsselpaar wurde erstellt. Es sollte im Arbeitsbereich von PGP Keys zu sehen sein. Falls es dort nicht aufgelistet ist, stellen Sie sicher, dass im Bedienfeld von PGP Keys entweder Alle Schlüssel oder Eigene private Schlüssel ausgewählt ist.

Achtung: Sie sollten an diesem Punkt eine Sicherheitskopie Ihrer privaten Schlüssel an einem sicheren Speicherort anfertigen. Ihre privaten Schlüssel sind sehr wichtig. Sollten sie abhanden kommen, könnte dies katastrophale Auswirkungen haben, wenn Sie Daten damit verschlüsselt haben. Weitere Informationen finden Sie unter Ihren privaten Schlüssel schützen (auf Seite 50).

Passwörter

Eine Datei zu verschlüsseln und dann festzustellen, dass sie nicht mehr entschlüsselt werden kann, ist eine schmerzliche Lektion. Man lernt dabei, wie man ein Passwort auswählt, an das man sich erinnert.

Die meisten Anwendungen erfordern ein Passwort mit einer Länge von drei bis acht Zeichen. Die Verwendung von Passwörtern, die nur aus einem einzigen Wort bestehen, ist unsicher; hiermit wird eindringlich davon abgeraten. Ein aus einem einzigen Wort bestehendes Passwort ist anfällig für sogenannte Dictionary Attacks, also Wörterbuchangriffe, bei denen ein Rechner alle Wörter eines Wörterbuchs ausprobiert, bis Ihr Passwort gefunden ist. Es ist auch leicht, diese Wörterbuchangriffe so zu gestalten, dass eine große Vielfalt von Passwörtern gefunden werden kann, wenn diese leicht von Wörterbucheinträgen abweichen.

Um sich gegen derartige Angriffe zu schützen, wird häufig empfohlen, ein Wort zu erstellen, das eine Kombination aus Groß- und Kleinbuchstaben, Zahlen, Interpunktionszeichen und Leerstellen enthält. Dies ergibt wohl ein stärkeres Passwort, das man sich aber wahrscheinlich nicht so einfach merken kann.

50


Wenn Sie versuchen, einen Wörterbuchangriff durch viele zufällig eingefügte nicht-alphabetische Zeichen zu verhindern, können Sie Ihr Passwort zu leicht vergessen. Ein Passwort aus mehreren Wörtern ist nicht so anfällig für Wörterbuchangriffe. Falls jedoch das Passwort, das Sie wählen, nicht leicht auswendig gelernt werden kann, werden Sie es sich nicht Wort für Wort merken können.

Wenn Sie ein Wort einfach nur spontan auswählen, werden Sie es wahrscheinlich gänzlich vergessen. Sie sollten etwas wählen, das sich schon in Ihrem Langzeitgedächtnis befindet. Es sollte nichts sein, das Sie in letzter Zeit anderen gegenüber geäußert haben, und auch kein berühmtes Zitat, da das Passwort für einen geschickten Angreifer nicht einfach zu erraten sein soll. Alles, was bereits tief in Ihrem Langzeitgedächtnis verankert ist, werden Sie wahrscheinlich nicht wieder vergessen. Falls Sie natürlich leichtsinnig genug sind, Ihr Passwort aufzuschreiben und es an Ihren Monitor zu kleben oder in die Schreibtischschublade zu legen, ist es gleichgültig, was Sie wählen.

Weitere Informationen finden Sie unter Passwörter verwenden (auf Seite 335).

Ihren privaten Schlüssel schützen

Die PGP Corporation empfiehlt, dass Sie die folgenden Schritte sofort nach der Erstellung Ihres Schlüsselpaares unternehmen:

Achtung: Wenn Sie diese Schritte nicht durchführen, kann dies in der Zukunft zu einem umfassenden Datenverlust führen.

Erstellen Sie für den Fall, dass die ursprüngliche Datei Ihres privaten Schlüssels beschädigt wird oder abhanden kommt, eine Sicherheitskopie der Datei an einem anderen, sicheren Speicherplatz. Weitere Informationen finden Sie unter Ihren privaten Schlüssel sichern (auf Seite 52).

Denken Sie über Ihr gewähltes Passwort nach. Es muss sich um etwas handeln, was Sie sicher nicht vergessen. Wenn Sie befürchten, dass Sie während der Erstellung des Schlüssels ein Passwort festgelegt haben, dass Sie möglicherweise wieder vergessen, ändern Sie es JETZT in ein Passwort, dass Sie nicht vergessen. Wie Sie das Passwort ändern, erfahren Sie unter Ihr Passwort ändern (auf Seite 69).

Die Datei mit Ihrem privaten Schlüssel ist sehr wichtig, sobald Sie Daten erhalten, die mit Ihrem öffentlichen Schlüssel verschlüsselt wurden; nur mit dem entsprechenden privaten Schlüssel können die Daten entschlüsselt werden. Dies gilt auch für Ihr Passwort: Wenn der private Schlüssel oder das Passwort verloren gehen, können die Daten, die mit dem zugehörigen öffentlichen Schlüssel verschlüsselt wurden, nicht mehr entschlüsselt werden. Wenn Sie Daten verschlüsseln, wird hierzu sowohl das Passwort als auch der private Schlüssel verwendet. Sie benötigen beide, um die verschlüsselten Daten zu entschlüsseln. Wenn die Daten einmal verschlüsselt wurden, kann niemand - nicht einmal die PGP Corporation - die Daten ohne Ihre private Schlüsseldatei und Ihr Kennwort entschlüsseln.

51


Stellen Sie sich folgende Situation vor: Sie besitzen wichtige verschlüsselte Daten und vergessen dann das Kennwort oder verlieren den privaten Schlüssel. Auf die verschlüsselten Daten kann dann nicht mehr zugegriffen werden, sie können nicht mehr verwendet und auch nicht mehr wiederhergestellt werden.

Schlüssel und Schlüsselbunde schützen

Sie sollten nicht nur Sicherungskopien Ihrer Schlüssel erstellen, sondern auch besonders sorgsam darauf achten, wo Sie Ihren privaten Schlüssel aufbewahren. Obwohl Ihr privater Schlüssel durch ein Passwort geschützt ist, das nur Sie kennen sollten, ist es möglich, dass jemand Ihr Passwort entdeckt und dann Ihren privaten Schlüssel zum Entschlüsseln Ihrer E-Mail verwendet oder Ihre digitale Signatur damit fälscht. Jemand könnte Ihnen beispielsweise über die Schulter blicken und beobachten, welche Tasten Sie anschlagen, oder die Tastenanschläge über das Netzwerk oder sogar über das Internet abfangen.

Um zu verhindern, dass jemand, der Ihr Passwort abfängt, Ihren privaten Schlüssel benutzen kann, sollten Sie Ihren privaten Schlüssel nur auf Ihrem eigenen Computer speichern. Falls Ihr Computer mit einem Netzwerk verbunden ist, stellen Sie sicher, dass Ihre Dateien nicht automatisch in ein systemweites Backup einbezogen werden, über das andere Zugriff auf Ihren privaten Schlüssel erhalten können. Angesichts der Tatsache, dass Computer sehr einfach über Netzwerke erreichbar sind, sollten Sie Ihren privaten Schlüssel auf einer Diskette speichern, falls Sie mit extrem vertraulichen Daten arbeiten. Diese kann wie ein traditioneller Schlüssel immer dann eingelegt werden, wenn Sie private Informationen lesen oder signieren wollen.

Als weitere Sicherheitsmaßnahme sollten Sie Ihrer privaten Schlüsselbunddatei einen anderen Namen zuweisen und sie nicht am Standardspeicherort speichern. Verwenden Sie die Registerkarte „Schlüssel“ im Dialogfeld „Optionen“, um einen Namen und einen Speicherort für Ihre privaten und öffentlichen Schlüsselbunddateien anzugeben.

Ihre privaten und öffentlichen Schlüssel werden in getrennten Schlüsselbunddateien gespeichert. Sie können sie auf einen anderen Speicherplatz auf Ihrer Festplatte oder auf eine Diskette kopieren. Standardmäßig werden der private Schlüsselbund (secring.skr) und der öffentliche Schlüsselbund (pubring.pkr) zusammen mit den anderen Programmdateien in Ihrem Ordner „PGP“ gespeichert. Sie können Ihre Sicherheitskopien an einem beliebigen Speicherort speichern.

Für Schlüssel, die auf einer Smartcard erstellt wurden, können keine Sicherungskopien erstellt werden, da der private Teil Ihres Schlüsselpaares nicht exportierbar ist.

Sie können PGP Desktop so konfigurieren, dass Ihre Schlüsselbunde automatisch nach dem Beenden von PGP Desktop gesichert werden. Die Optionen für die Schlüsselbundsicherung können in der Registerkarte „Schlüssel“ im Dialogfeld „Optionen“ (unter Windows) bzw. im Bereich Schlüssel des Dialogfelds „Eigenschaften“ (unter Mac OS X) festgelegt werden.

52


Ihren privaten Schlüssel sichern

So sichern Sie Ihren privaten Schlüssel

1 Klicken Sie in PGP Desktop auf das PGP Keys-Bedienfeld und wählen Sie Eigene private Schlüssel aus.

2 Wählen Sie das Symbol für Ihr Schlüsselpaar aus.

3 Klicken Sie auf Datei > Exportieren.

4 Geben Sie einen Dateinamen ein.

5 Aktivieren Sie das Kontrollkästchen Private(n) Schlüssel einschließen. Dies ist wichtig, da sonst nur Ihr öffentlicher Schlüssel exportiert wird.

6 Klicken Sie auf Speichern.

7 Kopieren Sie die Datei (mit der Erweiterung .asc) an einen sicheren Speicherort. Hierbei kann es sich um eine CD handeln, die sorgfältig archiviert wird, um einen anderen PC oder um einen USB-Stick, der an einem sicheren Ort aufbewahrt wird. Denken Sie daran, dass diese Datei nicht an andere Personen weitergegeben werden darf, da sie sowohl Ihren privaten als auch Ihren öffentlichen Schlüssel enthält.

Was passiert, wenn Sie Ihren Schlüssel verlieren?

Wenn Sie Ihren Schlüssel verlieren und keine Sicherungskopie besitzen, von der Sie den Schlüssel wiederherstellen können, können Sie die Informationen, die mit Ihrem Schlüssel verschlüsselt wurden, nie mehr entschlüsseln. Sie können jedoch Ihren Schlüssel wieder herstellen, falls Ihr PGP-Administrator eine Schlüsselwiederherstellungsrichtlinie für Ihr Unternehmen implementiert hat. Weitere Informationen erhalten Sie unter PGP-Schlüsselwiederherstellung (siehe „Wenn Sie Schlüssel oder Passwort verloren haben“ auf Seite 91, „Schlüssel mit PGP Universal wiederherstellen“ auf Seite Error! Bookmark not defined.) und bei Ihrem PGP-Administrator.

Ihren öffentlichen Schlüssel verteilen

Nachdem Sie Ihr PGP Desktop Schlüsselpaar erstellt haben, müssen Sie Ihren öffentlichen Schlüssel an die Personen übermitteln, mit denen Sie verschlüsselte Nachrichten austauschen wollen.

Sie stellen Ihren öffentlichen Schlüssel anderen Personen zur Verfügung, damit diese Ihnen verschlüsselte Daten senden und Ihre digitale Signatur verifizieren können. Sie benötigen den öffentlichen Schlüssel dieser Personen, um ihnen verschlüsselte E-Mails senden zu können.

Sie können Ihren öffentlichen Schlüssel auf verschiedene Arten verteilen:

53


Schlüssel im PGP Global Directory veröffentlichen (weitere Informationen finden Sie unter „Ihren öffentlichen Schlüssel auf einem Keyserver ablegen“ auf Seite 53). Im Allgemeinen sind keine anderen Verfahren notwendig, sobald Ihr Schlüssel in diesem Verzeichnis veröffentlicht wurde.

Öffentlichen Schlüssel per E-Mail senden (weitere Informationen finden Sie unter „Ihren öffentlichen Schlüssel per E-Mail senden“ auf Seite 54).

Öffentlichen Schlüssel exportieren oder in eine Textdatei kopieren (weitere Informationen finden Sie unter „Ihren öffentlichen Schlüssel in eine Datei exportieren“ auf Seite 55).

Bei Windows-Systemen steht auch folgende Option zur Verfügung:

Von einer Smartcard direkt auf den Schlüsselbund einer anderen Person kopieren (weitere Informationen finden Sie unter „Von einer Smartcard direkt auf den Schlüsselbund einer anderen Person kopieren“ auf Seite 56).

Ihren öffentlichen Schlüssel auf einem Keyserver ablegen

Verweise auf mit PGP Universal verwaltete Umgebungen gelten nicht für die Produkte PGP Virtual Disk und PGP Virtual Disk Professional. Weitere Informationen über mit PGP Universal verwaltete Umgebungen finden Sie im Abschnitt „Zentral verwaltete“ und „Einzelplatz“-Anwender (auf Seite 5).

Die beste Methode, Ihren öffentlichen Schlüssel verfügbar zu machen, besteht darin, ihn auf einem öffentlichen Keyserver zu platzieren. Auf diese Weise können Ihnen andere Personen verschlüsselte E-Mails senden, ohne ausdrücklich eine Kopie Ihres Schlüssels anfordern zu müssen. Gleichzeitig müssen Sie und andere auch keine große Anzahl öffentlicher Schlüssel speichern, die Sie selten verwenden.

Weltweit gibt es zahlreiche Keyserver (darunter das PGP Global Directory), auf denen Sie Ihren Schlüssel allgemein zugänglich machen können. Falls Sie PGP Desktop in einer Domain verwenden, die durch einen PGP Universal Server geschützt ist, hat Ihr PGP-Administrator PGP Desktop mit entsprechenden Einstellungen vorkonfiguriert.

Wenn Sie mit einem öffentlichen Keyserver arbeiten, sollten Sie Folgendes bedenken, bevor Sie Ihren Schlüssel senden:

Ist dies tatsächlich der Schlüssel, den Sie verwenden möchten? Andere, die versuchen, mit Ihnen zu kommunizieren, könnten wichtige Information mit diesem Schlüssel verschlüsseln. Aus diesem Grund empfiehlt es sich, nur solche Schlüssel auf einem Keyserver zu platzieren, die tatsächlich von anderen verwendet werden sollen.

Können Sie sich an das Passwort für diesen Schlüssel erinnern, damit Sie Daten wiederherstellen können, die damit verschlüsselt wurden, oder damit Sie den Schlüssel widerrufen können, falls Sie ihn nicht mehr verwenden möchten?

54


Anders als beim PGP Global Directory bleibt ein einmal hochgeladener Schlüssel auf dem Server. Einige öffentliche Keyserver lassen das Löschen von Schlüsseln nicht zu. Andere Server wiederum bieten Replizierungsfunktionen, die Schlüssel auch auf andere Keyserver kopieren. Das bedeutet, dass ein Schlüssel wieder auftauchen kann, nachdem Sie ihn von einem der Server gelöscht haben.

Die meisten Anwender legen ihre öffentlichen Schlüssel unmittelbar nach dem Erstellen ihres Schlüsselpaares im PGP Global Directory ab. Falls Sie Ihren Schlüssel schon im PGP Global Directory abgelegt haben, müssen Sie dies nicht wiederholen. In den meisten Fällen ist es nicht notwendig, den Schlüssel auf einen anderen Keyserver hochzuladen. Beachten Sie auch, dass andere Keyserver Schlüssel unter Umständen nicht verifizieren. Somit kann es bei Schlüsseln auf anderen Keyservern wesentlich aufwändiger sein, den Eigentümer des Schlüssels zum Vergleich des Fingerabdrucks zu kontaktieren.

So senden Sie Ihren öffentlichen Schlüssel manuell zu einem Keyserver:

1 Öffnen Sie PGP Desktop.

2 Achten Sie darauf, dass das Bedienfeld „PGP Keys“ ausgewählt ist.

3 Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar, dessen öffentlichen Schlüssel Sie zum Keyserver senden möchten.

4 Klicken Sie auf Senden an. Wählen Sie in der Liste den Keyserver aus, an den Sie den öffentlichen Schlüssel senden wollen. Wenn der Keyserver, an den Sie den öffentlichen Schlüssel senden möchten, nicht in der Liste enthalten ist, finden Sie weitere Informationen unter „Mit Keyservern arbeiten“ (auf Seite 58). PGP Desktop informiert Sie, wenn der öffentliche Schlüssel erfolgreich auf den Keyserver kopiert wurde.

Sobald Sie eine Kopie Ihres öffentlichen Schlüssels auf einem Keyserver platziert haben, ist er für andere Personen verfügbar, die Ihnen verschlüsselte Daten senden oder Ihre digitale Signatur verifizieren möchten. Auch wenn Sie andere Anwender nicht ausdrücklich auf Ihren öffentlichen Schlüssel hinweisen, können diese eine Kopie davon abrufen, indem sie den Keyserver nach Ihrem Namen oder Ihrer E-Mail-Adresse durchsuchen.

Viele Anwender geben die Webadresse für ihren öffentlichen Schlüssel am Ende ihrer E-Mail-Nachrichten an. In den meisten Fällen kann der Empfänger einfach auf die Adresse doppelklicken, um auf eine Kopie Ihres Schlüssels auf dem Server zuzugreifen. Einige Anwender drucken ihren PGP-Fingerabdruck sogar auf ihre Visitenkarte, um die Verifizierung zu erleichtern.

Ihren öffentlichen Schlüssel per E-Mail-Nachricht senden

Eine andere praktische Methode, Ihren öffentlichen Schlüssel an jemanden anderen zu übermitteln, ist, ihn an eine E-Mail anzuhängen.

55


Wenn Sie jemandem Ihren öffentlichen Schlüssel senden, achten Sie darauf, die E-Mail zu signieren. Auf diese Weise kann der Empfänger Ihre Signatur prüfen und sicherstellen, dass niemand die Daten bei der Übermittlung verfälscht hat. Falls Ihr Schlüssel jedoch noch nicht von einer Vertrauensperson signiert wurde, können die Empfänger Ihrer Signatur nur dann völlig sicher sein, dass die Signatur von Ihnen stammt, wenn Sie den Fingerabdruck auf Ihrem Schlüssel prüfen.

So hängen Sie Ihren öffentlichen Schlüssel an eine E-Mail an

1 Stellen Sie in PGP Desktop sicher, dass das Bedienfeld „PGP Keys“ ausgewählt ist.

2 Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar, dessen öffentlichen Schlüssel Sie an eine E-Mail anhängen wollen.

3 Klicken Sie auf Senden an und wählen Sie E-Mail-Empfänger aus. Ihre E-Mail-Anwendung wird geöffnet, wobei Ihre Schlüsseldaten schon eingetragen sind.

4 Adressieren Sie die Nachricht und senden Sie sie.

Falls sich diese Methode für Sie nicht eignet, können Sie PGP Desktop öffnen, Ihr Schlüsselpaar auswählen und das Menü Bearbeiten > Kopieren aufrufen. Erstellen Sie dann eine neue E-Mail-Nachricht und fügen Sie den öffentlichen Schlüssel in den Nachrichtentext ein. Bei einigen E-Mail-Anwendungen können Sie Ihren Schlüssel einfach aus PGP Desktop in den Text Ihrer E-Mail-Nachricht ziehen, um die Daten des öffentlichen Schlüssels zu übertragen.

Ihren öffentlichen Schlüssel in eine Datei exportieren

Eine andere Methode zum Verteilen Ihres öffentlichen Schlüssels ist, ihn in eine Datei zu exportieren. Diese Datei stellen Sie der Person zur Verfügung, mit der Sie sicher kommunizieren wollen.

Es gibt drei Arten, Ihren öffentlichen Schlüssel in eine Datei zu exportieren oder ihn in einer Datei zu speichern:

Wählen Sie Ihr Schlüsselpaar aus und klicken Sie auf Datei > Exportieren. Geben Sie einen Namen und einen Speicherort für die Datei an und klicken Sie auf Speichern. Achten Sie darauf, Ihren privaten Schlüssel keinesfalls zusammen mit Ihrem öffentlichen Schlüssel zu speichern, falls Sie diese Datei an andere Personen weitergeben wollen.

Klicken Sie bei gedrückter Strg-Taste auf den Schlüssel, den Sie in einer Datei speichern wollen. Wählen Sie Exportieren, geben Sie einen Namen und einen Speicherort für die Datei ein, und klicken Sie auf Speichern. Achten Sie darauf, Ihren privaten Schlüssel keinesfalls zusammen mit Ihrem öffentlichen Schlüssel zu speichern, falls Sie diese Datei an andere Personen weitergeben wollen.

56


Wählen Sie Ihr Schlüsselpaar aus und klicken Sie auf Bearbeiten >

Kopieren. Öffnen Sie ein Textbearbeitungsprogramm und klicken Sie auf Einfügen, um die Schlüsselinformationen in die Textdatei einzufügen. Speichern Sie dann die Datei. Sie können die Datei danach per E-Mail versenden oder an andere Personen weitergeben. Der Empfänger benötigt PGP Desktop auf seinem System, um den öffentlichen Teil des Schlüssels abrufen zu können.

Von einer Smartcard direkt auf den Schlüsselbund einer anderen Person

kopieren

Wenn sich Ihr öffentlicher Schlüssel auf einer Smartcard befindet, können Sie ihn von dort direkt auf den Schlüsselbund einer anderen Person kopieren und ihn auf diese Weise verteilen.

Weitere Informationen hierzu finden Sie unter „Öffentlichen Schlüssel von einer Smartcard auf einen Schlüsselbund kopieren“ (auf Seite 304).

Öffentliche Schlüssel anderer Personen abrufen

Verweise auf mit PGP Universal verwaltete Umgebungen gelten nicht für die Produkte PGP Virtual Disk und PGP Virtual Disk Professional. Weitere Informationen über mit PGP Universal verwaltete Umgebungen finden Sie im Abschnitt „Zentral verwaltete“ und „Einzelplatz“ -Anwender (auf Seite 5).

Ebenso, wie Sie Ihren öffentlichen Schlüssel an alle Personen weitergeben müssen, die Ihnen verschlüsselte E-Mails senden oder Ihre digitale Signatur verifizieren möchten, müssen Sie sich die öffentlichen Schlüssel anderer Personen beschaffen, denen Sie verschlüsselte E-Mails senden oder deren digitale Signatur Sie verifizieren möchten.

Es gibt verschiedene Möglichkeiten, an den Schlüssel einer anderen Person zu gelangen:

den verifizierten Schlüssel automatisch aus dem PGP Global Directory abrufen,

den Schlüssel manuell auf einem öffentlichen Keyserver suchen,

den öffentlichen Schlüssel aus einer E-Mail-Nachricht automatisch zum eigenen Schlüsselbund hinzufügen,

den öffentlichen Schlüssel aus einer exportierten Datei importieren,

Schlüssel vom PGP Universal Server Ihres Unternehmens abrufen.

57


Öffentliche Schlüssel sind nichts weiter als Textblöcke. Sie lassen sich zum Schlüsselbund hinzufügen, indem man sie einfach aus einer Datei importiert oder aus einer E-Mail kopiert und in den öffentlichen Schlüsselbund in PGP Desktop einfügt.

Öffentliche Schlüssel von einem Keyserver abrufen

Wenn der Empfänger der verschlüsselten E-Mail ein erfahrener PGP Desktop-Anwender ist, befindet sich wahrscheinlich eine Kopie seines öffentlichen Schlüssels auf dem PGP Global Directory-Server oder einem anderen öffentlichen Keyserver. Somit können Sie jederzeit eine Kopie seines aktuellen Schlüssels abrufen, wenn Sie eine E-Mail an diesen Empfänger senden möchten, und müssen auf Ihrem öffentlichen Schlüsselbund keine unüberschaubare Zahl von Schlüsseln speichern.

Es gibt eine Reihe von öffentlichen Keyservern, wie etwa das von PGP gehostete PGP Global Directory, auf denen die Schlüssel der meisten PGP-Anwender zu finden sind. Wenn Ihnen der Empfänger keine Internet-Adresse mitgeteilt hat, unter der sein öffentlicher Schlüssel gespeichert ist, können Sie auf einen beliebigen Keyserver zugreifen und nach dem Namen oder der E-Mail-Adresse des Anwenders suchen. Die Suche führt nicht in jedem Fall zum Erfolg, denn nicht alle öffentlichen Keyserver werden regelmäßig mit dem Schlüsseldatenbestand der anderen Server synchronisiert.

Falls Sie in einer Domain arbeiten, die durch einen PGP Universal Server geschützt ist, kann der PGP-Administrator vorgeben, den Keyserver zu verwenden, der in den PGP Universal Server integriert ist. In diesem Fall ist PGP Desktop wahrscheinlich schon für den Zugriff auf den passenden PGP Universal Server konfiguriert.

Analog dazu ist der PGP Universal Server per Voreinstellung für die Kommunikation mit dem PGP Global Directory konfiguriert. Damit verteilt die PGP-Tasksteuerung die Prozesslast der Suche und Verifizierung von Schlüsseln.

So rufen Sie einen öffentlichen Schlüssel von einem Keyserver ab

1 Öffnen Sie PGP Desktop und markieren Sie das Bedienfeld „PGP Keys“.

2 Wählen Sie im Bedienfeld „PGP Keys“ die Option Nach Schlüsseln

suchen. Im Arbeitsbereich wird das Dialogfeld „Nach Schlüsseln suchen“ angezeigt.

3 Legen Sie die Suchkriterien fest und klicken Sie auf Suchen. Wenn Sie nur einen bestimmten Keyserver durchsuchen möchten, klicken Sie auf die Auswahlliste Suchen und wählen den Keyserver in der Liste aus. Wenn der Keyserver, auf dem Sie suchen möchten, derzeit nicht in der Liste ist, klicken Sie auf Keyserver-Liste bearbeiten und fügen Sie ihn hinzu.

Bei der Suche nach Schlüsseln auf einem Keyserver lassen sich Werte für verschiedene Schlüsselmerkmale vorgeben. Für die meisten Operationen steht auch die Umkehrung zur Verfügung. So können Sie beispielsweise eine Suche mit dem Kriterium Anwender-ID ist nicht Peter durchführen.

58


Die Ergebnisse des Suchlaufs werden angezeigt.

4 Wenn bei der Suche ein öffentlicher Schlüssel gefunden wurde, den Sie zu Ihrem Schlüsselbund hinzufügen möchten, klicken Sie im Bedienfeld „PGP Keys“ auf Zu eigenem Schlüsselbund hinzufügen. Der ausgewählte Schlüssel wird zu Ihrem Schlüsselbund hinzugefügt.

Tipp: Wenn Sie nach einem sehr verbreiteten Namen suchen (zum Beispiel 'Name', 'enthält', „Meier“), wird nur der erste Suchtreffer angezeigt. Das ist eine beabsichtigte Funktion, um das nicht autorisierte, massenhafte Abfragen von Schlüsseln (sogenanntes Harvesting) zum Zweck des Phishing zu verhindern Wenn Sie häufig auftretende Namen oder Domains verwenden, müssen Sie möglicherweise den vollständigen Namen oder die E-Mail-Adresse eingeben, um den korrekten Schlüssel zu finden.

Öffentliche Schlüssel aus E-Mail-Nachrichten übernehmen

Eine bequeme Methode zur Übermittlung eines öffentlichen Schlüssels besteht darin, den Schlüssel als Anhang einer E-Mail zu senden.

So fügen Sie einen öffentlichen Schlüssel hinzu, den Sie als Anlage einer

E-Mail erhalten

1 Öffnen Sie die E-Mail.

2 Doppelklicken Sie auf die .asc-Datei, die den öffentlichen Schlüssel enthält. PGP Desktop erkennt das Dateiformat und öffnet das Dialogfeld „Schlüssel auswählen“.

3 Bestätigen Sie die Abfrage zum Öffnen der Datei.

4 Wählen Sie die öffentlichen Schlüssel, die Sie zu Ihrem Schlüsselbund hinzufügen möchten, aus und klicken Sie auf Importieren.

Mit Keyserver arbeiten

Verweise auf mit PGP Universal verwaltete Umgebungen gelten nicht für die Produkte PGP Virtual Disk und PGP Virtual Disk Professional. Weitere Informationen über mit PGP Universal verwaltete Umgebungen finden Sie im Abschnitt „Zentral verwaltete“ und „Einzelplatz“ -Anwender (auf Seite 5).

PGP Desktop erkennt drei Arten von Keyservern:

59


PGP Universal-Keyserver. Wenn Sie PGP Desktop in einer Domain verwenden, die durch einen PGP Universal Server geschützt wird, kommuniziert PGP Desktop standardmäßig nur mit dem Keyserver, der in den entsprechenden PGP Universal Server integriert ist. Für PGP Desktop handelt es sich dabei um einen vertrauenswürdigen Keyserver. PGP Desktop vertraut deshalb automatisch allen Schlüsseln auf diesem Keyserver, sofern der PGP Universal Server nicht signalisiert, dass der betreffende Schlüssel nicht vertrauenswürdig ist. Dies kann beispielsweise bei der Verifizierung der Signaturen von Remote-Schlüsseln der Fall sein.

Die Adresse eines PGP Universal-Keyservers kann z. B. so aussehen: https://keyserver.beispiel.com.

PGP Global Directory. Wenn Sie PGP Desktop häufig außerhalb einer Domain nutzen, die durch einen PGP Universal Server geschützt ist, ist PGP Desktop für die Kommunikation mit dem PGP Global Directory (https://keyserver.pgp.com) vorkonfiguriert.

Das PGP Global Directory ist ein kostenloser, frei zugänglicher Keyserver, der von PGP gehostet wird, und ermöglicht den schnellen und einfachen Zugriff auf die PGP-Schlüssel. Funktionale Basis ist eine Keyserver-Technologie der nächsten Generation. Alle Schlüssel, die mit einer E-Mail-Adresse verknüpft sind, werden verifiziert, sodass der Keyserver nicht unnötig durch unbenutzte oder gefälschte Schlüssel, durch mehrere Schlüssel pro E-Mail-Adresse und andere Probleme belastet wird, die bei älteren Keyservern anzutreffen waren. Außerdem ist es möglich, eigene Schlüssel zu ersetzen und zu löschen sowie weitere E-Mail-Adressen mit dem Schlüssel zu verknüpfen. Durch die Verwendung des PGP Global Directory haben Sie wesentlich größere Chancen, den öffentlichen Schlüssel einer Person zu finden, der Sie sichere Nachrichten senden möchten.

Für PGP Desktop handelt es sich beim PGP Global Directory um einen vertrauenswürdigen Keyserver. PGP Desktop vertraut daher automatisch allen Schlüsseln, die dort gefunden werden. Während des anfänglichen Verbindungsaufbaus zum PGP Global Directory wird der PGP Global Directory-Verifizierungsschlüssel heruntergeladen, signiert und von dem Schlüssel, den Sie im PGP Global Directory veröffentlichen, als vertrauenswürdig eingestuft. Somit werden alle vom PGP Global Directory verifizierten Schlüssel von Ihrer PGP Desktop-Installation als gültig betrachtet.

Andere Keyserver. In den meisten Fällen handelt es sich dabei um andere öffentliche Keyserver. Unter Umständen erhalten Sie jedoch über Ihr Unternehmen oder andere Strukturen Zugriff auf einen privaten Keyserver.

Weitere Informationen über den Umfang mit Keyservern finden Sie unter Schlüsseloptionen (auf Seite 314).

60


Hauptschlüssel verwenden

Die Hauptschlüsselliste enthält eine Reihe von Schlüsseln, die Sie standardmäßig jedes Mal hinzufügen möchten, wenn Sie Schlüssel für Messaging, Laufwerksverschlüsselung, NetShare oder PGP Zip auswählen. Die betreffenden Schlüssel müssen dann nicht mehr in das Feld Empfänger gezogen werden.

Hinweis: Wenn Sie Ihren Schlüssel mithilfe des Setup-Assistenten generieren, wird er der Hauptschlüsselliste automatisch hinzugefügt. Wenn Sie Ihren Schlüssel in PGP Desktop importiert haben, anstatt ihn zu generieren, wird er der Liste nicht automatisch hinzugefügt.

Schlüssel zur Hauptschlüsselliste hinzufügen

So fügen Sie Schlüssel zur Hauptschlüsselliste hinzu

1 Klicken Sie in PGP Desktop auf Extras > PGP-Optionen.

2 Wählen Sie die Registerkarte „Hauptschlüssel“ aus.

3 Aktivieren Sie das Kontrollkästchen Hauptschlüsselliste verwenden, um die Hauptschlüsselliste zu verwenden. Sie können in der Hauptschlüsselliste nur dann Schlüssel hinzufügen oder entfernen, wenn dieses Kontrollkästchen aktiviert ist.

4 Klicken Sie auf Hinzufügen. Das Dialogfeld „Hauptschlüssel auswählen“ wird angezeigt.

61


5 Wählen Sie in der Liste Schlüsselquelle auf der linken Seite die Schlüssel aus, die Sie verwenden möchten. Wenn Sie mehrere Schlüssel auswählen möchten, halten Sie die Umschalttaste gedrückt, um eine Gruppe von aufeinander folgenden Schlüsseln auszuwählen, oder halten Sie die Taste Strg gedrückt, um mehrere nicht aufeinanderfolgende Schlüssel auszuwählen.

6 Klicken Sie nach Auswahl der gewünschten Schlüssel auf Hinzufügen.

Tipp: Wenn die Liste Hinzuzufügende Schlüssel auf der rechten Seite Schlüssel enthält, die Sie nicht benötigen, wählen Sie diese Schlüssel aus und klicken auf Entfernen.

7 Klicken Sie nach Auswahl der Schlüssel auf OK. Die ausgewählten Schlüssel werden in der Hauptschlüsselliste angezeigt.

Schlüssel aus der Hauptschlüsselliste löschen

So löschen Sie Schlüssel aus der Hauptschlüsselliste

1 Klicken Sie in PGP Desktop auf Extras > PGP-Optionen.

2 Wählen Sie die Registerkarte „Hauptschlüssel“ aus.

3 Aktivieren Sie das Kontrollkästchen Hauptschlüsselliste verwenden, um die Hauptschlüsselliste zu verwenden. Sie können in der Hauptschlüsselliste nur dann Schlüssel hinzufügen oder entfernen, wenn dieses Kontrollkästchen aktiviert ist.

4 Wählen Sie die Schlüssel aus, die Sie entfernen möchten. Wenn Sie mehrere Schlüssel auswählen möchten, halten Sie die Umschalttaste gedrückt und wählen eine Gruppe von aufeinander folgenden Schlüsseln aus, oder halten Sie die Taste Strg gedrückt und wählen Sie mehrere verteilt angeordnete Schlüssel aus.

5 Klicken Sie auf Entfernen. Die Schlüssel werden entfernt.

63

In diesem Abschnitt wird beschrieben, wie Sie Schlüssel mit dem Programm PGP Desktop verwalten.

Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP-Administrator u. U. bestimmte Funktionen deaktiviert. Wenn eine Funktion deaktiviert wurde, wird das Bedienelement auf der linken Seite nicht angezeigt und das Menü und andere Optionen für diese Funktion stehen nicht zur Verfügung. Die in diesem Handbuch enthaltenen Abbildungen zeigen die Standardinstallation, bei der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktion deaktiviert hat, betrifft Sie der entsprechende Abschnitt nicht.

Kapitelinhalt

Schlüsseleigenschaften anzeigen und festlegen .................................... 64 Foto-IDs hinzufügen und entfernen......................................................... 65

Anwendernamen und E-Mail-Adressen in einem Schlüssel verwalten ................................................................................................. 66 Schlüssel und X.509-Zertifikate importieren............................................ 67 Ihr Passwort ändern ................................................................................ 69 Schlüssel, Anwender-IDs und Signaturen löschen.................................. 71 Öffentliche Schlüssel deaktivieren und aktivieren................................... 72

Einen öffentlichen Schlüssel verifizieren................................................. 73 Einen öffentlichen Schlüssel signieren.................................................... 74 Vertrauen für Schlüsselvalidierungen gewähren..................................... 77 Mit Unterschlüsseln arbeiten .................................................................. 78 Mit ADKs arbeiten ................................................................................... 83 Mit Widerrufern arbeiten ......................................................................... 85

Schlüssel teilen und wieder zusammenfügen......................................... 87 Wenn Sie Schlüssel oder Passwort verloren haben................................ 91 Ihre Schlüssel schützen........................................................................... 99

6 PGP-Schlüssel verwalten

64

PGP® Desktop 9.9 für Windows PGP-Schlüssel verwalten

Schlüsseleigenschaften anzeigen und festlegen

Der Arbeitsbereich von PGP Keys kann folgende wichtigen Details zu Ihren Schlüsseln anzeigen:

Name

E-Mail-Adresse

Gültigkeit

Größe

Schlüssel-ID

Vertrauen

Erstellungsdatum

Ablaufdatum

ADK

Status

Schlüsselbeschreibung

Sie können einstellen, welche Details angezeigt werden sollen, indem Sie auf Schlüssel klicken und die angezeigten Spalten mit Ansicht > Spalten festlegen.

Sie finden jedoch noch mehr Informationen über einen Schlüssel, wenn Sie die Schlüsseleigenschaften untersuchen. Einige dieser Angaben können Sie auch ändern.

So zeigen Sie die Eigenschaften eines Schlüssels an:

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und dann im Bedienfeld auf Alle Schlüssel. Alle Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

65


2 Doppelklicken Sie auf den Schlüssel, dessen Eigenschaften Sie ermitteln möchten. Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel wird“ geöffnet.

Foto-IDs hinzufügen und entfernen

Sie können eine Foto-ID zu Ihren Diffie-Hellman/DSS- und RSA-Schlüsseln hinzufügen.

So fügen Sie Ihre Fotografie zu Ihrem Schlüssel hinzu:

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und wählen Sie Eigene private Schlüssel aus.

2 Doppelklicken Sie im Arbeitsbereich PGP Keys auf den privaten Schlüssel, zu dem Sie die Foto-ID hinzufügen möchten. Das Dialogfeld “Schlüsseleigenschaften für den ausgewählten Schlüssel” wird geöffnet.

3 Klicken Sie mit der rechten Maustaste auf das Platzhaltersymbol (Schlüssel und Silhouette) und wählen Sie Foto-ID hinzufügen aus. Das Dialogfeld “Foto hinzufügen” wird angezeigt.

4 Ziehen Sie Ihr Foto ins Dialogfeld „Foto hinzufügen“, kopieren Sie es hinein oder klicken Sie auf Datei auswählen, um nach dem Foto zu suchen.

5 Klicken Sie auf OK. Das Dialogfeld „Passwort“ öffnet sich.

6 Geben Sie das Passwort für den Schlüssel ein, den Sie ändern, und klicken Sie dann auf OK. Ihre Foto-ID wird zu Ihrem öffentlichen Schlüssel hinzugefügt.

66


So löschen Sie eine Foto-ID

Klicken Sie mit der rechten Maustaste auf das vorhandene Foto im Dialogfeld „Schlüsseleigenschaften“, und wählen Sie Foto-ID entfernen aus. Das Foto wird aus dem Schlüssel entfernt.

Anwendernamen und E-Mail-Adressen in einem Schlüssel

verwalten

PGP Desktop unterstützt mehrere Anwendernamen und E-Mail-Adressen auf einem Schlüsselpaar. Anhand dieser Namen und E-Mail-Adressen können andere Personen Ihren Schlüssel ermitteln, um Ihnen verschlüsselte Nachrichten zu senden.

So fügen Sie einen neuen Anwendernamen oder eine neue E-Mail-

Adresse zu Ihrem Schlüsselpaar hinzu:


2 Doppelklicken Sie im Arbeitsbereich von PGP Keys auf den privaten Schlüssel, zu dem Sie einen Anwendernamen oder eine E-Mail-Adresse hinzufügen möchten. Das Dialogfeld “Schlüsseleigenschaften” des ausgewählten Schlüssels wird geöffnet.

3 Klicken Sie auf E-Mail-Adresse hinzufügen. Das Dialogfeld „Neuer PGP-Anwendername“ wird angezeigt.

4 Geben Sie den Namen und die E-Mail-Adresse in die vorgesehenen Felder ein und klicken Sie auf OK. Das Dialogfenster „PGP-Passwort für Schlüssel eingeben“ wird geöffnet.

5 Geben Sie das Passwort für den privaten Teil des Schlüssels ein, den Sie ändern, und klicken Sie dann auf OK.

6 Wenn Sie den neuen Anwendernamen und die neue E-Mail-Adresse als primären Bezeichner für Ihren Schlüssel festlegen möchten, klicken Sie im Dialogfeld „Schlüsseleigenschaften“ auf den Namen des aktuellen primären Bezeichners und wählen Sie den Anwender aus, den Sie gerade hinzufügt haben.

7 Schließen Sie das Dialogfeld „Schlüsseleigenschaften“. Der neue Name wird in der Liste der Schlüssel in PGP Desktop am Ende der Liste der Anwendernamen, die diesem Schlüssel zugewiesen wurden, eingefügt.

So ändern Sie den primären Bezeichner, der mit Ihrem Schlüssel

verknüpft ist


67


Klicken Sie im Dialogfeld „Schlüsseleigenschaften“ auf den Namen des aktuellen primären Schlüsseleigentümers und wählen Sie den Namen des Anwenders aus der angezeigten Liste aus.

Erweitern Sie in PGP Desktop Ihren Schlüssel in der Schlüsselliste, klicken Sie mit der rechten Maustaste auf den Anwendernamen, den Sie als primären Namen festlegen möchten, und klicken Sie im Kontextmenü auf Als primären Namen festlegen.

So löschen Sie einen Namen/eine E-Mail-Adresse aus dem Schlüsselpaar

1 Klicken Sie in der Schlüsselliste auf das Pluszeichen links neben dem Schlüssel, um den Schlüssel zu erweitern.

2 Wählen Sie die Anwender-ID aus, die Sie löschen möchten.

3 Drücken Sie die Taste ENTF auf der Tastatur. Ein Dialogfenster zur Bestätigung wird angezeigt.

Tipp: Sie können auch auf Bearbeiten > Löschen (in Windows-Systemen) oder auf Bearbeiten > Entfernen (in Mac OS X-Systemen) klicken.

4 Klicken Sie auf Löschen. Die Anwender-ID wird gelöscht.

Schlüssel und X.509-Zertifikate importieren

Sie können öffentliche PGP-Schlüssel und PKCS-12 X.509-Zertifikate (ein digitales Zertifikatformat, das von den meisten Web-Browsern verwendet wird) in Ihren PGP Desktop-Schlüsselbund importieren. Sie können auch X.509-Zertifikate im PEM-Format (Privacy Enhanced Mail) von Ihrem Browser importieren, indem Sie sie in Ihren öffentlichen Schlüsselbund kopieren.

Sie können die öffentlichen Schlüssel anderer Personen auf verschiedene Arten importieren und zu Ihrem Schlüsselbund hinzufügen. Sie haben folgende Möglichkeiten:

Doppelklicken Sie auf die Datei in Ihrem System. Falls PGP Desktop das Dateiformat erkennt, öffnet es die Datei und fragt Sie, ob Sie den oder die Schlüssel in der Datei importieren wollen.

Wählen Sie die Schlüsseldatei in PGP Desktop für den Import aus.

Ziehen Sie die Datei, die den Schlüssel enthält, in das Fenster von PGP Keys.

PGP Desktop verfügt über einen Assistenten für den Zertifikatsimport, um diese Aufgabe zu vereinfachen. Weitere Informationen finden Sie unter Den Assistenten für den Zertifikatimport verwenden (auf Seite 68).

68


Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden und Sie bei der Anmeldung ein X.509-Zertifikat auf einem Token importiert haben (und sich dafür entschieden haben, dass Zertifikat als PGP-Schlüssel zu importieren), müssen Sie die Option Schlüsselbund mit Token und Smartcards synchronisieren manuell aktivieren. Wählen Sie dazu in PGP Desktop Extras > Optionen und klicken Sie auf die Registerkarte „Schlüssel“. Dieser Schritt ist erforderlich, damit der Schlüssel ordnungsgemäß mit PGP Whole Disk Encryption funktioniert.

Den Assistenten für den Zertifikatimport verwenden

X.509-Zertifikate können aus Dateien, dem Windows Personal Certificate Store oder Smartcards in PGP Desktop importiert werden. Selbst Smartcard-basierte Zertifikate, die in Ihrem Windows Certificate Store erscheinen können importiert werden. Der Assistent für den Zertifikatimport führt Sie durch den Importiervorgang.

X.509-Zertifikate können nur aus einer Datei mit der Endung .pem, .pfx oder .p12 importiert werden.

Hinweis: Wenn Sie Zertifikate aus dem Windows Personal Certificate Store verwenden, werden Sie möglicherweise von Windows selbst (oder der Smartcard-Software des Drittanbieters, wenn Sie Smartcard-basierte Windows Personal Certificates verwenden) dazu aufgefordert, das Passwort bzw. die PIN für Ihr Zertifikat einzugeben. Solche Operationen, wie z.B. das Ändern des Zertifikat-Passworts sind in PGP Desktop nicht erlaubt, wenn Sie Zertifikate aus dem Windows Personal Certificate Store verwenden. Verwenden Sie für derartige Operationen die Windows- (oder Smartcard-) Software.

So importieren Sie ein Zertifikat mit dem Assistenten für den

Zertifikatsimport

Vor dem Import: Vergewissern Sie sich, dass Ihnen das Passwort für das zu importierende Zertifikat bekannt ist.

1 Starten Sie den Assistenten. Dafür haben Sie drei Möglichkeiten:

Klicken Sie auf Datei > Öffnen.

Klicken Sie auf Datei > Persönliche Zertifikate importieren.

Ziehen Sie die Datei, die den Schlüssel enthält, in das Fenster von PGP Keys.

2 Geben Sie an, wie das Zertifikat importiert werden soll:

In vorhandenen Schlüssel: Das Zertifikat wird zu einem Schlüssel hinzugefügt, der sich bereits auf Ihrem Schlüsselbund befindet.

69


Als neue(r) PGP-Schlüssel: Mithilfe des importierten Zertifikats wird ein neuer PGP-Schlüssel erstellt.

Als PGP X.509-Wrapper-Schlüssel: Mithilfe des importierten Zertifikats wird ein neuer PGP-Schlüssel erstellt. PGP Desktop behandelt den neuen Schlüssel als X.509-Zertifikat.

3 Wählen Sie die gewünschte Option und klicken Sie auf Weiter. Es wird entweder der Bildschirm Eingabe des Zertifikatspassworts oder das Dialogfeld „PGP-Passwort“ angezeigt.

4 Geben Sie das Passwort für das Zertifikat ein und klicken Sie auf Weiter.

Wenn Sie ein Zertifikat mit der Option In vorhandenen Schlüssel importieren, wird der Bildschirm Schlüssel auswählen angezeigt. Fahren Sie mit dem nächsten Schritt fort.

Wenn Sie das Zertifikat mit der Option Als neue(r) PGP-Schlüssel importieren, wird der Schlüssel erstellt. Klicken Sie auf Fertig. Der Vorgang ist damit abgeschlossen.

Wenn Sie das Zertifikat mit der Option Als PGP X.509-Wrapper-

Schlüssel importieren, wird das Dialogfeld „Schlüssel auswählen“ angezeigt. Wählen Sie den Schlüssel per Mausklick aus und klicken Sie auf Importieren. Der PGP X.509-Wrapper-Schlüssel wird generiert. Der Vorgang ist damit abgeschlossen.

5 Um den Import des Zertifikats mit der Option In vorhandenen Schlüssel abzuschließen, wählen Sie im Dialogfeld „Schlüssel auswählen“ den Schlüssel aus, in den das Zertifikat importiert werden soll, und geben Sie das Passwort für den Schlüssel ein. Klicken Sie auf Weiter.

6 Das Dialogfeld „Fortschritt der Schlüsselgenerierung“ wird angezeigt, während das Zertifikat in den Schlüssel importiert wird.

7 Klicken Sie auf Fertig. Der Vorgang ist damit abgeschlossen.

Ihr Passwort ändern

Es empfiehlt sich, das Passwort regelmäßig zu ändern, beispielsweise alle drei Monate. Noch wichtiger ist das sofortige Ändern des Passwort, wenn Sie annehmen, dass es nicht mehr geheim ist, z. B. weil Ihnen jemand während der Eingabe über die Schulter geblickt hat.

Um das Passwort für einen geteilten Schlüssel zu ändern, müssen Sie diesen zuerst wieder zusammenfügen.

Tipp: Wenn Sie das Passwort des Schlüssels ändern, wird das Passwort von Kopien des Schlüssels (z. B. Sicherungskopien) nicht geändert. Die PGP Corporation empfiehlt, alle Sicherungskopien zu löschen und neue Sicherungskopien des Schlüssels anzufertigen, wenn Sie annehmen, dass das Passwort nicht mehr geheim ist.

70


So ändern Sie das Passwort Ihres privaten Schlüssels


2 Doppelklicken Sie im Arbeitsbereich von PGP Keys auf den privaten Schlüssel, dessen Passwort Sie ändern möchten. Das Dialogfeld „Schlüsseleigenschaften” wird angezeigt.

3 Klicken Sie auf Passwort ändern. Der PGP-Passwortassistent wird angezeigt.

71


4 Geben Sie das aktuelle Passwort für den privaten Schlüssel ein und klicken Sie dann auf Weiter. Das Dialogfeld „Passwort erstellen“ wird angezeigt.

5 Geben Sie im ersten Textfeld ein neues Passwort ein. Geben Sie es im Feld Passwort erneut eingeben noch einmal ein, um es zu bestätigen.

Wenn die eingegebenen Zeichen während der Passworteingabe angezeigt werden sollen, aktivieren Sie das Kontrollkästchen Tastatureingabe

anzeigen.

Die Passwort-Qualitätsanzeige gibt Ihnen einen Anhaltspunkt für die Stärke des Passworts, das Sie erstellen. Sie vergleicht den Entropiewert des Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

6 Klicken Sie auf Fertig. Das Passwort wurde geändert.

Schlüssel, Anwender-IDs und Signaturen löschen

PGP Desktop gibt Ihnen die Kontrolle über die Schlüssel auf Ihren Schlüsselbunden sowie über die Anwender-IDs und Signaturen auf diesen Schlüsseln.

Bei öffentlichen Schlüsseln auf Ihren Schlüsselbunden können Sie ganze Schlüssel, beliebige Anwender-IDs auf einem Schlüssel und beliebige oder alle Signaturen auf einem Schlüssel löschen.

72


Bei Ihren Schlüsselpaaren können Sie ganze Schlüsselpaare oder beliebige Signaturen löschen. Sie können auch Anwender-IDs aus einem Schlüsselpaar löschen, falls es sich nicht um die einzige Anwender-ID des Schlüsselpaares handelt.

Beachten Sie jedoch, dass Sie die Anwender-ID nicht aus einem Schlüssel löschen können, wenn es sich hierbei um die einzige Anwender-ID handelt. Auch Selbstsignaturen können nicht von Schlüsseln gelöscht werden.

So löschen Sie einen Schlüssel, eine Anwender-ID oder eine Signatur aus

Ihrem PGP-Schlüsselbund



Um einen Schlüssel zu löschen, klicken Sie mit der rechten Maustaste auf den Schlüssel, wählen Sie Löschen aus der eingeblendeten Liste der Befehle aus und klicken Sie dann im Bestätigungs-Dialogfeld auf OK. Der Schlüssel wird aus Ihrem Schlüsselbund gelöscht.

Um eine Anwender-ID (von einem öffentlichen Schlüssel) oder um eine Signatur zu löschen, klicken Sie auf das Pluszeichen links neben dem Schlüssel, um die Anwender-IDs und Signaturen anzuzeigen. Wenn Sie die Anwender-ID oder Signatur sehen, die Sie löschen wollen, klicken Sie mit der rechten Maustaste darauf, wählen Sie Löschen aus der eingeblendeten Liste der Befehle aus, und klicken Sie dann im Bestätigungs-Dialogfeld auf OK. Die Anwender-ID oder Signatur wird gelöscht.

Öffentliche Schlüssel deaktivieren und aktivieren

Manchmal ist es ratsam, einen öffentlichen Schlüssel auf Ihrem Schlüsselbund vorübergehend zu deaktivieren. Dies ist z. B. hilfreich, wenn Sie einen öffentlichen Schlüssel zur zukünftigen Verwendung behalten möchten, der Schlüssel aber nicht bei jedem Senden von E-Mails in die Empfängerliste aufgenommen werden soll.

Sie können keine Schlüsselpaare deaktivieren, die vorbehaltlos vertrauenswürdig sind. Wenn Sie einen Schlüssel deaktivieren möchten, der als vorbehaltlos vertrauenswürdig eingestuft wurde, müssen Sie zuerst den Vertrauensstatus auf Keine ändern.

73


So deaktivieren oder aktivieren Sie einen öffentlichen Schlüssel


2 Doppelklicken Sie auf den öffentlichen Schlüssel, den Sie deaktivieren möchten. Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel“ wird geöffnet.

3 Prüfen Sie im Dialogfeld „Schlüsseleigenschaften“ das Feld Aktiviert.

Wenn die aktuelle Einstellung von Aktiviert Ja ist, ist der Schlüssel aktiviert. Wenn Sie den Schlüssel deaktivieren möchten, klicken Sie einmal auf Ja. Das Feld Aktiviert ändert sich auf Nein. Der Schlüssel wird deaktiviert.

Wenn die aktuelle Einstellung von Aktiviert Nein ist, ist der Schlüssel deaktiviert. Wenn Sie den Schlüssel aktivieren möchten, klicken Sie einmal auf Nein. Das Feld Aktiviert wechselt zu Ja und der Schlüssel ist aktiviert.

Ein deaktivierter Schlüssel kann nicht zum Verschlüsseln oder Signieren verwendet werden. Einen deaktivierten Schlüssel können Sie jedoch zum Entschlüsseln oder Verifizieren verwenden.

Einen öffentlichen Schlüssel verifizieren

Man kann nie genau wissen, ob ein öffentlicher Schlüssel zu einer bestimmten Person gehört, es sei denn, Sie erhalten den Schlüssel direkt von der betreffenden Person auf einem Datenträger ausgehändigt oder Sie erhalten den Schlüssel vom PGP Global Directory. Das Austauschen von Schlüsseln auf Datenträgern ist normalerweise nicht sehr praktisch, besonders für Anwender, die sich nicht am selben Ort befinden.

So bleibt die Frage offen: Wie kann ich sicherstellen, dass der öffentliche Schlüssel, den ich von einem öffentlichen Keyserver (nicht vom PGP Global Directory) erhalten habe, tatsächlich der öffentliche Schlüssel der Person ist, die auf dem Schlüssel aufgeführt ist? Die Lösung: Sie müssen den Fingerabdruck des Schlüssels überprüfen.

Sie haben mehrere Möglichkeiten, den Fingerabdruck eines Schlüssels zu überprüfen. Es ist aber am sichersten, wenn Sie die Person anrufen und sich den Fingerabdruck am Telefon vorlesen lassen. Falls die Person nicht das Ziel eines Angriffs ist, ist es extrem unwahrscheinlich, dass jemand dieses zufällige Gespräch abhört und sich als die Person ausgibt, die Sie am anderen Ende der Leitung erwarten. Sie können auch den Fingerabdruck auf Ihrer Kopie des öffentlichen Schlüssels einer Person mit dem Fingerabdruck des Originalschlüssel dieser Person auf einem öffentlichen Server vergleichen.

Der Fingerabdruck kann auf zwei Arten eingesehen werden: in einer eindeutigen Wortliste oder im Hexadezimal-Format.

74


So überprüfen Sie den digitalen Fingerabdruck auf einem öffentlichen

Schlüssel

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und dann im Bedienfeld auf Alle Schlüssel.

Alle Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

2 Doppelklicken Sie auf den öffentlichen Schlüssel, dessen Fingerabdruck Sie prüfen wollen. Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel“ wird geöffnet.

Der Fingerabdruck des Schlüssels wird unter dem Namen und der E-Mail-Adresse im Hexadezimal-Format (10 Gruppen zu je vier Zeichen) oder im Wortlistenformat (vier Spalten mit je fünf eindeutigen Wörtern) angezeigt.

3 Vergleichen Sie den Fingerabdruck auf dem Schlüssel mit dem Original-Fingerabdruck. Wenn die beiden Codes übereinstimmen, besitzen Sie den echten Schlüssel. Ist dies nicht der Fall, besitzen Sie nicht den echten Schlüssel.

Die Wortliste besteht aus bestimmten Authentifizierungswörtern, die PGP Desktop verwendet. Sie sind sorgfältig ausgewählt, um phonetisch unterscheidbar und ohne phonetische Ambiguität verständlich zu sein.

Die Wortliste erfüllt denselben Zweck wie das Funkalphabet, mit dem Piloten Informationen über geräuschvolle Funkkanäle übermitteln.

4 Falls der Schlüssel gefälscht ist, löschen Sie ihn.

5 Öffnen Sie Ihren Web-Browser, rufen Sie das PGP Global Directory (https://keyserver.pgp.com) auf und suchen Sie den echten öffentlichen Schlüssel.

Einen öffentlichen Schlüssel signieren

Wenn Sie ein Schlüsselpaar erstellen, werden die Schlüssel automatisch signiert. Entsprechend können Sie den öffentlichen Schlüssel einer anderen Person signieren, falls Sie sicher sind, dass es sich um den Schlüssel dieser Person handelt. Dadurch geben Sie an, dass Sie den Schlüssel verifiziert haben. Wenn Sie den öffentlichen Schlüssel einer anderen Person signieren, wird der Schlüssel mit einem Signatursymbol angezeigt, das Ihren Anwendernamen enthält.

Falls Sie ein Schlüsselpaar von einer Sicherungsdatei oder von einem anderen Rechner importieren, muss dieses Schlüsselpaar u. U. auch signiert werden.

Hinweis: Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung einsetzen, ist die Signierung von Schlüsseln möglicherweise deaktiviert.

75


So signieren Sie den Schlüssel einer anderen Person



Klicken Sie im Menü Schlüssel auf Signieren.

Klicken Sie mit der rechten Maustaste auf den Schlüssel, den Sie signieren möchten, und wählen Sie dann auf der eingeblendeten Befehlsliste Signieren aus.

Das Dialogfeld „PGP Schlüssel signieren“ erscheint, wobei der Anwendername bzw. die E-Mail-Adresse und der Hexadezimal-Fingerabdruck im Textfeld angezeigt werden.

3 Klicken Sie auf das Kontrollkästchen Export von Signatur zulassen, um zuzulassen, dass Ihre Signatur mit diesem Schlüssel exportiert wird.

Eine exportierbare Signatur kann zu Servern gesendet werden und wird immer mit dem Schlüssel mitgesendet, wenn dieser exportiert wird, beispielsweise, wenn er auf eine E-Mail-Nachricht gezogen wird. Mit diesem Kontrollkästchen können Sie einfach angeben, dass die Signatur exportiert werden soll, damit andere sich auf Ihre Signatur verlassen und daher Ihrem Schlüssel vertrauen können.

4 Klicken Sie auf Weitere Optionen, um Optionen wie den Signaturtyp und das Ablaufdatum der Signatur zu konfigurieren.

5 Wählen Sie einen Signaturtyp zum Signieren des öffentlichen Schlüssels aus. Zur Wahl stehen:

Nicht exportierbar. Verwenden Sie diesen Signaturtyp, wenn Sie glauben, dass der Schlüssel gültig ist, aber nicht möchten, dass sich andere Personen auf Ihre Zertifizierung verlassen. Dieser Signaturtyp kann nicht mit dem verknüpften Schlüssel zu einem Keyserver gesendet oder auf andere Art exportiert werden.

Exportierbar. Exportierbare Signaturen verwenden Sie in Situationen, in denen Ihre Signatur mit dem Schlüssel zum Keyserver gesendet wird, damit andere sich auf Ihre Signatur verlassen und daher Ihrem Schlüssel vertrauen können. Dies entspricht dem Kontrollkästchen Export von Signatur zulassen im Menü Schlüssel signieren.

Meta-Vertrauensperson, nicht exportierbar. Bestätigt, dass dieser Schlüssel und alle Schlüssel, die durch diesen Schlüssel als Vertrauensperson signiert wurden, als Vertrauenspersonen akzeptiert wurden, die wiederum Schlüssel signieren können, die Sie automatisch als vertrauenswürdig einstufen. Dieser Signaturtyp ist nicht exportierbar.

76


Vertrauensperson, exportierbar. Diese Signatur verwenden Sie in Situationen, in denen Sie bestätigen, dass dieser Schlüssel gültig ist und dass dem Besitzer des Schlüssels vollkommen vertraut werden soll, wenn er sich für andere Schlüssel verbürgt. Dieser Signaturtyp ist exportierbar. Sie können die Validierungskapazität der Vertrauensperson auf eine bestimmte E-Mail-Domain beschränken.

6 Die Option Maximale Vertrauenstiefe ermöglicht Ihnen anzugeben, wie viele Ebenen tief Vertrauenspersonen verschachtelt werden können. Falls Sie den Wert beispielsweise auf 1 setzen, kann nur eine Ebene von Vertrauenspersonen unter dem Schlüssel der Meta-Vertrauensperson liegen.

7 Falls Sie die Kapazität der Schlüsselvalidierung der Vertrauensperson auf eine einzige Domain beschränken möchten, geben Sie den Domainnamen in das Textfeld Domaineinschränkung ein.

8 Wählen Sie im Feld Ablaufdatum die Option Nie aus, wenn Sie möchten, dass diese Signatur nie abläuft. Geben Sie andernfalls ein Ablaufdatum an.

9 Klicken Sie auf OK. Das Dialogfenster „PGP-Passwort für Schlüssel eingeben“ wird geöffnet.

10 Wählen Sie im Optionsfeld den Schlüssel aus, mit dem Sie signieren wollen, und geben Sie dann falls erforderlich das Passwort des Signaturschlüssels ein. (Falls das Passwort bereits zwischengespeichert ist, müssen Sie es nicht erneut eingeben.)

11 Klicken Sie auf OK. Der Schlüssel ist signiert.

Ihre Signatur von einem öffentlichen Schlüssel widerrufen

Unter Umständen kann es erforderlich oder wünschenswert sein, Ihre Signatur eines Schlüssels aus Ihrem Schlüsselbund zu widerrufen.

So widerrufen Sie Ihre Signatur:

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und dann darin auf Alle Schlüssel. Alle Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

2 Erweitern Sie den Schlüssel, dessen Signatur Sie widerrufen möchten, bis Sie Ihren Signaturschlüssel sehen.

3 Klicken Sie mit der rechten Maustaste auf Ihren Signaturschlüssel und wählen Sie dann aus der eingeblendeten Befehlsliste Widerrufen aus. Das Dialogfenster „Signatur widerrufen“ wird geöffnet.

4 Überprüfen Sie, ob die Schlüssel-ID und der Name des richtigen Schlüssels (von dem Sie Ihre Signatur widerrufen wollen) angezeigt werden, und klicken Sie dann auf OK. Das Dialogfenster „PGP Passwort für Schlüssel eingeben“ wird geöffnet.

77


5 Geben Sie Ihr Passwort ein und klicken Sie auf OK. Ihre Signatur des Schlüssels wurde widerrufen.

Hinweis: Wenn Ihre Signatur exportierbar war und Sie den Schlüssel mit der exportierbaren Signatur verteilt haben, müssen Sie auch den Schlüssel mit der widerrufenen Signatur verteilen, damit andere Personen das Widerrufen sehen können.

Vertrauen für Schlüsselvalidierungen gewähren

Sie können nicht nur bestätigen, dass ein Schlüssel einer bestimmten Person gehört, sondern haben auch die Möglichkeit, dem Eigentümer des Schlüssels eine Vertrauensstufe zuzuweisen, die angibt, wie sehr Sie ihm in seiner Rolle als Vertrauensperson für Schlüssel anderer Personen vertrauen, die Sie in Zukunft erhalten mögen.

Dies bedeutet, dass jeder Schlüssel, den Sie erhalten, als gültig eingeschätzt wird, falls er von einer Person signiert wurde, die Sie als vertrauenswürdig bestätigt haben, selbst wenn Sie die Gültigkeit nicht selbst überprüft haben.

Sie müssen einen Schlüssel signieren, bevor Sie eine Vertrauensstufe dafür festlegen können.

Die Vertrauensstufe für öffentliche Schlüssel kann Keine, Marginal oder Vertraut lauten. Die Vertrauensstufe für Schlüsselpaare kann Keine oder Implizit (d. h., dass es Ihr eigener Schlüssel ist und Sie ihm vollständig vertrauen) lauten. Sie sollten nicht im Besitz von Schlüsselpaaren anderer Personen sein.

Nähere Informationen über die Vertrauenswürdigkeit von Schlüsseln finden Sie im Dokument Einführung in die Kryptographie.

Hinweis: Die Funktion zur Zuweisung von Vertrauensstufen ist möglicherweise deaktiviert, wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten.

So weisen Sie einem Schlüssel Vertrauenswürdigkeit zu

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und dann darin auf Alle Schlüssel. Alle Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

2 Doppelklicken Sie auf den Schlüssel, dem Sie eine Vertrauensstufe zuweisen. Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel“ wird geöffnet.

3 Gehen Sie zum Feld Vertrauen.

4 Klicken Sie auf die aktuelle Einstellung und wählen Sie die gewünschte Einstellung aus der Liste aus.

78


Falls Sie einem öffentlichen Schlüssel eine Vertrauensstufe zuweisen, können Sie zwischen Keine, Marginal und Vertraut wählen. Keine bedeutet, dass Sie dem Besitzer als Vertrauensperson nicht vertrauen, Marginal bedeutet, dass Sie ihm teilweise vertrauen, Vertrauenswürdig bedeutet, dass Sie ihm voll vertrauen.

Falls Sie einem Schlüsselpaar eine Vertrauensstufe zuweisen, können Sie zwischen Keine und Implizit auswählen. Es müssen nur solche Schlüsselpaare auf Implizit gesetzt werden, die von einer Sicherungskopie oder von Ihrem Zweitcomputer importiert werden. Wenn Sie ein Schlüsselpaar erstellen, wird die Vertrauensstufe automatisch auf Implizit gesetzt.

Mit Unterschlüsseln arbeiten

Ein Schlüsselpaar von PGP Desktop besteht aus drei Elementen:

dem Hauptschlüssel, der nur zum Signieren verwendet wird;

einem obligatorischen Unterschlüssel für Verschlüsselung;

einem oder mehreren optionalen separaten Unterschlüsseln zum Signieren, Verschlüsseln oder Signieren/Verschlüsseln.

Der Hauptschlüssel wird standardmäßig zum Signieren verwendet, während ein Unterschlüssel immer zur Verschlüsselung verwendet wird. Dadurch kann die Sicherheit des PGP Desktop-Schlüsselpaares verbessert werden, da ein separater Unterschlüssel für die Verschlüsselung widerrufen, entfernt oder zu einem PGP Desktop-Schlüsselpaar hinzugefügt werden kann, ohne dass der Hauptschlüssel oder die darin enthaltenen Signaturen davon betroffen sind.

Neben dem Hauptschlüssel und dem obligatorischen Unterschlüssel für Verschlüsselung können Sie zusätzliche Unterschlüssel für Ihr PGP Desktop-Schlüsselpaar erstellen. Sie können alle möglichen Kombinationen für Unterschlüssel erstellen, die nur zur Verschlüsselung, nur zum Signieren oder sowohl zum Verschlüsseln als auch zum Signieren verwendet werden können.

79


Sie können die Unterschlüssel eines Schlüsselpaares im Dialogfeld „Schlüsseleigenschaften“ anzeigen. In der Spalte Verwendung wird die Funktion des Unterschlüssels angegeben:

Schlüssel Beschreibung

Unterschlüssel für Verschlüsselung weisen ein blaues Schlosssymbol auf.

Unterschlüssel für das Signieren weisen ein blaues Stiftsymbol auf.

Unterschlüssel, die sowohl zum Verschlüsseln als auch zum Signieren verwendet werden, weisen beide Symbole auf.

Der Standardunterschlüssel für die Verschlüsselung weist eine kleines grünes Häkchen oben links auf.

Der Standardunterschlüssel für das Signieren weist eine kleines grünes Häkchen oben links auf.

Separate Unterschlüssel verwenden

Einige Beispiele für die sinnvolle Verwendung von zusätzlichen separaten Unterschlüsseln:

80


Mehrere Unterschlüssel, die zur Verschlüsselung verwendet werden und in verschiedenen Phasen der Funktionsdauer eines Schlüsselpaares gültig sind, können einen Sicherheitsgewinn erreichen. Sie können für die Verschlüsselung Unterschlüssel erstellen, deren Start- und Ablaufdaten so gelegt sind, dass jeweils immer nur ein Unterschlüssel gilt. So können Sie beispielsweise mehrere Unterschlüssel erstellen, die jeweils nur für ein Jahr gelten. (Achten Sie dabei auf die Datumsübergänge.) Der Unterschlüssel für die Verschlüsselung wechselt dann jährlich. Dies kann eine nützliche Sicherheitsmaßnahme sein und bietet sich als automatisierte Methode zum regelmäßigen Wechseln des Unterschlüssels für die Verschlüsselung an, da dabei kein neuer öffentlicher Schlüssel erstellt und verteilt werden muss. Abgelaufene Unterschlüssel sind an einem Schlüsselsymbol mit einer roten Uhr zu erkennen.

Separate Signatur-Unterschlüssel sind in Ländern und Regionen erforderlich, in denen separate Unterschlüssel für rechtsgültige digitale Signaturen vorgeschrieben sind.

Welche separaten Unterschlüssel Sie erstellen können, richtet sich nach dem Typ des Schlüsselpaares, mit dem Sie arbeiten:

Für RSA-Schlüsselpaare können Sie Unterschlüssel allein zum Verschlüsseln, allein zum Signieren oder zum Verschlüsseln und Signieren erstellen.

Für Diffie-Hellman/DSS-Schlüsselpaare können Sie Unterschlüssel allein zum Verschlüsseln oder allein zum Signieren erstellen, nicht jedoch zum kombinierten Verschlüsseln und Signieren.

Unterschlüssel werden für ältere PGP-Legacy-Schlüsselpaare nicht unterstützt.

Unterschlüssel anzeigen

Sie können die Unterschlüsselinformationen auf Ihren eigenen Schlüsselpaaren anzeigen und ändern. Die Unterschlüsselinformationen auf den öffentlichen Schlüsselpaaren Ihres Schlüsselbunds können nur angezeigt, aber nicht geändert werden.

So zeigen Sie Unterschlüssel und ihre Eigenschaften an

1 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und danach auf Alle Schlüssel.

Alle Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

2 Sie haben mehrere Möglichkeiten, die Eigenschaften eines Schlüssels anzuzeigen:

Doppelklicken Sie auf den Schlüssel, dessen Eigenschaften Sie ermitteln möchten.

Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie im Kontextmenü Schlüsseleigenschaften aus.

81


Wählen Sie den Schlüssel im Schlüsselbund aus und gehen Sie dann auf Schlüssel > Schlüsseleigenschaften.

Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel“ wird geöffnet.

3 Klicken Sie im Dialogfeld „Schlüsseleigenschaften“ auf die Überschrift Unterschlüssel. Die Unterschlüssel für diesen Schlüssel werden angezeigt.

4 Wenn Sie die Eigenschaften eines Unterschlüssels anzeigen möchten, klicken Sie mit der rechten Maustaste auf den Unterschlüssel, den Sie anzeigen möchten, und wählen Sie aus dem Kontextmenü Unterschlüsseleigenschaften aus.

Neue Unterschlüssel erstellen

Höchstwahrscheinlich werden Sie neue Unterschlüssel so erstellen, wie in diesem Abschnitt beschrieben wird. Sie können Unterschlüssel aber auch bei der ersten Installation von PGP Desktop mit dem Assistenten zur Erstellung neuer Schlüssel erstellen. Weitere Informationen finden Sie unter PGP Desktop erstmals verwenden (auf Seite 17).

So erstellen Sie neue Unterschlüssel

1 Klicken Sie im Abschnitt Unterschlüssel im Dialogfeld „Schlüsseleigenschaften“ auf die Schaltfläche Hinzufügen. Das Dialogfeld „Neuer Unterschlüssel“ erscheint.

2 Wählen Sie im Bereich Diesen Schlüssel verwenden für die Option Verschlüsselung, Signieren oder Verschlüsselung und Signieren aus, je nachdem, wie Sie den neuen Unterschlüssel einsetzen möchten.

3 Geben Sie im Feld Schlüsselgröße eine Schlüsselgröße von 1024 bis 3072 Bit ein oder geben Sie eine benutzerdefinierte Schlüsselgröße von 1024 bis 4096 Bit ein.

4 Geben Sie im Feld Startdatum ein Datum ein, an dem der Unterschlüssel, den Sie erstellen, in Kraft tritt, oder wählen Sie ein Datum aus dem Auswahlkalender aus.

82


5 Wählen Sie im Feld Ablaufdatum die Option Nie aus, oder wählen Sie Datum aus und geben Sie ein Datum ein bzw. wählen Sie es aus dem Auswahlkalender aus. Diese Angaben legen fest, wann der Unterschlüssel abläuft.

6 Klicken Sie auf OK. Das Dialogfeld „Passwort“ wird angezeigt.

7 Geben Sie Ihr Passwort ein und klicken Sie dann auf OK. Der Unterschlüssel wird erstellt.

Unterschlüssel widerrufen

So widerrufen Sie einen Unterschlüssel

1 Wählen Sie im Feld Unterschlüssel im Dialogfeld „Schlüsseleigenschaften“ den Unterschlüssel aus, den Sie widerrufen möchten, und klicken Sie auf Widerrufen (über der Liste der Unterschlüssel). Sie werden in einem PGP-Warndialogfeld darüber informiert, dass andere Anwender nach dem Widerrufen des Unterschlüssels keine Daten mehr damit verschlüsseln können.

2 Klicken Sie auf Ja, um den Unterschlüssel zu widerrufen, oder klicken Sie auf Nein, um abzubrechen. Das Dialogfeld „Passwort“ wird angezeigt.

3 Geben Sie Ihr Passwort ein und klicken Sie dann auf OK. Der Unterschlüssel wurde widerrufen und das Symbol ändert sich.

83


Unterschlüssel entfernen

So entfernen Sie einen Unterschlüssel

1 Im Bereich Unterschlüssel des Dialogfelds „Schlüsseleigenschaften“ können Sie den Unterschlüssel auswählen, der entfernt werden soll. Klicken Sie dann auf Entfernen (über der Liste der Unterschlüssel). Sie werden dann in einem PGP-Warndialogfeld informiert, dass Sie nach dem Entfernen des Unterschlüssels keine Daten entschlüsseln können, die mit diesem Unterschlüssel verschlüsselt sind.

2 Klicken Sie auf Ja, um den Unterschlüssel zu entfernen, oder klicken Sie auf Nein, um abzubrechen. Der Unterschlüssel wird entfernt.

Mit ADKs arbeiten

Additional Decryption Keys (ADK) sind Schlüssel, die von Sicherheitsbeauftragten in Unternehmen zum Entschlüsseln von Nachrichten eingesetzt werden, die zu oder von Mitarbeitern innerhalb des Unternehmens gesendet wurden.

Nachrichten, die durch einen Schlüssel mit einem ADK verschlüsselt sind, werden zum öffentlichen Schlüssel des Empfängers und zum ADK verschlüsselt.

ADKs werden außerhalb von mit PGP Universal verwalteten Umgebungen selten verwendet oder benötigt. Obwohl der PGP-Administrator im Regelfall keinen Bedarf für die Anwendung der Additional Decryption Keys hat, gibt es Umstände, die die Wiederherstellung der E-Mails anderer Personen erforderlich machen. Dieser Fall kann z. B. eintreten, wenn ein Mitarbeiter längere Zeit krank ist oder wenn E-Mail-Aufzeichnungen auf behördliche Anordnung vorgelegt werden müssen und das Unternehmen E-Mails für die Beweiserbringung in einem Gerichtsverfahren entschlüsseln muss.

Sie können nur ADKs auf Ihren persönlichen Schlüsselpaaren ändern.

84


Einen ADK zu einem Schlüsselpaar hinzufügen

So fügen Sie einen ADK hinzu

3 Öffnen Sie PGP Desktop, klicken Sie auf das Bedienfeld „PGP Keys“ und dann darin auf Eigene private Schlüssel. Die privaten Schlüssel auf Ihrem Schlüsselbund werden angezeigt.

4 Doppelklicken Sie auf den Schlüssel, zu dem Sie einen ADK hinzufügen möchten. Das Dialogfeld „Schlüsseleigenschaften“ für den ausgewählten Schlüssel wird geöffnet.

5 Klicken Sie auf den Pfeil nach oben links neben ADK, falls vorhanden (nur Schlüssel, denen bereits ein ADK zugewiesen wurde, verfügen über diesen Pfeil). Die ADK-Informationen für diesen Schlüssel werden angezeigt, falls konfiguriert.

6 Klicken Sie auf das Pluszeichen rechts neben dem Bereich ADK. Das Dialogfeld „Schlüssel auswählen“ wird geöffnet.

7 Wählen Sie den Schlüssel aus, den Sie als ADK verwenden möchten, und klicken Sie auf OK. Eine PGP-Warnung wird angezeigt. Sie werden gefragt, ob der ausgewählte Schlüssel wirklich als ADK hinzugefügt werden soll.

8 Klicken Sie auf Ja. Das Dialogfenster „PGP-Passwort für Schlüssel eingeben“ wird geöffnet.

9 Geben Sie das Passwort für den Schlüssel ein, zu dem Sie einen ADK hinzufügen wollen, und klicken Sie dann auf OK. Das Dialogfeld „PGP-Informationen“ wird angezeigt. Sie werden darüber informiert, dass der ADK zum Schlüssel hinzugefügt wurde.

10 Klicken Sie auf OK.

Hinweis: Wenn Sie einen ADK zu Ihrem Schlüssel hinzufügen, müssen die Personen, die Ihnen verschlüsselte E-Mails senden, Zugriff auf den öffentlichen Schlüssel des ADK haben.

Einen ADK aktualisieren

So aktualisieren Sie einen ADK

1 Wählen Sie den ADK, den Sie aktualisieren möchten, in der Liste der ADKs aus. Der ausgewählte ADK wird hervorgehoben.

2 Klicken Sie auf das Abwärtspfeilsymbol. Der ADK wird aktualisiert.

85


Einen ADK entfernen

So entfernen Sie einen ADK

3 Wählen Sie den ADK, den Sie entfernen möchten, in der Liste der ADKs aus. Der ausgewählte ADK wird hervorgehoben.

4 Klicken Sie auf das Minussymbol. Eine PGP-Warnung wird angezeigt. Sie werden gefragt, ob der ADK wirklich entfernt werden soll.

5 Klicken Sie auf OK, um den ADK zu entfernen. Der ADK wird entfernt.

Mit Widerrufern arbeiten

Es kann vorkommen, dass Sie Ihr Passwort vergessen oder Ihr Schlüsselpaar verlieren (falls beispielsweise Ihr Laptop gestohlen wird oder die Festplatte kaputt geht).

Falls Sie keine Schlüsselwiederherstellung verwenden und Ihren privaten Schlüssel damit nicht wiederherstellen können, können Sie Ihren Schlüssel nie wieder verwenden und ihn auch nicht widerrufen, um anderen Personen anzuzeigen, dass sie nicht damit verschlüsseln sollen. Als Schutzmaßnahme für derartige Fälle können Sie eine dritte Instanz als Schlüssel-Widerrufer einsetzen. Die von Ihnen eingesetzte dritte Instanz hat dann die Möglichkeit, Ihren Schlüssel so zu widerrufen, als ob Sie ihn selbst widerrufen würden.

Diese Funktion steht für Diffie-Hellman/DSS- und RSA-Schlüssel zur Verfügung.

Sie können nur die Widerrufer-Informationen Ihrer eigenen Schlüsselpaare ändern. Falls ein öffentlicher Schlüssel auf Ihrem Schlüsselbund einen Widerrufer hat, können Sie diese Informationen nur einsehen, jedoch nicht ändern.

Einen designierten Widerrufer zu einem Schlüssel hinzufügen

So fügen Sie einen designierten Widerrufer zu Ihrem Schlüssel hinzu


2 Doppelklicken Sie auf den Schlüssel, zu dem Sie einen Widerrufer hinzufügen möchten. Das Dialogfeld „Schlüsseleigenschaften für den ausgewählten Schlüssel“ wird geöffnet.

3 Klicken Sie auf das Pluszeichen links neben den Widerrufern, falls vorhanden (nur Schlüssel, denen bereits ein Widerrufer zugewiesen wurde, sind mit einem Pluszeichen gekennzeichnet). Die Widerrufer-Informationen für diesen Schlüssel werden angezeigt, falls konfiguriert.

86


4 Klicken Sie auf das Pluszeichen rechts neben dem Bereich Widerrufer. Das Dialogfeld „Schlüssel auswählen“ wird geöffnet.

5 Wählen Sie den Schlüssel aus, den Sie als Widerrufer-Schlüssel verwenden wollen, und klicken Sie dann auf OK.

Eine PGP-Warnung wird angezeigt. Sie werden gefragt, ob dem/den ausgewählten Schlüssel(n) wirklich Widerrufer-Berechtigungen zugewiesen werden sollen.

6 Klicken Sie auf Ja, um fortzufahren, oder auf Nein, um abzubrechen. Das Dialogfenster „PGP-Passwort für Schlüssel eingeben“ wird geöffnet.

7 Geben Sie das Passwort für das Schlüsselpaar ein, zu dem Sie einen Widerrufer hinzufügen wollen, und klicken Sie dann auf OK. Das Dialogfeld „PGP-Informationen“ wird geöffnet.

8 Klicken Sie auf OK. Der ausgewählte Schlüssel bzw. die ausgewählten Schlüssel sind nun zum Widerrufen Ihres Schlüssels autorisiert. Zur effektiven Schlüsselverwaltung verteilen Sie eine aktuelle Kopie Ihres Schlüssels an einen oder mehrere Widerrufer, oder Sie laden Ihren Schlüssel zum Keyserver hoch.

Einen Schlüssel widerrufen

Falls die Situation eintritt, dass Sie Ihrem persönlichen Schlüsselpaar nicht mehr vertrauen, können Sie Ihren Schlüssel widerrufen. Damit teilen Sie allen Personen mit, dass sie Ihren öffentlichen Schlüssel nicht mehr verwenden sollen.

Die beste Methode zum Verbreiten eines widerrufenen Schlüssels besteht darin, ihn auf einem öffentlichen Keyserver zu platzieren.

So widerrufen Sie einen Schlüssel


2 Klicken Sie mit der rechten Maustaste auf den Schlüssel, den Sie widerrufen möchten, und wählen Sie dann aus der eingeblendeten Befehlsliste Widerrufen aus. Eine PGP-Warnung erscheint und fragt Sie, ob Sie sicher sind, dass Sie diesen Schlüssel widerrufen wollen.

3 Klicken Sie auf Ja, um zu bestätigen, dass Sie den ausgewählten Schlüssel widerrufen wollen, oder auf Nein, um abzubrechen. Das Dialogfenster „PGP Passwort für Schlüssel eingeben“ wird geöffnet.

4 Geben Sie das Passwort für das Schlüsselpaar ein, das Sie widerrufen, und klicken Sie dann auf OK. Wenn Sie einen Schlüssel widerrufen, wird er mit einem roten X markiert, um anzugeben, dass er nicht mehr gültig ist.

87


5 Synchronisieren Sie den widerrufenen Schlüssel, damit alle Personen wissen, dass sie den nunmehr widerrufenen öffentlichen Schlüssel nicht mehr verwenden sollen.

Schlüssel teilen und wieder zusammenfügen

Mithilfe eines Kryptographievorgangs, der unter der Bezeichnung Blakely-Shamir-Schlüsselteilung bekannt ist, können alle privaten Schlüssel auf mehrere „Teilbesitzer“ aufgeteilt werden. Diese Technik wird für Schlüssel mit extrem hohem Sicherheitsanspruch empfohlen.

Die PGP Corporation verwendet beispielsweise einen Unternehmensschlüssel, der auf mehrere Einzelpersonen aufgeteilt ist. Jedes Mal, wenn mit diesem Schlüssel signiert werden muss, werden die Teile des Schlüssels temporär wieder zusammengefügt.

Einen geteilten Schlüssel erstellen

Wenn Sie einen Schlüssel teilen, werden die Teile als Dateien gespeichert, die entweder zum öffentlichen Schlüssel eines Teilbesitzers verschlüsselt sind oder konventionell verschlüsselt sind, falls der Teilbesitzer keinen öffentlichen Schlüssel besitzt. Nach der Schlüsselteilung wird bei jedem Signieren oder Entschlüsseln mit diesem Schlüssel automatisch versucht, ihn wieder zusammenzufügen.

So erstellen Sie einen Schlüssel mit mehreren Teilen


2 Klicken Sie auf das Schlüsselpaar, das Sie teilen wollen. Das ausgewählte Schlüsselpaar wird hervorgehoben.

3 Klicken Sie auf Schlüssel > Schlüssel teilen > Geteilten Schlüssel

erstellen. Das Dialogfeld „Geteilter PGP-Schlüssel“ wird angezeigt.

4 Sie fügen Teilbesitzer zum geteilten Schlüssel hinzu, indem Sie deren Schlüssel in die Liste der Teilbesitzer ziehen und dort ablegen.

Um einen Teilbesitzer hinzuzufügen, der keinen öffentlichen Schlüssel besitzt, klicken Sie auf Hinzufügen, geben Sie den Namen der Person ein und lassen Sie dann die Person ihr Passwort selbst eingeben. (Der Teilbesitzer muss physisch anwesend sein, um sein/ihr Passwort eingeben zu können.)

5 Wenn alle Teilbesitzer aufgelistet sind, können Sie die Anzahl der Schlüsselteile eingeben, die zum Entschlüsseln oder Signieren mit diesem Schlüssel erforderlich sind.

88


Standardmäßig ist jeder Teilbesitzer für einen Teil verantwortlich. Um die Anzahl der Teile zu erhöhen, die ein Teilbesitzer kontrolliert, klicken Sie auf den Namen in der Liste der Teilbesitzer und stellen Sie dann die Anzahl der Teile mithilfe der Pfeile ein.

6 Klicken Sie auf Schlüssel teilen. Sie werden aufgefordert, ein Verzeichnis auszuwählen, in dem die Teile gespeichert werden sollen.

7 Wählen Sie einen Speicherplatz für die Schlüsselteile aus und klicken Sie dann auf OK. Das Fenster Passwort wird wieder angezeigt.

8 Geben Sie das Passwort für den Schlüssel ein, den Sie teilen wollen, und klicken Sie dann auf OK. Es wird ein Bestätigungsdialogfeld angezeigt.

9 Klicken Sie auf Ja, um den Schlüssel zu teilen. Der Schlüssel wird geteilt und die Teile werden am angegebenen Speicherort gespeichert. Jeder Schlüsselteil erhält einen Dateinamen, der aus dem Namen des Teilbesitzers und der Endung .shf besteht.

10 Verteilen Sie die Schlüsselteile an die Eigentümer und löschen Sie dann die lokalen Kopien.

Nachdem ein Schlüssel auf mehrere Teilbesitzer aufgeteilt wurde, versucht PGP Desktop bei jedem Signieren oder Entschlüsseln mit diesem Schlüssel automatisch, ihn wieder zusammenzufügen.

Geteilte Schlüssel wieder zusammenfügen

Nachdem ein Schlüssel auf mehrere Teilbesitzer aufgeteilt wurde, versucht PGP Desktop bei jedem Signieren oder Entschlüsseln mit diesem Schlüssel automatisch, ihn wieder zusammenzufügen. Der Schlüssel kann auf zwei Arten zusammengefügt werden: lokal und dezentral.

Beim lokalen Zusammenfügen von Schlüsselteilen muss der Teilbesitzer am zusammenfügenden Computer anwesend sein. Jeder Teilbesitzer muss das Passwort für seinen Teil des Schlüssels eingeben.

Beim dezentralen Zusammenfügen von Schlüsselteilen müssen die entfernten Teilbesitzer ihre Schlüssel authentifizieren und entschlüsseln, bevor Sie sie über das Netzwerk senden. Die TLS-Funktion (Transport Layer Security) von PGP Desktop stellt eine sichere Verbindung zur Übermittlung von Schlüsselteilen bereit, die es mehreren Einzelpersonen an räumlich getrennten Standorten ermöglicht, mit ihren Schlüsselteilen sicher zu signieren oder zu entschlüsseln.

Achtung: Bevor Schlüsselteile über das Netzwerk entgegengenommen werden, sollten Sie den Fingerabdruck jedes Teilbesitzers verifizieren und deren öffentlichen Schlüssel signieren, um sicherzustellen, dass ihr Authentifizierungsschlüssel legitim ist.

89


So fügen Sie einen geteilten Schlüssel wieder zusammen

1 Nehmen Sie mit jedem Teilbesitzer des geteilten Schlüssels Kontakt auf. Um Schlüsselteile lokal zusammenzufügen, müssen die Teilbesitzer des Schlüssels physisch anwesend sein.

Um Schlüsselteile über das Netzwerk zu sammeln, müssen Sie sicherstellen, dass die entfernten Teilbesitzer PGP Desktop installiert haben und bereit sind, ihre Schlüsselteildatei zu senden. Die entfernten Teilbesitzer benötigen:

ihre jeweiligen Schlüsselteildateien und Passwörter

ein Schlüsselpaar (zur Authentifizierung am Rechner, der die Schlüsselteile sammelt)

eine Netzwerkverbindung

die IP-Adresse oder den voll qualifizierten Domainnamen des Computers, der die Schlüsselteile sammelt.


Wählen Sie am zusammenfügenden Rechner mit Windows Explorer die Datei(en) aus, die Sie mit dem geteilten Schlüssel signieren oder entschlüsseln wollen, wenn der Schlüssel vorübergehend zusammengefügt werden soll.

Klicken Sie mit der rechten Maustaste auf die Datei(en) und wählen Sie aus dem PGP-Kontextmenü Signieren oder Entschlüsseln aus. Das Dialogfeld PGP-Passwort für ausgewählten Schlüssel

eingeben erscheint, wobei der geteilte Schlüssel ausgewählt ist.

Klicken Sie auf OK, um den ausgewählten Schlüssel wieder zusammenzufügen. Das Dialogfeld „Sammlung von Schlüsselteilen“ wird angezeigt.

Wenn der Schlüssel dauerhaft wieder zusammengefügt werden soll, klicken Sie mit der rechten Maustaste auf den geteilten Schlüssel und wählen Sie im angezeigten Menü Schlüsseleigenschaften aus.

Klicken Sie im Dialogfeld „Schlüsseleigenschaften“ auf Schlüssel

zusammenfügen (bei Schlüsseln, die nicht geteilt wurden, heißt diese Schaltfläche Passwort ändern).

Das Dialogfeld „Passwort“ wird angezeigt.


Falls Sie die Schlüsselteile lokal sammeln, klicken Sie auf Teiledatei

auswählen und gehen Sie dann zu den Teiledateien, die mit dem geteilten Schlüssel verknüpft sind. Die Teildateien können von der Festplatte, einer Diskette oder einem aktivierten Laufwerk erfasst werden. Fahren Sie mit dem nächsten Schritt fort.

90


Falls Sie Schlüsselteile über das Netzwerk sammeln, klicken Sie auf Netzwerk starten. Der entfernte Anwender muss PGP Desktop aufrufen und auf Schlüssel > Schlüssel teilen > Schlüsselteil

senden klicken. Dadurch kann die Teildatei ausgewählt und entschlüsselt werden, der Autorisierungsschlüssel ausgewählt und entsperrt werden und der Hostname/die IP-Adresse des zusammenfügenden Computers ausgewählt werden.

Wählen Sie im Feld Signaturschlüssel das Schlüsselpaar aus, das Sie zur Authentifizierung am entfernten System verwenden wollen, und geben Sie das Passwort ein.

Klicken Sie auf OK, um den Rechner auf den Empfang der Schlüsselteile vorzubereiten.

Der Status der Transaktion wird im Feld Netzwerkteile angezeigt. Wenn sich der Status in Lauschen ändert, ist die PGP-Anwendung zum Empfang der Schlüsselteile bereit.

Zu diesem Zeitpunkt müssen die Teilbesitzer ihre Schlüsselteile senden.

Wenn ein Schlüsselteil empfangen wird, erscheint das Dialogfeld „Remote-Authentifizierung“. Falls Sie den Schlüssel, der zur Authentifizierung des Remote-Systems verwendet wird, nicht signiert haben, wird der Schlüssel als ungültig betrachtet. Sie können den geteilten Schlüssel zwar auch mit einem ungültigen Authentifizierungsschlüssel wieder zusammenfügen, doch wird dies nicht empfohlen. Sie sollten den Fingerabdruck jedes Teilbesitzers prüfen und dessen öffentlichen Schlüssel signieren, um sicherzustellen, dass der Authentifizierungsschlüssel legitim ist.

4 Klicken Sie auf Bestätigen, um die Teildatei anzunehmen.

5 Sammeln Sie weiter die Schlüsselteile, bis im Dialogfeld „Sammlung von Schlüsselteilen“ der Wert für Insgesamt gesammelte Teile mit dem Wert für Insgesamt benötigte Teile übereinstimmt.


Wenn der Schlüssel zum Entschlüsseln oder Signieren nur vorübergehend zusammengefügt wurde, wird die Datei mit dem geteilten Schlüssel signiert oder entschlüsselt, dann wird der zusammengefügte Schlüssel verworfen.

Wenn der Schlüssel dauerhaft zusammengefügt werden sollte, wird er als vollständig zusammengefügter Schlüssel gespeichert (es handelt sich also nicht mehr um einen geteilten Schlüssel).

91


Wenn Sie Schlüssel oder Passwort verloren haben

Wenn Sie Ihren Schlüssel verloren haben, können Sie ihn wiederherstellen, damit Sie weiterhin Daten ver- und entschlüsseln können. Wie dies geschieht, hängt davon, ob Sie PGP Desktop als Einzelplatzlizenz oder in einer mit PGP Universal zentral verwalteten Umgebung verwenden.

Wenn Sie Ihr Passwort vergessen haben, können Sie es zurücksetzen. Dazu müssen Sie drei von fünf Sicherheitsfragen, die Sie beantwortet haben, als Sie Ihren Schlüssel eingerichtet oder Ihre Sicherheitsfragen erstellt haben, richtig beantworten.

Schlüssel mit PGP Universal wiederherstellen

Dieser Abschnitt betrifft nur PGP Desktop-Anwender in einer von PGP

Universal verwalteten Umgebung, deren PGP-Administrator für ihre

Installation von PGP Desktop eine Unterstützung zur

Schlüsselwiederherstellung konfiguriert hat.

Falls Sie Ihren Schlüssel verlieren oder Ihr Passwort vergessen und keine Sicherungskopie besitzen, von der Sie den Schlüssel wiederherstellen können, können Sie Informationen, die mit Ihrem Schlüssel verschlüsselt wurden, nicht mehr entschlüsseln. Sie können jedoch Ihren Schlüssel rekonstruieren, falls Ihr PGP-Administrator eine PGP-Schlüsselwiederherstellungsrichtlinie für Sie implementiert hat. Dabei wird Ihr Schlüssel verschlüsselt und so auf einem PGP Universal Server gespeichert, dass nur Sie ihn abrufen können.

Der PGP Universal-Server, der die Schlüsselwiederherstellungsdaten besitzt, speichert Ihren Schlüssel so, dass nur Sie Zugriff auf ihn haben. Selbst der PGP-Administrator kann Ihren Schlüssel nicht entschlüsseln.

Falls Ihr PGP-Administrator eine Unterstützung für die Schlüsselwiederherstellung konfiguriert hat, werden Sie bei der Installation von PGP Desktop aufgefordert, zusätzliche „geheime“ Informationen einzugeben.

Sobald Ihr Schlüssel auf den Server hochgeladen wurde, können Sie ihn jederzeit wiederherstellen, indem Sie in PGP Desktop auf Schlüssel > Schlüssel

wiederherstellen klicken.

Schlüsselwiederherstellungsdaten senden

Schlüsselwiederherstellungsdaten werden dann an den PGP Universal Server Ihres Unternehmens gesendet, wenn Sie PGP Desktop installieren oder wenn Sie Ihren Schlüssel zurücksetzen.

So senden Sie Schlüsselwiederherstellungsdaten zum PGP Universal

Server Ihres Unternehmens:


92


Starten Sie eine normale Installation von PGP Desktop.

Führen Sie die Schritte zum Zurücksetzen Ihres Schlüssels durch (wählen Sie die Systemsteuerung von PGP Messaging und klicken Sie dort auf Schlüssel zurücksetzen).

2 Wenn das Dialogfeld „Schlüsselwiederherstellung“ angezeigt wird, geben Sie in den Fragefeldern fünf Fragen ein, deren Antwort nur Sie kennen (die Standardfragen dienen nur als Beispiel).

Wählen Sie geheime persönliche Fragen mit Antworten aus, die Sie bestimmt nicht vergessen. Ihre Antworten dürfen bis zu 95 Zeichen lang sein. Ein Beispiel für eine gute Frage: „Mit wem bin ich zum Strand gegangen?“ oder „Warum ist Fred weg? “ Ein Beispiel für eine schlechte Frage: „Wie lautet der Mädchenname meiner Mutter?“ oder „Auf welche Schule bin ich gegangen?“.

3 Geben Sie in den Fragefeldern die Antworten auf die jeweilige Frage ein. Bei den Antworten wird zwischen Groß- und Kleinschreibung unterschieden. Sie können bis zu 255 Zeichen lang sein. Verwenden Sie das Kontrollkästchen Antworten ausblenden zum Ein- oder Ausblenden Ihrer Antworten.

4 Klicken Sie auf OK, um fortzufahren. Falls das Dialogfeld „PGP-Passwort für Schlüssel eingeben“ angezeigt wird, geben Sie das Passwort für Ihren Schlüssel ein, und klicken Sie dann auf OK.

5 Klicken Sie auf OK. Ihr privater Schlüssel wird mithilfe der Blakely-Shamir-Schlüsselteilung in fünf Teile geteilt. Drei der fünf Teile werden benötigt, um den Schlüssel wiederherzustellen. Jeder Teil wird dann mit dem Hash, der eindeutigen Identifizierungsnummer einer Antwort, verschlüsselt. Wenn Sie eine beliebige Auswahl von drei Antworten kennen, können Sie den gesamten Schlüssel erfolgreich wiederherstellen.

93


Ihren Schlüssel wiederherstellen

So stellen Sie Ihren Schlüssel wieder her

1 Klicken Sie in PGP Desktop auf das Bedienfeld „PGP Keys“.

2 Klicken Sie auf Schlüssel > Schlüssel wiederherstellen.

3 Beantworten Sie die zuvor festgelegten Fragen und klicken Sie auf OK. Sie werden zur Erstellung eines neuen Passworts aufgefordert. Nach der Wiederherstellung Ihres Schlüssels wird Ihr altes Passwort nicht mehr funktionieren.

4 Geben Sie ein neues Passwort ein und klicken Sie dann auf OK. Ihr Schlüssel wird wiederhergestellt:

Schlüssel bei einer Einzelplatzinstallation wiederherstellen

Wenn Sie Ihren Schlüssel verloren oder das Passwort vergessen haben, können Sie dennoch beides wiederherstellen. Zuerst müssen Sie Sicherheitsfragen erstellen, die nur Sie beantworten können. Wenn Sie dann bei Bedarf drei der fünf Sicherheitsfragen richtig beantworten, können Sie Ihren Schlüssel wiederherstellen oder ein neues Passwort erstellen.

Sicherheitsfragen erstellen

Bevor Sie einen Schlüssel wiederherstellen oder ein neues Passwort erstellen, wenn Sie das alte vergessen haben, müssen Sie Sicherheitsfragen erstellen. Sie können diese fünf Fragen so auswählen, dass nur Sie die Antwort kennen.

So erstellen Sie Sicherheitsfragen


94


2 Klicken Sie auf Schlüssel > Eigene Sicherheitsfragen erstellen. Der PGP-Assistent zum Erstellen von Sicherheitsfragen wird angezeigt.

3 Geben Sie das aktuelle Passwort für Ihren Schlüssel ein und klicken Sie dann auf Weiter. Das Dialogfeld „Sicherheitsfragen erstellen 1 von 5“ wird angezeigt.

4 Klicken Sie im ersten Dialogfeld „Sicherheitsfragen erstellen“ auf den Pfeil am ersten Feld, um die Frage auszuwählen, die Sie verwenden möchten. Beachten Sie, dass Sie Teile der Frage im nächsten Schritt anpassen können.

95


Wenn Sie eine Frage eigenständig definieren möchten, klicken Sie auf Eigene Frage eingeben.

5 Klicken Sie auf die Pfeile neben dem Text, den Sie verändern möchten, um eine Frage zu personalisieren. Wenn Sie zum Beispiel die erste Frage ausgewählt haben, können Sie die Frage anpassen, indem Sie Freund durch Junge und verknallt durch Händchen halten ersetzen.

Wenn Sie eine eigene Frage erstellen, geben Sie die Frage in diesem Feld ein. Geben Sie eine Frage ein, zu der wirklich nur Sie die Antwort kennen.

6 Geben Sie unter Antwort auf die Frage die Antwort auf diese Sicherheitsfrage ein. Sie können die Antwort unter Beachtung von Groß- und Kleinschreibung eingeben; wenn Sie die Frage beantworten, spielt diese jedoch keine Rolle.

In diesem Feld wird ein Hinweis angezeigt, der ausgeblendet wird, sobald Sie mit der Eingabe der Antwort beginnen. So wird zum Beispiel für die Antwort der Frage „Mit welchem Jungen habe ich das erste Mal Händchen gehalten?“ der Hinweis „Vor- und Nachname eingeben“ angezeigt.

7 Wenn Sie Ihre Frage festgelegt und die Antwort eingegeben haben, klicken Sie auf Weiter, um fortzufahren. Das Dialogfeld „Sicherheitsfragen erstellen 2 von 5“ wird angezeigt.

8 Sie werden insgesamt zur Eingabe und Beantwortung von fünf Sicherheitsfragen aufgefordert. Wiederholen Sie die oben genannten Schritte, um eine Frage auszuwählen, anzupassen und zu beantworten.

Wenn Sie alle fünf Fragen und Antworten eingegeben haben, wird das Dialogfeld „PGP-Assistenten zum Erstellen von Sicherheitsfragen abschließen“ angezeigt. Klicken Sie auf Beenden, um den Assistenten zu beenden.

Sie haben nun fünf Sicherheitsfragen festgelegt. Wenn Sie Ihren Schlüssel verloren oder Ihr Passwort vergessen haben, können Sie den Schlüssel wiederherstellen oder das Passwort zurücksetzen, indem Sie mindestens drei der fünf Sicherheitsfragen richtig beantworten.

Ihren Schlüssel mithilfe der Sicherheitsfragen wiederherstellen

Wenn Sie Ihren Schlüssel verloren haben, können Sie ihn mit diesem Vorgang wiederherstellen. Dazu müssen Sie Sicherheitsfragen erstellt haben, die nur Sie beantworten können. Weitere Informationen finden Sie unter Sicherheitsfragen erstellen (auf Seite 93).

So stellen Sie Ihren Schlüssel wieder her


96


2 Klicken Sie auf Schlüssel > Ich habe meinen Schlüssel verloren. Das Dialogfeld „PGP-Passwortassistent: Sicherheitsfragen beantworten“ wird angezeigt.

Tipp: Wenn die angezeigten Fragen nicht Ihre eigenen Fragen sind, klicken Sie auf den Link „Das sind nicht meine Fragen“. Das Dialogfeld „PGP-Passwortassistent“: Das Dialogfeld „Wiederherzustellenden Schlüssel anzeigen“ wird angezeigt. Wählen Sie die Schlüssel-ID des Schlüssels aus, den Sie wiederherstellen möchten, und klicken Sie auf Weiter.

3 Beantworten Sie drei der fünf Sicherheitsfragen richtig und klicken Sie auf Weiter. Das Dialogfeld „PGP-Passwortassistent: Erfolg“ wird angezeigt.

97


4 Klicken Sie auf Weiter, um mit der Erstellung eines neuen Passworts fortzufahren. Das Dialogfeld „PGP-Passwortassistent: Passwort erstellen“ wird angezeigt.

5 Geben Sie Ihr Passwort zwei Mal ein.


anzeigen. Stellen Sie sicher, dass niemand sehen kann, was Sie eingeben.

Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke des Passworts, das Sie erstellen. Sie vergleicht den Entropiewert des Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

6 Klicken Sie auf Fertig. Ihr Schlüssel wurde wiederhergestellt.

Ihr Passwort zurücksetzen

Wenn Sie Ihr Passwort vergessen haben, können Sie es zurücksetzen. Dazu müssen Sie drei von fünf Sicherheitsfragen, die Sie beantwortet haben, als Sie Ihren Schlüssel eingerichtet oder Ihre Sicherheitsfragen erstellt haben, richtig beantworten.

So setzen Sie Ihr Passwort zurück


2 Klicken Sie auf Schlüssel > Ich habe mein Passwort vergessen. Das Dialogfeld „PGP-Passwortassistent: Sicherheitsfragen beantworten“ wird angezeigt.

98


3 Beantworten Sie drei der fünf Sicherheitsfragen richtig und klicken Sie auf Weiter. Das Dialogfeld „PGP-Passwortassistent: Erfolg“ wird angezeigt.

4 Klicken Sie auf Weiter, um mit der Erstellung eines neuen Passworts fortzufahren. Das Dialogfeld „PGP-Passwortassistent: Passwort erstellen“ wird angezeigt.

5 Geben Sie Ihr Passwort zwei Mal ein.


anzeigen. Stellen Sie sicher, dass niemand sehen kann, was Sie eingeben.

99


Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke des Passworts, das Sie erstellen. Sie vergleicht den Entropiewert des Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

6 Klicken Sie auf Fertig. Ihr Passwort wurde zurückgesetzt.

Ihre Schlüssel schützen

Sie sollten nicht nur Sicherungskopien Ihrer Schlüssel erstellen, sondern auch besonders sorgsam darauf achten, wo Sie Ihren privaten Schlüssel aufbewahren. Obwohl Ihr privater Schlüssel durch ein Passwort geschützt ist, das nur Sie kennen sollten, ist es möglich, dass jemand Ihr Passwort entdeckt und dann Ihren privaten Schlüssel zum Entschlüsseln Ihrer E-Mails verwendet oder Ihre digitale Signatur damit fälscht. Jemand könnte Ihnen beispielsweise über die Schulter blicken und beobachten, welche Tasten Sie anschlagen, oder die Tastenanschläge über das Netzwerk oder sogar über das Internet abfangen.

Um zu verhindern, dass jemand, der Ihr Passwort abfängt, Ihren privaten Schlüssel benutzen kann, sollten Sie Ihren privaten Schlüssel nur auf Ihrem eigenen Computer speichern. Falls Ihr Computer mit einem Netzwerk verbunden ist, stellen Sie sicher, dass Ihre Dateien nicht automatisch in ein systemweites Backup einbezogen werden, über das andere Zugriff auf Ihren privaten Schlüssel erhalten können. Angesichts der Tatsache, dass Computer sehr einfach über Netzwerke erreichbar sind, sollten Sie Ihren privaten Schlüssel auf einem USB-Stick speichern, falls Sie mit extrem vertraulichen Daten arbeiten. Dieser kann wie ein traditioneller Schlüssel immer dann angeschlossen werden, wenn Sie private Informationen lesen oder signieren wollen.

Als weitere Sicherheitsmaßnahme sollten Sie Ihrer privaten Schlüsselbunddatei einen anderen Namen zuweisen und sie nicht am Standardspeicherort speichern.

Ihre privaten und öffentlichen Schlüssel werden in getrennten Schlüsselbunddateien gespeichert. Sie können sie auf einen anderen Speicherplatz auf Ihrer Festplatte oder auf eine Diskette kopieren. Standardmäßig werden der private Schlüsselbund (secring.skr) und der öffentliche Schlüsselbund (pubring.pkr) zusammen mit den anderen Programmdateien in Ihrem Ordner PGP gespeichert. Sie können Ihre Sicherheitskopien an einem beliebigen Speicherort speichern.

Sie können PGP Desktop so konfigurieren, dass Ihre Schlüsselbunde automatisch nach dem Beenden von „PGP“ Desktop gesichert werden. Die Optionen für die Schlüsselbundsicherung können in der Registerkarte „Schlüssel“ im Dialogfeld „Optionen“ (auf Windows-Systemen) bzw. im Dialogfeld „Eigenschaften“ (auf Mac OS X-Systemen) festgelegt werden.

100


Tipp: Denken Sie daran, dass das Passwort Ihres Schlüssels bei einer Änderung des Passworts nicht in Kopien des Schlüssels (z. B. Sicherheitskopien) geändert wird. Die PGP Corporation empfiehlt, alle Sicherungskopien zu löschen und neue Sicherungskopien des Schlüssels anzufertigen, wenn Sie annehmen, dass das Passwort nicht mehr geheim ist.

101

In diesem Abschnitt wird beschrieben, wie Sie Ihre E-Mails automatisch und transparent mit PGP Desktop Email schützen.

Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP-Administrator u. U. bestimmte Funktionen deaktiviert. Wenn eine Funktion deaktiviert wurde, wird das Bedienelement auf der linken Seite nicht angezeigt; das Menü und andere Optionen für diese Funktion stehen nicht zur Verfügung. Die in diesem Handbuch enthaltenen Abbildungen zeigen die Standardinstallation, bei der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktion deaktiviert hat, betrifft Sie der entsprechende Abschnitt nicht.

Kapitelinhalt

Wie PGP Desktop E-Mail-Nachrichten schützt...................................... 101 Die Offline-Richtlinie verwenden........................................................... 104 Dienste und Richtlinien.......................................................................... 105 Eine neue Sicherheitsrichtlinie erstellen ............................................... 117 Mit der Sicherheitsrichtlinienliste arbeiten ............................................ 126 PGP Desktop und SSL........................................................................... 133 Schlüsselmodi........................................................................................ 135

PGP Desktop-Protokoll anzeigen........................................................... 138

Wie PGP Desktop E-Mail-Nachrichten schützt

Wenn der Schutz von E-Mail-Nachrichten aktiviert ist, überwacht PGP Desktop den E-Mail-Verkehr zwischen Ihrem E-Mail-Client und Ihrem E-Mail-Server. PGP Desktop schaltet sich je nach Bedarf zu, um Nachrichten zu verschlüsseln, zu signieren, zu entschlüsseln oder zu verifizieren.

Nach der ordnungsgemäßen Konfiguration, die in der Regel von PGP Desktop automatisch durchgeführt wird, brauchen Sie nichts weiter zu tun, um Ihre abgehenden Nachrichten zu verschlüsseln und/oder zu signieren bzw. Ihre ankommenden Nachrichten zu entschlüsseln und/oder zu verifizieren. Der Nachrichten-Proxy von PGP Desktop erledigt das für Sie.

7 E-Mail-Nachrichten

schützen

102

PGP® Desktop 9.9 für Windows E-Mail-Nachrichten schützen

Der Ablauf dieser Prozesse ist für ankommende und abgehende Nachrichten unterschiedlich.

PGP Desktop überprüft automatisch alle ankommenden E-Mail-Nachrichten und führt die entsprechenden Aktionen aus (wie im folgenden Abschnitt beschrieben).

Bei ausgehenden Nachrichten kann PGP Desktop anhand der konfigurierten Richtlinien eine breite Palette von Aktionen für Sie durchführen. Eine Richtlinie ist ein Satz Anweisungen (wie z. B. „Wenn dies passiert, tu das“), die PGP Desktop vorschreiben, wie es sich in bestimmten Situationen verhalten soll. Durch die Kombination dieser Anweisungen lassen sich maßgeschneiderte Richtlinien erstellen, die alle Ihre Anforderungen für sichere E-Mail erfüllen. PGP Desktop wird vorkonfiguriert geliefert und enthält bereits verschiedene Richtlinien, die den Anforderungen der meisten Anwender genügen sollten. Dennoch behalten Sie die Kontrolle über alle Details dieser Richtlinien, falls Sie Änderungswünsche haben.

Wenn Sie PGP Desktop in der Einzelplatzversion nutzen und eine Nachricht senden, sucht PGP Desktop nach einem vertrauenswürdigen Schlüssel zum Verschlüsseln der Nachricht. Zuerst wird der Standardschlüsselbund (auf Windows-Systemen „Alle Schlüssel“) oder der lokale Schlüsselbund (unter Mac OS X „Schlüssel“) nach dem öffentlichen Schlüssel des Empfängers durchsucht. Falls der Schlüssel dort nicht gefunden wird, wird standardmäßig im PGP Global Directory nach einem vertrauenswürdigen Schlüssel für den Empfänger gesucht. Wenn dort kein vertrauenswürdiger Schlüssel zu finden ist, wird die Nachricht im Klartext, das heißt unverschlüsselt, gesendet. Dieses standardmäßige Verhalten wird als opportunistische Verschlüsselung bezeichnet. Dabei handelt es sich um einen Kompromiss zwischen dem Schutz abgehender Nachrichten und der Sicherstellung, dass die Nachrichten gesendet werden.

Die Erstellung neuer Richtlinien wird detailliert unter Eine neue Sicherheitsrichtlinie erstellen (auf Seite 117) abgehandelt.

Wenn Sie in einer mit PGP Universal geschützten Domain arbeiten, bestimmen die lokalen PGP Desktop-Richtlinien, wie und wann Ihre Nachrichten verschlüsselt werden. Weitere Informationen erhalten Sie von Ihrem PGP Universal-Administrator.

Hinweis: PGP Desktop überprüft nur den Standardschlüsselbund. Wenn Sie eine verschlüsselte E-Mail an einen Empfänger senden möchten, dessen Schlüssel sich an Ihrem lokalen Schlüsselbund befindet, müssen Sie den Schlüssel in den Standardschlüsselbund importieren. Verfügen Sie über mehrere Schlüsselbunde, wird der Standardschlüsselbund im Bedienfeld „PGP Keys“ an erster Stelle angezeigt. Um einen anderen Schlüsselbund als Standard festzulegen, klicken Sie im Bedienfeld „PGP Keys“ mit der rechten Maustaste auf den Schlüsselbund. Wählen Sie Eigenschaften und markieren Sie das Kontrollkästchen Standardschlüsselbund.

103


Ankommende Nachrichten

PGP Desktop entscheidet anhand des Nachrichteninhalts, was mit einer ankommenden E-Mail-Nachricht geschieht. Die folgenden Szenarien gehen

von einer Einzelplatzinstallation von PGP Desktop aus, nicht von einer

Installation in einer Domain, die von einem PGP Universal Server geschützt

wird (im Fall eines PGP Universal-Servers wurden die E-Mail-Richtlinien u. U. von Ihrem PGP Universal-Administrator festgelegt):

Nachricht weder verschlüsselt noch signiert. PGP Desktop verändert den Inhalt dieser Nachrichten nicht; es leitet die Nachricht einfach an den E-Mail-Client weiter.

Nachricht verschlüsselt, jedoch nicht signiert. Wenn PGP Desktop eine eingehende Nachricht erkennt, die verschlüsselt ist, wird versucht, die Nachricht zu entschlüsseln. Zu diesem Zweck durchsucht PGP Desktop den lokalen Schlüsselbund nach dem privaten Schlüssel, der die Nachricht entschlüsseln kann. Wenn sich der private Schlüssel nicht auf dem lokalen Schlüsselbund befindet, kann PGP Desktop die Nachricht nicht entschlüsseln. Die Nachricht wird verschlüsselt an Ihren E-Mail-Client weitergeleitet. Falls der private Schlüssel auf dem lokalen Schlüsselbund vorhanden ist, entschlüsselt PGP Desktop die Nachricht sofort, falls das Passwort für den privaten Schlüssel zwischengespeichert ist. Falls das Passwort nicht zwischengespeichert ist, fordert Sie PGP Desktop zur Eingabe des Passworts auf und entschlüsselt die Nachricht, wenn Sie das richtige Passwort eingeben. Nach dem Entschlüsseln einer Nachricht übergibt PGP Desktop diese an den E-Mail-Client.

Wenn der Nachrichten-Proxy von PGP Desktop deaktiviert wurde, kann PGP Desktop eingehende verschlüsselte Nachrichten nicht entschlüsseln; sie werden verschlüsselt an Ihren E-Mail-Client weitergeleitet. Wenn Sie vorhaben, verschlüsselte Nachrichten zu senden und zu empfangen, empfiehlt es sich daher, den Nachrichten-Proxy ständig aktiviert zu lassen. Der Proxy ist per Voreinstellung aktiv.

Nachricht signiert, jedoch nicht verschlüsselt. PGP Desktop durchsucht den lokalen Schlüsselbund nach einer öffentlichen Signatur, die zum Verifizieren der Nachricht verwendet werden kann. Falls PGP Desktop den entsprechenden öffentlichen Schlüssel auf dem lokalen Schlüsselbund nicht finden kann, sucht die Anwendung zunächst nach einem Keyserver unter keys.domain (wobei domain die Domain des Nachrichtenabsenders ist), dann im PGP Global Directory (https://keyserver.pgp.com) und schließlich auf den übrigen konfigurierten Keyservern. Wenn PGP Desktop den richtigen öffentlichen Schlüssel an einem dieser Speicherorte findet, wird die Signatur verifiziert (oder nicht verifiziert, falls sie ungültig ist). Dann wird die Nachricht mit einer Anmerkung zur Signatur an Ihr E-Mail-Programm übergeben. Diese Informationen werden außerdem in das PGP-Protokoll eingetragen. Wenn PGP Desktop den passenden öffentlichen Schlüssel nicht finden kann, wird die Nachricht ohne Verifizierung an den E-Mail-Client übergeben.

104


Nachricht verschlüsselt und signiert. PGP Desktop führt die beiden oben beschriebenen Verfahren durch: Zuerst wird der private Schlüssel zum Entschlüsseln der Nachricht gesucht, dann der öffentliche Schlüssel zum Verifizieren der Signatur. Wenn eine Nachricht jedoch nicht entschlüsselt werden kann, kann sie auch nicht verifiziert werden.

Falls PGP Desktop eine Nachricht weder entschlüsseln noch verifizieren kann, sollten Sie Kontakt mit dem Absender der Nachricht aufnehmen. Falls die Nachricht nicht entschlüsselt werden konnte, vergewissern Sie sich, dass der Absender Ihren echten öffentlichen Schlüssel verwendet hat. Falls die Nachricht nicht verifiziert werden konnte, bitten Sie den Absender, seinen Schlüssel im PGP Global Directory zu veröffentlichen. Ältere PGP-Versionen und andere OpenPGP-Produkte können die Webversion dieses Verzeichnisses unter PGP Global Directory (https://keyserver.pgp.com) erreichen. Alternativ dazu können Sie den Absender bitten, seinen öffentlichen Schlüssel per E-Mail an Sie zu senden.

Hinweis: PGP Desktop verschlüsselt standardmäßig nur mit Schlüsseln, die als gültig bekannt sind. Wenn Sie keinen Schlüssel vom PGP Global Directory erhalten haben, müssen Sie unter Umständen den Fingerabdruck des Schlüssels mit dem Eigentümer abgleichen und ihn signieren, damit Sie ihn verwenden können.

Ausgehende Nachrichten

Von Ihnen gesendete E-Mail-Nachrichten können verschlüsselt oder signiert, verschlüsselt und signiert oder weder verschlüsselt noch signiert sein. Da Sie wahrscheinlich unterschiedliche Kombinationen für verschiedene Empfänger oder E-Mail-Domain benötigen, müssen Sie für Ihre abgehenden E-Mail-Nachrichten Richtlinien für alle Möglichkeiten erstellen. Nach Festlegung der gewünschten Richtlinien werden Ihre E-Mail-Nachrichten automatisch und transparent geschützt.

Wenn Sie in einer mit PGP Universal Server verwalteten Umgebung arbeiten, werden Ihre PGP Desktop-Richtlinien von den Richtlinien gesteuert, die von Ihrem PGP Universal Server-Administrator festgelegt wurden. Ihr Administrator hat möglicherweise auch festgelegt, wie ausgehende Nachrichten behandelt werden, wenn der PGP Universal Server nicht verfügbar ist. Diese Richtlinien werden als Offline- (oder lokale) Rchtlinien bezeichnet.

Die Offline-Richtlinie verwenden

Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, wird die Richtlinie bezüglich Offline-Nachrichten von Ihrem PGP Universal Server-Administrator festgelegt. Diese Richtlinie legt fest, was mit E-Mail-Nachrichten passiert, wenn der PGP Universal Server offline ist oder von PGP Desktop nicht erreicht werden kann.

105


Ausgehende Nachrichten blockieren. Ihre ausgehenden Nachrichten werden nicht gesendet. Wenn die Nachrichten von Ihrem E-Mail-Client in die Warteschlange gestellt werden, verbleiben sie in der Warteschlange, bis der PGP Universal Server zur Verfügung steht. Ist dies nicht der Fall, werden die E-Mail-Nachrichten blockiert.

Ausgehende Nachrichten als Klartext senden. Sie werden dazu aufgefordert zu entscheiden, ob die E-Mail-Nachricht als Klartext gesendet werden soll. Wenn Sie sich für das Senden entscheiden, wird die Nachricht als Klartext gesendet, wenn Sie sich dagegen entscheiden, wird die Nachricht blockiert.

Der lokalen Richtlinie Folge leisten. PGP Desktop leistet lokal definierten Richtlinien Folge. Sie können sich nur dann für den Einsatz einer lokalen Richtlinie entscheiden, wenn Sie auch die Postrichtlinie ignorieren können. Weitere Informationen finden Sie unter Dienste und Richtlinien anzeigen (auf Seite 106).

Weitere Informationen zu den Notifier-Meldungen, die Sie erhalten, wenn eine der oben beschriebenen Situationen auftritt, finden Sie unter Ausgehende PGP Desktop Notifier-Meldungen für Offline-Richtlinie (auf Seite 38).

Wenn Ihnen Ihr PGP Universal Server-Administrator erlaubt lokale Richtlinien zu verwenden, finden Sie weitere Informationen unter Eine neue Sicherheitsrichtlinie erstellen (auf Seite 117).

Dienste und Richtlinien

Um zu verstehen, wie Sie Ihre abgehenden Nachrichten mit PGP Desktop automatisch und transparent schützen können, müssen Sie zwei Begriffe kennen: Dienst und Richtlinie.

Dienst. Die Informationen zu einem E-Mail-Konto auf Ihrem System und zu den Richtlinien, die auf dieses Konto angewendet werden. In der Regel erstellt und konfiguriert PGP Desktop automatisch einen Dienst für jedes E-Mail-Konto auf Ihrem System. In manchen Fällen müssen Sie einen Dienst manuell erstellen und konfigurieren.

Richtlinie. Eine Gruppe von einer oder mehreren Anweisungen, die festlegen, welche Operationen PGP Desktop in bestimmten Situationen durchführen soll. Richtlinien sind Diensten zugeordnet, oftmals auch mehreren (eine Richtlinie kann für verschiedene Dienste verwendet werden). Umgekehrt können einem Dienst mehrere Richtlinien zugewiesen werden (dies ist meist der Fall).

Um zu ermitteln, wie eine bestimmte abgehende E-Mail-Nachricht verarbeitet werden soll, überprüft PGP Desktop der Reihe nach (beginnend mit dem ersten Eintrag in der Liste) die Richtlinien, die für den jeweiligen Dienst konfiguriert wurden. Wenn eine zutreffende Richtlinie gefunden wird, wird diese angewendet, und die restlichen Richtlinien werden nicht überprüft.

Alle neuen Dienste werden mit den folgenden Standardrichtlinien erstellt:

106


Mailing-Listen-Administratorabfragen. Legt fest, dass Administratorabfragen an Mailing-Listen als Klartext gesendet werden sollen, d. h. weder verschlüsselt noch signiert.

Mailing-Listen-Sendevorgänge. Legt fest, dass Sendevorgänge an Mailing-Listen signiert (damit sie authentifiziert werden können), jedoch nicht verschlüsselt gesendet werden.

Verschlüsselung erzwingen: [PGP] Vertraulich. Legt fest, dass alle Nachrichten, die in Ihrem E-Mail-Client als Vertraulich markiert sind oder den Text [PGP] in der Betreffzeile enthalten, mit einem gültigen öffentlichen Schlüssel des Empfängers verschlüsselt werden müssen, andernfalls werden sie nicht gesendet.

Opportunistische Verschlüsselung. Legt fest, dass alle Nachrichten, für die kein Verschlüsselungsschlüssel gefunden wird, unverschlüsselt (als Klartext) gesendet werden. Wenn diese Richtlinie sich als letzte Richtlinie in der Liste befindet, wird gewährleistet, dass Ihre Nachrichten immer gesendet werden (wenn auch als Klartext), selbst wenn kein Schlüssel gefunden wird.

Die Richtlinie Opportunistische Verschlüsselung darf sich nur an der letzten Position der Richtlinienliste befinden, da ihre Bedingungen immer zutreffen und PGP Desktop die Suche nach Richtlinien abbricht und die gefundene Richtlinie implementiert, sobald eine Übereinstimmung gefunden wird. Daher werden die Richtlinien, die sich in der Liste unterhalb von Opportunistische Verschlüsselung befinden, nie implementiert.

Hinweis: Die Standardrichtlinien können geändert, aber nicht gelöscht werden. Sie können deaktiviert und dann in der Richtlinienliste nach oben oder unten verschoben werden.

Dienste und Richtlinien anzeigen

So zeigen Sie Dienste und Richtlinien an


2 Klicken Sie auf das PGP Messaging-Bedienfeld. Das Bedienfeld „PGP Messaging“ wird optisch hervorgehoben. Alle derzeit konfigurierten Dienste werden oben im Bedienfeld „PGP Messaging“ aufgelistet.

3 Klicken Sie auf einen Dienst, um die zugehörigen Kontoeigenschaften und Sicherheitsrichtlinien anzuzeigen.

107


Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, haben Sie möglicherweise die Option Serverrichtlinien zugunsten von lokalen Richtlinien zu ignorieren. Wenn dies durch eine Richtlinie so festgelegt wurde, können Ihre lokalen Richtlinien dann umgesetzt werden, wenn Ihr PGP Universal Server aus irgendeinem Grund nicht verfügbar ist.

Einen neuen Messaging-Dienst erstellen

Ein Dienst hält Informationen zu einem E-Mail-Konto und zu den Sicherheitsrichtlinien bereit, die auf die abgehenden Nachrichten dieses E-Mail-Kontos angewendet werden.

Wichtig: PGP Desktop erstellt Dienste in der Regel automatisch, wenn Sie Ihre E-Mail-Konten zum Senden oder Empfangen von Nachrichten verwenden. Wenn Sie selbst einen Dienst erstellen müssen, lesen Sie zuerst die vorliegende Anleitung sorgfältig durch. Die falsche Konfiguration eines Dienstes kann zu Problemen beim Senden oder Empfangen von E-Mail-Nachrichten führen.

So erstellen Sie einen neuen Dienst

1 Öffnen Sie PGP Desktop und klicken Sie auf das Bedienfeld „PGP Messaging“. Das Bedienfeld „PGP Messaging“ wird optisch hervorgehoben.

2 Klicken Sie im Bedienfeld „PGP Messaging“ auf Neuer Messaging-Dienst. Alternativ wählen Sie Messaging > Neuen Dienst erstellen.

108


Im Arbeitsbereich von PGP Messaging wird am oberen Bildschirmrand Neuer Dienst angezeigt. Die Kontoeigenschaften erscheinen ohne Werte, und die Standardsicherheitsrichtlinien werden im Bereich Sicherheitsrichtlinien angezeigt.

3 Geben Sie im Bereich Kontoeigenschaften im Feld Beschreibung einen Namen für diesen Dienst ein.

4 Geben Sie Ihre E-Mail-Adresse in das Feld E-Mail-Adresse ein.

109


5 Geben Sie den Namen des Posteingangs- und des Postausgangsservers ein und klicken Sie auf Servereinstellungen, wenn Sie erweiterte Optionen festlegen möchten. In diesem Fall wird das Dialogfenster „Servereinstellungen“ geöffnet.

6 Wählen Sie unter Servertyp den Servertyp für den neuen Dienst aus:

E-Mail: Wählen Sie diesen Typ aus, wenn Sie PGP Desktop eigenständig mit einer POP- oder IMAP-Verbindung verwenden.

PGP Universal: Wählen Sie diesen Typ aus, wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden. Wenden Sie sich an Ihren PGP Universal-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

MAPI/Exchange: Für Anwender von PGP Desktop, die Microsoft Outlook als Client auf einem Microsoft Exchange/MAPI-Server verwenden. Wenden Sie sich an Ihren E-Mail-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

Lotus Notes: Für Anwender von PGP Desktop, die Lotus Notes als E-Mail-Client auf einem Lotus Domino-Server verwenden. Wenden Sie sich an Ihren E-Mail-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

Die verfügbaren Felder im Dialogfeld „Servereinstellungen“ variieren je nach ausgewähltem Servertyp.

7 Geben Sie bei Eingehender E-Mail-Server folgende Daten ein:

Name: Geben Sie den Namen des Mail-Servers ein, der die eingehenden Nachrichten verarbeitet.

110


Protokoll: Wählen Sie das Protokoll aus, das zum Abrufen der Nachrichten auf dem Posteingangsserver verwendet wird.

Bei Auswahl der Einstellung Automatisch (diese steht für die Servertypen E-Mail und PGP Universal zur Verfügung) wird automatisch erkannt, ob es sich um eine POP- oder IMAP-Verbindung handelt.

Port: Behalten Sie die Standardeinstellung Automatisch bei oder geben Sie einen Port an, über den die Verbindung zum Mail-Server für eingehende E-Mails hergestellt werden soll, um Nachrichten herunterzuladen (wenn Sie die Einstellungen Internet-E-Mail oder PGP Universal und dann entweder POP oder IMAP ausgewählt haben: nicht Automatisch).

SSL/TLS: Legen Sie fest, wie PGP Desktop mit dem E-Mail-Server kommuniziert. Folgende Einstellungen stehen zur Wahl:

Automatisch: PGP führt die folgenden Aktionen aus, um die Verbindung durch SSL/TLS zu schützen. Zunächst wird versucht, zum alternativen Port zu wechseln, danach erfolgt ein Aufruf des Befehls STARTTLS (sofern vom Server unterstützt). Wenn dies nicht zum Erfolg führt, wird eine ungeschützte Verbindung zum Server hergestellt.

STARTTLS erforderlich: PGP Desktop erfordert, dass der Server den Befehl STARTTLS unterstützt.

SSL erforderlich: PGP Desktop erfordert, dass der Server SSL-geschützte Verbindungen zum angegebenen alternativen Port unterstützt.

Nicht versuchen: PGP Desktop versucht nicht, die Verbindung zum Mail-Server durch SSL/TLS zu schützen.

Bei SSL/TLS-Verbindungsversuch durch E-Mail-Client warnen: PGP Desktop zeigt eine Warnung an, wenn der E-Mail-Client versucht, eine SSL/TLS-Verbindung aufzubauen, da dies das E-Mail-Proxying durch PGP Desktop verhindern würde. (Diese Option ist standardmäßig aktiviert.)

Achtung: Diese Option darf nur aktiviert werden, wenn Sie sicher sind, dass Ihr E-Mail-Server das SSL-Protokoll unterstützt. Auf diese Weise wird sichergestellt, dass PGP Desktop keine Nachrichten über ungeschützte Verbindungen sendet oder empfängt, falls beispielsweise ein Problem bei der Aushandlung des SSL-Protokolls für die Verbindung auftritt. Falls Sie diese Option aktivieren und der Mail-Server SSL

nicht unterstützt, sendet oder empfängt PGP Desktop keine

Nachrichten.

Postausgangsserver (SMTP)

Name: Geben Sie den Namen des Mail-Servers ein, der die ausgehenden Nachrichten verarbeitet.

111


Port: Übernehmen Sie die Einstellung Automatisch (465, 25) oder geben Sie einen anderen Port auf dem Postausgangsserver an, über den die Nachrichten gesendet werden.

Diese Option steht nur dann für den Postausgangsserver zur Verfügung, wenn die Einstellungen für den Posteingangsserver die Auswahl dieser Option zulassen.

SSL/TLS: Legen Sie fest, wie PGP Desktop mit dem E-Mail-Server kommuniziert. Folgende Einstellungen stehen zur Wahl:

Automatisch: PGP führt die folgenden Aktionen aus, um die Verbindung durch SSL/TLS zu schützen. Zunächst wird versucht, zum alternativen Port zu wechseln, danach erfolgt ein Aufruf des Befehls STARTTLS (sofern vom Server unterstützt). Wenn dies nicht zum Erfolg führt, wird eine ungeschützte Verbindung zum Server hergestellt.

STARTTLS erforderlich: PGP Desktop erfordert, dass der Server den Befehl STARTTLS unterstützt.

SSL erforderlich: PGP Desktop erfordert, dass der Server SSL-geschützte Verbindungen zum angegebenen alternativen Port unterstützt.

Nicht versuchen: PGP Desktop versucht nicht, die Verbindung zum Mail-Server durch SSL/TLS zu schützen.

Bei SSL/TLS-Verbindungsversuch durch E-Mail-Client warnen: PGP Desktop zeigt eine Warnung an, wenn der E-Mail-Client versucht, eine SSL/TLS-Verbindung aufzubauen, da dies das E-Mail-Proxying durch PGP Desktop verhindern würde. (Diese Option ist standardmäßig aktiviert.)

Achtung: Diese Option darf nur aktiviert werden, wenn Sie sicher sind, dass Ihr E-Mail-Server das SSL-Protokoll unterstützt. Auf diese Weise wird sichergestellt, dass PGP Desktop keine Nachrichten über ungeschützte Verbindungen sendet oder empfängt, falls beispielsweise ein Problem bei der Aushandlung des SSL-Protokolls für die Verbindung auftritt. Falls Sie diese Option aktivieren und der Mail-Server SSL

nicht unterstützt, sendet oder empfängt PGP Desktop keine

Nachrichten.

8 Wenn Sie fertig sind, klicken Sie auf OK.

9 Wählen Sie im Feld Universal-Server den Namen des PGP Universal-Servers aus, der Ihre E-Mail-Domain schützt. <Keine> wird angezeigt, wenn Sie sich nicht in einer von PGP Universal geschützten E-Mail-Domain befinden. Wenn Ihre Domain durch einen PGP Universal Server geschützt wird, dieser aber nicht in der Liste aufgeführt ist, wählen Sie <Neu

erstellen> und geben Sie den Namen des PGP Universal-Servers ein. Wenden Sie sich an Ihren PGP Universal-Administrator, wenn Sie weitere Informationen benötigen.

112


10 Klicken Sie auf Schlüsselmodus.

Das Dialogfenster „Schlüsselverwaltungsmodus mit dem aktuellen Schlüsselmodus“ wird angezeigt. Klicken Sie bei Bedarf auf Schlüssel

zurücksetzen, um den Assistenten zur Schlüsseleinrichtung aufzurufen.


12 Geben Sie im Feld Anwendername den Anwendernamen des E-Mail-Kontos ein.

13 Im Feld Standardschlüssel wird der aktuelle Schlüssel angezeigt.

Wenn Sie PGP Desktop als Einzelplatzinstallation verwenden, können Sie entweder den Standardschlüssel übernehmen oder einen anderen Schlüssel im Menü auswählen (sofern verfügbar).

Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, kann der angezeigte Standardschlüssel nicht geändert werden. Wenn Sie Ihren Schlüssel ändern müssen, klicken Sie auf Schlüsselmodus und führen Sie die Schritte zum Zurücksetzen des Schlüssels auf dem PGP Universal Server aus.

14 Aktivieren Sie das Kontrollkästchen Passwort dieses Schlüssels

zwischenspeichern, wenn ich mich anmelde, wenn das Passwort des Schlüsselpaares, das Sie gerade ausgewählt haben, bei der Anmeldung im Zwischenspeicher (Cache) gespeichert werden soll.

Wenn das Passwort des Schlüssels nicht zwischengespeichert wird, müssen Sie es jedes Mal eingeben, wenn Sie signierte Nachrichten versenden oder verschlüsselte Nachrichten empfangen.

15 Im Bereich Sicherheitsrichtlinien bereitgestellt von [Servername] werden die derzeit angewendeten Sicherheitsrichtlinien angezeigt. Sie können die Standardsicherheitsrichtlinien übernehmen oder deaktivieren sowie neue Richtlinien hinzufügen (wenn Sie PGP Desktop als Einzelplatzinstallation verwenden). Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung einsetzen, können die Optionen variieren, je nachdem, welche Optionen vom PGP Universal-Administrator festgelegt wurden.

16 Wenn Sie eine Richtlinie bearbeitet haben, müssen Sie anschließend auf Fertig klicken. Ansonsten kann das Konto sofort verwendet werden. Sie müssen die Informationen nicht durch Klicken auf eine Schaltfläche speichern. Die Einstellungen werden unmittelbar nach der Eingabe automatisch gespeichert.

113


Eigenschaften des Messaging-Service bearbeiten

So ändern Sie die Kontoeigenschaften eines vorhandenen Dienstes:

1 Öffnen Sie PGP Desktop und klicken Sie auf das Bedienfeld „PGP Messaging“. Das Bedienfeld „PGP Messaging“ wird optisch hervorgehoben.

2 Klicken Sie auf den Namen des Dienstes, dessen Kontoeigenschaften Sie bearbeiten möchten. Die Einstellungen für den ausgewählten Dienst werden im Arbeitsbereich PGP Messaging angezeigt.

3 Ändern Sie die Kontoeigenschaften des Dienstes nach Bedarf. Nähere Informationen finden Sie unter Neuen Messaging-Service erstellen (auf Seite 107).

Einen Service deaktivieren oder aktivieren

Wenn Sie einen Dienst nur anhalten, aber nicht löschen möchten, da Sie ihn möglicherweise wieder benötigen, können Sie ihn deaktivieren. Das ist nützlich, wenn Sie wollen, dass PGP Desktop nur Post von bestimmten Konten bearbeitet. Falls Sie jedoch sicher sind, dass Sie den Dienst nicht mehr benötigen werden, können Sie ihn löschen.

Deaktivierung oder Aktivierung eines bestehenden Dienstes

1 Klicken Sie im Bedienfeld „PGP Messaging“ auf den Namen des Dienstes, den Sie deaktivieren möchten. Die Einstellungen für den Dienst werden im Arbeitsbereich PGP Messaging angezeigt.


Zur Deaktivierung des Dienstes wählen Sie Messaging > Dienst

deaktivieren. Der Dienst wird deaktiviert.

Zur Aktivierung des Dienstes wählen Sie Messaging > Dienst

aktivieren. Der Dienst wird aktiviert.

PGP Desktop informiert Sie darüber, dass die Änderung erst nach dem Neustart Ihres E-Mail-Clients in Kraft tritt.

Tipp: Sie können Dienste deaktivieren, aktivieren und löschen, indem Sie mit der rechten Maustaste auf den Namen im PGP Messaging-Bedienfeld klicken und den gewünschten Befehl auswählen.

114


Einen Dienst löschen

Wenn Sie sicher sind, dass Sie einen Messaging-Service nicht mehr brauchen, können Sie den Dienst vom PGP Desktop löschen.

So löschen Sie einen Dienst:

1 Klicken Sie auf den Namen des Dienstes, den Sie löschen möchten. Die Einstellungen für den Dienst werden im Arbeitsbereich PGP Messaging angezeigt.

2 Wählen Sie Messaging > Dienst löschen. Der Dienst wird gelöscht.

Tipp: Sie können Dienste löschen, indem Sie mit der rechten Maustaste auf den Namen im PGP Messaging-Bedienfeld klicken und den gewünschten Befehl auswählen.

Mehrere Dienste verwenden

Manche E-Mail-Dienste und Internet-Dienstanbieter verwenden mehrere Mail-Server, die der Reihe nach abgefragt werden, für einen DNS-Namen. PGP Desktop kann dann mehrere Messaging-Services für ein einzelnes E-Mail-Konto erstellen, da jeder Mail-Server getrennt betrachtet wird und somit seinen eigenen Messaging-Service erfordert.

PGP Desktop wird mit Platzhalterunterstützung für gängige E-Mail-Dienste ausgeliefert, wie z. B. „*.yahoo.com" und „*.mac.com". Falls Sie jedoch einen weniger geläufigen E-Mail-Service verwenden oder sich die Mail-Server-Konfigurationen der Services ändern, kann dieses Problem auftreten.

Wenn PGP Desktop mehrere Services für ein einzelnes E-Mail-Konto erstellt und Sie beim Überprüfen der Einstellungen feststellen, dass sich lediglich die Mail-Server unterscheiden mail1.example.com für den ersten Service, mail2.example.com für den zweiten Service und mail3.example.com für den dritten Service etc.), müssen Sie einen der Services manuell bearbeiten.

Die beste Lösung besteht darin, einen der Services manuell so zu bearbeiten, dass dessen Mail-Server-Eintrag mehrere Mail-Server, die der Reihe nach abgefragt werden, unterstützen kann. Im obigen Beispiel könnten Sie den Server-Namen für einen der Services im Dialogfeld „Servereinstellungen“ für einen der Services auf mail*.example.com ändern und dann die anderen Services löschen.

Manche Konfigurationen können komplizierter sein und eine geringfügig andere Lösung erfordern. Falls PGP Desktop beispielsweise Services mit folgenden Mail-Servern erstellen sollte pop.frodo.beispiel.com, smtp.bilbo.beispiel.com und mail.beispiel.com, wäre die beste Platzhalterlösung *.beispiel.com.

115


Probleme mit den PGP Messaging-Diensten beheben

Standardmäßig ermittelt PGP Desktop automatisch die E-Mail-Kontoeinstellungen und erstellt einen PGP Messaging-Dienst, der als Proxy-Server für den Nachrichtenverkehr dieses Kontos fungiert.

Aufgrund der großen Anzahl der möglichen E-Mail-Kontoeinstellungen und Mail-Server-Konfigurationen funktioniert manchmal ein von PGP Desktop automatisch eingerichteter Messaging-Dienst nicht richtig.

Falls PGP Desktop einen Messaging-Dienst erstellt hat, der nicht Ihren Wünschen entspricht, können Sie das Problem möglicherweise anhand der folgenden Lösungsvorschläge beheben:

Überprüfen Sie, ob eine Internetverbindung besteht und mit angehaltenem PGP Messaging E-Mail-Nachrichten gesendet und empfangen werden können. Führen Sie dazu folgende Schritte aus:

Klicken Sie auf Windows-Systemen mit der rechten Maustaste auf das PGP Tray-Symbol in der Taskleiste und wählen Sie PGP-Dienste

anhalten aus der Befehlsliste.

Auf Mac OS X-Systemen halten Sie die Option-Taste gedrückt und wählen Beenden aus dem PGP Desktop-Symbol in der Menüleiste.

Hinweis: Nachdem Sie die PGP-Dienste angehalten oder gestartet haben, sollten Sie die E-Mail-Anwendung schließen und erneut ausführen.

Lesen Sie die Versionshinweise für die von Ihnen verwendete Version von PGP Desktop, und überprüfen Sie, ob es sich um ein bekanntes Problem handelt.

Stellen Sie sicher, dass die SMTP-Authentifizierung für das E-Mail-Konto (in Ihrer E-Mail-Anwendung) aktiviert ist. Das wird empfohlen, damit PGP Desktop Ihren E-Mail-Verkehr über einen Proxy-Dienst abwickeln kann. Wenn Sie nur ein E-Mail-Konto haben und Sie PGP Desktop in einer zentral verwalteten PGP Universal--Umgebung verwenden, wird SMTP-Authentifizierung nicht benötigt. Sie wird jedoch benötigt, wenn Sie einen PGP Universal Server als SMTP-Server verwenden oder Sie mehrere E-Mail-Konten auf dem gleichen SMTP-Server haben.

Überprüfen Sie das Messaging-Protokoll auf Einträge mit Hinweisen zur Art des Problems.

Wenn SSL/TLS in Ihrer E-Mail-Anwendung aktiviert ist, müssen Sie es deaktivieren, wenn PGP Desktop Ihren E-Mail-Verkehr über einen Proxy-Dienst abwickeln soll. (Ihre Verbindung zu und von Ihrem Mail-Server bleibt damit nicht ungeschützt; PGP Desktop versucht standardgemäß automatisch, eine nicht geschützte Verbindung auf SSL/TLS-Schutz zu aktualisieren. Der Mail-Server muss SSL/TLS unterstützen, damit die Verbindung geschützt werden kann.)

116


Wenn entweder STARTTLS erfordern oder SSL erfordern (in den SSL/TLS-Einstellungen des Dialogfelds „Einstellungen“) gewählt ist, muss Ihr Mail-Server SSL/TLS oder PGP Desktop unterstützen. Anderenfalls werden keine Nachrichten gesendet oder empfangen.

Wenn Ihr E-Mail-Konto keine Standard-Portnummern verwendet, stellen Sie sicher, dass diese Ports in den Einstellungen Ihres Messaging-Dienstes enthalten sind.

Falls PGP Desktop mehrere Messaging-Services für ein E-Mail-Konto erstellt, verwenden Sie einen Platzhalter für Ihren Mail-Server-Namen. Nähere Informationen finden Sie unter Mehrere Dienste (auf Seite 114).

Löschen Sie den PGP Messaging-Dienst, der nicht richtig funktioniert, und senden und empfangen Sie E-Mail-Nachrichten. PGP Desktop erzeugt den Messaging-Service neu.

Falls keine dieser Maßnahmen das Problem behebt, versuchen Sie Folgendes:

1 Löschen Sie den PGP Messaging-Dienst, der nicht richtig funktioniert.

2 Halten Sie alle PGP Desktop-Dienste an und beenden Sie PGP Desktop, falls es geöffnet war. So halten Sie die Dienste an:

Klicken Sie auf Windows-Systemen mit der rechten Maustaste auf das PGP Desktop-Symbol in der Taskleiste und wählen Sie PGP-

Dienste anhalten aus der Befehlsliste.

Auf Mac OS X-Systemen halten Sie die Option-Taste gedrückt und wählen Beenden aus dem PGP Desktop-Symbol in der Menüleiste.

3 Überprüfen Sie, ob eine Internetverbindung besteht und mit angehaltenen PGP-Diensten E-Mail-Nachrichten gesendet und empfangen werden können.

4 Öffnen Sie Ihren E-Mail-Client, und notieren Sie die Einstellungen des E-Mail-Kontos (einschließlich Anwendername, E-Mail-Adresse, Posteingangs- und Postausgangsserver, Protokoll des Posteingangsservers sowie alle nicht-standardmäßigen Mail-Server-Ports).

5 Schließen Sie Ihren E-Mail-Client und starten Sie PGP Desktop neu. Damit werden die PGP-Dienste neu gestartet:

Auf Windows-Systemen starten Sie entweder Ihren Computer neu oder öffnen PGP Desktop im Windows Startmenü.

Auf Mac OS X-Systemen starten Sie entweder Ihren Computer neu oder öffnen PGP Desktop.

6 Erstellen Sie anhand der zuvor notierten Kontoeinstellungen manuell einen PGP Messaging-Dienst.

7 Öffnen Sie Ihre E-Mail-Anwendung, und senden und empfangen Sie E-Mail-Nachrichten.

8 Falls weiterhin Probleme mit einem PGP Messaging-Dienst auftreten, stehen folgende Informationsquellen zur Verfügung:

Website von PGP Corporation (http://www.pgp.com)

117


Website von PGP Support (http://www.pgp.com/support)

PGP Support-Foren (http://forums.pgpsupport.com)

Eine neue Sicherheitsrichtlinie erstellen

Sicherheitsrichtlinien steuern die Art und Weise, wie PGP Desktop abgehende E-Mail-Nachrichten handhabt.

Hinweis: Wenn Sie eine neue Sicherheitsrichtlinie erstellen, wird eine Messaging-Sicherheitsrichtlinie und keine Mailing-Listen-Richtlinie erstellt. Sie können keine neuen Mailing-Listen-Richtlinien erstellen, jedoch die Mailing-Listen-Standardrichtlinien bearbeiten.

So erstellen Sie eine neue Sicherheitsrichtlinie

1 Klicken Sie im Bedienfeld „PGP Messaging“ auf den Namen des Dienstes, für den Sie eine neue Sicherheitsrichtlinie erstellen wollen. Die Einstellungen für den Dienst, einschließlich der Liste der vorhandenen Sicherheitsrichtlinien, werden im Arbeitsbereich PGP Messaging angezeigt.


Klicken Sie auf Neue Richtlinie im Bedienfeld „PGP Messaging“.

Wählen Sie Messaging > Neue Messaging-Richtline. Das Dialogfeld „Messaging-Richtlinie“ wird geöffnet.

Wenn Ihre E-Mail-Domain durch einen PGP Universal Server geschützt ist, werden für die Richtlinieneinstellungen des Servers möglicherweise andere Felder als die folgenden angezeigt.

118


3 Geben Sie in das Feld Beschreibung einen aussagekräftigen Namen für die neue Richtlinie, die Sie erstellen, ein.

4 Wählen Sie im ersten Abschnitt (wo die Richtlinienbedingungen angegeben werden) im Feld Falls:

Falls irgendeine. Die Richtlinie wird angewendet, wenn eine der Bedingungen erfüllt ist.

Falls alle. Die Richtlinie wird nur angewendet, wenn alle Bedingungen erfüllt sind.

Falls keine. Die Richtlinie wird nur angewendet, wenn keine Bedingung erfüllt wird.

5 Wählen Sie im ersten Bedingungsfeld Folgendes aus:

Empfänger. Die Richtlinie wird nur auf Nachrichten zum angegebenen Empfänger angewendet.

Empfänger-Domain. Die Richtlinie wird nur auf E-Mail-Nachrichten in der angegebenen Empfänger-Domain angewendet.

Absender. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Absenderadresse angewendet.

Nachricht. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Signierungs- und/oder Verschlüsselungsstatus angewendet.

Nachrichtenbetreff. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Nachrichtenbetreff angewendet.

Nachrichtenkopf. Die Richtlinie wird nur auf Nachrichten angewendet, bei denen die angegebene Kopfzeile die festgelegten Kriterien erfüllt. Beachten Sie, dass die im nächsten Abschnitt beschriebenen Bedingungen (ist, ist nicht, enthält usw.) für den Text gelten, den Sie in das Feld eingeben, das bei Auswahl von Nachrichtenkopf angezeigt wird.

Hinweis: Bei der Suche nach Nachrichtenköpfen in MAPI-E-Mail-Systemen können Sie nur nach den Kopfzeilen für Betreff, Vertraulichkeit, Priorität und Wichtigkeit suchen.

Nachrichtentext. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Nachrichtentext angewendet.

Nachrichtengröße. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Größe (in Byte) angewendet.

Nachrichtenpriorität. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Nachrichtenpriorität angewendet.

Nachrichtenvertraulichkeit. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Nachrichtenvertraulichkeit angewendet.

6 Wählen Sie im zweiten Bedingungsfeld Folgendes aus:

119


ist. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld übereinstimmt.

ist nicht. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld nicht mit dem Text im Eingabefeld übereinstimmt.

enthält. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld den Text im Eingabefeld enthält.

enthält nicht. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld den Text im Eingabefeld nicht enthält.

beginnt mit. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld beginnt.

endet mit. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld endet.

Übereinstimmung mit Muster. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Textmuster im Eingabefeld übereinstimmt.

ist größer als: Die Bedingung ist erfüllt, wenn die Nachrichtengröße größer ist als der im Eingabefeld eingegebene Text.

ist kleiner als: Die Bedingung ist erfüllt, wenn die Nachrichtengröße kleiner ist als der im Eingabefeld eingegebene Text.

7 Wählen Sie im dritten Bedingungsfeld Folgendes aus:

Texteingabefeld. Geben Sie den Text für die Übereinstimmungskriterien ein. Wenn Sie zum Beispiel Nachrichtengröße ist größer als ausgewählt haben, geben Sie eine Zahl ein, die der Größe der Nachricht entspricht.

normal. Das Übereinstimmungskriterium für die Nachrichtenvertraulichkeit ist normal.

keine oder normal. Die Übereinstimmungskriterien für Nachrichtenvertraulichkeit sind keine (für Mac OS X-Systeme) oder normal (für Windows-Systeme).

persönlich. Das Übereinstimmungskriterium für die Nachrichtenvertraulichkeit ist persönlich.

privat. Das Übereinstimmungskriterium für die Nachrichtenvertraulichkeit ist privat.

vertraulich. Das Übereinstimmungskriterium für die Nachrichtenvertraulichkeit ist vertraulich.

signiert. Das Übereinstimmungskriterium für die Nachrichten ist signiert.

verschlüsselt. Das Übereinstimmungskriterium für die Nachrichten ist verschlüsselt.

120


verschlüsselt mit Schlüssel-ID. Das Übereinstimmungskriterium für verschlüsselt mit Schlüssel-ID (Sie müssen eine Schlüssel-ID in das resultierende Eingabefeld eingeben).

niedrig. Das Übereinstimmungskriterium für die Nachrichtenpriorität ist niedrig.

normal. Das Übereinstimmungskriterium für die Nachrichtenpriorität ist normal.

hoch. Das Übereinstimmungskriterium für die Nachrichtenpriorität ist hoch.

Erstellen Sie weitere Bedingungszeilen, indem Sie auf das Plus-Zeichen klicken.

8 Wählen Sie im Abschnitt Die folgenden Aktionen an der Nachricht

ausführen im ersten Aktionsfeld Folgendes aus:

Klartext senden. Gibt an, dass die Nachricht als Klartext gesendet werden soll, d. h. die Nachricht wird weder verschlüsselt noch signiert.

Signieren. Gibt an, dass die Nachricht signiert werden soll.

Verschlüsseln zu. Gibt an, dass die Nachricht verschlüsselt werden soll.

9 Wählen Sie im zweiten Aktionsfeld Folgendes aus:

Verifizierter Schlüssel des Empfängers. Gewährleistet, dass die Nachricht nur zu einem verifizierten Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

Nicht verifizierter Schlüssel des Empfängers. Ermöglicht, dass die Nachricht zu einem unverifizierten Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

verifizierter durchgehender Schlüssel des Empfängers. Gewährleistet, dass die Nachricht nur zu einem verifizierten durchgehenden Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann. Ein durchgehender Schlüssel ist im alleinigen Besitz des jeweiligen Empfängers. In einer von PGP Universal verwalteten Umgebung ist dies ein CKM-Schlüssel (Client Key Mode). Im Gegensatz dazu ist ein SKM-Schlüssel (Server Key Mode) im Besitz des PGP Universal-Servers.

Ob der Schlüssel durchgehend ist oder nicht wird im Feld Gruppe im Dialogfeld „Schlüsseleigenschaften“ auf Windows-Systemen oder dem Dialogfeld „Schlüssel-Info“ auf Mac OS X-Systemen angezeigt. Nein bedeutet, dass der Schlüssel durchgehend (nicht Teil einer Gruppe) ist und Ja bedeutet, dass er es nicht ist.)

nicht verifizierter durchgehender Schlüssel des Empfängers. Ermöglicht, dass die Nachricht zu einem unverifizierten durchgehenden Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

121


eine Liste von Schlüsseln. Gibt an, dass die Nachricht nur zu einem Schlüssel in der Liste verschlüsselt werden kann.

Erstellen Sie weitere Aktionszeilen, indem Sie auf das Plus-Zeichen klicken.

10 Wählen Sie im Feld für das bevorzugte Nachrichtenverschlüsselungsformat Folgendes aus:

automatisch. Das Format für die Nachrichtenverschlüsselung wird von PGP Desktop ausgewählt. Dies ist die empfohlene Einstellung. Wählen Sie nur dann eine andere Option, wenn Sie genau wissen, warum Sie das betreffende Nachrichtenverschlüsselungsformat benötigen.

PGP partitioniert. Legt PGP-Partitioniert als bevorzugtes Nachrichtenverschlüsselungsformat fest. Dies ist das abwärtskompatibelste Format mit älteren PGP- und OpenPGP-Produkten.

PGP/MIME. Legt PGP/MIME als bevorzugtes Nachrichtenverschlüsselungsformat fest. PGP/MIME verschlüsselt und signiert die gesamte Nachricht, einschließlich der Anhänge, in einem Durchgang.

S/MIME. Legt S/MIME als bevorzugtes Nachrichtenverschlüsselungsformat fest. Wählen Sie S/MIME aus, wenn Sie dieses Format verwenden müssen, obwohl der Anwender über einen PGP-Schlüssel verfügt.

11 Wählen Sie im Abschnitt Falls der Schlüssel eines Empfängers nicht

verfügbar ist (oder im Abschnitt Falls der Schlüssel eines Empfängers

nicht auffindbar ist auf Mac OS X-Systemen) im Feld Schlüssel nicht

gefunden:

Keys.domain suchen und. Die Suche wird in keys.domain und auf dem von Ihnen angegebenen Server durchgeführt.

Suchen. Wenn kein Schlüssel auf dem lokalen Schlüsselbund gefunden wird, wird ein Suchlauf nach dem entsprechenden Schlüssel eingeleitet.

Nachricht als Klartext signieren. Gibt an, dass die Nachricht als Klartext, jedoch signiert gesendet werden soll.

Nachricht ungeschützt senden. Gibt an, dass die Nachricht als Klartext gesendet werden soll.

Nachricht blockieren. Gibt an, dass die Nachricht nicht gesendet werden darf, wenn kein entsprechender Schlüssel gefunden wird.

12 Wählen Sie im zweiten Feld Kein Schlüssel gefunden Folgendes aus:

Alle Keyserver. Gibt an, dass alle Keyserver, einschließlich des PGP Global Directory, nach dem entsprechenden Schlüssel durchsucht werden sollen.

PGP Global Directory oder keyserver.pgp.com. Gibt an, dass nur das PGP Global Directory abgesucht wird.

122


[konfigurierte Keyserver]. Gibt an, dass nur der Keyserver durchsucht wird, den Sie in der Liste der gegenwärtig konfigurierten Keyserver auswählen. Beachten Sie, dass andere Keyserver als das PGP Global Directory evtl. unverifizierte Schlüssel bereitstellen. Diese können nicht verwendet werden, wenn Sie in der Richtlinie verifizierte Schlüssel vorgegeben haben. Sofern Sie nicht genau wissen, warum ein bestimmter anderer Keyserver durchsucht werden soll, und Sie darauf vorbereitet sind, diese Schlüssel bei Bedarf zum Verifizieren manuell aufzufinden, sollten Sie nur das PGP Global Directory durchsuchen lassen. Diese Option ist nur auf Windows-Systemen verfügbar.

Keyserver-Liste bearbeiten. Ermöglicht das Hinzufügen von Keyservern zur Liste der gegenwärtig konfigurierten Keyserver. Diese Option ist nur auf Windows-Systemen verfügbar.

13 Wählen Sie im letzten Feld Kein Schlüssel gefunden Folgendes aus:

gefundene Schlüssel temporär zwischenspeichern. Gibt an, dass ein gefundener Schlüssel temporär zwischengespeichert werden soll. Die Schlüssel in diesem Zwischenspeicher werden automatisch zum Verifizieren signierter Nachrichten verwendet.

fragen, ob gefundene Schlüssel gespeichert werden sollen. Gibt an, dass PGP Desktop anfragen soll, ob Sie einen bestimmten gefundenen Schlüssel auf Ihrem lokalen Schlüsselbund speichern wollen.

gefundene Schlüssel speichern. Gibt an, dass gefundene Schlüssel automatisch auf Ihrem lokalen Schlüsselbund gespeichert werden sollen.

14 Wählen Sie im Feld Falls kein Ergebnis Folgendes aus:

Nachricht als Klartext signieren. Ermöglicht, dass Nachrichten, für die kein Verschlüsselungsschlüssel gefunden wird, signiert und als Klartext gesendet werden.

Nachricht ungeschützt senden. Die Nachricht wird nicht verschlüsselt.

Nachricht blockieren. Verhindert, dass Nachrichten gesendet werden, für die kein Verschlüsselungsschlüssel gefunden wurde.

15 Wenn Sie alle Richtlinieneinstellungen konfiguriert haben, klicken Sie auf OK. Die neue Richtlinie wird in der Liste der Sicherheitsrichtlinien angezeigt.

Platzhalterzeichen und reguläre Ausdrücke in Richtlinien

PGP Desktop erlaubt bei der Eingabe von Sicherheitsrichtlinien in Textfeldern die Verwendung von Platzhalterzeichen und regulären Ausdrücken.

Mithilfe von Platzhalterzeichen und regulären Ausdrücken erzielen Sie über eine einzige Textzeichenfolge Übereinstimmungen mit mehreren Textzeichenfolgen.

123


Hinweis: Zusätzlich zu den folgenden Beispielen unterstützt PGP Desktop außerdem weitergehende reguläre Ausdrücke, die sich an Standardformaten orientieren. Das Kriterium Suchmuster bedeutet eigentlich Übereinstimmung mit regulärem Ausdruck.

Zum Beispiel können Sie Folgendes verwenden:

*: entspricht jeder Anzahl von Zeichen, einschließlich Null. Zum Beispiel würde a*c ac, abc, abbc und almnopqrstuvc entsprechen. Der Asterisk wird als Platzhalter bezeichnet.

?: entspricht irgendeinem Einzelzeichen. Zum Beispiel würde a?c acc, abc und aYc aber nicht abbc entsprechen.

Zeichen: entspricht nur sich selbst, außer „*“ und „?“. Zum Beispiel entspricht abcd nur abcd.

\Zeichen: entspricht nur sich selbst, einschließlich „*“ und „?“. Verwenden Sie, zum Beispiel \*, wenn nur Übereinstimmung mit einem Asterisk erforderlich ist.

Informationen zu Sicherheitsrichtlinien und Beispiele

Wenn Sie einen Service erstellen, werden automatisch vier Sicherheitsrichtlinien erstellt. Dieser Abschnitt beschreibt die Funktion der vier Standard-Sicherheitsrichtlinien (Opportunistische Verschlüsselung und Verschlüsselung erzwingen: [PGP] Vertraulich, Mailing Listen-Beiträge und Mailing Listen-Administratoranfragen). Er beschreibt darüber hinaus zwei Beispielsituationen, für die Sie eine Sicherheitsrichtlinie erstellen könnten, und erläutert deren Konfiguration.

Hinweis: Wenn Sie Änderungen an den Standardrichtlinien vornehmen und die Standardeinstellungen wiederherstellen wollen, klicken Sie auf Zu Standard

zurückkehren (für Windows-Systeme) oder Zurückkehren (für Mac OS X-Systeme) im Dialogfeld 2Nachrichtenrichtlinie“.

Standardrichtlinie Opportunistische Verschlüsselung

Opportunistische Verschlüsselung ist eine der vier Standard-Sicherheitsrichtlinien, die PGP Desktop automatisch für einen Service erstellt. Die Einstellungen für Opportunistische Verschlüsselung sind:

Falls: eine

Bedingungen: Empfänger-Domain / ist / *

Aktionen: Signieren/Verschlüsseln zu/verifizierter Schlüssel des Empfängers

Nachrichtenverschlüsselung bevorzugen: automatisch

Kein Schlüssel gefunden: keys.domain suchen und/keyserver.pgp.com/gefundene Schlüssel temporär zwischenspeichern

124


Falls kein Ergebnis: Nachricht ungeschützt senden

Durch die opportunistische Verschlüsselung werden Nachrichten, für die ein verifizierter Schlüssel gefunden wird, signiert und verschlüsselt gesendet. Die Nachrichten, für die kein verifizierter Schlüssel gefunden wird, werden unverschlüsselt (in Klartext) gesendet. Auf diese Weise wird sichergestellt, dass alle Ihre Nachrichten gesendet werden, auch wenn einige unverschlüsselt gesendet werden.

Opportunistische Verschlüsselung muss als letzter Eintrag in der Liste der Sicherheitsrichtlinien aufgelistet sein, da die Bedingung auf alle gesendeten Nachrichten zutrifft. Falls diese Richtlinie über einer anderen Richtlinie in der Liste angeordnet wird, erreicht PGP Desktop diese andere Richtlinie nie, und sie ist daher nutzlos.

Verschlüsselung erzwingen: [PGP] Vertraulich

Standardrichtlinie Verschlüsselung erzwingen: [PGP] Vertraulich ist eine der vier Standard-Sicherheitsrichtlinien, die PGP Desktop automatisch für einen Dienst erstellt. Die Einstellungen für Erforderliche Verschlüsselung: [PGP] Vertraulich lauten:

Falls: eine

Bedingungen: Nachrichtenbetreff / enthält / [PGP] Nachrichtenvertraulichkeit / ist / vertraulich

Aktionen: Signieren/Verschlüsseln zu/verifizierter Schlüssel des Empfängers


Kein Schlüssel gefunden: keys.domain suchen und/Alle Keyserver/gefundene Schlüssel temporär zwischenspeichern

Falls kein Ergebnis: Nachricht blockieren

Standardrichtlinie Verschlüsselung erzwingen: [PGP] Vertraulich bewirkt, dass Nachrichten, die [PGP] in der Betreffzeile enthalten oder in Ihrem E-Mail-Client als Vertraulich markiert sind, zu einem verifizierten Schlüssel verschlüsselt werden müssen, um gesendet zu werden. Falls kein verifizierter Schlüssel gefunden werden kann, wird die Nachricht nicht gesendet.

Standardrichtlinie Mailing Listen-Beiträge

Mailing Listen-Beiträge ist eine der vier Standard-Sicherheitsrichtlinien, die PGP Desktop automatisch für einen Service erstellt. Die Einstellungen für Mailing Listen-Beiträge lauten:

Falls: Falls irgendeine

Bedingungen: Empfänger/Übereinstimmung mit Muster/ .*-users@.*, .*-bugs@.*, .*-docs@.*, .*-help@.*, .*-news@.*, .*-digest@.*, .*-list@.*, .*-devel@.*, .*-announce@.*,

Aktionen: Signieren

125


Verschlüsselung bevorzugen: PGP partitioniert

Standardrichtlinie Mailing Listen-Administratorabfragen

Mailing Listen-Administratorabfragen ist eine der vier Standard-Sicherheitsrichtlinien, die PGP Desktop automatisch für einen Service erstellt. Die Einstellungen für Mailing Listen-Administratorabfragen lauten:

Falls: Falls irgendeine

Bedingungen: Empfänger/Übereinstimmung mit Muster/ .*-subscribe@.*, .*-unsubscribe@.*, .*-report@.*, .*-request@.*, .*-bounce@.*,

Aktionen: Klartext senden

Beispiel für eine Richtlinie zur Erzwingung der Verschlüsselung zu <Domain>

Falls Sie Opportunistische Verschlüsselung mit den dazugehörigen Standardeinstellungen verwenden und diese Richtlinie am Ende der Liste anordnen, werden Nachrichten, für die kein verifizierter Schlüssel gefunden wird, im Klartext übermittelt. Auf diese Weise wird sichergestellt, dass alle Ihre Nachrichten gesendet werden. Es bedeutet aber auch, dass einige unverschlüsselt gesendet werden können.

Falls es bestimmte Domains gibt, für die das Senden als Klartext nicht in Frage kommt, können Sie eine Sicherheitsrichtlinie erstellen, die vorsieht, dass die Nachricht verschlüsselt und/oder signiert wird oder andernfalls nicht gesendet wird. Wenn Sie diese Richtlinie erstellen, achten Sie darauf, sie in der Liste über dem Eintrag Opportunistische Verschlüsselung einzureihen.

Falls: eine

Bedingungen: Empfänger-Domain / ist / beispiel.com

Aktionen: Verschlüsseln zu/verifizierter Schlüssel des Empfängers


Kein Schlüssel gefunden: keys.domain suchen und/Alle Keyserver/gefundene Schlüssel temporär zwischenspeichern

Falls kein Ergebnis: Nachricht blockieren

Diese Sicherheitsrichtlinie entspricht weitgehend der Richtlinie Verschlüsselung erzwingen: [PGP] Vertraulich, da sie vorsieht, dass eine Nachricht nur verschlüsselt gesendet werden kann. Das Auswahlkriterium ist aber nicht, ob die Nachricht als vertraulich markiert ist, sondern ob die E-Mail-Domain des Empfängers beispiel.com ist. Durch die Verwendung dieser Richtlinie wird sichergestellt, dass alle Nachrichten an beispiel.com mit einem verifizierten Schlüssel verschlüsselt sind oder andernfalls nicht gesendet werden.

126


Beispiel für eine Richtlinie zum Signieren und Senden in Klartext an eine bestimmte

Domain

Falls Sie regelmäßig E-Mail an eine Domain senden, für die Sie alle Nachrichten signieren, aber nicht verschlüsseln wollen, sollten Sie eine Richtlinie für die Domain erstellen.

Falls: eine

Bedingungen: Empfänger-Domain / ist / beispiel.com

Aktionen: Signieren


Mit der Sicherheitsrichtlinienliste arbeiten

Eine Reihe von wichtigen Aktionen können an den Sicherheitsrichtlinien in der Liste der Sicherheitsrichtlinien vorgenommen werden, zum Beispiel eine Richtlinie bearbeiten, eine neue Richtlinie hinzufügen (beschrieben in Neue Sicherheitsrichtlinie erstellen (auf Seite 117)), eine Richtlinie löschen und die Reihenfolge der Richtlinien in der Liste ändern.

Eine Sicherheitsrichtlinie bearbeiten

So bearbeiten Sie eine vorhandene Sicherheitsrichtlinie:

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP Messaging“. Das Bedienfeld „PGP Messaging“ wird optisch hervorgehoben.

2 Klicken Sie im PGP Messaging-Bedienfeld auf den Namen des Service, der die Sicherheitsrichtlinie enthält, die Sie bearbeiten wollen. Die Eigenschaften des ausgewählten Service erscheinen im PGP Messaging-Arbeitsbereich.

3 Klicken Sie auf Richtlinien bearbeiten.

4 Klicken Sie in der Liste der Sicherheitsrichtlinien auf die Richtlinie, die Sie bearbeiten wollen. Die angegebene Richtlinie wird hervorgehoben.

127


5 Klicken Sie auf Richtlinie bearbeiten. Das Dialogfeld „Nachrichtenrichtlinie“ erscheint und zeigt die aktuellen Einstellungen für die angegebene Richtlinie an.

Die Standardrichtlinien können angezeigt, geändert und deaktiviert, jedoch nicht gelöscht werden.

6 Führen Sie die gewünschten Änderungen an der Richtlinie durch. Nähere Informationen zu den Feldern im Dialogfeld „Nachrichtenrichtlinie“ finden Sie unter Neue Sicherheitsrichtlinie erstellen (auf Seite 117).

7 Nachdem die gewünschten Änderungen durchgeführt wurden, klicken Sie auf OK, um das Dialogfeld „Nachrichtenrichtlinie“ zu schließen. Die angegebene Sicherheitsrichtlinie wird geändert.

8 Klicken Sie auf Fertig.

Eine Mailing-Listen-Richtline bearbeiten

So bearbeiten Sie eine Mailing-Listen-Standardrichtlinie:

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP Messaging“. Das Bedienfeld „PGP Messaging“ wird optisch hervorgehoben.

2 Klicken Sie im PGP Messaging-Bedienfeld auf den Namen des Service, der die Sicherheitsrichtlinie enthält, die Sie bearbeiten wollen. Die Eigenschaften des ausgewählten Service erscheinen im PGP Messaging- Arbeitsbereich.

3 Klicken Sie auf die Schaltfläche Richtlinien bearbeiten.

128


4 Klicken Sie in der Liste der Sicherheitsrichtlinien auf die Mailing-Listen-Richtlinie, die Sie bearbeiten möchten. Die ausgewählte Richtlinie wird hervorgehoben.

5 Klicken Sie auf Richtlinie bearbeiten. Das Dialogfeld „Nachrichtenrichtlinie“ erscheint und zeigt die aktuellen Einstellungen für die angegebene Richtlinie an.

Die Standardrichtlinien können angezeigt, geändert und deaktiviert, jedoch nicht gelöscht werden.

6 Führen Sie die gewünschten Änderungen an der Richtlinie durch. Wählen Sie im ersten Feld Folgendes aus:

Falls irgendeine. Die Richtlinie wird angewendet, wenn eine der Bedingungen erfüllt ist.

Falls alle. Die Richtlinie wird nur angewendet, wenn alle Bedingungen erfüllt sind.

Falls keine. Die Richtlinie wird nur angewendet, wenn keine Bedingung erfüllt wird.

7 Wählen Sie im ersten Bedingungsfeld Folgendes aus:

Empfänger. Die Richtlinie wird nur auf Nachrichten zum angegebenen Empfänger angewendet.

Empfänger-Domain. Die Richtlinie wird nur auf E-Mail-Nachrichten in der angegebenen Empfänger-Domain angewendet.

Absender. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Absenderadresse angewendet.

129


Nachricht. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Signierungs- und/oder Verschlüsselungsstatus angewendet.

Nachrichtenbetreff. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Nachrichtenbetreff angewendet.

Nachrichtenkopf. Die Richtlinie wird nur auf Nachrichten angewendet, bei denen die angegebene Kopfzeile die festgelegten Kriterien erfüllt. Beachten Sie, dass die im nächsten Abschnitt beschriebenen Bedingungen (ist, ist nicht, enthält usw.) für den Text gelten, den Sie in das Feld eingeben, das bei Auswahl von Nachrichtenkopf angezeigt wird.

Hinweis: Die Suche nach Nachrichtenköpfen in Lotus Notes- und MAPI-E-Mail-Systemen ist nicht implementiert, da Nachrichten in diesen Systemen keinen Nachrichtenkopf besitzen.

Nachrichtentext. Die Richtlinie wird nur auf Nachrichten mit dem angegebenen Nachrichtentext angewendet.

Nachrichtengröße. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Größe (in Byte) angewendet.

Nachrichtenpriorität. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Nachrichtenpriorität angewendet.

Nachrichtenvertraulichkeit. Die Richtlinie wird nur auf Nachrichten mit der angegebenen Nachrichtenvertraulichkeit angewendet.

8 Wählen Sie im zweiten Bedingungsfeld Folgendes aus:

ist. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld übereinstimmt.

ist nicht. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld nicht mit dem Text im Eingabefeld übereinstimmt.

enthält. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld den Text im Eingabefeld enthält.

enthält nicht. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld den Text im Eingabefeld nicht enthält.

beginnt mit. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld beginnt.

endet mit. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Text im Eingabefeld endet.

Übereinstimmung mit Muster. Die Bedingung ist erfüllt, wenn der Text im ersten Bedingungsfeld mit dem Textmuster im Eingabefeld übereinstimmt.

9 Geben Sie im dritten Bedingungsfeld in das Eingabefeld den Text des Übereinstimmungskriteriums ein.

130


10 Wählen Sie im Abschnitt Die folgenden Aktionen an der Nachricht

ausführen im ersten Aktionsfeld Folgendes aus:

Klartext senden. Gibt an, dass die Nachricht als Klartext gesendet werden soll, d. h. die Nachricht wird weder verschlüsselt noch signiert.

Signieren. Gibt an, dass die Nachricht signiert werden soll.

Verschlüsseln zu. Gibt an, dass die Nachricht verschlüsselt werden soll.

11 Wählen Sie im zweiten Aktionsfeld Folgendes aus:

Verifizierter Schlüssel des Empfängers. Gewährleistet, dass die Nachricht nur zu einem verifizierten Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

Nicht verifizierter Schlüssel des Empfängers. Ermöglicht, dass die Nachricht zu einem unverifizierten Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

verifizierter durchgehender Schlüssel des Empfängers. Gewährleistet, dass die Nachricht nur zu einem verifizierten durchgehenden Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann. Ein durchgehender Schlüssel ist im alleinigen Besitz des jeweiligen Empfängers. In einer von PGP Universal verwalteten Umgebung ist dies ein CKM-Schlüssel (Client Key Mode). Im Gegensatz dazu ist ein SKM-Schlüssel (Server Key Mode) im Besitz des PGP Universal-Servers. Ob der Schlüssel durchgehend ist oder nicht wird im Feld Gruppe im Dialogfeld „Schlüsseleigenschaften“ auf Windows-Systemen oder dem Dialogfeld „Schlüssel-Info“ auf Mac OS X-Systemen angezeigt. Nein bedeutet, dass der Schlüssel durchgehend (nicht Teil einer Gruppe) ist und Ja bedeutet, dass er es nicht ist.)

nicht verifizierter durchgehender Schlüssel des Empfängers. Ermöglicht, dass die Nachricht zu einem unverifizierten durchgehenden Schlüssel des beabsichtigten Empfängers verschlüsselt werden kann.

eine Liste von Schlüsseln. Gibt an, dass die Nachricht nur zu einem Schlüssel in der Liste verschlüsselt werden kann.

12 Wählen Sie im Feld für das bevorzugte Nachrichtenverschlüsselungsformat Folgendes aus:

automatisch. Das Format für die Nachrichtenverschlüsselung wird von PGP Desktop ausgewählt. Dies ist die empfohlene Einstellung. Wählen Sie nur dann eine andere Option, wenn Sie genau wissen, warum Sie das betreffende Nachrichtenverschlüsselungsformat benötigen.

131


PGP Partitioniert. Legt PGP Partitioniert als bevorzugtes Nachrichtenverschlüsselungsformat fest. Dies ist das abwärtskompatibelste Format mit älteren PGP- und OpenPGP-Produkten.

PGP/MIME. Legt PGP/MIME als bevorzugtes Nachrichtenverschlüsselungsformat fest. PGP/MIME verschlüsselt und signiert die gesamte Nachricht, einschließlich der Anhänge, in einem Durchgang.

S/MIME. Legt S/MIME als bevorzugtes Nachrichtenverschlüsselungsformat fest. Wählen Sie S/MIME aus, wenn Sie dieses Format verwenden müssen, obwohl der Anwender über einen PGP-Schlüssel verfügt.

13 Wählen Sie im Abschnitt Falls der Schlüssel eines Empfängers nicht

verfügbar ist im ersten Feld Schlüssel nicht gefunden:

Keys.domain suchen und. Die Suche wird in keys.domain und auf dem von Ihnen angegebenen Server durchgeführt.

Suchen. Wenn kein Schlüssel auf dem lokalen Schlüsselbund gefunden wird, wird ein Suchlauf nach dem entsprechenden Schlüssel eingeleitet.

Nachricht als Klartext signieren. Gibt an, dass die Nachricht als Klartext, jedoch signiert gesendet werden soll.

Nachricht ungeschützt senden. Gibt an, dass die Nachricht als Klartext gesendet werden soll.

Nachricht blockieren. Gibt an, dass die Nachricht nicht gesendet werden darf, wenn kein entsprechender Schlüssel gefunden wird.

14 Wählen Sie im zweiten Feld Kein Schlüssel gefunden Folgendes aus:

Alle Keyserver. Gibt an, dass alle Keyserver, einschließlich des PGP Global Directory, nach dem entsprechenden Schlüssel durchsucht werden sollen.

PGP Global Directory oder keyserver.pgp.com. Gibt an, dass nur das PGP Global Directory abgesucht wird.

[konfigurierte Keyserver]. Gibt an, dass nur der Keyserver durchsucht wird, den Sie in der Liste der gegenwärtig konfigurierten Keyserver auswählen. Beachten Sie, dass andere Keyserver als das PGP Global Directory evtl. unverifizierte Schlüssel bereitstellen. Diese können nicht verwendet werden, wenn Sie in der Richtlinie verifizierte Schlüssel vorgegeben haben. Sofern Sie nicht genau wissen, warum ein bestimmter anderer Keyserver durchsucht werden soll, und Sie darauf vorbereitet sind, diese Schlüssel bei Bedarf zum Verifizieren manuell aufzufinden, sollten Sie nur das PGP Global Directory durchsuchen lassen. Diese Option ist nur auf Windows-Systemen verfügbar.

132


Keyserver-Liste bearbeiten. Ermöglicht das Hinzufügen von Keyservern zur Liste der gegenwärtig konfigurierten Keyserver. Diese Option ist nur auf Windows-Systemen verfügbar.

15 Wählen Sie im letzten Feld Kein Schlüssel gefunden Folgendes aus:

gefundene Schlüssel temporär zwischenspeichern. Gibt an, dass ein gefundener Schlüssel temporär zwischengespeichert werden soll. Die Schlüssel in diesem Zwischenspeicher werden automatisch zum Verifizieren signierter Nachrichten verwendet.

fragen, ob gefundene Schlüssel gespeichert werden sollen. Gibt an, dass PGP Desktop anfragen soll, ob Sie einen bestimmten gefundenen Schlüssel auf Ihrem lokalen Schlüsselbund speichern wollen.

gefundene Schlüssel speichern. Gibt an, dass gefundene Schlüssel automatisch auf Ihrem lokalen Schlüsselbund gespeichert werden sollen.

16 Wählen Sie im Feld Falls kein Ergebnis Folgendes aus:

Nachricht als Klartext signieren. Ermöglicht, dass Nachrichten, für die kein Verschlüsselungsschlüssel gefunden wird, signiert und als Klartext gesendet werden.

Nachricht ungeschützt senden. Die Nachricht wird nicht verschlüsselt.

Nachricht blockieren. Verhindert, dass Nachrichten gesendet werden, für die kein Verschlüsselungsschlüssel gefunden wurde.

17 Nachdem die gewünschten Änderungen durchgeführt wurden, klicken Sie auf OK, um das Dialogfeld „Nachrichtenrichtlinie“ zu schließen. Die angegebene Sicherheitsrichtlinie wird geändert.

Eine Sicherheitsrichtlinie löschen

So löschen Sie eine vorhandene Sicherheitsrichtlinie:

1 Klicken Sie im PGP Messaging-Bedienfeld auf den Namen des Service, der die Sicherheitsrichtlinie enthält, die Sie löschen wollen. Die Eigenschaften des ausgewählten Service erscheinen im PGP Messaging-Arbeitsbereich.


3 Klicken Sie in der Liste der Sicherheitsrichtlinien auf die Richtlinie, die Sie löschen wollen. Die angegebene Richtlinie wird hervorgehoben.

4 Klicken Sie auf Richtlinie entfernen. Ein PGP Desktop Bestätigungsdialogfeld erscheint.

5 Klicken Sie auf Richtlinie löschen, um die Richtlinie zu löschen, oder auf OK, um sie zu deaktivieren. Die ausgewählte Sicherheitsrichtlinie wird gelöscht oder deaktiviert.

133



Hinweis: Standardrichtlinien können deaktiviert, jedoch nicht gelöscht werden.

Reihenfolge der Richtlinien in der Liste ändern

So ändern Sie die Reihenfolge der Richtlinien in der

Sicherheitsrichtlinienliste:

1 Klicken Sie im PGP Messaging-Bedienfeld auf den Namen des Service mit der Sicherheitsrichtlinie, deren Reihenfolge Sie ändern wollen. Die Eigenschaften des ausgewählten Service erscheinen im PGP Messaging-Arbeitsbereich.


3 Klicken Sie in der Liste der Sicherheitsrichtlinien auf die Richtlinie, deren Reihenfolge in der Liste Sie ändern wollen. Die angegebene Richtlinie wird hervorgehoben.

4 Klicken Sie auf Nach oben oder Nach unten, bis die Richtlinie sich auf dem gewünschten Listenplatz befindet. Achten Sie darauf, dass Opportunistische Verschlüsselung an letzter Stelle in der Liste aufgeführt ist. Alle danach folgenden Richtlinien werden nicht implementiert.


PGP Desktop und SSL

Wenn Sie PGP Desktop verwenden, versucht das Programm, Ihre Dateien wenn möglich automatisch zu sichern. Dazu gehört der Schutz Ihrer Daten bei der Übertragung zwischen dem E-Mail-Client und dem Mailserver.

Tipp: SSL steht für Secure Sockets Layer; es handelt sich hierbei um ein kryptografisches Protokoll, das Kommunikationen zwischen zwei Geräten sichert, in diesem Fall zwischen dem E-Mail-Client oder PGP Desktop und dem Mailserver.

PGP Desktop sichert Ihre Daten auf dem Übertragungsweg zum und vom Mailserver auf verschiedene Weise: Die folgenden Informationen gelten nur, wenn Sie Automatisch (Standardeinstellung) für die SSL/TLS-Einstellung im Dialogfeld „Servereinstellungen“ gewählt haben:

Wenn die Verbindung nicht durch SSL geschützt ist. Wenn die Verbindung zwischen E-Mail-Client und Mailserver nicht durch SSL geschützt ist, versucht PGP Desktop automatisch, für diese Verbindung SSL zu verwenden (es kommuniziert mit dem Mailserver und verwendet SSL, wenn dies vom Mailserver unterstützt wird).

134


Wenn der Mailserver SSL nicht unterstützt, werden die Nachrichten, die PGP Desktop während der Sitzung sendet und empfängt, über eine ungeschützte Verbindung übertragen. Egal ob die E-Mail-Nachrichten selbst von PGP Desktop verschlüsselt/entschlüsselt werden, versucht PGP Desktop eine SSL-Verbindung aufzubauen. PGP Desktop kann verschlüsselte Nachrichten über SSL-geschützte oder ungeschützte Verbindungen versenden.

Hinweis: PGP Desktop versucht immer, bei einer ungeschützten Verbindung zum Mailserver das SSL-Protokoll zu aktivieren, da eine SSL-geschützte Verbindung nicht nur alle nicht mit PGP verschlüsselten Nachrichten zwischen Mailserver und Mail-Client sichert, sondern auch das Authentifizierungspasswort des Mailservers schützt, wenn es zum Mailserver gesendet wird.

Wenn die Verbindung durch SSL geschützt ist. Wenn im E-Mail-Client der SSL-Schutz für die Verbindung zum Server aktiviert wurde, müssen Sie ihn deaktivieren, wenn PGP Desktop die Nachrichten verschlüsseln oder entschlüsseln soll. PGP Desktop kann Ihre Nachrichten nicht verarbeiten, wenn sie bereits SSL-verschlüsselt sind.

Wenn der SSL-Schutz im E-Mail-Client deaktiviert wurde, bedeutet dies nicht, dass Nachrichten, die nicht mit PGP verschlüsselt wurden, nun bei der Übertragung vom und zum Mail-Server ungeschützt sind. Wie bei jeder Verbindung, die nicht SSL-geschützt ist, versucht PGP Desktop automatisch, für diese Verbindung SSL zu verwenden, wenn der Mail-Server das unterstützt (wenn Sie Automatisch für die SSL/TLS-Einstellung im Dialogfeld „Servereinstellungen“ ausgewählt haben). Wenn der Mailserver keine SSL-Verbindungen unterstützt, sendet PGP Desktop die Nachrichten während der Sitzung über eine ungeschützte Verbindung.

Ihre Nachrichten werden nur dann als Klartext an Ihren Mail-Server geschickt, wenn die Nachrichten nicht PGP-verschlüsselt sind, und die Verbindung zum Mail-Server nicht auf SSL-geschützt höher gestuft werden kann oder wenn Sie die Option Nicht versuchen in der SSL/TLS-Einstellung gewählt haben.

Wenn Sie Nachrichten nicht als Klartext senden dürfen. Manche Sicherheitsrichtlinien erfordern, dass nur geschützte Nachrichten gesendet werden können; d. h., ungeschützte Nachrichten dürfen niemals gesendet werden. Bei Bedarf kann PGP Desktop gemäß solchen Sicherheitsrichtlinien konfiguriert werden.

Wählen Sie den anwendbaren PGP Messaging-Service, greifen Sie auf das Dialogfeld „Servereinstellungen“ zu (klicken Sie auf den Namen des Servers, der gegenwärtig im Server-Feld der Kontoeigenschaften für den Service gewählt ist) und wählen Sie eine andere Option aus der SSL/TLS-Liste als Automatisch.

135


Wenn diese Option aktiviert ist, wird das Senden und Empfangen von Nachrichten zwischen dem Mailserver und PGP Desktop nur über eine SSL-geschützte Verbindung abgewickelt. Falls keine SSL-geschützte Verbindung eingerichtet werden kann, kommuniziert PGP Desktop nicht mit dem Server.

Hinweis: Diese Option darf nur aktiviert werden, wenn Sie sicher sind, dass Ihr Mailserver das SSL-Protokoll unterstützt. Auf diese Weise wird sichergestellt, dass PGP Desktop keine Nachrichten über ungeschützte Verbindungen sendet oder empfängt, falls beispielsweise ein Problem bei der Aushandlung des SSL-Protokolls für die Verbindung auftritt. Falls Sie diese Option aktivieren und der Mail-Server SSL nicht unterstützt, sendet oder empfängt PGP Desktop keine Nachrichten.

Wenn SSL im E-Mail-Client aktiviert sein soll. Um PGP Desktop mit aktiviertem SSL in Ihrem E-Mail-Client verwenden zu können, müssen Sie die Option für Warnen, wenn E-Mail-Client versucht, SSL/TLS für ein- und ausgehende Mail-Server zu verwenden, oder beide deselektieren. Wenn diese Option für einen Mailserver deaktiviert ist, ignoriert PGP Desktop den ein- und ausgehenden Mailverkehr über diese Verbindung, wenn sie durch SSL geschützt ist.

PGP Desktop überwacht die Verbindungen zum und vom Server und ignoriert den Verkehr, der über SSL-geschützte Verbindungen gesendet oder empfangen wird. Falls PGP Desktop jedoch eine Verbindung feststellt, die nicht durch SSL geschützt ist, wird der Verkehr wie alle anderen ungeschützten Verbindungen gehandhabt. Es wird versucht, die Verbindung auf das SSL-Protokoll aufzurüsten (falls im Modus Automatisch), und entsprechende Richtlinien für die Nachrichten werden angewendet.

Schlüsselmodi

Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, arbeitet das Programm in einem Schlüsselmodus.

Hinweis: Die Informationen in diesem Abschnitt gelten nur für Benutzer von PGP Desktop in einer E-Mail-Domain, die durch einen PGP Universal Server geschützt ist.

Folgende Schlüsselmodi sind verfügbar:

Server-Schlüsselmodus (SKM): Schlüssel werden auf dem PGP Universal Server erzeugt und von diesem verwaltet: sie werden nur bei Bedarf mit dem Computer, auf dem PGP Desktop ausgeführt wird, geteilt. Ihr privater Schlüssel wird nur auf dem PGP Universal Server gespeichert, der auch die gesamte diesbezügliche Verwaltung übernimmt. Da der PGP Universal-Administrator vollständigen Zugriff auf Ihren privaten Schlüssel hat, kann er auf alle Nachrichten zugreifen, die Sie verschlüsseln. Dieser Schlüsselmodus ist mit Smartcards nicht kompatibel.

136


Achtung: PGP Corporation empfiehlt PGP Desktop-Anwendern, SKM nicht zu verwenden, da es hier keine Kontrolle über den privaten Schlüssel gibt. Diese Kontrolle ist jedoch für die meisten anderen Funktionen von PGP Desktop erforderlich.

Client-Schlüsselmodus (CKM): Schlüssel werden auf dem Computer, auf dem PGP Desktop ausgeführt wird, erzeugt und von diesem verwaltet; private Schlüssel werden nicht mit dem PGP Universal Server geteilt. Auch alle kryptografischen Operationen (Verschlüsseln, Entschlüsseln, Signieren, Überprüfen) werden auf dem Computer durchgeführt, auf dem Sie PGP Desktop ausführen. Dieser Schlüsselmodus ist mit Smartcards kompatibel.

Geschützter Schlüsselmodus (GKM): Wie CKM, jedoch mit dem Unterschied, dass eine verschlüsselte Kopie des privaten Schlüssels auf dem PGP Universal Server aufbewahrt wird. Sie können auf diese Kopie zugreifen, wenn Sie den Computer wechseln. Da der Schlüssel verschlüsselt ist, hat niemand außer Ihnen selbst Zugriff darauf, auch nicht der PGP Universal-Administrator. Dieser Schlüsselmodus ist mit Smartcards kompatibel, solange der Schlüssel nicht direkt auf der Smartcard erzeugt wird, d. h. solange der Schlüssel auf die Smartcard kopiert wird.

Server/Client-Schlüsselmodus (SCKM): Auch wie CKM, außer dass eine Kopie des privaten Verschlüsselungsschlüssels auf dem PGP Universal Server gespeichert wird; private Signaturschlüssel verlassen nie den Computer, auf dem PGP Desktop ausgeführt wird. Dieser Schlüsselmodus dient der Einhaltung von Gesetzen und Unternehmensrichtlinien, die verlangen, dass sich der private Signaturschlüssel immer unter der Kontrolle des Anwenders befindet, während der private Verschlüsselungsschlüssel in Notfällen zugänglich ist. Dieser Schlüsselmodus ist mit Smartcards kompatibel, solange der Schlüssel nicht direkt auf der Smartcard erzeugt wird. SCKM erfordert einen Schlüssel mit einem separaten Signatur-Unterschlüssel, der mit PGP Desktop 9.5 oder höher für neue Schlüssel generiert oder zu älteren Schlüsseln hinzugefügt werden kann.

Ob Sie Ihren Schlüsselmodus frei wählen können, hängt davon ab, wie der PGP-Administrator Ihre Kopie von PGP Desktop konfiguriert hat. Von der Konfiguration hängt auch ab, ob Sie den Schlüsselmodus ändern können.

Wenden Sie sich an Ihren PGP-Administrator, wenn Sie weitere Fragen zu Ihrem Schlüsselmodus haben.

Den Schlüsselmodus festlegen

Bedenken Sie stets, dass nur PGP Desktop-Benutzer in einer durch PGP Universal geschützten Umgebung einen Schlüsselmodus haben; eigenständige PGP Desktop-Benutzer haben keinen Schlüsselmodus.

137


So ermitteln Sie Ihren Schlüsselmodus:

1 Öffnen Sie PGP Desktop, und wählen Sie den PGP Messaging-Dienst, dessen Schlüsselmodus Sie festlegen möchten. Die Kontoeigenschaften und Sicherheitsrichtlinien für den ausgewählten Dienst werden angezeigt.

Im Feld Universal-Server ist der Schlüsselmodus für den ausgewählten Service in runden Klammern hinter dem Namen des PGP Universal-Servers angegeben (zum Beispiel keys.example.com

(GKM)). Der Schlüsselmodus für den ausgewählten Dienst ist GKM, und der zugehörige PGP Universal Server ist keys.beispiel.com.

Den Schlüsselmodus ändern

Ob Sie Ihren Schlüsselmodus ändern können, hängt davon ab, wie der PGP-Administrator Ihre Kopie von PGP Desktop konfiguriert hat.

So ändern Sie den Schlüsselmodus:

1 Öffnen Sie PGP Desktop, und wählen Sie den PGP Messaging-Dienst, dessen Schlüsselmodus Sie ändern möchten. Die Kontoeigenschaften und Sicherheitsrichtlinien für den ausgewählten Dienst werden angezeigt.

2 Klicken Sie auf Schlüsselmodus. Der Bildschirm PGP Universal-Schlüsselmodus wird geöffnet und zeigt Ihren aktuellen Schlüsselverwaltungsmodus an.

3 Klicken Sie auf Schlüssel zurücksetzen und dann auf Ja in der angezeigten Bestätigungsmeldung. Der PGP Schlüsseleinrichtungs-Assistent wird geöffnet.

4 Lesen Sie den angezeigten Text, und klicken Sie auf Weiter. Der Bildschirm Schlüsselverwaltungsauswahl wird angezeigt.

5 Wählen Sie den gewünschten Schlüsselmodus. Welche Schlüsselmodi verfügbar sind, hängt davon ab, wie der PGP Universal-Administrator Ihre Kopie von PGP Desktop konfiguriert hat.

6 Klicken Sie auf Weiter. Der Bildschirm Auswahl der Schlüsselquelle wird angezeigt.

7 Wählen Sie eine der folgenden Möglichkeiten:

138


Neuer Schlüssel. Sie werden aufgefordert, einen neuen PGP-Schlüssel zu erstellen, der zum Schutz Ihres Nachrichtenverkehrs verwendet wird.

PGP Desktop-Schlüssel. Sie werden aufgefordert, einen vorhandenen PGP-Schlüssel anzugeben, der zum Schutz Ihres Nachrichtenverkehrs verwendet wird.

Schlüssel importieren. Sie werden aufgefordert, einen PGP-Schlüssel zu importieren, der zum Schutz Ihres Nachrichtenverkehrs verwendet wird.

8 Klicken Sie nach Auswahl der gewünschten Option auf Weiter.

9 Wenn Sie Neuer Schlüssel ausgewählt haben, führen Sie folgende Schritte aus:

Geben Sie ein Passwort für den Schlüssel ein, und klicken Sie auf Weiter.

Wenn die Erstellung des Schlüssels abgeschlossen ist, klicken Sie auf Weiter.

Klicken Sie auf Fertig.

10 Wenn Sie PGP Desktop-Schlüssel ausgewählt haben, führen Sie folgende Schritte aus:

Wählen Sie den gewünschten Schlüssel auf dem lokalen Schlüsselbund aus, und klicken Sie auf Weiter.


11 Wenn Sie Schlüssel importieren ausgewählt haben, führen Sie folgende Schritte aus:

Navigieren Sie zu der Datei, die den gewünschten Schlüssel enthält. (Die Datei muss einen privaten Schlüssel enthalten.) Klicken Sie dann auf Weiter.


Tipp: Der Schlüsselmodus kann auch im Dialogfeld „PGP-Optionen“ geändert werden. Wählen Sie Extras > PGP-Optionen und wählen Sie dann die Registerkarte „Erweitert“. Klicken Sie auf Schlüssel zurücksetzen und führen Sie die oben angegebenen Schritte aus, wenn der PGP Schlüssel-Setup-Assistent angezeigt wird. Diese Option ist möglich, wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten.

PGP-Protokoll anzeigen

Aus dem PGP-Protokoll ersehen Sie, welche Maßnahmen PGP Desktop zum Schutz Ihrer Nachrichten ergreift.

139


So zeigen Sie das PGP Desktop-Protokoll an

1 Zur Anzeige von Protokollen muss „Protokollierung“ eingeschaltet werden. Dazu wählen Sie in PGP Desktop Extras > PGP-Protokolle aktivieren.

2 Klicken Sie in PGP Desktop auf das Bedienfeld „PGP Messaging“ und dann auf PGP-Protokoll anzeigen. Daraufhin erscheint das PGP-Protokoll im Anwendungsfenster.

3 Um die Anzeigeoptionen zu ändern oder Filter für bestimmte Protokollinformationen einzustellen, führen Sie folgende Schritte aus:

Klicken Sie auf den Pfeil für Log anzeigen für, um die Tage auszuwählen, für die Sie Logs anzeigen wollen.

Klicken Sie auf den Pfeil für Thema anzeigen, um die Arten der Logs auszuwählen, die Sie anzeigen wollen. Die Auswahlmöglichkeiten sind Alle, PGP, E-Mail, Instant Messaging-Anwendung, Gesamtes

Laufwerk, NetShare, Zip/SDA oder Virtuelles Laufwerk.

Klicken Sie auf den Pfeil für Stufe anzeigen für, um die Anzeigestufe der Protokolleinträge auszuwählen, die Sie anzeigen wollen. Die Auswahlmöglichkeiten sind Fehler, Warnung, Info oder Wortreich. Es ist zu beachten, dass Wortreich zu einigen sehr großen Logdateien führen kann.

4 Nach Abschluss der Log-Anzeige:

Klicken Sie auf Speichern Speichern, um eine Kopie des PGP- Protokolls zu speichern.

140


Wenn Sie die Einträge im PGP-Protokoll entfernen möchten, klicken Sie auf Sicher löschen.

141

Dieser Abschnitt enthält Informationen zur Verwendung von PGP Desktop zur Sicherung Ihrer Instant Messaging (IM)-Sitzungen. Nähere Informationen zu den PGP-Optionen, die einen Einfluss auf IM-Sitzungen haben, finden Sie unter Messaging-Optionen (auf Seite 319).

Hinweis: Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, ist es möglich, dass manche Funktionen von Ihrem PGP-Administrator deaktiviert wurden. Wenn eine Funktion deaktiviert ist, wird das Kontrollelement auf der linken Seite nicht angezeigt und das Menü und andere Optionen für diese Funktion sind nicht verfügbar. Die Grafik in diesem Handbuch illustriert die Standardinstallation, in der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktionalität deaktiviert hat, trifft dieser Abschnitt nicht auf Sie zu.

In diesem Kapitel

Info zum PGP Desktop Instant Messaging-Support.............................. 141 Info zu den für Verschlüsselung verwendeten Schlüsseln ................... 143 IM-Sitzungen verschlüsseln................................................................... 143

Info zum PGP Desktop Instant Messaging-Support

PGP Desktop verschlüsselt automatisch Standard-AOL- und iChat-IM-Sitzungen, Direktverbindungen und Dateiübertragungen, falls die folgenden Bedingungen erfüllt sind:

Beide Teilnehmer der IM-Sitzung haben PGP Desktop 9.0 oder höher installiert und führen auf dem System aus, mit dem sie an der IM-Sitzung teilnehmen. Klicken Sie zur Bestätigung, dass Sie PGP Desktop 9.0 oder höher verwenden, auf das PGP Tray-Symbol und wählen Sie PGP Info aus dem Kontextmenü (im PGP Desktop-Fenster wählen Sie Hilfe > PGP Info).

Bei beiden Teilnehmern ist die Einstellung IM-Nachrichten verschlüsseln aktiviert. Führen Sie dazu folgende Schritte aus:

Auf Windows-Systemen wählen Sie Extras > Optionen, klicken auf die Registerkarte „Messaging“ und wählen das Kontrollkästchen für AOL-Instant-Messages (AIM) verschlüsseln.

8 Sicheres Instant

Messaging

142

PGP® Desktop 9.9 für Windows Sicheres Instant Messaging

Auf Mac OS X-Systemen wählen Sie Präferenzen, klicken auf das Symbol Messaging und wählen das Kontrollkästchen für AOL-Instant-

Messages (AIM) verschlüsseln.

Tipp: Auf Windows-Systemen bestätigen Sie schnell durch Klicken auf das PGP Tray-Symbol, dass Instant Messaging-Verschlüsselung aktiviert ist. Neben PGP AIM-Proxy verwenden im Kontextmenü sollte sich eine Markierung befinden.

Beide Anwender verwenden unterstützte IM-Clients. Informationen zu den unterstützten IM-Clients finden Sie im folgenden Abschnitt.

Die AIM-Adresse des Initiators der IM-Sitzung ist in der Partner-Liste (Buddy List) des Empfängers der Sitzung (oder die Sitzung wird nicht verschlüsselt).

Die sichere IM-Funktion ist mit jedem IM-Client kompatibel, der das AOL OSCAR-Protokoll für Instant Messaging, z. B. AOL Instant Messenger, Trillian Pro, iChat und Gaim, unterstützt.

Die Sitzungen für Dateiübertragung und Direktverbindung erfordern aktuelle Versionen dieser Clients, damit sie von PGP Desktop verschlüsselt werden können. PGP Corporation empfiehlt außerdem, beide Verbindungen (Dateiübertragung und Direktverbindung/Direct Message) so zu konfigurieren, dass der AOL Proxy verwendet wird und nicht der Buddy direkt mit Ihrem Computer verbunden ist.

Hinweise:

Audio- und Videoverbindungen werden nicht durch PGP Desktop verschlüsselt. Die sichere IM-Funktion von PGP Desktop verwendet perfekte Vorwärts-Geheimhaltung (Perfect Forward Secrecy) für erhöhte Sicherheit. Alle zur Sicherung Ihrer IM-Sitzungen verwendeten Schlüssel werden zu Beginn des Verbindungsaufbaus erstellt und bei Trennung der Verbindung zerstört; für jede IM-Sitzung werden völlig neue Schlüsselsätze verwendet. Dies stellt ein zusätzliches Sicherheitsniveau für Ihre IM-Sitzungen dar.

Kompatibilität mit Instant Messaging Clients

PGP Desktop unterstützt das Verschlüsseln von AIM-Nachrichten, -Dateiübertragungen und -Direktverbindungen mit folgenden Instant Messaging Clients:

AOL AIM 5.9.x

Die Verschlüsselung von Dateiübertragungen und Direktverbindungen erfordert AOL® Instant Messenger 5.9.3702 unter Windows (mit der Firewall-Einstellung "Nur AOL-Proxyserver") oder Apple iChat 3.1.5 oder unter Mac OS X. Audio- und Videoverbindungen werden nicht durch PGP Desktop verschlüsselt.

143


Die fortgesetzte Interoperabilität mit dem AIM-Service kann durch Änderungen an den eigentlichen AIM-Protokollen beeinträchtigt werden, die nach der Veröffentlichung von PGP Desktop Version 9.9 durchgeführt werden.

AOL AIM 6.5.5 und niedriger

Zur Verschlüsselung von IM-Nachrichten mit AIM 6.5 müssen Sie den von AIM verwendeten Standard-Port von 493 auf 5190 ändern.

Trillian 3.1 (Basic und Pro)

Andere IM-Clients können möglicherweise für einfaches Instant Messaging verwendet werden, wurden aber für die Verwendung nicht zertifiziert.

Info zu den für Verschlüsselung verwendeten Schlüsseln

Ein 1024-Bit RSA-Schlüssel wird bei jeder Anmeldung zu Ihrer IM-Software erzeugt und bei der Abmeldung wieder vernichtet. Dieser Schlüssel wird zum Austausch von zufällig erzeugten Seed-Data (Initial-Daten) mit jedem Kommunikationspartner verwendet. Die Initial-Daten werden dann in Hashing-Algorithmen kombiniert, um zu ermöglichen, dass jeder Kommunikationsteilnehmer einen Satz von symmetrischen Schlüsseln erzeugt, die für diese spezielle Kommunikation verwendet werden (einer für jede Richtung). Die symmetrischen Schlüssel werden dann zur Verschlüsselung aller Nachrichten mit AES256 verwendet.

Manche dieser Daten werden auch zur Erzeugung eines Keyed-Hash-Message-Authentifizierungscodes (HMAC) für jede Nachricht verwendet, um die Prüfung der Integrität der Nachricht zu ermöglichen.

Hinweis: Die für sichere IM-Kommunikation verwendeten Schlüssel sind nicht benutzerkonfigurierbar.

IM-Sitzungen verschlüsseln

Wenn die in Info zu PGP Desktop Instant Messaging-Support (auf Seite 141) beschriebenen Bedingungen erfüllt sind, beginnen Sie Ihre IM-Sitzung ganz normal. Ihre IM-Sitzungen mit anderen PGP Desktop-Benutzern, die einen unterstützten IM-Client verwenden, werden automatisch und transparent geschützt.

Es gibt verschiedene Methoden, um zu überprüfen, ob Ihre IM-Sitzung gesichert ist:

144


Beim Start einer IM-Sitzung erscheint der PGP Notifier und weist darauf hin, dass eine gesicherte IM-Sitzung begonnen hat.

Wenn die IM-Sitzung beginnt, ist unterhalb der ersten Nachricht, die Sie vom anderen Benutzer der Sitzung erhalten, ein Zusatztext angefügt: Konversation durch PGP Desktop verschlüsselt.

Das Vorhängeschlosssymbol neben den Namen in der Partnerliste (Buddy List) zeigt an, dass die Benutzer wahrscheinlich PGP Desktop verwenden, um ihr IM-Sitzungen zu sichern.

Das Vorhängeschloss könnte aber auch bedeuten, dass der Benutzer den integrierten AIM-Schutz verwendet.

Wenn Sie das PGP-Protokoll nach dem Starten Ihrer IM-Sitzung öffnen, sehen Sie einen Eintrag, der angibt, dass die IM-Sitzung verschlüsselt ist, zum Beispiel:

17:01:06 Info Die von PGP Desktop verschlüsselte AIM-Sitzung mit breynolds wird mit Ihrem Schlüssel (ID 0xEFDDCE3C) gestartet.

145

PGP Whole Disk Encryption (PGP WDE) sperrt den gesamten Inhalt von Desktop- oder Laptop-Computern, externen Laufwerken und USB-Flash-Laufwerken einschließlich Boot-Sektoren, System- und Swap-Dateien. PGP WDE kann auch zur ausschließlichen Verschlüsselung der Boot-Partition oder Windows-Partitionen verwendet werden. Die Verschlüsselung läuft als für den Anwender transparenter Hintergrundprozess. Wichtige Daten werden automatisch geschützt, ohne dass weitere Eingriffe erforderlich wären.

Hinweis: Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, ist es möglich, dass manche Funktionen von Ihrem PGP-Administrator deaktiviert wurden. Wenn eine Funktion deaktiviert ist, wird das Kontrollelement auf der linken Seite nicht angezeigt und das Menü und andere Optionen für diese Funktion sind nicht verfügbar. Die Grafik in diesem Handbuch illustriert die Standardinstallation, in der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktionalität deaktiviert hat, trifft dieser Abschnitt nicht auf Sie zu. Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, kann es sein, dass Ihr Administrator den Bildschirm PGP Whole Disk Encryption BootGuard angepasst hat, um zusätzlichen Text oder ein spezifisches Bild, wie z. B. Ihr Firmenlogo, mit aufzunehmen. Die Grafik in diesem Handbuch illustriert die Standardinstallation. Ihr tatsächlicher Anmeldebildschirm sieht möglicherweise anders aus, wenn er von Ihrem Administrator angepasst wurde.

9 Laufwerke mit PGP Whole

Disk Encryption schützen

146

PGP® Desktop 9.9 für Windows Laufwerke mit PGP Whole Disk Encryption schützen

In diesem Kapitel

Info zu PGP Whole Disk Encryption ...................................................... 146 PGP Whole Disk Encryption lizenzieren ................................................ 147 Laufwerk auf die Verschlüsselung vorbereiten ..................................... 149 Authentifizierungsmethode für die Festplatte festlegen....................... 158 Verschlüsselungsoptionen einstellen .................................................... 161 Eine Festplatte oder Partition verschlüsseln ......................................... 167

PGP WDE-verschlüsselte Laufwerke verwenden ................................. 174 Einzelanmeldung mit PGP WDE verwenden......................................... 180 Den Schutz Ihrer Festplatte aufrechterhalten ....................................... 183 Mit Wechseldatenträgern arbeiten........................................................ 190 PGP-WDE in einer mit PGP Universal verwalteten Umgebung verwenden.......................................................................... 194

Daten von einem verschlüsselten Laufwerk wiederherstellen ............. 197 PGP WDE-verschlüsselte Laufwerke entschlüsseln ............................. 198 Spezielle Sicherheitsfunktionen von PGP Desktop ............................... 201 Das Windows Preinstallation Environment (PE) verwenden................. 201

Info zu PGP Whole Disk Encryption

Wenn Sie ein gesamtes Laufwerk mit PGP Whole Disk Encryption verschlüsseln, wird jeder Sektor mithilfe eines symmetrischen Schlüssels verschlüsselt. Alle Dateien, einschließlich Betriebssystemdateien, Programmdateien, Datendateien, Auslagerungsdateien, freier Speicher sowie temporäre Dateien werden verschlüsselt.

Bei jedem nachfolgenden Systemstart werden Sie von PGP WDE zur Eingabe des korrekten Passworts aufgefordert. Sobald Sie darauf zugreifen, werden die verschlüsselten Daten entschlüsselt. PGP WDE verschlüsselt alle Daten, bevor sie auf das Laufwerk geschrieben werden. Solange Sie für Ihr PGP WDE-verschlüsseltes Laufwerk authentifiziert sind (nach Eingabe des korrekten Passworts im PGP BootGuard-Bildschirm), sind die Dateien verfügbar. Bei Systemabschaltung ist das Laufwerk vor Verwendung durch andere Personen geschützt.

Es ist wichtig, dass Sie vor der Verschlüsselung des Laufwerks mit PGP WDE den Prozess der Erstellung und Verwendung eines PGP WDE-verschlüsselten Laufwerks verstehen:

1 Stellen Sie sicher, dass Ihre PGP Desktop-Lizenz die Verwendung unterstützt, wie unter PGP Whole Disk Encryption lizenzieren (auf Seite 147) beschrieben.

147


2 Führen Sie die Schritte unter Laufwerk auf die Verschlüsselung vorbereiten (auf Seite 149) aus.

3 Wählen Sie Ihre Authentifizierungsmethode zur Verschlüsselung des Laufwerks in Authentifizierungsmethode für das Laufwerk festlegen (siehe Authentifizierungsmethode für das Laufwerk festlegen auf Seite 158).

4 Wählen Sie die zu verwendenden Verschlüsselungsoptionen in Verschlüsselungsoptionen einstellen (auf Seite 161).

5 Beginnen Sie den Verschlüsselungsprozess in Laufwerk oder Partition verschlüsseln (auf Seite 167).

6 Lernen Sie die Verwendung eines verschlüsselten Laufwerks in PGP WDE-verschlüsselte Laufwerke verwenden (auf Seite 174).

7 Lernen Sie die Pflege Ihres verschlüsselten Laufwerks in Laufwerkschutz aufrecht erhalten (auf Seite 183).

8 Lernen Sie, wie das Laufwerk bei Bedarf entschlüsselt wird, in PGP WDE-verschlüsselte Laufwerke entschlüsseln (auf Seite198).

9 Machen Sie sich mit den Funktionen vertraut, mit denen Sie Sicherheitsprobleme vermeiden können, unter Spezielle Sicherheitsfunktionen von PGP Desktop (auf Seite 201).

Wenn Sie PGP-Administrator sind oder PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, siehe PGP-WDE in einer mit PGP Universal verwalteten Umgebung verwenden auf Seite 194 für zusätzliche Informationen.

Wie unterscheidet sich PGP WDE von PGP Virtual Disk?

PGP Virtual Disk unterscheidet sich von PGP WDE darin, dass PGP Virtual Disk-Laufwerke wie zusätzliche Laufwerke im System verwaltet werden, die auch dann gesperrt werden können, wenn Sie am Computer arbeiten. Diese Laufwerke sind mit einem Tresor vergleichbar, in dem schützenswerte Dateien aufbewahrt werden. Es handelt sich dabei jedoch nicht um einen physischen Datenträger, sondern um einen virtuellen, der mit der Funktion PGP Virtual Disk erstellt und verwaltet wird.

PGP WDE schützt dagegen das physische Festplattenlaufwerk, und zwar entweder einzelne Partitionen oder das gesamte Laufwerk.

Beide Produkte arbeiten unabhängig voneinander und können deshalb gleichzeitig eingesetzt werden. Nähere Informationen finden Sie unter PGP Virtual Disk-Laufwerke verwenden (auf Seite 204).

PGP Whole Disk Encryption lizenzieren

Um PGP Whole Disk Encryption verwenden zu können, muss Ihre Kopie von PGP Desktop mit einer Lizenz ausgestattet sein, die diese Funktion unterstützt.

148


So überprüfen Sie, ob Ihre Lizenz PGP Whole Disk Encryption unterstützt


2 Wählen Sie Hilfe > Lizenz. Das Dialogfeld „PGP Desktop – Lizenz“ erscheint.

3 Suchen Sie im Abschnitt Produktinformationen das PGP Whole Disk

Encryption-Symbol. Stellen Sie den Cursor über den Produktnamen, um Informationen über das Produkt zu sehen und festzustellen, ob Sie gegenwärtig eine Lizenz zur Benutzung haben.

Wenn Ihre Lizenz PGP WDE nicht unterstützt, können Sie mit einem der folgenden Verfahren nähere Informationen zur Lizenzierung von PGP Desktop abrufen:

Falls Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, erhalten Sie weitere Informationen zur Unterstützung von PGP WDE im Rahmen Ihrer Lizenz von Ihrem PGP-Administrator. Nähere Informationen finden Sie auch unter PGP Desktop mit PGP Universal Server verwenden (auf Seite 341).

Falls Sie PGP Desktop außerhalb einer von PGP Universal verwalteten Umgebung verwenden, können Sie die PGP Corporation Website (http://www.pgp.com) aufrufen. Dort ist beschrieben, wie Sie Ihre Lizenz um die Komponente PGP WDE erweitern.

Lizenzablauf

Wenn PGP WDE mit einer Abonnementlizenz verwendet wird, steht nach Ablauf der Lizenz noch 90 Tage die Entschlüsselungsfunktion ausschließlich für Startlaufwerke zur Verfügung. 90 Tage nach Lizenzablauf werden Ihre Daten von PGP WDE entschlüsselt (nach einer entsprechenden Benachrichtigung), damit Sie auf Ihre Dateien zugreifen können.

149


Laufwerk auf die Veschlüsselung vorbereiten

Vor der Verschlüsselung des Laufwerks müssen Sie einige Schritte ausführen, um die erfolgreiche Erstverschlüsselung des Laufwerks sicherzustellen.

Vergewissern Sie sich, dass Ihr Ziellaufwerk unterstützt wird. Siehe Unterstützte Laufwerktypen (auf Seite 150).

Stellen Sie sicher, dass Ihr Tastaturtyp unterstützt wird. Siehe Unterstützte Tastaturen

Stellen Sie vor dem Verschlüsseln sicher, dass sich das Laufwerk in

einwandfreiem Zustand befindet. Falls PGP WDE während der Verschlüsselung Laufwerksfehler erkennt, hält das Programm an, damit die Probleme behoben werden können. Es ist jedoch effizienter, die Fehlerbehebung vor der Erstverschlüsselung vorzunehmen. Siehe Laufwerksintegrität vor der Verschlüsselung sicherstellen (auf Seite 153).

Sichern Sie das Laufwerk, bevor Sie es verschlüsseln. Sichern Sie das Laufwerk vor der Verschlüsselung, damit keine Daten verloren gehen, wenn der Laptop oder Computer verloren geht, gestohlen wird oder Sie das Laufwerk nicht entschlüsseln können. Zudem sollten Sie das Laufwerk regelmäßig sichern.

Erstellen Sie einen Wiederherstellungsdatenträger. Obwohl die Wahrscheinlichkeit äußerst gering ist, dass ein Master-Boot-Datensatz auf einem mit PGP Whole Disk Encryption verschlüsselten Boot-Laufwerk bzw. einer Partition beschädigt wird, kann dies nicht ausgeschlossen werden. Erstellen Sie, bevor Sie ein Laufwerk oder eine Partition mit PGP Whole Disk Encryption verschlüsseln, einen Wiederherstellungsdatenträger. Siehe Von PGP WDE verwendeter Verschlüsselungsalgorithmus (auf Seite 151).

Berücksichtigen Sie die Zeit, die das Verschlüsseln des Laufwerks in

Anspruch nehmen wird. und bereiten Sie sich entsprechend vor. Siehe Verschlüsselungsdauer berechnen (auf Seite 155).

Stellen Sie sicher, dass Ihnen für die Dauer der Verschlüsselung eine

Netzstromversorgung zur Verfügung steht. Siehe Netzbetrieb während der Verschlüsselung beibehalten (auf Seite 156).

150


Führen Sie einen Pilotversuch aus, um die Softwarekompatibilität

sicherzustellen. PGP Corporation empfiehlt als gute Sicherheitspraxis, PGD WDE auf einer kleinen Gruppe von Computern zu testen, um sicherzustellen, dass kein Konflikt zwischen PGP WDE und anderer Software auf dem Computer besteht, bevor es auf einer großen Gruppe von Computern bereitgestellt wird. Das ist besonders nützlich in Umgebungen, die ein standardisiertes Corporate Operating Environment (COE)-Bild verwenden. Es gibt andere Arten von Laufwerkschutz-Software, die nicht mit PGP WDE kompatibel sind und schwerwiegende Laufwerkprobleme verursachen können, einschließlich Datenverlust. Die bekannten Interoperabilitätsprobleme sind unter Pilotversuch zur Sicherstellung der Softwarekompatibilität ausführen (auf Seite 157) beschrieben. Die neusten Updates zu dieser Liste finden Sie in den PGP Desktop-Versionshinweisen.

Stellen Sie sicher, dass Sie den richtigen Token und die richtigen

Treiber haben. Wenn Sie einen USB-Token zur Authentifizierung für eine mit PGP Whole Disk Encryption verschlüsselte Festplatte verwenden, achten Sie unbedingt darauf, dass Sie über den richten Token verfügen und die richtige Treiber-Software installiert ist. Siehe Token zur Verwendung für Authentifizierung vorbereiten (siehe „Smartcard oder Token zur Verwendung für Authentifizierung vorbereiten“ auf Seite 162).

Hinweis: Verwenden Sie PGP Whole Disk Encryption nicht zur Verschlüsselung von Serverhardware. PGP WDE wird auf Windows 2000 Server oder Windows 2003 Server nicht unterstützt.

Unterstützte Laufwerkstypen

PGP WDE schützt den Inhalt der folgenden Arten von Laufwerken:

Desktop- oder Laptop-Laufwerke (Partitionen oder ganze Festplatten)

Hinweis: Verwenden Sie PGP Whole Disk Encryption nicht zur Verschlüsselung von Serverhardware. PGP WDE wird auf Windows 2000 Server oder Windows 2003 Server nicht unterstützt.

Externe Laufwerke, mit Ausnahme von Musikgeräte und Digitalkameras.

USB-Speichergeräte

Sie können Festplatten oder Partitionen verschlüsseln, die mit dem Dateisystem FAT16, FAT32 oder NTFS formatiert sind. Wenn Sie PGP Whole Disk Encryption für eine Festplatte oder Partition mit einem FAT-Dateisystem verwenden, können Sie später eine Konvertierung in NTFS durchführen. Disketten und beschreibbare CDs oder DVDs werden nicht unterstützt.

151


Sie können PGP Whole Disk Encryption nur dann mit einem Dual-Boot-System verwenden, wenn Sie das System mit einem Betriebssystem starten, das durch PGP WDE unterstützt wird (zum Beispiel Windows XP, Windows 2000 oder Windows Vista), und PGP Whole Disk Encryption installiert ist. Der Partitionsmodus unterstützt Dual-Boot mit einem anderen Betriebssystem (zum Beispiel Linux) nur dann, wenn Sie nur die Windows-Partition verschlüsseln. Dieses andere Betriebssystem muß sich allerdings auf einer anderen, nicht verschlüsselten Partition befinden.

Mit PGP WDE können Laufwerke beliebiger Größe verschlüsselt werden. Wenn die Festplatte oder Partition vom Betriebssystem (oder das Startlaufwerk vom Hardware-BIOS) unterstützt wird, sollte sie mit PGP Desktop kompatibel sein.

Wenn Sie die Partitionierung eines mit PGP WDE verschlüsselten Laufwerks ändern möchten, müssen Sie das Laufwerk zuvor entschlüsseln. Nach dem Entschlüsseln des Laufwerks können Sie seine Partitionierung ändern und die Partition(en) anschließend wieder verschlüsseln.

Warnung: Unter Windows XP können Basisdatenträger in dynamische Datenträger konvertiert werden, die im Vergleich zu Basisdatenträgern verschiedene Zusatzfunktionen unterstützen. Führen Sie diese Konvertierung auf keinen Fall mit einem Startlaufwerk durch, das bereits mit PGP Whole Disk Encryption verschlüsselt wurde. Durch die Konvertierung eines Basisdatenträgers in einen dynamischen wird der Datenträger unbrauchbar.

Alle Windows-Energieverwaltungsmodi (Ruhemodus, Standby) werden unterstützt.

Von PGP Whole Disk Encryption verwendeter Verschlüsselungsalgorithmus

Der von PGP WDE verwendete Verschlüsselungsalgorithmus ist AES-256. Der Hashing-Algorithmus ist SHA-1. Diese Optionen können nicht geändert werden.

Unterstützte Tastaturen

Stellen Sie sicher, dass Sie eine Tastatur mit eine der unterstützten Sprachen verwenden.

Der PGP Whole Disk Encryption-Anmeldebildschirm unterstützt die folgenden Tastaturbelegungen:

Belgisch




Dänisch

Englisch

Englisch (UK-International)

152


Estnisch

Finnisch

Französisch



Deutsch

Deutsch (Deutschland/Österreich)

Deutsch (Schweiz)

Irisch

Isländisch

Italienisch

Japanisch


Koreanisch

Niederländisch

Norwegisch

Polnisch



Rumänisch

Schwedisch/Finnisch

Spanisch




Ungarisch

Unterschiedliche Tastaturbelegungen können unterschiedliche Zuweisungen für bestimmte Zeichen aufweisen, was möglicherwise zu Problemen führen kann, wenn Sie Ihr Passwort zur Authentifizierung eingeben. Verwenden Sie die Tastaturbelegung, die der von Ihnen verwendeten Tastatur am nächsten kommt und stellen Sie sicher, dass Sie bei jeder Authentifizierung die gleiche Tastaturbelegung verwenden.

Weitere Informationen zu für Passwörter unterstützte Zeichen siehe Unterstützte Zeichen für PGP WDE-Passwörter (auf Seite 168).

153


Die Laufwerksintegrität vor der Verschlüsselung sicherstellen

PGP Corporation nimmt bewusst eine konservative Haltung bei der Laufwerkverschlüsselung ein, um Datenverlust zu verhindern. Bei der Verschlüsselung von Festplatten treten nicht selten CRC (Cyclic Redundancy Check)-Fehler auf. Wenn PGP WDE eine Festplatte oder Partition mit beschädigten Sektoren feststellt, wird der Verschlüsselungsprozess standardgemäß unterbrochen. Während dieser Pause können Sie das Problem beheben, bevor Sie den Verschlüsselungsprozess fortsetzen, und auf diese Weise mögliche Laufwerkbeschädigung und Datenverlust verhindern.

Um eine Unterbrechung der Verschlüsselung zu verhindern, empfiehlt PGP Corporation, vor der Verschlüsselung alle Laufwerkfehler zu korrigieren, um mit einem Laufwerk mit einwandfreier Integrität zu beginnen.

Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, werden die während der Verschlüsselung angetroffenen beschädigten Sektoren dem PGP Universal Server gemeldet und die Verschlüsselung wird fortgesetzt.

Empfehlung für beste Praktik

Als beste Praktik empfiehlt es sich vor dem Versuch, PGP WDE zu verwenden, ein Laufwerk-Scanprogramm eines dritten Herstellers zu verwenden. Dieses Dienstprogramm muss die Fähigkeit haben, eine Low-Level-Integritätskontrolle durchzuführen und alle Unregelmäßigkeiten des Laufwerks, die zu CRC-Fehlern führen könnten, zu reparieren. Das Checkdisk-Programm von Disk Microsoft Windows (chkdsk.exe) reicht nicht aus, um diese Probleme auf dem Ziellaufwerk festzustellen. Verwenden Sie stattdessen Software wie SpinRite oder Norton Disk DoctorTM. Diese Softwareandwendungen können Fehler korrigieren, die ansonsten die Verschlüsselung unterbrechen würden.

Achtung: Die beste Praktik bei stark defragmentierten Laufwerken ist ihre Defragmentierung vor der Verschlüsselung.

Wiederherstellungsdatenträger erstellen

Obwohl die Wahrscheinlichkeit äußerst gering ist, dass ein Master-Boot-Datensatz auf einem mit PGP Whole Disk Encryption verschlüsselten Boot-Laufwerk bzw. einer Partition beschädigt wird, kann dies nicht ausgeschlossen werden. Sollte der Fall eintreten, lässt sich das System möglicherweise nicht mehr starten.

Um sicherzustellen, dass Sie auf eine solche, wenn auch seltene, Eventualität vorbereitet sind, sollten Sie eine Wiederherstellungs-CD oder -Diskette (oder beides) erstellen, bevor Sie ein Boot-Laufwerk oder eine Boot-Partition mit PGP Whole Disk Encryption verschlüsseln.

154


Achtung: Beachten Sie, dass Wiederherstellungsdatenträger sind nur mit der Version von PGP Desktop kompatibel, mit der die Wiederherstellungs-CD erstellt wurde. Wenn Sie z. B. versuchen, mit einer in Version 9.0.x erstellten Wiederherstellungs-CD ein durch PGP WDE 9.5 geschütztes Laufwerk zu entschlüsseln, kann nicht mehr auf das PGP WDE 9.5-Laufwerk zugegriffen werden.

Dieser Abschnitt enthält die Verfahren zur Erstellung sowohl einer Wiederherstellungs-CD als auch einer Diskette. Außerdem wird erläutert, wie Sie den Wiederherstellungsdatenträger verwenden.

So erstellen Sie eine Wiederherstellungs-CD:

1 Vergewissern Sie sich, dass PGP Desktop für Windows und Roxio Easy Media Creator oder Roxio Easy CD Creator (oder eine andere Software, die eine CD aus einem ISO-Image erstellen kann) auf Ihrem System installiert sind.

2 Öffnen Sie Roxio Easy Media Creator bzw. Roxio Easy CD Creator und wählen Sie eine Data CD Project-Erstellung.

3 Wählen Sie Datei > CD aus CD-Abbild aufzeichnen. Der Bildschirm CD von Festplatten-Abbild aufzeichnen wird angezeigt.

4 Wählen Sie Dateien vom Typ > ISO-Abbilddateien (ISO).

5 Navigieren Sie zum PGP-Verzeichnis. Das Standardverzeichnis ist C:\Program Files\PGP Corporation\PGP Desktop\.

6 Wählen Sie bootg.iso aus und klicken Sie auf Öffnen. Der Setup-Bildschirm CD aufzeichnen erscheint.

7 Legen Sie eine leere, beschreibbare CD in das CD-Laufwerk.

8 Klicken Sie im Setup-Bildschirm CD aufzeichnen auf Aufzeichnung starten. Die Fortschrittsanzeige für CD von CD-Abbild aufzeichnen erscheint, während die ISO-Datei auf die CD geschrieben wird.

9 Wenn die Datei auf der CD registriert ist, klicken Sie auf OK. Die PGP Whole Disk Encryption-Wiederherstellungs-CD ist fertig.

10 Nehmen Sie die Wiederherstellungs-CD aus dem Laufwerk und beschriften Sie sie entsprechend.

So erstellen Sie eine Wiederherstellungs-Diskette:

1 Stellen Sie sicher, dass PGP Desktop für Windows und eine Anwendung, die eine Wiederherstellungsdiskette erstellen kann (beispielsweise MagicISO) auf Ihrem System installiert sind.

2 Legen Sie eine leere Diskette in das Diskettenlaufwerk.

3 Öffnen Sie MagicISO.

4 Wählen Sie Extras > Diskettenabbild schreiben. Das Dialogfeld „Öffnen“ wird angezeigt.

155


Navigieren Sie zum PGP-Verzeichnis. Das Standardverzeichnis ist C:\Program Files\PGP Corporation\PGP Desktop\.

5 Wählen Sie Bootg.img aus, und klicken Sie auf Öffnen. Die Datei wird auf die Diskette geschrieben.

6 Nehmen Sie die Wiederherstellungsdiskette aus dem Laufwerk, und beschriften Sie sie entsprechend.

7 Beenden Sie MagicISO.

So verwenden Sie eine Wiederherstellungs-CD oder -Diskette

Achtung: Halten Sie den Entschlüsselungsprozess nicht an, wenn Sie erst einmal mit der Entschlüsselung eines Laufwerks oder einer Partition mit einer Wiederherstellungs-CD oder -Diskette begonnen haben. Dieser Prozess kann je nach der Größe des Laufwerks, das entschlüsselt wird, sehr lange dauern. Eine schnellere Möglichkeit zur Entschlüsselung des Laufwerks ist die Verwendung eines anderen Systems, auf dem die gleiche Version von PGP Desktop installiert ist. Nähere Informationen finden Sie unter PGP WDE-verschlüsselte Laufwerke entschlüsseln (auf Seite198).

1 Wenn beim Neustart des Systems der Anmeldebildschirm von PGP Whole Disk Encryption nicht angezeigt wird, oder wenn Sie beim Neustart zum Einlegen eines PGP Whole Disk Encryption-Wiederherstellungsdatenträgers aufgefordert werden, legen Sie die Wiederherstellungs-CD in das CD-Laufwerk bzw. die Wiederherstellungsdiskette in das Diskettenlaufwerk ein.

2 Starten Sie das System neu. Der Anmeldebildschirm für PGP Whole Disk Encryption von der Wiederherstellungsdiskette erscheint.

3 Geben Sie das Passwort für das mit PGP Whole Disk Encryption verschlüsselte Boot-Laufwerk bzw. die Boot-Partition ein. Sie haben folgende Möglichkeiten:

Drücken Sie die Eingabetaste, um zu testen, ob sich das System starten lässt.

Geben Sie D ein, um das Laufwerk zu entschlüsseln.

Berechnen Sie die Verschlüsselungsdauer

Die Verschlüsselung ist ein zeitaufwändiger und CPU-intensiver Prozess. Je größer die zu verschlüsselnde Festplatte oder Partition ist, desto länger dauert der Verschlüsselungsvorgang. Ziehen Sie dies in Betracht, wenn Sie die erstmalige Verschlüsselung einer Festplatte planen.

Die folgenden Faktoren können sich auf die Verschlüsselungsgeschwindigkeit auswirken:

156


Größe der Festplatte oder Partition

Prozessorgeschwindigkeit und -anzahl

Anzahl der auf dem Computer ausgeführten Systemprozesse

Anzahl der auf dem Computer ausgeführten anderen Anwendungen

Prozessorzeit für diese anderen Anwendungen

Auf einem durchschnittlichen System dauert die Verschlüsselung einer 80-GB-Startfestplatte oder -partition mit PGP Whole Disk Encryption ca. drei Stunden (wenn keine anderen Anwendungen ausgeführt werden). Auf einem sehr schnellen System kann diese Verschlüsselung hingegen in weniger als einer Stunde durchgeführt werden.

Sie können Ihr System während der Verschlüsselung weiterhin verwenden. Das System arbeitet zwar während des Verschlüsselungsvorgangs etwas langsamer als gewöhnlich, es kann aber uneingeschränkt verwendet werden.

PGP Desktop verlangsamt automatisch die Verschlüsselung, wenn Sie das System verwenden. Wenn Sie das System während der ersten Verschlüsselung nicht verwenden, wird der Verschlüsselungsvorgang schneller durchgeführt. Nach der Verschlüsselung arbeitet das System wieder mit normaler Geschwindigkeit.

Wenn Sie während des Verschlüsselungsvorgangs mit anderen Anwendungen arbeiten, werden diese wahrscheinlich etwas langsamer als gewohnt ausgeführt, bis die Verschlüsselung abgeschlossen ist.

Wenn Sie den Computer während der Verschlüsselung nicht benutzen, können Sie die Erstverschlüsselung mit der Option Maximale CPU-Auslastung

beschleunigen. Eine Beschreibung finden Sie unter Verschlüsselungsoptionen einstellen (auf Seite 161). Der Geschwindigkeitszuwachs wird dadurch erreicht, dass die Verschlüsselung höchste Priorität gegenüber allen anderen Prozessen erhält, die auf dem Computer ausgeführt werden.

Netzbetrieb während der Verschlüsselung beibehalten

Weil Verschlüsselung ein CPU-intensiver Prozess ist, kann keine Verschlüsselung auf einem Laptop, der im Akkubetrieb angeschlossen ist, gestartet werden. Der Computer muss über das Netzteil mit Strom versorgt werden. Wenn Sie einen Laptop während der erstmaligen Verschlüsselung (oder der späteren Entschlüsselung bzw. Umschlüsselung) in den Akkubetrieb umschalten, wird die PGP WDE-Aktivität angehalten. Die Verschlüsselung, Entschlüsselung oder Umschlüsselung wird automatisch fortgesetzt, sobald der Computer wieder über das Netzteil mit Strom versorgt wird.

157


Unabhängig vom verwendeten Computertyp darf während der Verschlüsselung die Stromversorgung nicht unterbrochen werden oder das System anderweitig unerwartet herunterfahren, sofern Sie nicht die Option Stromausfallschutz ausgewählt haben. Ziehen Sie das Netzkabel auf keinen Fall ab, bevor der Verschlüsselungsvorgang abgeschlossen ist. Wenn es während der Verschlüsselung zu einem Stromausfall kommen kann und wenn keine unterbrechungsfreie Stromversorgung für Ihren Computer existiert, sollten Sie die Option Stromausfallschutz aktivieren, die unter Verschlüsselungsoptionen einstellen (auf Seite 161) beschrieben wird.

Achtung: Dies gilt ebenfalls für Wechseldatenträger, wie zum Beispiel USB-Geräte. Wenn Sie die Option Stromausfallschutz nicht auswählen, kann das Gerät bei Entnahme während der Verschlüsselung beschädigt werden.

Pilotversuch ausführen, um die Softwarekompatibilität sicherzustellen

PGP Corporation empfiehlt als gute Sicherheitspraxis, PGD WDE auf einer kleinen Gruppe von Computern zu testen, um sicherzustellen, dass kein Konflikt zwischen PGP WDE und anderer Software auf dem Computer besteht, bevor es auf einer großen Gruppe von Computern bereitgestellt wird. Das ist besonders nützlich in Umgebungen, die ein standardisiertes Corporate Operating Environment (COE)-Bild verwenden.

Es gibt andere Arten von Laufwerkschutz-Software, die nicht mit PGP WDE kompatibel sind und schwerwiegende Laufwerkprobleme verursachen können, einschließlich Datenverlust. Bitte beachten Sie die folgenden bekannten Interoperabilitätsprobleme und lesen Sie die neusten Updates dieser Liste in den PGP Desktop-Versionshinweisen.

Inkompatible Software:

Utimaco Safeguard Easy 3.x ist mit der PGP Whole Disk Encryption-Komponente nicht kompatibel; Installieren Sie es nicht auf einem System mit PGP Desktop und installieren Sie PGP Desktop nicht auf einem System mit Utimaco Safeguard Easy 3.x.

Produkte zur Festplattenverschlüsselung von GuardianEdge Technologies: Dies betrifft die früher unter der Bezeichnung „PC Guardian“ vertriebenen Produkte „Encryption Anywhere Hard Disk“ und „Encryption Plus Hard Disk“.

Die folgenden Anwendungen können mit PGP Desktop auf demselben System installiert werden, blockieren jedoch die Funktion von PGP Whole Disk Encryption:

Safeboot Solo

SecureStar SCPP

Pointsec

158


Authentifizierungsmethode für die Festplatte festlegen

Wenn Sie mit PGP Whole Disk Encryption eine Festplatte oder Partition verschlüsseln, müssen Sie festlegen, wie Sie sich selbst authentifizieren, wenn die Festplatte entschlüsselt werden soll.

Sie haben folgende Möglichkeiten:

Authentifizierung per Passwort und Einzelanmeldung (auf Seite 158)

Authentifizierung über den öffentlichen Schlüssel (auf Seite 159)

Token-basierte Authentifizierung (auf Seite 159)

Zweifaktorielle Authentifizierung mit einem USB-Flash-Laufwerk (auf Seite 150)

Trusted Platform Module (TPM)-Authentifizierung (auf Seite 160)

Hinweis: Auf einem Mehrbenutzersystem erstellen Sie separate Authentifizierungsmethoden für jeden Anwender.

Hinweis: Zur Authentifizierung von Anwendern, die Windows PE oder BartPE verwenden, müssen Sie Passwortanwender verwenden, Token- oder TPM-Anwender werden nicht unterstützt.

Passwort und Einzelanmeldung

Bei der Authentifizierung mit einem Passwort legen Sie ein Passwort fest, das Sie beim Neustart eines mit PGP Whole Disk Encryption verschlüsselten Boot-Laufwerks bzw. einer Partition oder beim Zugriff auf ein anderes mit PGP Whole Disk Encryption verschlüsseltes Laufwerk bzw. eine Partition verwenden. Dieses Verfahren erfordert weder weitere Dateien noch zusätzliche Hardware. Es kann sowohl bei fest installierten als auch bei Wechseldatenträgern eingesetzt werden.

Für die Authentifizierung per Passwort gibt es zwei Optionen:

Sie können ein Passwort wählen, das Sie nur für PGP WDE verwenden.

Sie können Ihr Passwort für PGP WDE mit Ihrem Windows-Anmeldekonto synchronisieren und brauchen dann nur einmal das Passwort einzugeben, um die verschlüsselte Festplatte oder Partition zu entsperren und sich bei Windows anzumelden. Diese Synchronisierung mit dem Windows-Anmeldekonto nennt man Einzelanmeldung (Single Sign-On, SSO).

Eine Anleitung zur Einrichtung von Einzelanmeldung finden Sie unter PGP WDE Einzelanmeldung verwenden (auf Seite 180).

159


Authentifizierung mit einem öffentlichen Schlüssel

Bei der Authentifizierung mit einem öffentlichen Schlüssel legen Sie zum Verschlüsseln eines Laufwerks oder einer Partition mit PGP Whole Disk Encryption einen öffentlichen Schlüssel fest. Nur der Inhaber des zugehörigen privaten Schlüssels kann auf den Inhalt des Laufwerks oder der Partition zugreifen. Zu diesem Zweck muss der Anwender das Passwort seines privaten Schlüssels eingeben.

Die Authentifizierung mit einem öffentlichen Schlüssel ist nur für Wechseldatenträger verfügbar, die Sie in Ihrem System verwenden. Festplatten (auch Boot-Laufwerke und -Partitionen oder externe USB-Festplatten) verwenden nur die Authentifizierung mit Passwörtern oder Token, jedoch nicht mit öffentlichen Schlüsseln.

Token-basierte Authentifizierung

Wenn Sie eine Festplatte im System (einschließlich des Boot-Laufwerks oder der Boot-Partition) mit PGP Whole Disk verschlüsseln und zur Authentifizierung einen PGP-Schlüssel auf einem Token verwenden wollen, müssen Sie ein PGP-Schlüsselpaar auf einem Token oder einer Smartcard, die von PGP WDE unterstützt wird, verwenden. Eine Liste unterstützter Geräte finden Sie unter Smartcards zur Authentifizierung auf dem PGP BootGuard-Bildschirm verwenden (siehe „Smartcards oder Token zur Authentifizierung auf dem PGP BootGuard-Bildschirm verwenden“ auf Seite 163).

Die Verwendung eines Schlüsselpaares auf einem Token sorgt für zusätzliche Sicherheit, da Sie den Token mit sich nehmen können.

Bitte beachten Sie, dass Sie die entsprechenden Treiber für Ihr Gerät installieren müssen, bevor Sie mit der Laufwerksverschlüsselung beginnen können. Nähere Informationen finden Sie unter Token zur Verwendung für Authentifizierung vorbereiten (siehe „Smartcard oder Token zur Verwendung für Authentifizierung vorbereiten“ auf Seite 162).

Zweifaktorielle Authentifizierung mit einem USB-Flash-Laufwerk

Sie können eine zweifaktorielle Authentifizierung für eine erhöhte Datensicherheit auf Ihrem System verwenden. Die zweifaktorielle Authentifizierung verwendet „etwas was Sie wissen“ (Ihr Passwort) und „etwas was Sie haben“ (Ihr USB-Laufwerk) um zu bestätigen, dass Sie die zum Zugriff auf das Laufwerk berechtigte Person sind.

Bei einer zweifaktoriellen Authentifizierung erstellen Sie einen Passwortbenutzer und wählen dann eine weitere Form von Hardware zur Identifikation des Benutzers. Sie haben die Wahl zwischen der Verwendung eines USB-Flashlaufwerks und, wenn diese Hardware auf Ihrem System verfügbar ist, Trusted Platform Module (TPM).

160


Weitere Informationen zur Erstellung einer zweifaktoriellen Authentifizierung mit einem USB-Flash-Laufwerk entnehmen Sie bitte dem Abschnitt Laufwerk verschlüsseln (auf Seite 157).

Trusted Platform Module (TPM)-Authentifizierung

Wenn Trusted Platform Module (TPM)-Hardware auf Ihrem System verfügbar ist, ist die Option zur Verwendung von TPM wählbar. Hinzufügen eines Benutzers mit TPM bedeutet, dass der Benutzer dann nur eine Authentifizierung für dieses Laufwerk auf diesem speziellen System vornehmen kann (der Benutzer ist aus dem System „ausgesperrt“). TPM kann nur mit Passwortbenutzern verwendet werden und funktioniert bei Einzelanmeldung.

PGP Whole Disk Encryption ist kompatibel mit TPM Version 1.1 oder 1.2.

Computer, die TPM unterstützen und mit PGP WDE kompatibel sind, umfassen die folgenden:

Hewlett-Packard Compaq nx6325 (Infineon TPM mit HP BIOS)

Dell D630 (Broadcom TPM)

Lenovo ThinkPad T60 (Atmel TPM)

Fujitsu LifeBook C1410, E8110 oder E8210 (Infineon TPM mit Phoenix BIOS)

Panasonic Toughbook T5, W5 oder Y5 (Infineon TPM mit Matsushita BIOS)

Ihr TPM-Anbieter implementiert möglicherweise Sicherheitsmerkmale, die die Verwendung von TPM beeinträchtigen. Weitere Informationen entnehmen Sie bitte der Dokumentation für Ihr System.

Hinweis: Wenn Sie Ihr TPM durch Zurücksetzung auf die werksseitigen Einstellungen löschen, oder die Mutterplatine,mit dem TPM ersetzt wird, werden Sie nicht in der Lage sein, unter Verwendung des TPM-Anwenders auf Ihr verschlüsseltes Laufwerk zuzugreifen, weil der Zugriff auf die im TPM gespeicherten Authentifizierungsinformationen nicht mehr möglich ist. Stellen Sie sicher, dass Sie eine alternative Möglichkeit haben, auf Ihr verschlüsseltes Laufwerk zuzugreifen (siehe nachfolgenden Abschnitt Besondere Erwägungen bei der Verwendung von TPM.

Weitere Information zur Erstellung einer zweifaktoriellen Authentifizierung mit TPM entnehmen Sie bitte dem Abschnitt Laufwerk verschlüsseln (auf Seite 157).

161


Warum TPM?

Computer mit TPM haben einen integrierten Zufallszahlgenerator, der abgefragt werden und als Quelle für Zufallsbits verwendet werden kann. Es kann 2048 Bit-RSA-Schlüssel erzeugen, laden und damit arbeiten. Außerdem hat es Anti-Brute-Force-Funktionen. Wenn ein falsches Passwort zu oft eingegeben wird, blockiert das TPM oder verlangsamt seine Reaktionen drastisch, was das Erraten von Passwörtern durch Brute-Force-Methode zu langsam und daher nutzlos macht. Auf diese Weise erhalten TPM-Schlüssel, die mit Passwörtern geschützt sind, eine viel höhere Sicherheitsstufe als es mit Software möglich ist.

Besondere Erwägungen bei der Verwendung von TPM

Vor der Verschlüsselung eines Laufwerks sollten Sie sicherstellen, dass das TPM auf Ihrem Computer Ihren Bedürfnissen entspricht. Zu diesem Zweck sollten Sie das TPM konfigurieren und dann das System neustarten, bevor Sie den Verschlüsselungsvorgang beginnen. Bei diesem Vorgehen erstellen Sie auch ein Passwort für TPM (unabhängig von PGP Desktop oder Windows), das zur Bearbeitung des TPM verwendet wird, und Sie in die Lage versetzt, Produkte mit TPM zu konfigurieren und zu verwenden.

Stellen Sie sicher, dass Sie über eine alternative Methode zur Authentifizierung für Ihr verschlüsseltes Laufwerk verfügen. Wenn Sie PGP WDE in einer mit PGP Universal Server verwalteten Umgebung verwenden, können Sie Ihr Whole Disk Recovery-Token verwenden (für weitere Informationen siehe Ein Recovery-Token erstellen (auf Seite 196). Wenn Sie PGP WDE in einer eigenständigen Umgebung verwenden, sollten Sie einen Passwort-Anwender zur Sicherung oder einen Passwort-Anwender mit USB-Flash-Laufwerk zur zweifaktoriellen Authentifizierung erstellen (für weitere Informationen siehe Laufwerk verschlüsseln (auf Seite 157).

Verschlüsselungsoptionen einstellen

Nachdem Sie Ihre Festplatte auf die Verschlüsselung vorbereitet haben, sollten Sie den Prozess der erstmaligen Verschlüsselung nochmals durchgehen:

1 Legen Sie fest, ob die gesamte Festplatte oder nur bestimmte Partitionen verschlüsselt werden sollen. Siehe Verschlüsselung auf Partitionsebene (auf Seite 162).

2 Legen Sie die Optionen fest, die während der Verschlüsselung wirksam werden, z.B. den Stromausfallschutz oder die Verschlüsselungsgeschwindigkeit. Siehe PGP Whole Disk Encryption-Optionen verwenden (auf Seite 165).

3 Legen Sie die gewünschte Authentifizierungsmethode fest. Siehe Authentifizierungsmethode für das Laufwerk festlegen (siehe Authentifizierungsmethode für das Laufwerk festlegen auf Seite 158).

162


Hinweis: Wenn Sie Token-basierte Authentifizierung verwenden, bereiten Sie Ihr Token vor. Siehe Token zur Verwendung für Authentifizierung vorbereiten (siehe „Smartcard oder Token zur Verwendung für Authentifizierung vorbereiten“ auf Seite 162).

4 Verschlüsseln Sie das Laufwerk wie unter Laufwerk oder Partition verschlüsseln (auf Seite 167) beschrieben.

Hinweis: Wenn Sie ein von PGP Universal verwalteter Anwender sind, erstellt PGP WDE ein Wiederherstellungs-Token zur Entschlüsselung von Festplatten, deren Passwort verloren gegangen ist. Siehe Wiederherstellungs-Token erstellen (auf Seite 196).

Verschlüsselung auf Partitionsebene

Wenn Ihre Festplatte in Partitionen unterteilt ist, können Sie anstelle der gesamten Festplatte auch einzelne Partitionen verschlüsseln. Die folgenden Verschlüsselungsarten stehen zur Auswahl:

Eine Festplattenpartition

Alle Festplattenpartitionen mit Ausnahme einer einzigen

Eine beliebige Anzahl Partitionen

Nur die Dateien in den ausgewählten Partitionen werden verschlüsselt.

Der Partitionsmodus unterstützt Dual-Boot mit einem anderen Betriebssystem (zum Beispiel Linux) nur dann, wenn Sie nur die Windows-Partition verschlüsseln. Dieses andere Betriebssystem muß sich allerdings auf einer anderen, nicht verschlüsselten Partition befinden.

Hinweis: Sobald eine Festplatte oder eine ihrer Partitionen verschlüsselt wurde, kann die Partitionierung der Festplatte nicht mehr geändert werden (z.B. durch Hinzufügen, Entfernen oder Vergrößern bzw. Verkleinern einer Partition). Stellen Sie sicher, dass die Festplatte auf die gewünschte Weise partitioniert ist, bevor sie mit PGP Whole Disk Encryption geschützt wird.

Smartcard oder Token zur Verwendung für Authentifizierung vorbereiten

Wenn Sie sich zur Authentifizierung mit einer Smartcard oder Token entscheiden, ist zu beachten, dass Sie ein unterstütztes Gerät verwenden (eine Liste unterstützter Geräte finden Sie unter SmartCards zur Authentifizierung auf dem PGP BootGuard-Bildschirm verwenden (siehe „Smartcards oder Token zur Authentifizierung auf dem PGP BootGuard-Bildschirm verwenden“ auf Seite 163)).

Verwenden Sie das richtige Token-Modell.

163


Fügen Sie dem verschlüsselten Laufwerk weitere Anwender hinzu (z. B. einen Passwortanwender), damit der Zugriff bei einem Token-Verlust möglich ist.

Installieren Sie die Treiber des Tokens auf dem System, auf dem der Token verwendet werden soll, bevor Sie den Token verwenden.

Funktionsanforderungen für die Verwendung von Smartcards oder Token zur

Authentifizierung

Überprüfen Sie vor der Verschlüsselung, ob die folgenden Voraussetzungen erfüllt sind.

Warnung: Die Sicherheit wird erhöht, wenn Sie ein Schlüsselpaar auf einem Token zur Authentifizierung für den Zugriff auf eine mit PGP Whole Disk Encryption verschlüsselte Festplatte oder Partition verwenden. Wenn Sie jedoch den Token verlieren, können Sie sich nicht mehr im BootGuard-Startbildschirm authentifizieren, und sämtliche Daten auf der Festplatte oder Partition gehen verloren. Aus diesem Grund ist es ratsam, weitere Anwender (Passwort, Token oder beide) zu einer Festplatte oder Partition hinzuzufügen, die Sie mit PGP Whole Disk Encryption verschlüsselt haben. Wenn dann Ihr Token verloren geht, können sich diese Anwender authentifizieren und die Festplatte oder Partition für Sie freigeben.

Sie können nur auf dem Token gespeicherte Schlüsselpaare verwenden. Sie müssen entweder ein Schlüsselpaar auf dem Aladdin eToken erstellen oder ein vorhandenes Schlüsselpaar durch Auswahl des Befehls Hinzufügen zu über das Kontextmenü der rechten Maustaste auf den Token senden.

Wenn Sie ein Schlüsselpaar auf einem Token erstellen oder ein vorhandenes Schlüsselpaar an den Token senden, ändert sich das Passwort für den privaten Schlüssel dieses Schlüsselpaares in die PIN-Nummer des Tokens. Für einen Aladdin eToken lautet die Standard-PIN-Nummer 1234567890. Da diese Standardnummer allgemein bekannt ist, sollten Sie sie umgehend mit den Aladdin-Konfigurationsprogrammen ändern, um die Sicherheit des Schlüsselpaares nicht zu gefährden.

Smartcards oder Token zur Authentifizierung auf dem PGP BootGuard-Bildschirm

verwenden

Dieser Abschnitt beschreibt die Systemanforderungen (unterstützte Smartcards und Leser) und gibt eine Anleitung zur Verwendung von Smartcards zur Authentifizierung auf dem PGP BootGuard-Bildschirm.

164


Unterstützte Smartcard-Leser für PGP WDE-Authentifizierung Die folgenden Smartcard-Leser werden für die Kommunikation mit einer Smartcard vor dem Boot-Zeitpunkt unterstützt. Diese Leser können mit jeder unterstützten auswechselbaren Smartcard verwendet werden (die Verwendung einer Smartcard und eines Lesers des gleichen Herstellers ist nicht erforderlich).

Generische Smartcard-Leser

Jeder CCID-Smartcard-Leser wird unterstützt. Die folgenden Leser wurden von PGP Corporation getestet:

OMNIKEY CardMan 3121 USB für Desktop-Systeme (076b:3021)

OMNIKEY CardMan 6121 USB für mobile Systeme (076b:6622)

ActivIdentity USB 2.0 Leser (09c3:0008)

CyberJack Smartcard-Leser

Reiner SCT yberJack pinpad (0c4b:0100).

ASE Smartcard-Leser

Athena ASEDrive IIIe USB-Leser (0dc3:0802)

Unterstützte Smartcards oder Token für für PGP WDE-

Authentifizierung PGP Whole Disk Encryption unterstützt die folgenden Smartcards zur Pre-Boot-Authentifizierung:

ActiveIdentity ActivClientCAC Karten, sowohl 2005 als auch 2002 Modelle.

Aladdin eToken 64K, 2048-Bit-RSAfähig

Aladdin eToken PRO USB Key 32K, 2048-Bit-RSA-fähig

Aladdin eToken PRO ohne 2048-Bit-Fähigkeit (ältere Smartcards)

Hinweis: Andere Aladdin eToken, z. B. Token mit Flash, sollten funktionieren, vorausgesetzt sie sind APDU-kompatibel mit den unterstützten Token. OEM-Versionen von Aladdin eToken, wie zum Beispiel die von VeriSign ausgegebenen, sollten funktionieren, wenn sie APDU-kompatibel mit den unterstützen Token sind.

Athena ASEKey Crypto USB Token für Microsoft ILM

Athena ASECard Crypto Smart Card für Microsoft ILM

Athena ASECard Crypto Smart Card für Microsoft ILM. Hinweis: Die Athena-Token werden nur für die Speicherung von Credentials unterstützt.

Charismathics CryptoIdentity plug 'n' crypt Smartcard, nur Stick

EMC RSA SecurID SID800 Token

165


Hinweis: Dieser Token wird nur für die Speicherung von Credentials unterstützt. SecurID wird nicht unterstützt.

EMC RSA Smart Card 5200

Rainbow iKey 3000

S-Trust StarCOS Smartcard

Hinweis: S-Trust SECCOS Cards werden nicht unterstützt.

Erforderliche Treiber für Aladdin eToken

Bevor Sie den Aladdin eToken verwenden, müssen Sie auf dem betreffenden System die neuesten Software-Treiber installieren. Microsoft Windows erkennt zwar den Token, wenn die Software-Treiber nicht installiert sind, aber PGP Desktop erfordert die Installation der entsprechenden Software-Treiber. Die Software-Treiber für diesen Token sind im PGP Desktop-Installationspaket enthalten.

Sie können die neusten Software-Treiber auch von der Aladdin Support-Website (www.aladdin.com/support/default.asp) herunterladen.

Laden Sie die neueste Version des eToken PKI Client (RTE) Treibers herunter (bei der Verfassung dieses Dokuments war dies Version 4.5), und installieren Sie sie auf Ihrem System. Öffnen Sie nach Abschluss der Installation der eToken PKI-Client-Treibersoftware auf Ihrem System PGP Desktop und klicken Sie auf das Bedienfeld „PGP-Schlüssel“. Wenn die Treibersoftware korrekt installiert wurde, werden Smartcard-Schlüssel im Bedienfeld „PGP-Schlüssel“ aufgeführt.

Wenn Sie Anwender eines Token-Schlüssel als Authentifizierungsmethode für die mit PGP Whole Disk Encryption verschlüsselte Festplatte oder Partition angeben und dann im Feld Schlüssel auswählen der Eintrag Kein passender

Schlüssel verfügbar angezeigt wird, kann dies auf eines der folgenden Probleme hinweisen:

Ihr Aladdin eToken ist nicht eingesetzt.

Der Treiber weist die falsche Version auf oder wurde nicht richtig installiert.

Das Schlüsselpaar auf dem Token kann nicht verwendet werden, oder es befindet sich kein Schlüssel auf dem eToken (d. h. der eToken ist leer).

Die Optionen von PGP Whole Disk Encryption verwenden

Die Funktion PGP Whole Disk Encryption bietet zwei Optionen, die Sie vor dem Schutz einer Festplatte oder Partition auswählen können:

166


Maximale CPU-Auslastung. Dies ist die schnellste Variante, um eine Festplatte mit PGP Whole Disk Encryption erstmalig zu verschlüsseln, ohne Kompromisse bei der Sicherheit einzugehen. Der Geschwindigkeitszuwachs wird dadurch erreicht, dass die Verschlüsselung höchste Priorität gegenüber allen anderen Prozessen erhält, die auf dem Computer ausgeführt werden. Wählen Sie diese Option, wenn Sie den Computer während der Verschlüsselung nicht anderweitig nutzen möchten.

Stromausfallschutz. Die anfängliche Verschlüsselung kann jederzeit unterbrochen werden, indem der Computer kontrolliert heruntergefahren und anschließend neu gestartet wird. Allerdings muss unbedingt vermieden werden, dass der Computer einfach abgeschaltet wird, beispielsweise durch Stromausfall, versehentlich herausgezogenes Netzkabel usw. Wenn dies nicht völlig ausgeschlossen werden kann, beispielsweise, weil keine unterbrechungsfreie Stromversorgung zur Verfügung steht, sollten Sie die Option Stromausfallschutz wählen. Bei Auswahl von Stromausfallschutz wird die Verschlüsselung festgehalten; Wenn der Strom ausfällt, kann die Verschlüsselung nach einer Unterbrechung der Stromversorgung problemlos und zuverlässig fortgesetzt werden. Allerdings kann die anfängliche Verschlüsselung mit dieser Option um ein Vielfaches länger dauern.

Das ist auch nützlich bei der Veschlüsselung von USB-Geräten. Die Unterbrechnung der Verschlüsselung durch Enfernen eines USB-Geräts während dieses Prozesses kann das Gerät beschädigen und eine Neuformatierung erfordern. Die Verschlüsselung im Stromausfallschutz-Modus ermöglicht Ihnen, das USB-Gerät während der Verschlüsselung zu entfernen und mit der Verschlüsselung fortzufahren, nachdem es wieder eingesteckt wird.

Die folgende Tabelle erleichtert die Auswahl der Optionen, die individuell am besten geeignet sind:

Gewählte

Option

Vorteile

Anmerkungen

Keine Option (normal)

Die Festplatte oder Partition wird mit einem ausgewogenen Verhältnis von Geschwindigkeit und Sicherheit verschlüsselt. Der Computer kann während der laufenden Verschlüsselung genutzt werden. Diese Variante dürfte für die meisten Anwender am besten geeignet sein.

Die Verschlüsselung läuft mit Standardgeschwindigkeit. Es muss sichergestellt sein, dass der Computer nicht plötzlich von der Stromversorgung getrennt wird. Andernfalls können Datenverluste auftreten.

167


Gewählte

Option

Vorteile

Anmerkungen

Maximale CPU-Auslastung

Die Verschlüsselung der Festplatte oder Partition erfolgt schneller als im Normalmodus. Trotz der erhöhten Geschwindigkeit wird die Sicherheit der Verschlüsselung nicht beeinträchtigt.

Diese Option erfordert maximale Computerleistung. Das System reagiert daher während der Verschlüsselung der Festplatte oder der Partition erheblich langsamer.

Stromausfall-schutz

Die Festplatte oder Partition wird mit einem Verfahren verschlüsselt, das nach plötzlicher Unterbrechung der Stromversorgung problemlos und sicher fortgesetzt werden kann. Diese Option eignet sich für Standorte, an denen keine unterbrechungsfreie Stromversorgung zur Verfügung steht.

Die Verschlüsselung dauert erheblich länger als im Normalmodus.

Beide Optionen Die Festplatte oder Partition wird mit dem Sicherheitsvorteil des Modus Stromausfallschutz geschützt. Die Verschlüsselung erfolgt schneller, als wenn nur die Option Stromausfallschutz gewählt ist.

Dennoch ist der Zeitbedarf erheblich höher als im Normalmodus.

Eine Festplatte oder Partition verschlüsseln

Sobald Sie das Laufwerk vorbereitet und die Verschlüsselungsoptionen festgelegt haben, können Sie das Laufwerk oder die Partition verschlüsseln. Beachten Sie zuvor folgende Punkte:

168


Wenn Sie einen USB-Token zur Authentifizierung für eine mit PGP Whole Disk Encryption verschlüsselte Festplatte verwenden, achten Sie unbedingt darauf, dass Sie über den richten Token verfügen und die richtige Treiber-Software installiert ist. Nähere Informationen finden Sie unter Token-basierte Authentifizierung (auf Seite 159).

Hinweis: Token-basierte Authentifizierung steht nicht für Einzelanmeldung zur Verfügung.

Das System arbeitet zwar während des Verschlüsselungsvorgangs etwas langsamer als gewöhnlich, es kann aber uneingeschränkt verwendet werden. Nach der Verschlüsselung arbeitet es wieder mit normaler Geschwindigkeit.

PGP Desktop verlangsamt automatisch die Verschlüsselung, wenn Sie das System verwenden. Wenn Sie das System während der ersten Verschlüsselung nicht verwenden, wird der Verschlüsselungsvorgang schneller durchgeführt.

Sie können PGP Desktop während der Verschlüsselung minimieren oder schließen. Dies hat keine Auswirkungen auf den Prozess, erhöht aber die Geschwindigkeit des Verschlüsselungsvorgangs.

Sie können die Verschlüsselung vorübergehend unterbrechen, indem Sie auf Stopp und danach im Dialogfeld auf Pause klicken. Um den Vorgang fortzusetzen, klicken Sie auf Fortsetzen. Nach dem Klicken auf Fortsetzen müssen Sie sich möglicherweise authentifizieren.

Wenn Sie das System herunterfahren möchten, bevor die Verschlüsselung abgeschlossen ist, fahren Sie es normal herunter. Sie brauchen die Verschlüsselung dazu nicht anzuhalten. Beim nächsten Systemstart wird die Verschlüsselung automatisch dort fortgesetzt, wo sie unterbrochen wurde.

Sie können immer nur eine Festplatte oder Partition verschlüsseln, entschlüsseln bzw. umschlüsseln. Wenn Sie eine dieser Operationen mit einer Festplatte oder Partition starten, können Sie erst nach ihrem Abschluss eine andere Festplatte oder Partition verschlüsseln. Dies kann auch nicht durch Anhalten der ersten Operation umgangen werden.

Unterstütze Zeichen für PGP WDE-Passwörter

Die Funktion Einzelanmeldung von PGP Whole Disk Encryption unterstützt alphanumerische Zeichen, Interpunktionszeichen und Standard-Metazeichen. Tabulatoren und Steuerzeichen werden nicht unterstützt. Beachten Sie bei der Auswahl eines Passwortes den folgenden Satz unterstützter Zeichen.

abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ

0123456789

`!@#$%^&*()_+={}\\|:;[]'\<>,.?/-

Für internationale Tastaturen gilt die folgende Ausnahme:

169


Auf italienischen Tastaturen ist nicht erlaubt: `

Die Festplatte verschlüsseln

Sichern Sie das Laufwerk vor der Verschlüsselung, damit keine Daten verloren gehen, wenn der Laptop oder Computer verloren geht, gestohlen wird oder Sie das Laufwerk nicht entschlüsseln können.

Sie können immer nur eine Festplatte oder Partition verschlüsseln, entschlüsseln bzw. umschlüsseln. Wenn Sie eine dieser Operationen mit einer Festplatte oder Partition starten, können Sie erst nach ihrem Abschluss eine andere Festplatte oder Partition verschlüsseln. Dies kann auch nicht durch Anhalten der ersten Operation umgangen werden.

So schützen Sie eine Festplatte oder Partition mit PGP Whole Disk

Encryption:

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP Disk“. Das PGP Disk Bedienfeld wird hervorgehoben.

2 Klicken Sie auf PGP Whole Disk verschlüsseln. Der Arbeitsbereich für Encrypt Whole Disk (Partition) wird angezeigt, und Sie sehen eine Auflistung der Laufwerke in Ihrem System, die durch PGP Whole Disk Encryption geschützt werden können: Laufwerke, Wechseldatenträger, etc.

3 Klicken Sie oben im Arbeitsbereich Ganze Festplatte (Partition)

verschlüsseln im Abschnitt Wählen Sie die zu verschlüsselnde

Festplatte oder Partition aus auf die Festplatte oder Partition, die Sie mit PGP Whole Disk Encryption verschlüsseln möchten.

170


4 Legen Sie bei Bedarf die Verschlüsselungsoptionen fest. Nähere Informationen zu Ihren Auswahlmöglichkeiten finden Sie unter PGP Whole Disk Encryption-Optionen verwenden (auf Seite 165).

5 Legen Sie im Abschnitt Anwenderzugriff fest, wie Sie auf die geschützte Festplatte oder Partition zugreifen möchten:

Tokenbasierter Anwender öffentlicher Schlüssel. Wenn Sie eine Festplatte (keinen Wechseldatenträger) schützen.

Geben Sie den Anwendernamen oder die E-Mail-Adresse des Schlüssels ein, und drücken Sie die Eingabetaste, um nach dem Schlüssel zu suchen. Sie können auch Anwenderschlüssel

hinzufügen auswählen. Eine Liste der Schlüsselpaare auf Ihrem Schlüsselbund wird angezeigt. Wählen Sie im Feld „Schlüsselquelle“ den oder die gewünschten Schlüssel aus.Klicken Sie auf Hinzufügen, um die Schlüssel in das Feld Hinzuzufügende Schlüssel zu übernehmen und klicken

Sie auf OK. Klicken Sie auf Verschlüsseln.

Passwortanwender. Wenn Sie die Festplatte oder Partition mit einem Passwort schützen möchten, wählen Sie Neuer

Passwortanwender. Das Dialogfeld PGP Disk-Assistent Whole Disk

Encryption – Neuer Anwender erscheint.

Zur Entsperrung des verschlüsselten Laufwerks mit Ihrer Windows-

Kontoanmeldung wählen Sie Windows-Passwort verwenden und klicken dann auf Weiter. Im Dialogfeld PGP Disk-Assistent:

Zweifaktorielle Authentifizierung wählen Sie die Option Nur mit

Authentifizierung per Passwort fortfahren und klicken Sie auf Weiter. Geben Sie im Dialogfeld PGP Disk-Assistent: Windows-

Kontoanmeldung Ihren Anwendernamen, Ihre Domain und Ihr Passwort in Windows ein und klicken auf Weiter. Klicken Sie dann auf Fertig

Wenn Sie die Option Windows-Passwort verwenden ausgewählt haben, geben Sie nach der ersten Verschlüsselung beim Systemstart im PGP BootGuard-Startbildschirm Ihr Windows-Passwort ein. Sie werden von der PGP-Funktion zur einmaligen Anmeldung (Single Sign-On, SSO) automatisch in Windows angemeldet und brauchen Ihr Passwort nur einmal einzugeben. (Dies ist die Funktion Einzelanmeldung. Weitere Informationen finden Sie unter PGP WDE-Einzelanmeldung verwenden auf Seite 153)

Zur Entsperrung des verschlüsselten Laufwerks oder Partition unter Verwendung eines neuen Passworts wählen Sie Neues Passwort

erstellen aus und klicken Sie dann im Dialogfeld PGP Disk-Assistent:

Zweifaktorielle Authentifizierung auf die Option Nur mit

Authentifizierung per Passwort fortfahren und klicken Sie auf Weiter. Geben Sie im Dialogfeld PGP Disk-Assistent:

Anwendernamen und Passwort erstellen den Namen des neuen Anwenders sowie das Passwort für diesen Anwender ein. Wiederholen Sie die Eingabe im Feld Bestätigen und klicken Sie erst auf Weiter und dann auf Fertig.

171


Zur Entsperrung des verschlüsselten Laufwerks oder einer

Partition unter Verwendung der zweifaktoriellen

Authentifizierung mit Passwort und USB-Flash-Laufwerk wählen Sie die Option Neues Passwort erstellen und klicken dann auf Weiter.

Im Dialogfeld PGP Disk-Assistent: Zweifaktorielle Authentifizierung wählen Sie die Option Generisches USB-Flash-Laufwerk aus, wählen das entsprechende Laufwerk aus und klicken auf Weiter. Im Dialogfeld PGP Disk Assistant: Anwendernamen und Passwort erstellen geben Sie den Namen des neuen Anwenders sowie dessen Passwort ein. Wiederholen Sie die Eingabe im Feld Bestätigen und klicken Sie erst auf Weiter und dann auf Fertig.

Hinweis: Zur Entsperrung des verschlüsselten Laufwerks oder einer Partition unter Verwendung von zweifaktorieller Authentifizierung mit Passwort und TPM wählen Sie die Option Neues Passwort erstellen und klicken dann auf Weiter. Im Dialogfeld PGP Disk-Assistent: Zweifaktorielle Authentifizierung wählen Sie die Option Trusted Platform

Module und klicken auf Weiter. Im Dialogfeld PGP Disk-Assistent: Anwendernamen und Passwort erstellen geben Sie den Namen des neuen Anwenders sowie dessen Passwort ein. Wiederholen Sie die Eingabe im Feld Bestätigen und klicken Sie erst auf Weiter und dann auf Fertig.

Als zusätzliche Sicherheitsmaßnahme werden die für das Passwort eingegebenen Zeichen gewöhnlich nicht auf dem Bildschirm angezeigt. Wenn Sie jedoch sicher sind, dass Sie nicht beobachtet werden (weder physisch über Ihre Schulter, noch durch Abfangen der vom Monitor ausgestrahlten Signale) und die Zeichen beim Eingeben des Passworts gerne sehen möchten, aktivieren Sie das Kontrollkästchen Tastatureingabe anzeigen. Siehe Passwort-Qualitätsanzeige (auf Seite 336).

Achtung: Es ist dringend zu empfehlen, dass Sie eine unterstützte Tastaturbelegung verwenden, wenn Sie ein Passwort für eine mit PGP Whole Disk Encryption verschlüsselte Festplatte oder Partition erstellen. Folgende Tastaturbelegungen werden unterstützt: Englisch (USA), Englisch (UK), Deutsch, Japanisch, Spanisch und Französisch. Das Passwort zur Authentifizierung muss im Anmeldefenster von PGP Whole Disk Encryption mit einer dieser Tastaturbelegungen eingegeben werden. Eine andere Tastaturbelegung kann zu Problemen bei der Authentifizierung führen. Weitere Informationen finden Sie unter Authentifizierung im PGP BootGuard-Bildschirm (auf Seite 175).

6 Vergewissern Sie sich, dass Sie den Anwenderzugriff richtig konfiguriert haben, und klicken Sie auf Verschlüsseln.

7 Lesen Sie die Informationen im Dialogfeld und klicken Sie dann auf OK.

172


8 Die Fortschrittsanzeige informiert Sie über den Fortgang der Verschlüsselung.

9 Sie können die Verschlüsselung vorübergehend unterbrechen, indem Sie auf Stopp und danach im Dialogfeld auf Pause klicken. Um den Vorgang fortzusetzen, klicken Sie auf Fortsetzen. Sie werden möglicherweise zur Eingabe des entsprechenden Passworts aufgefordert.

Hinweis: Wenn die Verschlüsselung abgebrochen wird und PGP Desktop einen Schreib-/Lesefehler meldet, wurden auf der Festplatte oder Partition beschädigte Sektoren erkannt. Sie können die Verschlüsselung fortsetzen oder den Prozess abbrechen und die Fehler beheben. Weitere Informationen finden Sie unter Laufwerksfehler während der Verschlüsselung (auf Seite 173). Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, werden die während der Verschlüsselung angetroffenen beschädigten Sektoren dem PGP Universal Server gemeldet und die Verschlüsselung wird fortgesetzt.

Nach Abschluss der Verschlüsselung wird der Bereich Benutzerzugang angezeigt.

173


10 PGP Corporation empfiehlt die Erstellung eines Wiederherstellungsdatenträgers, nachdem das Laufwerk verschlüsselt wurde. Nähere Informationen finden Sie unter Wiederherstellungsdatenträger erstellen (auf Seite 153).

Laufwerksfehler während der Verschlüsselung

Hinweis: Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, werden die während der Verschlüsselung angetroffenen beschädigten Sektoren dem PGP Universal Server gemeldet und die Verschlüsselung wird fortgesetzt.

Auf vielen Festplatten gibt es fehlerhafte Sektoren. Falls PGP WDE während der Verschlüsselung defekte Sektoren erkennt, hält das Programm an. Sie erhalten eine Warnung, die besagt, dass PGP WDE Festplattenfehler gefunden hat. (Bitte beachten Sie, dass diese Fehler nicht mit der Verschlüsselung zusammenhängen; sie zeigen an, dass Ihre Festplatte gewartet werden muss.)


174


Fortsetzung der Verschlüsselung erzwingen, indem Sie auf Ja klicken. Festplattenfehler treten häufig auf und sind oft harmlos. Durch Klicken auf Ja wird der Verschlüsselungsprozess fortgesetzt, und PGP WDE ignoriert weitere Fehler.

Halten Sie die Verschlüsselung an, indem Sie auf Nein klicken. Entschlüsseln Sie die Festplatte vollständig. Reparieren Sie anschließend die Festplattenfehler mit einem Tool wie z.B. SpinRite oder Norton Disk Doctor, bevor Sie erneut versuchen, die Festplatte zu verschlüsseln. Wenn es Anzeichen dafür gibt, dass die Festplatte stark fragmentiert ist oder viele Sektoren defekt sind, sollten Sie die erforderliche Wartung durchführen, bevor Sie die Festplatte verschlüsseln.

PGP WDE-verschlüsselte Laufwerke verwenden

Wenn Sie das Boot-Laufwerk (oder eine sekundäre Festplatte) Ihres Systems mit PGP Whole Disk Encryption verschlüsseln, ändert sich das Verhalten beim Systemstart. Sie sehen dann zunächst den PGP BootGuard-Anmeldebildschirm, in dem Sie zur Eingabe Ihres Passworts aufgefordert werden.

PGP WDE entschlüsselt dann das Laufwerk. Wenn Sie die Einzelanmeldung-Funktion aktiviert haben (d. h. Ihr PGP WDE-Passwort mit Ihrer Windows-Kontoanmeldung synchronisiert haben), werden Sie auch bei Windows angemeldet.

Wenn Sie ein PGP WDE-verschlüsseltes Laufwerk verwenden, wird es automatisch bei Bedarf entschlüsselt und geöffnet. Nachdem ein Laufwerk vollständig verschlüsselt wurde, ist auf den meisten modernen Computern keine merkliche Geschwindigkeitseinbuße festzustellen.

Nach dem Entsperren einer Festplatte oder einer Partition stehen die darauf befindlichen Dateien nicht nur Ihnen, sondern allen Personen zur Verfügung, die physischen Zugang zu Ihrem System haben. Die Dateien bleiben so lange entsperrt, bis Sie den Computer herunterfahren und die Dateien dadurch wieder sperren.

Warnung: Da Ihre Dateien so lange entsperrt bleiben, bis Sie sie wieder sperren, besteht die Möglichkeit der Verwendung eines PGP Virtual Disk-Laufwerks für Dateien, die gesichert sein müssen, während der Computer in Verwendung ist. Nähere Informationen finden Sie unter PGP Virtual Disk-Laufwerke verwenden (auf Seite 204).

Wenn Sie ein System mit einem verschlüsselten Boot-Laufwerk bzw. Partition herunterfahren oder neu starten oder eine verschlüsselte Wechselplatte vom System entfernen, bleiben alle Dateien auf dem Laufwerk bzw. der Partition verschlüsselt und vollständig geschützt, da die Daten niemals in einem nicht verschlüsselten Format auf das Laufwerk bzw. die Partition geschrieben werden. Um erneut auf die Dateien zugreifen zu können, ist die korrekte Authentifizierung (Passwort, Token oder privater Schlüssel) erforderlich.

175


Authentifizierung im PGP BootGuard-Bildschirm

Wenn Sie im PGP BootGuard-Anmeldebildschirm zur Eingabe des richtigen Passworts für das geschützte Laufwerk bzw. die geschützte Partition aufgefordert werden, geschieht das aus einem der folgenden Gründe:

Wenn das Boot-Laufwerk bzw. die Boot-Partition mit PGP Whole Disk Encryption geschützt ist, müssen Sie sich ordnungsgemäß authentifizieren, damit der Systemstart erfolgen kann. Dies ist erforderlich, weil die Dateien des Betriebssystems, die den Systemstart steuern, verschlüsselt sind und entschlüsselt werden müssen, bevor sie zum Starten des Systems verwendet werden können. Wenn Sie bei der Verschlüsselung des Boot-Laufwerks bzw. der Boot-Partition die SSO-Option angegeben haben, erfolgt über die Einzelanmeldungsfunktion auch die Anmeldung bei Windows.

Wenn eine sekundäre Festplatte oder Partition mit PGP Whole Disk Encryption geschützt ist, können Sie sich bereits beim Systemstart authentifizieren. Es ist dann keine Authentifizierung mehr erforderlich, wenn Sie auf Dateien auf der sekundären Festplatte oder Partition zugreifen. Da die Dateien auf der sekundären Festplatte oder Partition (die nicht zum Booten verwendet wird) für den Systemstart nicht erforderlich sind, werden Sie nicht zur Authentifizierung aufgefordert. Mit der Funktion Umgehen können Sie die Authentifizierung beim Systemstart überspringen. Sie werden dann später zur Authentifizierung aufgefordert, wenn Sie Dateien auf der sekundären Festplatte oder Partition verwenden wollen.

Hinweis: Im PGP BootGuard-Anmeldebildschirm werden die Authentifizierungsdaten aller Anwender akzeptiert, die für ein verschlüsseltes Laufwerk oder eine verschlüsselte Partition konfiguriert sind. Wenn beispielsweise auf einem System zwei Anwender für ein Boot-Laufwerk oder eine Boot-Partition, und zwei weitere Anwender für eine sekundäre Festplatte oder Partition konfiguriert sind, kann sich jeder dieser vier Anwender beim Systemstart mit seinem Passwort im PGP BootGuard-Anmeldebildschirm authentifizieren.

Im PGP BootGuard-Anmeldebildschirm haben Sie folgende Möglichkeiten:

Sie können sich für ein verschlüsseltes Boot- oder Sekundärlaufwerk sowie für eine verschlüsselte Boot- oder Sekundärpartition im System authentifizieren.

Sie können Informationen über die Laufwerke und Partitionen im System anzeigen und auf die Funktion Umgehen zugreifen.

Sie können eine Tastaturbelegung auswählen.

Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, kann es sein, dass Ihr Administrator den Bildschirm PGP Whole Disk Encryption BootGuard angepasst hat, um zusätzlichen Text oder ein spezifisches Bild, wie z. B. Ihr Firmenlogo, mit aufzunehmen. Die Grafik in diesem Handbuch illustriert die Standardinstallation. Ihr tatsächlicher Anmeldebildschirm sieht möglicherweise anders aus, wenn er von Ihrem Administrator angepasst wurde.

176


So authentifizieren Sie sich im PGP BootGuard-Anmeldebildschirm:

1 Starten Sie das System neu, auf dem ein Laufwerk oder eine Partition mit PGP Whole Disk Encryption verschlüsselt ist.

Beim Systemstart wird der PGP BootGuard-Anmeldebildschirm angezeigt.

Hinweis: Wenn Sie ein USB-Laufwerk zur zweifaktoriellen Authentifizierung verwenden, sollten Sie sicherstellen, dass das USB-Laufwerk ordnungsgemäß eingesteckt ist bevor Sie Ihr System starten oder neustarten.

2 Geben Sie ein gültiges Passwort oder Windows-Passwort ein und drücken Sie die Eingabetaste.

Achtung: Im PGP BootGuard-Anmeldebildschirm wird davon ausgegangen, dass die Eingabe des Passworts auf einer Tastatur mit unterstützter Tastaturbelegung erfolgt. Wenn Sie beim Erstellen des Passworts für ein mit PGP Whole Disk Encryption geschütztes Laufwerk bzw. eine geschützte Partition eine andere Tastaturbelegung verwenden, können bei der Authentifizierung Probleme auftreten, da die Zuordnungen der Tasten der beiden Tastaturbelegungen unterschiedlich sind. Nähere Informationen finden Sie unter Tastaturbelegungen auswählen (auf Seite 178).

Zur Anzeige der eingegebenen Zeichen drücken Sie Tab, bevor Sie mit der Eingabe beginnen.

Falls Sie sich bei der Eingabe geirrt haben oder denken, es könne der Fall sein, drücken Sie Esc. Dadurch werden alle Zeichen gelöscht, und Sie können die Eingabe wiederholen.

177


Hinweis: Die Token-Authentifizierung in PGP BootGuard erfordert, dass Sie STRG+Eingabe drücken, statt nur auf die Eingabetaste zu drücken. Es kann bei der Authentifizierung von Token in PGP BootGuard auch zu Verzögerungen kommen.

3 Wenn ein gültiges Passwort eingegeben wurde, wird der PGP BootGuard-Anmeldebildschirm ausgeblendet, und das System wird normal gestartet.

4 Wenn Sie das Boot-Laufwerk verschlüsselt und zur Authentifizierung Ihre Windows-Kontoanmeldung verwendet haben, erfolgt die Anmeldung bei Windows über PGP Whole Disk Encryption. Sie müssen Ihr Passwort nur einmal eingeben.Wenn Sie ein ungültiges Passwort eingegeben haben, wird eine Fehlermeldung angezeigt. Geben Sie in diesem Fall das Passwort noch einmal ein.

Akustische Signale während der Authentifizierung

Wenn Ihr PGP-Administrator diese Option aktiviert hat, gibt Ihr System während der PGP Desktop BootGuard-Authentifizierung akustische Signale aus. Es gibt drei verschiedene Tonpaare zur Anzeige des Zeitpunkts der Passworteingabe und des Erfolgs oder Fehlschlagens der Authentifizierung.

Jedes Signal beginnt mit einem Ton mittlere Tonhöhe und der zweite Ton ist höher, gleich oder niedriger.

Wenn das System erstmalig zur Eingabe des Passwortes/Pins ist, ertönt der mittlere-mittlere Ton (bereit). Geben Sie, wenn Sie diesen Ton hören, Ihr Passwort ein und drücken Sie die Eingabetaste.

Nachdem Sie ein Passwort eingegeben haben, werden die Töne abgegeben, die einem Erfolg oder Fehlschlagen des Passwortes entsprechen:

Bei erfolgreicher Passwort-Authentifizierung wird der mittlere bis hohe Ton abgegeben. Dann setzt das System den Systemstart fort.

Bei nicht erfolgreicher Passwort-Authentifizierung wird der mittlere bis niedrige Ton abgegeben. Dann wird der BootGuard-Authentifizierungsbildschirm angezeigt und Sie haben die Gelegenheit, im Passwortfeld Ihr Passwort erneut einzugeben.

Diese akustischen Signaltöne können vom PGP-Administrator nicht individuell angepasst werden. Der Administrator kann nur angeben, ob akustische Signale während der BootGuard-Authentifizierung aktiviert ein sollen.

178


Wenn Sie im PGP BootGuard-Bildschirm ausgesperrt werden

Wenn Sie PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung verwenden, hat Ihr PGP Universal Server-Administrator möglicherweise eine PGP BootGuard-Sperre festgelegt. Sie werden „ausgesperrt“, wenn Sie die zulässige Hchstanzahl von Passworteingabeversuchen im PGP BootGuard-Bildschirm überschritten haben. Dies gilt nur für Passwortanwender (Token- oder TPM-Anwender sind hiervon nicht betroffen).

Zur Beseitigung dieser Sperre wenden Sie sich bitte an den PGP Universal Server-Administrator.

Tastaturbelegungen auswählen

Der PGP Whole Disk Encryption-Anmeldebildschirm unterstützt die folgenden Tastaturbelegungen:

Belgisch




Dänisch

Englisch

Englisch (USA-International)

Estnisch

Finnisch

Französisch



Deutsch

Deutsch (Deutschland/Österreich)

Deutsch (Schweiz)

Irisch

Isländisch

Italienisch

Japanisch


Koreanisch

179


Niederländisch

Norwegisch

Polnisch



Rumänisch

Schwedisch

Spanisch




Ungarisch

Bei den verschiedenen Tastaturbelegungen können Zeichen unterschiedlichen Tasten zugeordnet sein, und dies kann bei der Eingabe des Passworts zu Problemen führen. Wählen Sie die Tastaturbelegung aus, die Ihrer Tastatur am besten entspricht, und verwenden Sie diese Tastaturbelegung unbedingt für jede Authentifizierung.

So wählen Sie eine Tastaturbelegung aus:

1 Starten Sie das System mit der Festplatte oder Partition, die mit PGP Whole Disk Encryption geschützt ist. Beim Systemstart wird der PGP BootGuard-Anmeldebildschirm angezeigt.

2 Drücken Sie den Abwärtspfeil auf Ihrer Tastatur, bis Tastatur markiert ist.

180


3 Drücken Sie die Eingabetaste. Der Tastaturbelegungsbildschirm wird angezeigt.

4 Drücken Sie die Tabulatortaste, um zur Liste mit den Tastaturbelegungen zu wechseln, und wählen Sie die gewünschte Belegung mit der Aufwärts- oder Abwärtspfeiltaste aus.

5 Drücken Sie erneut die Tabulatortaste. Die Option Zurück wird markiert.

6 Drücken Sie die Eingabetaste. Der PGP BootGuard-Anmeldebildschirm wird wieder angezeigt.

PGP WDE-Einzelanmeldung verwenden

Durch die Einzelanmeldung können Sie sich mit Ihrem Windows-Kennwort zugleich bei PGP WDE authentifizieren und in Windows anmelden.

Funktionsweise der Einzelanmeldung

Die Funktion zur Einzelanmeldung nutzt eine der Methoden, die von Microsoft Windows für das Anpassen der Windows-Anmeldung bereitgestellt werden. PGP WDE verwendet Ihre konfigurierten Anmeldeinformationen, um bestimmte Registrierungseinträge dynamisch zu erstellen, wenn Sie sich anmelden.

Hinweis: Ihr Windows-Kennwort wird weder in der Registrierung noch in irgendeiner Form (verschlüsselt oder als Klartext) auf der Festplatte gespeichert.

181


Voraussetzungen für die Verwendung der Einzelanmeldung

PGP Whole Disk Encryption muss installiert sein.

Hinweis: Für PGP-Administratoren: Wenn Sie diese Funktion für Systeme in einer Domain konfigurieren, muss sie unbedingt auf dem Domain-Controller aktiviert werden. Diese Einstellung wird von der Einzelanmeldungsfunktion zur Synchronisierung von Passwortänderungen verwendet; ist die Einstellung nicht gewählt, werden Windows-Kennwortänderungen nicht mit PGP-Einzelanmeldung synchronisiert.

Lokale Anwender und Einzelanmeldung

Wenn ein Computer nicht Mitglied einer Domain ist, deaktiviert PGP Whole Disk Encryption automatische verschiedene Anwenderzugriffsfunktionen (z. B. die Verwendung des Begrüßungsbildschirms sowie den schnellen Anwenderwechsel, der auf dem Begrüßungsbildschirm basiert), wenn einem Laufwerk ein Einzelanmeldungsanwender hinzugefügt wird; dadurch wird das Windows-Sicherheitsdialogfeld verfügbar, wenn der Anwender die Tastenkombination Strg+Alt+Entf drückt.

Diese Funktionen wurden bereits automatisch deaktiviert, wenn ein Computer Mitglied einer Domain ist.

Das Laufwerk für die Verwendung der Einzelanmeldung verschlüsseln

So verschlüsseln Sie das Laufwerk für die Verwendung der

Einzelanmeldung

1 Klicken Sie auf das Bedienfeld „PGP-Laufwerk“ und wählen Sie dann Gesamte Festplatte verschlüsseln.

2 Wählen Sie das Laufwerk oder die Partition, die Sie verschlüsseln möchten, und wählen Sie ggf. die gewünschten die PGP Whole Disk Encryption-Optionen. Nähere Informationen zu diesen Optionen finden Sie unter Verschlüsselungsoptionen einstellen (auf Seite 161).

3 Wählen Sie im Bereich Anwenderzugriff die Option Neuer

Passwortanwender.

4 Wählen Sie Windows-Kennwort verwenden und klicken Sie auf Weiter.

5 Geben Sie Ihr Windows-Anmeldekennwort ein und klicken Sie auf Beenden.

182


PGP Whole Disk Encryption überprüft, ob Ihr Name in der gesamten Domain korrekt ist und dass das Windows-Kennwort korrekt ist. PGP Whole Disk Encryption überprüft auch Ihr Passwort daraufhin, ob es nur zulässige Zeichen enthält. Wenn es unzulässige Zeichen enthält, dürfen Sie nicht fortfahren. Nähere Informationen zu zulässigen Zeichen finden Sie unter Unterstützte Zeichen für PGP WDE-Passwörter (auf Seite 168).

6 Klicken Sie auf Verschlüsseln und dann auf OK.

Mehrere Anwender und Einzelanmeldung

Bis zu 28 Benutzer können für Einzelanmeldung konfiguriert werden. PGP Corporation empfiehlt jedoch, die Zahl der Einzelanmeldungsanwender auf möglichst wenige Personen, die das System gemeinsam benutzen müssen, zu beschränken. Obwohl es technisch möglich ist, ist jedoch die gemeinsame Benutzung eines einzelnen verschlüsselten Computers durch eine große Zahl von Anwendern keine sichere Lösung und PGP Corporation rät davon ab.

Hinweis: Die Einzelanmeldung ist nur mit Passwort möglich; die Verwendung von Benutzerschlüsseln ist nicht möglich; auch ist Einzelanmeldung nicht mit Smartcards oder Token kompatibel.

Mit Einzelanmeldung anmelden

Nach der Konfiguration von Einzelanmeldung wird nach dem Systemstart der PGP BootGuard-Bildschirm angezeigt. Wenn Sie den korrekten Benutzernamen und Passwort eingeben, meldet PGP WDE Sie in der Windows-Sitzung an und gibt Ihnen Zugang zu den Laufwerkspartitionen, die mit PGP WDE verschlüsselt sind.

Ihr Passwort für die Einzelanmeldung ändern

Um Ihre Windows-Passwortänderungen mit PGP WDE zu synchronisieren, müssen Sie Ihr Passwort für Einzelanmeldung ändern, indem Sie die Funktion Kennwort ändern… im Windows-Sicherheitsdialogfeld verwenden; der Zugriff darauf erfolgt mit Strg+Alt+Entf.

So ändern Sie Ihr Passwort

1 Drücken Sie die Tastenkombination Strg+Alt+Entf.

2 Geben Sie Ihr altes Passwort ein.

3 Geben Sie Ihr neues Passwort ein und bestätigen Sie es.


183


Einzelanmeldung wird automatisch und transparent mit diesem neuen Passwort synchronisiert. Sie können das neue Passwort bereits bei der nächsten Anmeldung verwenden.

Achtung: Wenn Sie das Passwort auf andere Art ändern – Domain-Controller, Windows-Systemsteuerung, Systemadministrator oder anderes System – schlägt Ihre nächste Anmeldung im PGP BootGuard-Bildschirm fehl. Sie müssen dann Ihr altes Windows-Passwort eingeben. Nach der erfolgreichen Anmeldung mit dem alten Windows-Passwort im PGP BootGuard-Bildschirm wird das Windows-Anmeldefenster zur Eingabe des Anwendernamens und des Passworts angezeigt. Wenn Sie sich mit dem neuen Windows-Passwort erfolgreich angemeldet haben, wird PGP Whole Disk Encryption mit dem neuen Passwort synchronisiert.

Dialogfeld „Windows-Anmeldung“ anzeigen

Wenn Sie PGP WDE mit SSO (Einzelanmeldung) verwenden, werden Sie nach der erfolgreichen Eingabe Ihres Passwortes am PGP BootGuard-Bildschirm automatisch an Ihrem Computer angemeldet. Nach dem Start von Windows wird Ihr Windows-Desktop angezeigt.

Es ist jedoch manchmal möglich, dass Sie sich über das Windows Anmelde-Dialogfeld anmelden müssen anstatt automatisch angemeldet zu werden. Sie könnten zum Beispiel auf bestimmte Netzwerk-Dialogfeld, wie z. B. Ihr Firmen-VPN, zugreifen müssen, die bei Verwendung von Einzelanmeldung (SSO) umgangen werden.

So umgehen Sie die PGP WDE Einzelanmeldung (SSO) und zeigen den

Windows-Anmeldebildschirm an

1 Melden Sie sich ganz normal im PGP BootGuard-Bildschirm an Ihrem Computer an, indem Sie Ihr Passwort eingeben und die Eingabetaste drücken.

2 Drücken und halten Sie nach Anzeige des Microsoft Windows Splash-Bildschirms die Umschalttaste gedrückt, bis das Windows Anmelde-Dialogfenster erscheint. Beachten Sie, dass Sie die Umschalttaste beim Splash-Bildschirm drücken können, wenn der Windows-Startprozess ca. halb abgeschlossen ist.

3 Geben Sie nach Anzeige des Windows Anmelde-Dialogfelds Ihre Informationen zur Anmeldung bei Ihrem System ein.

Den Schutz Ihrer Festplatte aufrechterhalten

In den folgenden Abschnitten wird das Arbeiten mit dem Laufwerk nach der Verschlüsselung mit PGP WDE beschrieben.

184


Laufwerks- und Partitionsinformationen abrufen

So zeigen Sie auf dem Advanced PGP BootGuard-Anmeldebildschirm

Informationen zu schreibgeschützten Laufwerken und Partitionen an

1 Starten Sie das System neu, auf dem ein Laufwerk oder eine Partition mit PGP Whole Disk Encryption verschlüsselt ist. Beim Systemstart wird der PGP BootGuard-Anmeldebildschirm angezeigt.

2 Drücken Sie den Abwärtspfeil auf der Tastatur. In der rechten unteren Ecke wird Erweitert hervorgehoben.

3 Drücken Sie die Eingabetaste. Der Advanced PGP BootGuard-Anmeldebildschirm wird wieder angezeigt.

Dieser Bildschirm enthält die folgenden Elemente:

Alle Laufwerke und Partitionen des Systems, einschließlich des Verschlüsselungsstatus von Laufwerken und Partitionen, die mit PGP Whole Disk Encryption verschlüsselt sind

Der Computername.

Die Computer-ID.

Das aktuell ausgewählte Laufwerk bzw. die aktuell ausgewählte Partition mit einem Vermerk, ob die Funktion Umgehen für das betreffende Laufwerk bzw. die betreffende Partition verfügbar ist

4 Um zum PGP BootGuard-Anmeldebildschirm zurückzukehren, markieren Sie Zurück rechts unten im Bildschirm und drücken die Eingabetaste.

185


Die Funktion „Umgehen“ verwenden

Mit der Funktion „Umgehen“ können Sie die Authentifizierung beim Systemstart überspringen. Wenn nicht das Boot-Laufwerk bzw. die Boot-Partition, sondern eine andere Festplatte oder Partition des Systems mit PGP Whole Disk Encryption verschlüsselt ist, wird beim Systemstart der PGP BootGuard-Anmeldebildschirm angezeigt. Mit der Funktion Umgehen können Sie die Authentifizierung überspringen, sodass der Systemstart vom Boot-Laufwerk bzw. von der Boot-Partition erfolgen kann.

Achtung: Sie können die Funktion „Umgehen“ nur dann verwenden, wenn das Boot-Laufwerk bzw. die Boot-Partition nicht mit PGP Whole Disk Encryption geschützt ist. Ist das Laufwerk bzw. die Partition dagegen geschützt, und Sie umgehen die Authentifizierung, dann wird das Betriebssystem nicht geladen, und der Computer fährt nicht hoch.

So verwenden Sie die Umgehungsfunktion

1 Starten Sie das System neu, auf dem ein Laufwerk oder eine Partition mit PGP Whole Disk Encryption geschützt ist. Beim Systemstart wird der PGP BootGuard-Anmeldebildschirm angezeigt.

2 Drücken Sie den Abwärtspfeil auf der Tastatur. In der rechten unteren Ecke wird Erweitert hervorgehoben.

3 Drücken Sie die Eingabetaste. Der Advanced PGP BootGuard-Anmeldebildschirm wird wieder angezeigt.

4 Drücken Sie erneut den Abwärtspfeil auf der Tastatur. In der rechten unteren Ecke wird Umgehen hervorgehoben.

5 Drücken Sie die Eingabetaste. Der PGP BootGuard Advanced-Anmeldebildschirm wird nicht mehr angezeigt und der Systemstart läuft ganz normal ab.

Andere Anwender zu verschlüsselten Laufwerken oder Partitionen

hinzufügen

Der Anwender, der ein verschlüsseltes Laufwerk oder eine verschlüsselte Partition erstellt, kann sie anderen Anwendern zugänglich machen. Diese können dann mit ihrem eigenen eindeutigen Passwort, privaten Schlüssel oder Token auf das verschlüsselte Laufwerk bzw. die verschlüsselte Partition zugreifen.

186


Achtung: Wenn mehrere Anwender auf ein mit PGP Whole Disk Encryption geschütztes Laufwerk bzw. eine Partition zugreifen können, ist gewährleistet, dass der Zugriff im Fall eines Verlusts des Passwort bzw. des Authentifizierungs-Tokens weiterhin möglich ist. Anwender, die für ein verschlüsseltes Laufwerk oder eine verschlüsselte Partition konfiguriert sind, können sich im Anmeldebildschirm von PGP Whole Disk Encryption authentifizieren und dann jedes geschützte Laufwerk bzw. jede geschützte Partition im System entsperren.

So fügen Sie weitere Anwender zu Laufwerken oder Partitionen hinzu,

die mit PGP Whole Disk Encryption verschlüsselt sind:

1 Klicken Sie auf das Bedienfeld „PGP Disk“ im linken Fensterbereich des Hauptbildschirms von PGP Desktop.

2 Wählen Sie das verschlüsselte Laufwerk oder die verschlüsselte Partition, für das bzw. die Sie weitere Anwender hinzufügen möchten, in der Laufwerksliste oben im Arbeitsbereich PGP Disk aus.

3 Klicken Sie auf Neuer Passwortanwender. Das Dialogfeld „Anwendertyp auswählen“ wird angezeigt.

4 Befolgen Sie die Anweisungen im Schritt Anwenderzugang in Laufwerk verschlüsseln (auf Seite 169).

Hinweis: Der öffentliche Schlüssel ist aus folgenden Gründen die sicherste Schutzmethode beim Hinzufügen weiterer Anwender zu einem Laufwerk oder einer Partition, das/die mit PGP Whole Disk Encryption verschlüsselt ist: (1) Passwörter müssen neuen Anwendern nicht mitgeteilt werden. Das Risiko, dass Passwörter von unberechtigten Personen abgefangen oder abgehört werden, ist deshalb sehr gering. (2) Andere Anwender müssen sich keine weiteren Passwörter merken. (3) Die Verwaltung einer Liste von Anwendern ist einfacher, wenn jeder Anwender einen eigenen privaten Schlüssel für den Zugriff auf das Laufwerk verwendet. Wenn Sie ein Boot-Laufwerk oder eine Boot-Partition mit PGP Whole Disk Encryption schützen, muss sich der öffentliche Schlüssel auf einem Token befinden.

Anwender von verschlüsselten Laufwerken oder Partitionen löschen

Manchmal ist es erforderlich, einem Anwender den Zugriff auf ein verschlüsseltes Laufwerk bzw. eine verschlüsselte Partition zu entziehen.

So entfernen Sie einen Anwender von einem verschlüsselten Laufwerk

bzw. einer Partition:

1 Wählen Sie im Bildschirm Ganze Festplatte (Partition) verschlüsseln das mit PGP Whole Disk Encryption verschlüsselte Laufwerk bzw. die Partition aus.

2 Wählen Sie in der Liste Anwenderzugang den Namen des Anwenders aus, den Sie entfernen möchten.

187


3 Klicken Sie auf Benutzer löschen. Im nun erscheinenden Passwort-Dialogfeld werden Sie zur Authentifizierung aufgefordert.

4 Geben Sie ein gültiges Passwort ein und klicken Sie auf OK. Der alternative Anwender wird entfernt.

Anwender-Passwörter ändern

Wenn Sie Einzelanmeldung verwenden, ändern Sie Ihr Passwort wie unter Passwort bei Verwendung von Einzelanmeldung ändern (auf Seite 188) beschrieben.

So ändern Sie Anwenderpasswörter für ein verschlüsseltes Laufwerk

oder eine verschlüsselte Partition:

1 Wählen Sie im Bildschirm Ganze Festplatte (Partition) verschlüsseln das mit PGP Whole Disk Encryption verschlüsselte Laufwerk bzw. die Partition aus.

2 Wählen Sie in der Liste Anwenderzugriff den Namen des Anwenders aus, dessen Passwort geändert werden soll.

3 Klicken Sie auf Passwort ändern. Sie werden zur Eingabe des aktuellen Passworts aufgefordert.

4 Geben Sie das entsprechende Passwort ein und klicken Sie auf OK. Daraufhin wird das Dialogfeld „Anwenderpasswort“ ändern angezeigt.

5 Geben Sie ein neues Passwort ein.

6 Geben Sie im Feld Passwort bestätigen das neue Passwort noch einmal ein, und klicken Sie anschließend auf OK. Das Passwort wird geändert.

188


Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke der in PGP Desktop erstellten Passwörter. Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

Als zusätzliche Sicherheitsmaßnahme werden die für das Passwort eingegebenen Zeichen normalerweise nicht auf dem Bildschirm angezeigt. Wenn Sie die Zeichen Ihres Passwortes während der Eingabe sehen möchten, wählen Sie das Kontrollkästchen Tastatureingabe anzeigen.

Passwort bei Verwendung von Einzelanmeldung ändern

Wenn Sie die Funktion zur Einzelanmeldung in PGP Whole Disk Encryption verwenden, sollten Sie Ihr Passwort im Windows-Sicherheitsdialogfeld über die Option Kennwort ändern ändern.

Hinweis: Sie können das Windows-Sicherheitsdialogfeld öffnen, indem Sie die Tastenkombination Strg+Alt+Entf drücken.

So ändern Sie Ihr Passwort, während Sie die Einzelanmeldung

verwenden:

1 Drücken Sie die Tastenkombination Strg+Alt+Entf Das Windows-Sicherheitsdialogfeld wird geöffnet.

2 Geben Sie Ihr altes Passwort ein.

3 Geben Sie Ihr neues Passwort ein, und bestätigen Sie es.

4 Klicken Sie auf OK. Ihr Windows-Kennwort und Ihr Passwort für PGP Whole Disk Encryption werden zusammen geändert. Geben Sie bei der nächsten Anmeldung das neue Passwort ein.

Achtung: Wenn Sie Ihr Passwort auf eine andere Weise als hier beschrieben ändern, können Sie sich nicht mit dem neuen Passwort im PGP BootGuard-Startbildschirm anmelden. Sie müssen dann Ihr altes Passwort eingeben. Nach der erfolgreichen Anmeldung mit dem alten Passwort im PGP BootGuard-Bildschirm wird das Windows-Anmeldefenster zur Eingabe von Benutzername und Kennwort angezeigt. Wenn Sie sich erfolgreich in Windows angemeldet haben, wird die Anmeldefunktion von PGP Whole Disk Encryption mit dem neuen Passwort synchronisiert.

Lokale Anwender und die Funktion Einzelanmeldung von PGP Whole Disk Encryption

Wenn ein Computer nicht Mitglied einer Domain ist, stellt PGP Whole Disk Encryption automatisch sicher, dass Anwender sich mit Strg+Alt+Entf anmelden müssen. Das erfolgt durch Deaktivierung von bestimmten Windows Anwenderzugangsfunktionen, darunter auch die Optionen Begrüßungsbildschirm verwenden und Strg+Alt+Entf, nachdem ein Einzelanwendungsbenutzer hinzugefügt wurde.

189


Diese Funktionen werden automatisch deaktiviert, wenn ein Computer Mitglied einer Domain ist.

Verschlüsselte Laufwerke oder Partitionen umschlüsseln

Sie sollten die Umschlüsselung eines geschützten Laufwerks bzw. einer geschützten Partition dann in Betracht ziehen, wenn Sie glauben, dass das Passwort oder der Authentifizierungs-Token in die falschen Hände geraten ist.

PGP Whole Disk Encryption verwendet für die Umschlüsselung eines Laufwerks oder einer Partition denselben Algorithmus (AES256), legt jedoch einen anderen Schlüssel zugrunde. Sie können sich dieses Verfahren wie das Entschlüsseln und erneute Verschlüsseln des Laufwerks bzw. der Partition vorstellen, jedoch ist der Vorgang wesentlich schneller.

Hinweis: Die Umschlüsselung gilt für alle bereits verschlüsselten Partitionen. Die Auswahl einer zu verschlüsselnden Partition impliziert, dass alle Partitionen auf dem gleichen Laufwerk, die bereits verschlüsselt sind, nacheinander umschlüsselt werden.

So können Sie verschlüsselte Laufwerke bzw. Partitionen umschlüsseln:

1 Wählen Sie das Laufwerk oder die Partition aus.

2 Wählen Sie Laufwerk > umschlüsseln. Sie werden zur Authentifizierung aufgefordert.

3 Geben Sie das entsprechende Passwort ein und klicken Sie auf OK. Der Umschlüsselungsvorgang wird gestartet.

Automatische Sicherungssoftware auf einem PGP WDE-verschlüsselten

Laufwerk verwenden

Sie können Laufwerke oder Partitionen, die mit PGP WDE geschützt wurden, automatisch sichern. Stellen Sie sicher, dass Sie eine Sicherungskopie Ihres Systems erstellen bevor Sie es mit PGP WDE verschlüsseln.

Es ist zu beachten, dass alle von der Software gesicherten Dateien vor dem Anlegen der Sicherungskopie entschlüsselt werden.Wenn Sie eine Sicherungskopie verschlüsselter Daten anlegen wollen, verwenden Sie PGP Virtual Disk oder die durch PGP NetShare geschützten Ordner.

190


PGP Desktop von verschlüsselten Laufwerken oder Partitionen

deinstallieren

Wenn Sie Festplatten oder Partitionen mit PGP Whole Disk Encryption verschlüsselt haben und PGP Desktop deinstallieren, ist der Zugriff auf die dort gespeicherten Daten nicht mehr möglich. Aus diesem Grund verhindert eine Sicherheitsfunktion die Deinstallation von PGP Desktop, wenn in Ihrem System Festplatten oder Partitionen mit PGP Whole Disk Encryption verschlüsselt sind. Es wird dann eine Fehlermeldung angezeigt, dass die Deinstallation zum Schutz der verschlüsselten Festplatte oder Partition abgebrochen wird.

Wenn Sie PGP Desktop deinstallieren möchten, entschlüsseln Sie zunächst alle durch PGP Whole Disk Encryption geschützten Festplatten oder Partitionen.

Mit Wechsellaufwerken arbeiten

Dieser Abschnitt beschreibt das Arbeiten mit Wechsellaufwerken. Wenn Sie PGP Whole Disk Encryption in einer von PGP Universal Server verwalteten Umgebung verwenden, kann es aufgrund Ihrer Sicherheitsrichtlinien erforderlich sein, Wechselplatten zu verschlüsseln. Ihre Sicherheitsrichtlinie verlangt möglicherweise auch, dass Wechseldatenträger als schreibgeschützte Laufwerke aktiviert werden müssen, wobei aber eine Option zur Verschlüsselung des Laufwerks vorgesehen ist.

Achtung: Verwenden Sie in Microsoft Windows stets die Option Hardware

sicher entfernen, um die USB-Laufwerke zu stoppen bevor Sie diese entfernen.

191


Wechsellaufwerke verschlüsseln

Wenn Sie PGP Whole Disk Encryption in einer von PGP Universal Server verwalteten Umgebung verwenden, kann es aufgrund Ihrer Sicherheitsrichtlinien erforderlich sein, Wechselplatten zu verschlüsseln. Beim Einsetzen einer Wechselplatte wird das folgende PGP Desktop-Speichergerät-Dialogfeld angezeigt:

Führen Sie einen der folgenden Schritte aus:

Wenn das Wechsellaufwerk ein externes Laufwerk ist, wie z. B. ein USB-Flash-Laufwerk oder eine externe Festplatte, klicken Sie auf Verschlüsseln. Das Gerät wird automatisch mit Ihrem Schlüssel verschlüsselt. Bitte beachten Sie, dass wenn Ihr Startlaufwerk mit den Schlüsseln anderer Anwender verschlüsselt wird, diese als Anwender für Ihren Wechseldatenträger hinzugefügt werden. Wenn Ihr Schlüssel bzw. die Schlüssel anderer Anwender nicht auffindbar sind, werden Sie dazu aufgefordert, einen Passwortanwender zu erstellen.

Je nach der Größe des Laufwerks kann der Verschlüsselungsvorgang einige Zeit dauern. Ein Wechsellaufwerk kann, während es verschlüsselt wird, weiter verwendet werden.

Warnung: Stellen Sie sicher, dass die Verschlüsselung abgeschlossen ist, bevor Sie das Laufwerk entfernen.

Wenn Sie das Gerät nicht verschlüsseln möchten, klicken Sie auf Sperren. Das Gerät ist dann gesperrt und schreibgeschützt. Wenn Sie versuchen, eine Datei von diesem Gerät zu ändern oder zu löschen, wird eine Fehlermeldung erscheinen.

192


Wenn der Wechseldatenträger ein Musikgerät oder eine Digitalkamera ist, klicken Sie auf Sperren. Diese Gerätearten funktionieren nicht, wenn ihr Inhalt verschlüsselt ist. Sollten Sie irrtümlicherweise ein Musikgerät oder eine Digitalcamera verschlüsseln, müssen Sie das Gerät wieder entschlüsseln. Je nach den in Ihrer Organisation geltenden Sicherheitsbestimmungen müssen Sie sich mit Ihrer IT-Abteilung oder dem PGP-Administrator in Verbindung setzen, um dieses Gerät wieder entschlüsseln zu können.

Wenn Ihre Sicherheitsrichtlinien vorschreiben, dass alle Wechsellaufwerke verschlüsselt werden und der PGP Universal Server nicht verfügbar ist (weil Sie zum Beispiel im Flugzeug sind und nicht mit dem Unternehmensnetzwerk verbunden sind), kann der Wechseldatenträger nicht verschlüsselt werden. Das Gerät ist dann „gesperrt und schreibgeschützt“ Bei Ihrem nächsten Verbindungsaufbau mit dem PGP Universal Server können Sie dann den Inhalt des Laufwerks verschlüsseln (wenn er nicht bereits verschlüsselt ist).

Hinweis: Wenn Ihr PGP-Administrator angeordnet hat, dass alle Wechsellaufwerke verschlüsselt werden müssen, ist die Option PGP-Dienste

anhalten im PGP Tray-Menü nicht mehr verfügbar.

Gesperrte (schreibgeschützte) Laufwerke als schreibgeschützte Laufwerke

verwenden

Wenn Sie PGP Whole Disk Encryption in einer mit PGP Universal Server verwalteten Umgebung verwenden, erfordert Ihre Sicherheitsrichtlinie möglicherweise, dass Wechseldatenträger als schreibgeschützte Laufwerke aktiviert werden. Wenn Sie den Wechseldatenträger einsetzen, erscheint das folgende PGP Desktop-Speichergerät-Dialogfeld:

193


Der Wechseldatenträger ist gesperrt und Sie können keine Daten in dieses Laufwerk schreiben bis Sie es verschlüsseln. Wenn Sie sich für die Verschlüsselung dieses Laufwerks entscheiden, können Sie es wie gewohnt verwenden.


Wenn es sich bei dem Wechseldatenträger um ein externes Laufwerk wie z.B. einen UBS-Flash-Laufwerk oder eine externe Festplatte handelt, und Sie auf dieses Laufwerk schreiben können wollen, klicken Sie auf Verschlüsseln. Das Laufwerk wird automatisch auf Ihren Schlüssel verschlüsselt. Bitte beachten Sie, dass wenn Ihr Startlaufwerk mit dem Schlüssel eines anderen Anwenders verschlüsselt wurde, diese als Anwender für Ihren Wechseldatenträger hinzugefügt werden. Wenn Ihr Schlüssel bzw. die Schlüssel anderer Anwender nicht auffindbar sind, werden Sie dazu aufgefordert, einen Passwortanwender zu erstellen.

Je nach Größe des Laufwerks kann der Verschlüsselungsvorgang eine Weile dauern. Sie können den Wechseldatenträger während der Verschlüsselung weiter verwenden.

Warnung: Stellen Sie sicher, dass die Verschlüsselung abgeschlossen ist, bevor Sie das Laufwerk entfernen.

Wenn Sie das Laufwerk nicht verschlüsseln wollen, klicken Sie auf Sperren. Das Laufwerk wird gesperrt und ist nun schreibgeschützt. Sollten Sie versuchen irgendwelche Dateien zu bearbeiten oder zu löschen, wird eine Windows-Fehlermeldung angezeigt.

Wenn es sich bei dem Wechseldatenträger um ein Musikgerät oder eine Digitalkamera handelt, klicken Sie auf Sperren. Diese Gerätetypen funktionieren nicht, wenn der Inhalt verschlüsselt ist. Wenn Sie versehentlich ein Musikgerät oder eine Digitalkamera verschlüsselt haben, müssen Sie dieses Gerät wieder entschlüsseln. Ihre Unternehmenssicherheitsrichtlinie entscheidet darüber, ob Sie sich möglicherweise mit der IT-Abteilung oder dem PGP-Administrator in Verbindung setzen müssen, um Hilfe bei der Entschlüsselung dieses Geräts zu erhalten.

Wechselplattenlaufwerke in anderen Systemen verwenden

Wenn Sie einen Wechseldatenträger (z. B. ein USB-Flash-Laufwerk) mit PGP Whole Disk Encryption verschlüsseln, können Sie ihn auf einem anderen Windows XP-, Windows 2000-System oder Windows Vista-System, auf dem PGP Desktop 9.5.2 oder höher installiert ist, einsetzen und auf die Dateien zugreifen.

Sie müssen die Authentifizierung durchführen, um auf den Inhalt des Datenträgers zuzugreifen.

194


Hinweis: Beachten Sie die PGP Desktop-Lizenzierung, wenn Sie einen verschlüsselten Wechseldatenträger in einem anderen System verwenden. Sie benötigen zum Verschlüsseln des Datenträgers mit PGP Whole Disk Encryption die entsprechende PGP Desktop-Lizenz. Wenn Sie jedoch einen Wechseldatenträger mit PGP Whole Disk Encryption verschlüsselt haben, können Sie diesen auf einem anderen Computer mit PGP Desktop 9.5.2 oder höher auch dann verwenden, wenn dort keine PGP Desktop-Lizenz für PGP Whole Disk Encryption vorhanden ist.

Verschlüsselten Wechseldatenträger neu formatieren

Wenn Sie das Windows Disk Management-Programm verwenden, um einen verschlüsselten Wechseldatenträger neu zu formatieren, werden Sie zur Eingabe des Passwortes aufgefordert, wenn Sie diesen Datenträger das nächste Mal einlegen.

Um diese Anforderung zu entfernen, führen Sie folgende Schritte durch:

1 Starten Sie eine Eingabeaufforderung (Starten > Ausführen und cmd eingeben) und suchen Sie dann C:\Programmdateien\PGP Corporation\PGP Desktop.

2 Geben Sie an der DOS-Eingabeaufforderung den folgenden Befehl für das Laufwerk ein:

pgp wde --fixmbr --disk 1

Wenn Sie mehr als ein verschlüsseltes Laufwerk auf Ihrem System haben, müssen Sie möglicherweise erst den Befehl pgpwde --enum ausführen. Nach Eingabe dieses Befehls werden Ihre verschlüsselten Laufwerke aufgeführt. Wenn durch diesen Befehl Informationen angezeigt werden, wonach Ihr USB-Laufwek nicht Laufwerk „1“ ist, verwenden Sie stattdessen die genannte Zahl (wenn z. B. Ihr USB-Laufwerk Laufwerk „2“ ist, geben Sie zur Aufhebung der Verschlüsselung den folgenden Befehl ein: pgpwde --fixmbr --disk 2 .

Danach werden Sie nicht mehr zur Eingabe des Passwortes aufgefordert, wenn Sie den Datenträger einlegen.

PGP-WDE in einer mit PGP Universal-Server verwalteten

Umgebung verwenden

Die Funktion PGP Whole Disk Encryption kann für Anwender von PGP Desktop in einer von PGP Universal verwalteten Umgebung administriert werden. Administratoren können Benutzern in ihrem Unternehmen PGP Desktop-Installer bereitstellen.

195


Administration von PGP Whole Disk Encryption

Der PGP-Administrator kann Folgendes steuern:

Ob die PGP Whole Disk Encryption-Funktion den Benutzern zur

Verfügung steht. Wenn Sie in einer von PGP Universal verwalteten Umgebung arbeiten und die Funktion PGP Whole Disk Encryption nicht verfügbar ist, fragen Sie Ihren PGP-Administrator, ob die Funktion aufgrund einer Richtlinie deaktiviert wurde.

Die Funktion PGP Whole Disk Encryption erfordert außerdem eine entsprechende Lizenz von PGP. Wenn die Funktion trotz Aktivierung durch die Richtlinien für Sie deaktiviert ist, kontaktieren Sie Ihren PGP-Administrator, um sicherzustellen, dass Sie eine entsprechende Lizenz haben.

Ob Sie Laufwerke oder Partitionen, die mit PGP Whole Disk Encryption

geschützt sind, wiederherstellen können. Wenn Sie das Passwort für ein mit PGP Whole Disk Encryption verschlüsseltes Laufwerk vergessen oder wenn Sie den Authentifizierungs-Token verlieren, ist das Laufwerk oder die Partition nicht zugänglich. Wenn Sie PGP Whole Disk Encryption jedoch in einer von PGP Universal verwalteten Umgebung verwenden, fragen Sie Ihren PGP-Administrator, ob die Laufwerks- oder Partitionswiederherstellung eine verfügbare Option ist.

Die Notwendigkeit zur Verschlüsselung des Boot-Laufwerks mit PGP

Whole Disk Encryption, wenn PGP Desktop installiert wird.

Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, erhalten Sie weitere Informationen von Ihrem PGP-Administrator.

Die Verwendung der Funktion PGP Whole Disk Encryption Single Sign-

on (SSO) auf Ihrem Computer.

Nähere Informationen zu dieser Funktion finden Sie unter PGP WDE-Einzelanmeldung verwenden (auf Seite 153).

Die Funktionsmodi von PGP Whole Disk Encryption.

Ob Ihr PGP-Administrator einen Administratorschlüssel (mit einer

Smartcard) zum Zugriff auf Ihr verschlüsseltes Laufwerk bzw. Partition

verwenden kann.

Nähere Informationen zu den Verschlüsselungsmodi finden Sie unter Authentifizierungsmethode für das Laufwerk festlegen (siehe „Authentifizierungsmethode für das Laufwerk festlegen“ auf Seite 158).

Falls Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, müssen Sie möglicherweise nach der Installation von PGP Desktop Ihr Boot-Laufwerk bzw. -Partition mit der PGP WDE-Funktion verschlüsseln. Umgekehrt ist es möglich, dass die Funktion PGP WDE vom PGP-Administrator deaktiviert wurde.

196


Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, kann es sein, dass Sie bei Einlegen einer Wechselplatte aufgefordert werden, diese zu verschlüsseln. Nähere Informationen finden Sie unter Wechseldatenträger verschlüsseln (auf Seite 191).

Wenn Ihre Richtlinien wechseln sollten, insbesondere von der Fähigkeit zur Verschlüsselung eines Laufwerks zur Deaktivierung dieser Funktion, können Sie alle bereits WDE-verschlüsselten Laufwerke trotzdem noch benutzen. Es ist Ihnen jedoch nicht möglich, weitere Laufwerke zu verschlüsseln, bestehende Laufwerke umzuschlüsseln oder neue Benutzer hinzuzufügen.

Nähere Informationen finden Sie auch unter PGP Desktop mit PGP Universal Server verwenden (auf Seite 341).

Wiederherstellungs-Token erstellen

Wenn Sie in einer von PGP Universal verwalteten Umgebung arbeiten und Ihnen die für Sie geltenden Richtlinien die Erstellung von PGP Whole Disk Wiederherstellungs-Token gestatten, wird von PGP Desktop immer dann ein Wiederherstellungs-Token erstellt, wenn Sie ein Laufwerk, eine Partition oder einen Wechseldatenträger mit PGP Whole Disk verschlüsseln. Dieser Wiederherstellungs-Token kann zum Zugriff auf das Laufwerk oder die Partition verwendet werden, falls das Passwort oder der Authentifizierungs-Token abhanden gekommen ist.

Falls die für Sie geltenden Richtlinien diese Funktion nicht unterstützen, oder falls Sie nicht in einer von PGP Universal verwalteten Umgebung mit einer vorkonfigurierten Installation von PGP Desktop arbeiten, können Sie keine PGP Whole Disk Wiederherstellungs-Token verwenden.

Dieser Wiederherstellungs-Token wird automatisch an den PGP Universal Server gesendet, unter dessen Verwaltung die Sicherheit des durch PGP Whole Disk Encryption geschützten Laufwerks bzw. der Partition steht.

Wenn Sie in einer von PGP Universal verwalteten Umgebung arbeiten und das Passwort oder den Authentifizierungs-Token für den Schutz eines Laufwerks oder einer Partition mit PGP Whole Disk Encryption verlieren, bitten Sie Ihren PGP-Administrator um Unterstützung bei der Verwendung des Wiederherstellungs-Tokens.

Der Wiederherstellungs-Token kann nur einmal für den Zugriff auf ein Laufwerk oder eine Partition verwendet werden, die mit PGP Whole Disk Encryption verschlüsselt ist. Sobald ein Wiederherstellungs-Token verwendet wurde, wird automatisch ein neuer generiert und an den PGP Universal Server gesendet. Der PGP Desktop-Anwender erhält die Möglichkeit, einen neuen Anwender zu erstellen oder die auf der Festplatte bzw. der Partition vorhandenen Anwender beizubehalten.

Es ist zu beachten, dass das Wiederherstellungs-Token nur zum Zugriff auf ein verschlüsseltes Laufwerk oder eine verschlüsselte Partition verwendet wird. Das Wiederherstellungs-Token kann nicht zur Ver- oder Entschlüsselung von Daten verwendet werden.

197


Achtung: Wenn Sie glauben, dass die Sicherheit Ihres mit PGP Whole Disk verschlüsselten Laufwerks bzw. Partition durch den Verlust oder die Offenlegung des Passworts oder des Authentifizierungs-Tokens beeinträchtigt ist, sollten Sie die Umschlüsselung des Laufwerks bzw. der Partition in Betracht ziehen. Dieser Prozess schlüsselt das Laufwerk oder die Partition mit dem gleichen Verschlüsselungsalgorithmus um, jedoch mit einem anderen zugrunde liegenden Verschlüsselungsschlüssel. Sie können sich dieses Verfahren wie das Entschlüsseln und erneute Verschlüsseln des Laufwerks bzw. der Partition vorstellen, jedoch ist der Vorgang wesentlich schneller.

Wiederherstellungs-Token verwenden

Nachdem Sie den Wiederherstellungs-Token von Ihrem PGP Universal-Administrator erhalten haben, führen Sie die nachstehenden Schritte aus, um das Laufwerk zu entsperren.

Die Schreibweise in Bezug auf Groß-/Kleinschreibung (alles Großbuchstaben) oder Gedankenstriche des Tokens, den Sie von Ihrem PGP Universal-Administrator erhalten haben, kann von Ihrem eingegebenen Wiederherstellungs-Token abweichen. Sie können auf Wunsch nur Kleinbuchstaben ohne Gedankenstriche eingeben.

So verwenden Sie einen Wiederherstellungs-Token auf einem Boot-

Laufwerk

Geben Sie im PGP BootGuard-Bildschirm das Wiederherstellungs-Token im Passwortfeld ein.

So verwenden Sie einen Wiederherstellungs-Token auf einem

Wechsellaufwerk

Legen Sie das Laufwerk ein und geben Sie den Wiederherstellungs-Token ein, wenn Sie zur Eingabe des Passworts aufgefordert werden.

Daten von einem verschlüsselten Laufwerk wiederherstellen

In nur seltenen Fällen werden Sie Daten von einem verschlüsselten Laufwerk, das beschädigt oder zerstört wurde, wiederherstellen müssen. Es kann auch vorkommen, dass Sie nicht über die Anmeldeinformationen zum Zugriff auf das Laufwerk (z. B. wenn das Laufwerk von einem ehemaligen Mitarbeiter verschlüsselt wurde) verfügen. In diesen Fällen haben Sie mehrere Möglichkeiten:

198


1 Verwendung eines Wiederherstellungsdatenträgers. Wenn ein Wiederherstellungsdatenträger vor der Verschlüsselung des Laufwerks oder der Partition erstellt wurden, kann dieser zur Entschlüsselung des Laufwerks verwendet werden. Nähere Informationen finden Sie unter Wiederherstellungsdatenträger erstellen (auf Seite 153).

2 Verwendung eines anderen Systems zur Entschlüsselung des Laufwerks. Nähere Informationen finden Sie unter PGP WDE-verschlüsselte Laufwerke entschlüsseln (auf Seite 198).

3 Verwendung des PGP Whole Disk Encryption Wiederherstellungs-Tokens. Wenn Sie PGP Desktop in einer von PGP Universal Server verwalteten Umgebung verwenden, wird das Wiederherstellungs-Token bei der Verschlüsselung des Laufwerks automatisch erstellt. Nähere Informationen finden Sie unter Wiederherstellungs-Token verwenden (auf Seite 197).

PGP WDE-verschlüsselte Laufwerke entschlüsseln

Wenn Laufwerkwiederherstellungsaktivitäten an einem mit PGP Whole Disk Encryption geschützten Laufwerk vorgenommen werden müssen, empfiehlt PGP Corporation als beste Praktik die vorherige Entschlüsselung des Laufwerks. Zur Entschlüsselung eines Laufwerks gibt es folgende Möglichkeiten:

Verwendung der PGP Desktop-Option Laufwerk > entschlüsseln (siehe das folgende Verfahren für Informationen zur Verwendung dieser Option zur Laufwerkentschlüsselung).

Verwenden Sie Ihren vorbereiteten PGP WDE Wiederherstellungsdatenträger (siehe Wiederherstellungsdatenträger erstellen (auf Seite 153) für Informationen zur Erstellung eines Wiederherstellungsdatenträgers).

Schließen Sie die Festplatte über ein USB-Kabel an einem zweiten System an und entschlüsseln Sie mit der PGP Desktop-Software auf diesem System.

Setzen Sie die Wiederherstellung nach der Entschlüsselung fort.

So verwenden Sie PGP Desktop, um ein Laufwerk zu entschlüsseln

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP Disk“. Das PGP Disk Bedienfeld wird hervorgehoben.

199


2 Klicken Sie auf Gesamte Festplatte oder Partition verschlüsseln. Der Arbeitsbereich für Encrypt Whole Disk (Partition) wird angezeigt, und Sie sehen eine Auflistung der Laufwerke in Ihrem System, die durch PGP Whole Disk Encryption geschützt werden können: Laufwerke, Festplattenpartitionen, Wechseldatenträger, etc.

3 Klicken Sie oben im Arbeitsbereich Ganze Festplatte (Partition)

verschlüsseln im Abschnitt Wählen Sie die zu verschlüsselnde

Festplatte oder Partition aus auf die Festplatte oder Partition, die Sie mit PGP Whole Disk Encryption verschlüsseln möchten.

4 Wählen Sie Laufwerk > entschlüsseln oder klicken Sie auf Entschlüsseln. Das Dialogfeld „Laufwerk entsperren“ wird geöffnet.

200


5 Geben Sie das Kennwort ein, um das Laufwerk zu entsperren. Im PGP Desktop-Fenster erscheint eine Fortschrittsanzeige für die Entschlüsselung.

Die Zeit, die es dauern wird, das Laufwerk zu entschlüsseln, wird im PGP Desktop-Fenster angezeigt. Wenn Sie den Entschlüsselungsprozess unterbrechen oder abbrechen wollen, klicken Sie auf Stopp. Bei Bedarf können Sie den Computer abschalten, indem Sie Abschaltung > starten wählen. Schalten Sie das System nicht ab, indem Sie den Netzschalter drücken.

So verwenden Sie ein anderes System, um ein PGP WDE-verschlüsseltes

Laufwerk zu entschlüsseln

1 Entfernen Sie die Festplatte, die Sie entschlüsseln wollen, aus dem Computer und legen Sie sie in ein Laufwerkgehäuse.

2 Schließen Sie ein USB-Kabel vom Laufwerkgehäuse an einem Computer an, auf dem PGP Desktop installiert ist.

3 Geben Sie auf dem Computer, auf dem PGP Desktop installiert ist, an der Eingabeaufforderung das Passwort ein, um das Laufwerk zu entschlüsseln, das sich im Laufwerkgehäuse befindet.

201


Spezielle Sicherheitsfunktionen von PGP Desktop

PGP Desktop verfügt über spezielle Funktionen, um Sicherheitsprobleme mit Whole Disk Encryption zu vermeiden. Diese Vorsichtsmaßnahmen gelten auch für PGP Virtual Disk-Datenträger und umfassen:

Passwortlöschung (auf Seite 222)

Schutz des virtuellen Speichers (auf Seite 222)

Ruhezustand (auf Seite 222)

MSIM (Memory Static Ion Migration)-Schutz (auf Seite 223)

Andere Sicherheitsaspekte (auf Seite 203)

Das Windows Preinstallation Environment verwenden

Durch die Erstellung einer benutzerspezifischen Windows Preinstallation (PE) CD bzw. eines UFDs (USB Flash-Laufwerk) erhalten Sie ein startfähiges Wiederherstellungswerkzeug, dass im Notfall eingesetzt werden kann. Sie können z. B. den DOS-Befehl zum Kopieren, Bearbeiten, Sichern und Löschen von ateien verwenden.

Sie können Windows PE dazu verwenden, einen mit PGP WDE verschlüsselten Computer auf Windows Vista zu aktualisieren.

Um zu erfahren, wie Sie die PGP WDE-Treiber und Werkzeuge erhalten können, lesen Sie bitte den PGP Support Knowledgebase Artikel 807 (https://support.pgp.com/?faq=807). Dieser KB-Artikel enthält auch einen herunterladbaren technischen Hinweis, der alle Anweisungen in diesem Abschnitt enthält.

PGP Whole Disk Encryption mit IBM Lenovo ThinkPad Systemen

verwenden

Verwenden Sie das Windows Preinstallation Environment (PE) um den PGP WDE-Treiber in IBM Lenovo ThinkPad Rescue & Recovery vorzuinstallieren und die Lenovo-Funktion Rescue & Recovery automatisch zu erfassen.

Diese Option ist nur für IBM Lenovo-Systeme verfügbar, die Rescue & Recovery Version 3.0 oder höher verwenden. Diese Option präinstalliert den PGP WDE-Treiber in Lenovo Rescue & Recovery und erfasst automatisch den Lenovo Rescue & Recovery Support. Sie findet den PGP WDE-Treiber im Verzeichnis \windows\system32\treiber. Die beiden Dateien, die in IBM Lenovo Rescue & Recovery installiert werden sind der PGP WDE-Treiber (pgpwded.sys) und die Datei PGPstart.exe (weitere Informationen zu dieser Datei finden Sie im folgenden Verfahren beschrieben).

202


Die Dateien, die für die Installation von PGP Whole Disk Encryption in IBM Lenovo Rescue & Recovery erforderlich sind, sind:

Dateien aus dem pgppe-Werkzeug: pgppe.exe, pgpstart.exe

Dateien aus der PGP Desktop-Installation: pgpwded.sys, pgpbootb.bin, pgpbootg.bin, pgpsdk.dll, pgpsdknl.dll, pgpwd.dll, pgpwde.exe

Dateien nur für Windows Vista: wimfltr-Treiber müssen installiert werden (dies ist Teil des Windows Automated Installation Kit)

Vorsicht: Verwenden Sie diese Option nur dann, wenn PGP Desktop bereits auf Ihrem System installiert ist.

So aktivieren Sie Lenovo Rescue & Recovery

4 Installieren Sie PGP Desktop.

5 Laden Sie das Windows Preinstallation Environment Tool aus PGP Support Knowledgebase Artikel 807 (https://support.pgp.com/?faq=807) herunter und installieren Sie es.

6 Kopieren Sie die Dateien PGPstart.exe und PGPpe.exe aus der Zip-Datei in Ihr PGP Desktop Installationsverzeichnis (normalerweise c:\Programmdateien\PGP Corporation\PGP Desktop).

7 Rufen Sie eine Eingabeaufforderung auf und wechseln Sie in Ihr PGP Desktop-Verzeichnis.

8 Führen Sie den Befehl pgppe wie folgt aus:

pgppe /recovery

So entfernen Sie den Support für Lenovo Rescue & Recovery

Führen Sie den Befehl pgppe wie folgt aus: pgppe /recovery /remove

PGP Whole Disk Encryption mit Microsoft Windows XP-

Wiederherstellungskonsole verwenden

Wenn Sie aus verwaltungstechnischen Gründen die Windows XP-Wiederherstellungskonsole verwenden, müssen Sie die PGP WDE-Treiber in die Microsoft Windows-Wiederherstellungskonsole installieren, wenn das Laufwerk verschlüsselt wird, weil die Wiederherstellungskonsole sonst nicht verwendet werden kann.

Hinweis: Wenn Sie Anwender authentifizieren wollen, die Windows PE oder BartPE verwenden, müssen Sie Passwortanwender verwenden. Token- oder TPM-Anwender werden nicht unterstützt.

203


Achtung: Installieren Sie diese Treiber nachdem PGP Desktop installiert und das Laufwerk mit PGP WDE verschlüsselt wurde.

So installieren Sie PGP WDE-Treiber in die Windows XP-

Wiederherstellungskonsole

1 Installieren Sie PGP Desktop.

2 Laden Sie das Windows Preinstallation Environment Tool aus PGP Support Knowledgebase Artikel 807 (https://support.pgp.com/?faq=807) herunter und installieren Sie es.

3 Kopieren Sie die Dateien PGPstart.exe und PGPpe.exe aus der Zip-Datei in Ihr PGP Desktop-Installationsverzeichnis (normalerweise c:\Programmdateien\PGP Corporation\PGP Desktop).

4 Rufen Sie eine Eingabeaufforderung auf und wechseln Sie in Ihr PGP Desktop-Verzeichnis.

5 Führen Sie den Befehl pgppe wie folgt aus:

pgppe /cmdcons

So entfernen Sie Treiber aus der Windows XP-Wiedeherstellungskonsole

Führen Sie den Befehl pgppe wie folgt aus: pgppe /cmdcons /remove

204

Sie können mit PGP Virtual Disk-Laufwerken Ihre Dateien organisieren, Dateien mit ähnlichen Namen getrennt speichern oder mehrere Versionen derselben Dokumente und Programme separat verwalten.

Dieser Abschnitt beschreibt die PGP Whole Disk-Funktion von PGP Desktop.

Hinweis: Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, ist es möglich, dass manche Funktionen von Ihrem PGP-Administrator deaktiviert wurden. Wenn eine Funktion deaktiviert ist, wird das Kontrollelement auf der linken Seite nicht angezeigt und das Menü und andere Optionen für diese Funktion sind nicht verfügbar. Die Grafik in diesem Handbuch illustriert die Standardinstallation, in der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktionalität deaktiviert hat, trifft dieser Abschnitt nicht auf Sie zu.

In diesem Kapitel

Info zu PGP Virtual Disk-Laufwerken..................................................... 205 Ein neues PGP Virtual Disk-Laufwerk erstellen..................................... 206 Die Eigenschaften eines PGP Virtual Disk-Laufwerks anzeigen............ 209 PGP Virtual Disk-Laufwerke suchen ...................................................... 210

Ein aktiviertes PGP Virtual Disk-Laufwerk verwenden .......................... 211 Mit alternativen Benutzern arbeiten ...................................................... 214 Anwender-Passwörter ändern............................................................... 218 PGP Virtual Disk-Laufwerke löschen ..................................................... 218 PGP Virtual Disk-Laufwerke pflegen...................................................... 219 PGP Virtual Disk-Verschlüsselungsalgorithmen..................................... 221

Spezielle Sicherheitsfunktionen von PGP Virtual Disk........................... 222

Hinweis: In früheren Versionen von PGP Desktop wurden PGP Virtual Disk-Laufwerke einfach als PGP -Laufwerke bezeichnet. Der Ausdruck PGP -Laufwerk steht nun als Oberbegriff für die Merkmale und Funktionen von PGP Virtual Disk und PGP Disk Encryption.

10 PGP Virtual Disk-

Laufwerke verwenden

205

PGP® Desktop 9.9 für Windows PGP Virtual Disk-Laufwerke verwenden

Info zu PGP Virtual Disk-Laufwerken

Ein PGP Virtual Disk-Laufwerk ist ein Speicherplatzbereich auf einer Festplatte, die an Ihren Computer angeschlossen ist. Dieser Speicherplatzbereich wird verschlüsselt und separat verwaltet. PGP Virtual Disk-Laufwerke sind mit einem Banktresor vergleichbar und eignen sich hervorragend für den Schutz vertraulicher Daten, während die übrigen Speicherbereiche des Computers unverschlüsselt zur Verfügung stehen.

Ein PGP Virtual Disk-Laufwerk verhält sich funktional betrachtet wie ein zusätzliches Festplattenlaufwerk. Tatsächlich jedoch handelt es sich dabei um eine Datei, die sich auf einer beliebigen Festplatte des Computers befinden kann. Die Datei bietet Speicherplatz für Dateien jeden Typs. Auf einem PGP Virtual Disk-Laufwerk können Sie sogar Anwendungen installieren oder Dateien speichern. Das Besondere daran ist, dass sich ein solches Laufwerk jederzeit und ohne Auswirkungen auf die übrigen Speicherbereiche des Computers sperren lässt. Wenn Sie die Anwendungen oder Dateien auf einem PGP Virtual Disk-Laufwerk verwenden möchten, heben Sie die Sperre des Laufwerks auf und greifen wie gewohnt auf die Dateien zu.

Das Sperren und Entsperren von PGP Virtual Disk-Laufwerken geschieht durch Aktivieren und Deaktivieren am Computer. PGP Desktop unterstützt Sie bei diesem Vorgang.

Die Größe eines PGP Virtual Disk-Laufwerks muss nicht unbedingt statisch festgelegt werden. Sie können ein dynamisch dimensioniertes Laufwerk erstellen, dessen Kapazität bei Bedarf erweitert wird. Die Größe, die Sie bei der Erstellung des Laufwerks vorgeben, bezeichnet die maximale Größe des Laufwerks.

Nach der Aktivierung eines PGP Virtual Disk-Laufwerks sind die folgenden Aktionen möglich:

Dateien zum und vom aktivierten PGP Virtual Disk-Laufwerk verschieben und kopieren

Dateien auf dem aktivierten PGP Virtual Disk-Laufwerk speichern

Anwendungen auf dem PGP Virtual Disk-Laufwerk installieren

Dateien und Anwendungen auf einem PGP Virtual Disk-Laufwerk werden verschlüsselt gespeichert. Falls der Computer abstürzt, während die Bereitstellung eines PGP Virtual Disk-Laufwerks aufgehoben wird, bleibt der Inhalt des Laufwerks sicher verschlüsselt.

Deaktivierte PGP Virtual Disk-Laufwerke sind in Windows Explorer oder Mac OS X-Finder nicht zu sehen und für Anwender ohne entsprechende Berechtigung nicht zugänglich.

206


Beachten Sie, dass Ihre gesamten Daten in der verschlüsselten Datei sicher gespeichert bleiben und nur entschlüsselt werden, wenn Sie auf eine der Dateien zugreifen. Durch diese Art der Datenspeicherung können PGP Virtual Disk-Laufwerke auf einfache Weise verwaltet und mit anderen Personen ausgetauscht werden, jedoch gehen die Daten verloren, wenn die Laufwerksdatei gelöscht wird. Es ist daher ratsam, Sicherungskopien der verschlüsselten Dateien zu erstellen, damit die Daten wiederhergestellt werden können.

Nähere Informationen zu den PGP-Optionen, die sich auf PGP Virtual Disk-Laufwerke auswirken, finden Sie unter Laufwerkoptionen (auf Seite 328).

Achtung: Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, kann es nach der Installation von PGP Desktop erforderlich sein, ein PGP Virtual Disk-Laufwerk zu erstellen. Ist das der Fall, sind u. U. die Größe, das Dateisystem und der Algorithmus angegeben. Nähere Informationen finden Sie auch unter PGP Desktop mit PGP Universal Server verwenden (auf Seite 341).

Neues PGP Virtual Disk-Laufwerk erstellen

So erstellen Sie ein neues PGP Virtual Disk-Laufwerk


2 Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und klicken Sie anschließend auf Neues virtuelles Laufwerk. Alternativ können Sie Datei > Neues > PGP

Virtual Disk-Laufwerk auswählen. Der Bildschirm „Neues virtuelles Laufwerk“ erscheint im rechten Bildschirmbereich.

207


3 Geben Sie in das Feld Name einen Namen für das neue PGP Virtual Disk-Laufwerk ein.

4 Übernehmen Sie den Standardspeicherort für das neue PGP Virtual Disk-Laufwerk, der im Feld Laufwerksdateipfad angezeigt wird, oder klicken Sie auf Durchsuchen, und geben Sie einen anderen Speicherort an.

5 Wählen Sie im Menü Aktivieren als den Laufwerksbuchstaben aus, der dem neuen PGP Virtual Disk-Laufwerk zugewiesen werden soll.


Übernehmen Sie den Laufwerksbuchstaben, den PGP Desktop vorschlägt.

Wählen Sie im Menü Aktivieren als einen freien Laufwerksbuchstaben aus der Liste.

Wählen Sie im Menü Aktivieren als den Befehl Ordner, wenn Sie das neue PGP Virtual Disk-Laufwerk einem Ordner zuweisen möchten. In diesem Fall wird neben dem Menü Aktivieren als ein Feld angezeigt, in dem Sie den Pfad für den Ordner angeben können.

6 Wählen Sie Beim Start aktivieren, wenn das neue PGP Virtual Disk-Laufwerk beim Starten automatisch aktiviert werden soll. Wenn diese Option aktiviert ist, werden Sie beim Systemstart zur Eingabe des Passworts für das PGP Virtual Disk-Laufwerk aufgefordert.

7 Mit der Option Deaktivieren, wenn inaktiv für n Minuten (n ist die Anzahl der Minuten) können Sie eine automatische Deaktivierung des PGP Virtual Disk-Laufwerks veranlassen, wenn der Computer eine festgelegten Zeitspanne nicht benutzt wird. Verwenden Sie diese Option, wenn Sie Ihren Computer häufig unbeaufsichtigt lassen. Durch diese zusätzliche Sicherheitsmaßnahme wird das PGP Virtual Disk-Laufwerk automatisch gesperrt, wenn Sie vergessen, es zu deaktivieren.

8 Wählen Sie im Menü Kapazität den Typ für das PGP Virtual Disk-Laufwerk. Zur Wahl stehen:

Dynamisch (variable Größe). Die Kapazität dieses Laufwerkstyps erhöht sich automatisch, wenn neue Dateien hinzugefügt werden. Solange der zusätzliche Platz nicht benötigt wird, bleibt das Laufwerk klein. Dieser Vorgang wird von PGP Desktop automatisch verwaltet. Sie müssen lediglich die Maximalgröße des Laufwerks festlegen. Auf Wunsch können Sie dieses Laufwerk später auch komprimieren.

Feste Größe. Dieser Laufwerkstyp hat unabhängig von der Anzahl der hinzugefügten Dateien immer dieselbe Kapazität.

9 Legen Sie mithilfe des Menüs Kapazität die Größe des neuen PGP Virtual Disk-Laufwerks fest (für ein Laufwerk des Typs Dynamisch geben Sie die Maximalgröße an). Verwenden Sie ganze Zahlen, keine Dezimalzahlen. Wählen Sie KB (Kilobytes), MB (Megabytes) oder GB (Gigabytes) im Menü.

Die maximal zulässige Größe für ein PGP Virtual Disk-Laufwerk hängt von der Größe und dem Format der Festplatte ab.

208


10 Geben Sie ein Dateisystemformat für das Laufwerk an:

FAT. Das Laufwerk muss mindestes 100 KB groß sein.

FAT32. Das Laufwerk muss mindestes 260 MB groß sein.

NTFS. Das Laufwerk muss 5 MB oder größer sein (12 MB für Windows Vista).

11 Legen Sie den Verschlüsselungsalgorithmus fest, den Sie zum Schutz Ihrer Daten verwenden möchten:

AES (256 Bit). AES (Advanced Encryption Standard) ist ein Block-Algorithmus, der bei 128, 192 oder 256 Bit verwendet werden kann. Standardmäßig wird die sicherere 256-Bit-Version zum Erstellen von PGP Virtual Disk-Laufwerken verwendet.

CAST5 (128 Bit). CAST ist ein Algorithmus mit 128 Bit. CAST ist ein starker Verschlüsselungsalgorithmus für die militärische Verwendung, der als undurchdringbar für nicht berechtigten Zugriff gilt.

Twofish (256 Bit). Twofish ist ein symmetrischer 256-Bit-Block-Althorithmus. Es war einer der fünf Algorithmen, die vom U.S. National Institute of Standards and Technology (NIST) für das AES in Betracht gezogen wurden (Rijndael wurde ausgewählt).

12 Mindestens ein Anwender muss auf das neue PGP Virtual Disk-Laufwerk zugreifen können. Geben Sie im Bereich Anwenderzugriff die Personen an, denen der Zugriff gewährt werden soll, und legen Sie die Zugriffsmethode fest:

Anwenderschlüssel. Anwender, die sich mit asymmetrischer Kryptographie authentifizieren, fügen Sie folgendermaßen hinzu:

Klicken Sie auf Anwenderschlüssel hinzufügen. Das Feld Anwenderschlüssel hinzufügen wird angezeigt. Es enthält die Schlüsselpaare, die sich gegenwärtig auf Ihrem Schlüsselbund befinden.

Wählen Sie im Feld Schlüsselanwender hinzufügen die gewünschten Schlüsselanwender aus, indem Sie auf die betreffenden Listeneinträge doppelklicken. Sie können stattdessen auch Listeneinträge von der linken Seite nach rechts ziehen oder einen Listeneintrag auswählen und auf Hinzufügen klicken. Wenn Sie fertig sind, klicken Sie auf OK.

Passwort: Klicken Sie auf Neuer Passwortanwender. Das Dialogfeld Neuen Anwender erstellen wird angezeigt.

Geben Sie für jeden neuen Passwortanwender einen Namen und ein Passwort ein. Das Passwort muss zur Bestätigung ein zweites Mal eingegeben werden. Klicken Sie auf OK, um den Passwortanwender zu erstellen. Wiederholen Sie ggf. den Vorgang, um weitere Passwortanwender zu erstellen.

Wenn Sie das Passwort eines Passwortanwenders ändern möchten, wählen Sie ihn aus und klicken auf Passwort ändern.

209


Nähere Informationen zur Erstellung von effektiven Passwörtern von hoher Qualität finden Sie unter Starke Passwörter erstellen (auf Seite 337).

13 Klicken Sie auf Erstellen, um die Erstellung des neuen PGP Virtual Disk-Laufwerks zu starten. Eine Fortschrittsanzeige zeigt an, welcher Anteil des PGP Virtual Disk-Laufwerks bereits initialisiert und formatiert ist. Nach Abschluss des Vorgangs wird das neue PGP Virtual Disk-Laufwerk im Bedienfeld „PGP Disk“ angezeigt.

14 Der erste Anwender, den Sie erstellen, erhält den Status eines Administrators. Es kann immer nur ein Administrator existieren. Sie können jedoch jeden anderen Anwender zum Administrator machen, unabhängig davon, ob es sich um einen Anwender mit öffentlichem Schlüssel oder um einen Passwortanwender handelt. Klicken Sie in der Liste Anwenderzugriff auf den Namen der gewünschten Person, und klicken Sie dann auf Als

Administrator definieren.

15 Sie können alle Anwender (außer dem Administrator) löschen, indem Sie ihren Namen auswählen und auf Anwender löschen klicken. Der Administrator kann erst gelöscht werden, nachdem ein anderer Anwender als Administrator definiert wurde.

Die Eigenschaften eines PGP Virtual Disk-Laufwerks anzeigen

Nach der Erstellung eines PGP Virtual Disk-Laufwerks sind Informationen zum Laufwerk und den von Ihnen änderbaren Einstellungen im Bildschirm Laufwerkseigenschaften zugänglich.

So zeigen Sie die Eigenschaften eines PGP Disk-Laufwerks an

Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und klicken Sie anschließend auf den Namen des Laufwerks. Die Laufwerkseigenschaften werden rechts im Hauptbildschirm angezeigt.

210


PGP Virtual Disk-Laufwerke suchen

Wenn Sie bereits mit früheren Installationen von PGP Desktop ein oder mehrere PGP Virtual Disk-Laufwerke erstellt hatten, können Sie diese mit dem Suchassistenten für PGP-Laufwerke ganz problemlos finden.

So finden Sie PGP Virtual Disk-Laufwerke auf Ihrem System

1 Klicken Sie in PGP Desktop auf das Bedienfeld PGP Disk. Der PGP Disk-Hauptbildschirm wird angezeigt.

2 Wählen Sie Datei > Durchsuchen nach PGP-Laufwerken. Daraufhin wird das Dialogfeld des PGP Disk-Suchassistenten angezeigt.

3 Befolgen Sie die im Assistenten angezeigten Anweisungen.

Tipp: Um das aktivierte Volumen eines bestimmten PGP Virtual Disk-Laufwerks zu finden, klicken Sie mit der rechten Maustaste in PGP Desktop auf den Namen des Laufwerks und wählen Laufwerk-Speicherort in Explorer zeigen. Windows Explorer öffnet ein neues Fenster, das den Inhalt des Laufwerks anzeigt.

211


Ein aktiviertes PGP Virtual Disk-Laufwerk verwenden

Auf einem PGP Virtual Disk-Laufwerk können Sie wie auf jedem anderen Laufwerk Ihres Systems Dateien und Ordner erstellen, kopieren, verschieben und löschen.

Alle anderen Personen mit Zugriff auf das Laufwerk (entweder auf demselben Computer oder über ein Netzwerk) können ebenfalls auf die darauf gespeicherten Daten zugreifen. Die Daten werden erst dann geschützt, wenn Sie das Laufwerk deaktivieren.

Achtung: Die PGP Virtual Disk-Laufwerksdatei ist zwar verschlüsselt und vor unbefugtem Zugriff geschützt, sie kann jedoch auf der Festplatte gelöscht werden. Jede Person, die Zugriff auf Ihr System hat, könnte die verschlüsselte Datei, die das PGP Virtual Disk-Laufwerk enthält, löschen. Deshalb empfiehlt es sich, eine Sicherungskopie der verschlüsselten Datei aufzubewahren und den Computer zu sperren, wenn Sie nicht in der Nähe sind.

PGP Virtual Disk-Laufwerk aktivieren

Wenn Sie ein neues PGP Virtual Disk-Laufwerk erstellen, wird es automatisch aktiviert, sodass Sie es sofort zum Speichern von Dateien einsetzen können.

Um den Inhalt eines Laufwerks zu schützen, müssen Sie es deaktivieren. Nach dem Deaktivieren sind die Daten in einer verschlüsselten Datei gespeichert, und der Zugriff ist erst möglich, wenn das Laufwerk wieder aktiviert wird.

Es gibt verschiedene Möglichkeiten zum Aktivieren eines PGP Virtual Disk-Laufwerks:

Wählen Sie in PGP Desktop das PGP Virtual Disk-Laufwerk, das Sie aktivieren möchten, und wählen Sie Laufwerk > Aktivieren.

Wählen Sie in PGP Desktop das PGP Virtual Disk-Laufwerk, das Sie aktivieren möchten, und klicken Sie dann auf Aktivieren in der oberen rechten Ecke in Windows-Systemen oder auf das Symbol Aktivieren in der Symbolleiste auf Mac OS X-Systemen.

Ändern Sie die Eigenschaften des PGP Virtual Disk-Laufwerks, sodass es beim Start des Computers aktiviert wird.

Nur auf Windows-Systemen:

Aktivieren Sie während der Erstellung des PGP Virtual Disk-Laufwerks das Kontrollkästchen Beim Start aktivieren. Das Laufwerk wird dann beim Start von Windows automatisch aktiviert. Wenn Sie diese Option nicht beim Erstellen des PGP Virtual Disk-Laufwerks aktivieren möchten, können Sie dies später durchführen.

212


Klicken Sie im Windows Explorer mit der rechten Maustaste auf die PGP Virtual Disk-Laufwerkdatei, und wählen Sie PGP > PGP Virtual Disk aktivieren aus.

Aktivierte PGP Virtual Disk-Laufwerke erscheinen als leere Laufwerke in Windows Explorer und Mac OS X Finder.

PGP Virtual Disk-Laufwerk deaktivieren

Sie können ein PGP Virtual Disk-Laufwerk sperren, indem Sie es deaktivieren. Nach dem Deaktivieren eines PGP Virtual Disk-Laufwerks ist sein Inhalt in der verschlüsselten Laufwerksdatei gesperrt. Der Inhalt ist erst dann wieder zugänglich, wenn das Laufwerk wieder aktiviert wird.

Achtung: Wenn Sie ein PGP Virtual Disk-Laufwerk deaktivieren und darauf gespeicherte Dateien geöffnet sind, können Daten verloren gehen. Geben Sie Optionen für die Deaktivierung von Laufwerken an, indem Sie Extras > PGP auswählen und auf die Registerkarte „Laufwerk“ klicken. Eine Option lautet Laufwerk auch deaktivieren, wenn noch Dateien geöffnet sind. Wenn diese Option ausgewählt ist, ist auch die Option für Vor der Deaktivierung nicht

fragen verfügbar. Verwenden Sie diese Optionen nur, wenn Sie damit

vertraut sind. Diese Optionen sind zwar für fortgeschrittene Anwender hilfreich, die Ihre Daten regelmäßig sichern, jedoch für die meisten Anwender nicht zu empfehlen.

Sie können ein PGP Virtual Disk-Laufwerk auf folgende Arten deaktivieren:

Klicken Sie auf das Bedienfeld „PGP Disk“ im linken Fensterbereich des Hauptbildschirms von PGP Desktop, und wählen Sie dann das Laufwerk aus, das Sie deaktivieren möchten. Klicken Sie auf Deaktivieren in der oberen rechten Ecke oder wählen Sie Laufwerk > deaktivieren.

Klicken Sie im Windows Explorer mit der rechten Maustaste auf die PGP Virtual Disk-Laufwerkdatei, und wählen Sie dann PGP > PGP Virtual Disk deaktivieren aus dem Kontextmenü aus.

Verwenden Sie den Tastaturbefehl zur Deaktivierung aller PGP Virtual Disk-Laufwerke. Der Standardtastaturbefehl ist Strg-Umschalttaste-U. Der Tastaturbefehl muss zuerst aktiviert werden.

Nach dem Deaktivieren eines PGP Virtual Disk-Laufwerks bleiben die Daten gesperrt und der Zugriff ist erst möglich, wenn das Laufwerk wieder aktiviert wird.

PGP Virtual Disk-Laufwerk komprimieren

Um freie Speicherkapazität auf Ihrem PGP Virtual Disk-Laufwerk zu schaffen, können Sie das Laufwerk komprimieren. Wenn das PGP Virtual Disk-Laufwerk aktiviert ist, müssen Sie das Laufwerk zuerst deaktivieren, bevor es komprimiert werden kann.

213


So komprimieren Sie ein PGP Virtual Disk-Laufwerk


Navigieren Sie in Windows Explorer zum Speicherort der.pgd-Datei. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie PGP Desktop > Nicht verwendeten Speicherplatz komprimieren.

Klicken Sie auf das PGP Disk Bedienfeld im linken Fenster des PGP Desktop Hauptbildschirms und wählen Sie dann das PGP Virtual Disk-Laufwerk, das Sie komprimieren möchten, und wählen Sie dann Disk > Komprimieren. Sie können auch mit der rechten Maustaste auf das PGP Virtual Disk-Laufwerk im Bedienfeld „PGP Disk“ klicken und Komprimieren aus dem Kontextmenü wählen.

PGP Virtual Disk-Laufwerke umschlüsseln

Sie können die auf einem PGP Virtual Disk-Laufwerk gespeicherten Daten umschlüsseln. Das kann aus einem von zwei (oder beiden) Gründen erfolgen:

Sie möchten den gegenwärtig verwendeten Verschlüsselungsalgorithmus ändern, um das Laufwerk zu schützen.

Sie vermuten, dass eine Sicherheitsverletzung aufgetreten ist.

Beachten Sie, dass Sie beim Umschlüsseln Ihr PGP Virtual Disk-Laufwerk wieder verschlüsseln, jedoch mit einem anderen zugrunde liegenden Verschlüsselungsschlüssel.

Achtung: Erfahrene Benutzer können in der Lage sein, den Speicher eines Computers nach dem zugrunde liegenden Verschlüsselungsschlüssel eines PGP Virtual Disk-Laufwerks abzusuchen. Diese Benutzer könnten den Schlüssel zum Zugriff auf das Laufwerk benutzen, nachdem sie aus der Benutzerliste gelöscht wurden. Bei der Umbenennung des Laufwerks wird dieser zugrunde liegende Schlüssel geändert und dieser unberechtigte Eingriff verhindert.

So benennen Sie ein PGP Virtual Disk-Laufwerk um

1 Klicken Sie auf das Bedienfeld „PGP Disk“ im linken Fensterbereich des PGP Desktop-Hauptbildschirms von PGP Desktop, und wählen Sie dann das PGP Virtual Disk-Laufwerk aus, das Sie umschlüsseln möchten.

2 Wenn das PGP Virtual Disk-Laufwerk, das Sie umschlüsseln möchten, aktiviert ist, deaktivieren Sie es.

3 Wählen Sie das PGP Virtual Disk-Laufwerk aus, das Sie umschlüsseln möchten.

4 Wählen Sie Laufwerk > umschlüsseln.

5 Geben Sie Ihr Passwort für das Laufwerk ein. Der Assistent für die Umschlüsselung eines PGP-Laufwerks wird angezeigt

214


6 Lesen Sie die einführenden Informationen und klicken Sie dann auf OK. Ein Dialogfeld mit folgenden Informationen wird anzeigt.

Der aktuelle Verschlüsselungsalgorithmus, der Ihr PGP Virtual Disk-Laufwerk schützt.

Die anderen verfügbaren Verschlüsselungsalgorithmen als die ursprünglich von Ihnen gewählten.

Wenn Ihr PGP Virtual Disk-Laufwerk zum Beispiel gegenwärtig mit AES verschlüsselt ist, dann erscheinen die Optionen CAST5 und Twofish in der Liste Neue Algorithmen.


Um das Laufwerk mit dem aktuellen Algorithmus umzuschlüsseln, wählen Sie das Kontrollkästchen Mit gleichem Algorithmus

umschlüsseln und klicken dann auf Weiter. Das PGP Virtual Disk-Laufwerk wird mit dem gleichen Verschlüsselungsalgorithmus wie vorher umgeschlüsselt.

Um das Laufwerk mit einem anderen Algorithmus umzuschlüsseln, wählen Sie den Algorithmus aus dem Menü Neuer Algorithmus und klicken dann auf Weiter. Das PGP Virtual Disk-Laufwerk wird mit dem neuen Verschlüsselungsalgorithmus, den Sie ausgewählt haben, umgeschlüsselt.

8 Wenn der aktuelle Status Fertig anzeigt, klicken Sie auf Weiter.

9 Klicken Sie auf Fertig, um die Umschlüsselung abzuschließen.

Arbeiten mit alternativen Benutzern

In diesem Abschnitt wird beschrieben, wie alternative Benutzerkonten für Ihre PGP Virtual Disk-Laufwerke hinzugefügt, gelöscht und deaktiviert werden. Hier wird auch beschrieben, wie Benutzerrechte geändert werden, einschließlich die Gewährung von Administratorrechten für einen Benutzer.

Alternative Benutzerkonten zu einem PGP Virtual Disk-Laufwerk

hinzufügen

Der Administrator eines PGP Virtual Disk-Laufwerks kann dieses anderen Anwendern zugänglich machen. Diese Anwender können dann mit ihrem eigenen Passwort oder ihrem eigenen privaten Schlüssel auf das Laufwerk zugreifen.

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk deaktiviert ist. Sollte dies nicht der Fall sein, können keine Benutzerkonten hinzugefügt werden.

215


So fügen Sie alternative Benutzerkonten zu einem PGP Virtual Disk-

Laufwerk hinzu:

1 Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und wählen Sie das PGP Virtual Disk-Laufwerk aus, zu dem Sie ein alternatives Benutzerkonto hinzufügen möchten.


Um einen neuen Benutzer eines öffentlichen Schlüssels hinzuzufügen, klicken Sie auf Benutzerschlüssel hinzufügen. Das Dialogfeld „Schlüsselbenutzer hinzufügen“ wird angezeigt.

Um einen neuen Passwortbenutzer hinzuzufügen, klicken Sie auf Neuer Passwortbenutzer. Daraufhin wird das Dialogfeld „PGP Disk Neuer Benutzer“ angezeigt.


Wenn Sie Benutzerschlüssel hinzufügen ausgewählt haben, wählen Sie im Dialogfeld „Schlüsselbenutzer hinzufügen“ einen öffentlichen Benutzer aus der Liste und klicken auf OK.

Wenn Sie Neuer Passwortbenutzer ausgewählt haben, geben Sie im Dialogfeld „PGP Disk Neuer Benutzer“ den Benutzernamen und das Passwort für das PGP Virtual Disk-Laufwerk, dem Sie den Benutzer hinzufügen, ein. Geben Sie dann das Passwort noch einmal im Feld PGP Disk Neuer Benutzer ein und klicken Sie auf OK.

Das alternative Benutzerkonto wird hinzugefügt.

Alternative Benutzerkonten von einem PGP Virtual Disk-Laufwerk löschen

Möglicherweise möchten Sie in manchen Fällen den Zugriff eines alternativen Benutzers auf ein PGP Virtual Disk-Laufwerk entfernen.

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk nicht aktiviert ist. Sie können kein Benutzerkonto entfernen, wenn das Laufwerk aktiviert ist.

So entfernen Sie alternative Benutzerkonten von einem PGP Virtual Disk-

Laufwerk:

1 Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und wählen Sie das PGP Virtual Disk-Laufwerk für das Benutzerkonto, das Sie löschen möchten.

2 Wählen Sie in der Liste Benutzerzugang den Namen des alternativen Benutzers aus, dessen Konto Sie entfernen möchten. Der Administrator kann nicht entfernt werden.

3 Klicken Sie auf Benutzer löschen. Das Dialogfeld „Passwort“ wird angezeigt und fragt nach dem Administrator-Passwort oder dem Passwort für das Benutzerkonto, der entfernt wird.

216


4 Geben Sie das Passwort ein, und klicken Sie auf OK. Das alternative Benutzerkonto wird entfernt.

Alternative Benutzerkonten deaktivieren und aktivieren

Sie können den Zugriff eines Anwenders auf ein PGP Virtual Disk Laufwerk vorübergehend verhindern, ohne ihn zu entfernen, indem Sie das Konto deaktivieren.

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk nicht aktiviert ist. Sie können kein Benutzerkonto deaktivieren oder aktivieren, wenn das Laufwerk aktiviert ist.

So deaktivieren oder aktivieren Sie alternative Benutzerkonten von

einem PGP Virtual Disk-Laufwerk

1 Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und wählen Sie das PGP Virtual Disk-Laufwerk für das Benutzerkonto, das Sie ändern möchten.

2 Führen Sie in der Benutzerkontenliste eine der folgenden Maßnahmen aus:

Wenn Sie einen Benutzer deaktivieren möchten, klicken Sie mit der rechten Maustaste auf den Namen des alternativen Benutzerkontos, das Sie deaktivieren möchten, und wählen Sie Deaktivieren. Das Dialogfeld „Passwort“ wird angezeigt und fragt nach dem Administrator-Passwort oder dem Passwort für das Benutzerkonto, das deaktiviert wird. Geben Sie das Passwort ein, und klicken Sie auf OK. Das alternative Benutzerkonto wird deaktiviert.

Um einen früher deaktivierten Benutzer zu aktivieren, klicken Sie mit der rechten Maustaste auf den Namen des alternativen Benutzerkontos, das Sie aktivieren wollen, und wählen Aktivieren. Das Dialogfeld „Passwort“ wird angezeigt und fragt nach dem Administrator-Passwort oder dem Passwort für das Benutzerkonto, das deaktiviert wird. Geben Sie das Passwort ein, und klicken Sie auf OK. Das alternative Benutzerkonto wird aktiviert.

Lese-/Schreib- und Schreibschutzstatus ändern

Sie können für Ihre PGP Virtual Disk-Laufwerke anderen Anwendern entweder die vollständige Lese-/Schreibberechtigung oder nur die Leseberechtigung erteilen. Diese Berechtigung kann immer nur für einen Anwender geändert werden.

Vergewissern Sie sich, dass das ausgewählte PGP Virtual Disk-Laufwerk nicht aktiviert ist. Sie können Rechte nicht ändern, falls das Laufwerk aktiviert ist.

217


So ändern Sie die Rechte für einen Benutzer für ein PGP Virtual Disk-

Laufwerk


2 Wählen Sie in der Liste Anwenderzugriff den Namen des Anwenders aus, dessen Status geändert werden soll.


Zur Änderung des Benutzers auf Schreibschutzstatus klicken Sie mit der rechten Maustaste auf den Anwendernamen und wählen Schreibgeschützt.

Zur Änderung des Benutzers auf Lese-/Schreibstatus klicken Sie mit der rechten Maustaste auf den Anwendernamen und wählen Lese-

/Schreibrecht.

Das Dialogfeld „Passwort eingeben“ wird angezeigt.

4 Geben Sie das Administratorpasswort für das PGP Virtual Disk-Laufwerk ein, und klicken Sie auf OK. Die Rechte des ausgewählten Anwenders sind nun geändert.

Einem alternativen Benutzer Administratorstatus gewähren

Sie können den Status eines Benutzerkontos von alternativ auf Administrator ändern.

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk nicht aktiviert ist. Wenn das Laufwerk aktiviert ist, können Sie keinen Anwender als Administrator definieren.

So gewähren Sie Administratorstatus


2 Wählen Sie in der Liste Anwenderzugriff den Benutzer aus, den Sie zum Administrator des PGP Virtual Disk-Laufwerks machen möchten. Wählen Sie entweder einen Passwortbenutzer oder sich selbst (wenn Sie nicht der aktuelle Administrator sind). Beachten Sie, dass Sie keinen Benutzer eines öffentlichen Schlüssels zum Administrator des PGP Virtual Disk-Laufwerks machen können.

3 Klicken Sie auf der Optionsleiste links auf Zum Administrator machen. Das ausgewählte Benutzerkonto wird auf Administrator geändert.

218


Hinweis: Sie können immer nur einem Benutzerkonto den Administratorstatus zuweisen. Beim Zuweisen des Administratorstatus zu einem Konto wird automatisch dieser Status von einem anderen Konto entfernt.

Anwender-Passwörter ändern

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk nicht aktiviert ist. Sie können das Passwort nicht ändern, falls das Laufwerk aktiviert ist.

So ändern Sie die Passwörter für einen Benutzer für ein PGP Virtual Disk-

Laufwerk

1 Klicken Sie im linken Fensterbereich des Hauptbildschirms von PGP Desktop auf das Bedienfeld „PGP Disk“, und wählen Sie das PGP Virtual Disk-Laufwerk aus, für das Sie ein Benutzer sind.

2 Wählen Sie den Namen eines Passwort-Benutzers aus der Anwenderzugriff-Liste aus und klicken Sie auf Passwort ändern. Das Dialogfeld „Passwort eingeben“ wird angezeigt.

Tipp: Sie können auch mit der rechten Maustaste auf den Namen des Anwenders klicken und Anwender-Passwort ändern aus dem Kontextmenü auswählen

3 Geben Sie das aktuelle Passwort für den Anwender an und klicken Sie auf OK. Das Dialogfeld „Bestätigtes PGP-Passwort eingeben“ wird angezeigt.

4 Geben Sie ein neues Passwort ein. Geben Sie es zur Bestätigung noch einmal ein, und klicken Sie anschließend auf OK. Das Passwort wird geändert.

PGP Virtual Disk-Laufwerke löschen

Es ist möglich, dass Sie an einem Punkt entscheiden, dass Sie ein bestimmtes PGP Virtual Disk-Laufwerk nicht mehr benötigen und dann das Laufwerk löschen wollen.

Achtung: Beim Löschen eines PGP Virtual Disk-Laufwerks werden auch alle darauf befindlichen Daten gelöscht. Es gibt keine Möglichkeit, die Daten wiederherzustellen, wenn ein PGP Virtual Disk-Laufwerk gelöscht wurde. Achten Sie darauf, dass Sie alle Daten, die Sie speichern wollen, an einen anderen Ort kopiert haben, bevor Sie ein PGP Virtual Disk-Laufwerk löschen.

Stellen Sie sicher, dass das PGP Virtual Disk-Laufwerk nicht aktiviert ist. Ein PGP Virtual Disk-Laufwerk kann nicht gelöscht werden, wenn das Laufwerk aktiviert ist.

219


So löschen Sie ein neues PGP Virtual Disk-Laufwerk

1 Klicken Sie auf das Bedienfeld „PGP Disk“ im linken Fensterbereich des PGP Desktop-Hauptbildschirms von PGP Desktop, und wählen Sie dann das PGP Virtual Disk-Laufwerk aus, das Sie löschen möchten.

2 Wählen Sie Laufwerk > löschen. Ein Bestätigungsdialogfeld wird angezeigt.


Klicken Sie auf OK, um das PGP Virtual Disk-Laufwerk aus der Liste von PGP Desktop zu entfernen. Das virtuelle Laufwerk verbleibt auf dem System.

Klicken Sie auf PGP-Laufwerk löschen, um das PGP Virtual Disk-Laufwerk aus der Liste von PGP Desktop zu entfernen und gleichzeitig auf der Festplatte zu löschen.

PGP Virtual Disk-Laufwerk pflegen

In diesem Abschnitt wird beschrieben, wie Sie PGP Virtual Disk-Laufwerke, die Sie mit Ihrem Computer verwenden, ordnungsgemäß pflegen.

PGP Virtual Disk-Laufwerke auf einem entfernten Server aktivieren

PGP Virtual Disk-Laufwerke können auf jeder Art von Server (Windows oder UNIX) platziert werden. Die Laufwerke können dann von jedem Anwender mit einem Windows-Computer und PGP Desktop aktiviert werden.

Hinweis: Die erste Person, die das PGP Virtual Disk-Laufwerk lokal aktiviert, erhält den Lese-/Schreibzugriff auf das Laufwerk. Danach können keine weiteren Personen auf das Laufwerk zugreifen. Wenn Sie den Zugriff durch andere Personen zulassen möchten, müssen Sie das Laufwerk im schreibgeschützten Modus aktivieren (gilt nur für FAT- und FAT32-Dateisysteme). Alle Anwender des Laufwerks verfügen dann ausschließlich über Lesezugriff.

Wenn das PGP Virtual Disk-Laufwerk auf einem Windows-Server gespeichert wird, können Sie das Laufwerk auch dezentral auf dem Server aktivieren und für andere Personen freigeben. Dieses Verfahren bietet jedoch keinen Schutz für die Dateien auf dem Laufwerk.

220


PGP Virtual Disk-Laufwerke sichern

Die Sicherung des Inhalts Ihrer PGP Virtual Disk-Laufwerke ist die beste Methode, um Ihre Daten vor Hardwarefehlern oder sonstigem Verlust zu schützen.

Es empfiehlt sich nicht, den Inhalt eines aktivierten (und daher entschlüsselten) PGP Virtual Disk-Laufwerks wie jedes andere Laufwerk zu sichern. Der Inhalt ist nicht verschlüsselt und zugänglich für jeden, der die Sicherungskopie wiederherstellen kann. Stattdessen sollten Sie eine Sicherungskopie des verschlüsselten Laufwerks machen.

So sichern Sie ein neues PGP Virtual Disk-Laufwerk

1 Deaktivieren Sie das PGP Virtual Disk-Laufwerk.

2 Kopieren Sie die deaktivierte verschlüsselte Datei auf eine Diskette, ein Band oder einen Wechseldatenträger. Selbst wenn eine unbefugte Person Zugriff auf die Sicherungsdatei erhält, kann sie den Inhalt nicht entschlüsseln.

Beachten Sie bei der Erstellung von Sicherungskopien verschlüsselter Dateien folgende Hinweise:

Das Erstellen von Sicherungskopien der verschlüsselten Dateien auf einem Netzlaufwerk bietet anderen Personen ausreichend Gelegenheit, ein unsicheres Passwort zu erraten. Es ist viel sicherer, Sicherungskopien nur auf Geräten zu erstellen, auf die Sie physisch zugreifen können.

Ein längeres, kompliziertes Passwort verbessert die Sicherheit Ihrer Daten zusätzlich.

Wenn Sie in einem Netzwerk sind, achten Sie darauf, dass die Dateien in Ihrem aktivierten PGP Virtual Disk-Laufwerk nicht durch ein Netzwerksicherungssystem gesichert werden Wenden Sie sich ggf. an Ihren Systemadministrator. Nach der Aktivierung eines PGP Virtual Disk-Laufwerks sind seine Dateien entschlüsselt und können in ein Netzwerksicherungssystem kopiert werden.

PGP Virtual Disk-Laufwerke austauschen

Sie können PGP Virtual Disk-Laufwerke mit anderen Benutzern, die auf ihren Computern PGP Desktop installiert haben, austauschen. Dazu senden Sie ihnen eine Kopie der Datendatei des PGP Virtual Disk-Laufwerks, die die Laufwerkdaten enthält. Sie können die PGP Virtual Disk-Laufwerke wie folgt austauschen:

Als E-Mail-Anlagen

Auf einem Wechseldatenträger oder auf CDs

Über ein Netzwerk

221


Nachdem der andere Anwender die PGP Virtual Disk-Laufwerkdatei erhalten hat, können sie sie auf einem System mit PGP Desktop aktivieren und das richtige Passwort zum Zugriff darauf verwenden. Wenn das Laufwerk mit ihrem öffentlichen Schlüssel verschlüsselt wurde, würden sie ihren privaten Schlüssel zum Zugriff verwenden.

Hinweis: Der öffentliche Schlüssel ist aus folgenden Gründen die sicherste Schutzmethode beim Hinzufügen anderer Anwender zu einem PGP Virtual Disk-Laufwerk: (1) Sie müssen kein Passwort mit dem alternativen Benutzer austauschen, das, je nach Austauschmethode, abgefangen oder abgehört werden könnte. (2) Der alternative Benutzer muss sich das andere Passwort nicht merken, und kann es nicht vergessen. (3) Es ist einfacher, eine Liste alternativer Benutzer zu verwalten, wenn jeder Benutzer zum Entsperren des Laufwerks seinen eigenen privaten Schlüssel verwendet.

PGP Virtual Disk-Verschlüsselungsalgorithmen

Verschlüsselung bedient sich mathematischer Formeln, um Ihre Daten so zu vermischen, dass sie für andere Personen nutzlos werden. Wenn Sie den korrekten mathematischen Schlüssel anwenden, werden die Daten wieder zusammengesetzt. Die Verschlüsselungsformel für PGP Virtual Disk Laufwerke verwendet für einen Teil des Verschlüsselungsvorgangs zufällige Daten.

Die PGP Desktop Anwendung enthält starke Algorithmusoptionen zum Schutz Ihrer PGP Virtual Disk Laufwerke: AES-256, CAST und Twofish.

AES (Advanced Encryption Standard) ist der von NIST genehmigte Verschlüsselungsstandard. Der zugrunde liegende Algorithmus ist Rijndael, ein von Joan Daemen und Vincent Rijmen entwickelter Block-Algorithmus. AES ersetzt den vorherigen Standard DES (Data Encryption Standard). PGP Virtual Disk Laufwerke können mit der stärksten Variation von AES, AES-256 (d. h. AES mit einer Schlüsselgröße von -256 256 Bit) geschützt werden.

CAST wird als ausgezeichneter Block-Algorithmus betrachtet, da er schnell und nur schwer zu brechen ist. Sein Name ist von den Initialen der Entwickler, Carlisle Adams und Stafford Tavares von Northern Telecom (Nortel) abgeleitet. Nortel hat ein Patent für CAST angemeldet, verpflichtet sich jedoch, CAST ohne Lizenzgebühren für alle Personen verfügbar zu machen. CAST scheint ein von Personen mit hervorragendem Ruf innerhalb der Branche außergewöhnlich gut entwickelter Algorithmus zu sein.

Das Design basiert auf einem sehr formellen Ansatz und enthält eine Reihe formal nachweisbarer Behauptungen, die Grund zur Annahme geben, dass die Schlüssel wahrscheinlich völlig verbraucht wären, bevor der 128-Bit-Schlüssel entziffert würde. CAST hat keine schwachen Schlüssel. Es gibt Beweise dafür, dass CAST gegen Linear- und Differenzialkryptanalyse immun ist, die zwei leistungsstärksten Formen von Kryptanalyse in der veröffentlichten Literatur. Beide haben sich beim Cracken von DES (Data Encryption Standard) als effektiv erwiesen.

222


Twofish ist ein relativ neuer, aber angesehener Block-Algorithmus mit 256 Bit, ein symmetrischer Algorithmus. Twofish war einer der fünf Algorithmen, die vom U.S. National Institute of Standards and Technology (NIST) für das neue Advanced Encryption Standard (AES) in Betracht gezogen wurden.

Spezielle Sicherheitsfunktionen von PGP Virtual Disk

Im Gegensatz zu manchen anderen Programmen legt PGP Desktop besonderen Wert auf die Vermeidung von Sicherheitsproblemen mit PGP Virtual Disk-Laufwerken.

Diese Sicherheitsmaßnahmen gelten auch für vollständig verschlüsselte Laufwerke.

Passwortlöschung

Wenn Sie ein Passwort eingeben, wird es von PGP Desktop nur für kurze Zeit verwendet und danach aus dem Speicher gelöscht. PGP Desktop erstellt außerdem keine Kopien des Passworts. Daher befindet sich Ihr Passwort gewöhnlich nur für den Bruchteil einer Sekunde im Speicher.

Diese Funktion ist von größter Bedeutung, da sonst andere Personen im Hauptspeicher nach Ihrem Passwort suchen könnten, während Sie nicht an Ihrem Arbeitsplatz sind. Diese Personen würden dann ohne Ihr Wissen vollständigen Zugriff auf alle mit diesem Passwort geschützten Daten erhalten.

Schutz des virtuellen Speichers

Ihr Passwort oder andere Schlüssel könnten mit den Daten des virtuellen Speichersystems auf die Festplatte ausgelagert werden. PGP Desktop lässt jedoch nicht zu, dass die Passwörter und Schlüssel auf die Festplatte geschrieben werden. Diese Funktion verhindert, dass ein Eindringling die virtuelle Speicherdatei nach Passwörtern durchsuchen könnte.

Ruhezustand

Unter Windows wird beim Wechsel in den Ruhezustand ein Abzug des gesamten Hauptspeichers, einschließlich der PGP Virtual Disk-Laufwerksinformationen, in eine Datei auf der Festplatte geschrieben. Wenn Ihr PGP Virtual Disk-Laufwerk bei der Aktivierung des Ruhezustands geöffnet ist, werden vertrauliche Daten (auch der Sitzungsschlüssel, jedoch nicht Ihr Passwort) auf der Festplatte gespeichert.

223


Da der Ruhezustand von Natur aus unsicher ist, empfiehlt die PGP Corporation die Verschlüsselung mit PGP Whole Disk Encryption oder die Aktivierung der PGP Virtual Disk-Optionen Deaktivierung im Stromsparmodus und

Stromsparmodus nur einschalten, wenn Laufwerke deaktiviert wurden auf der Registerkarte „Laufwerk“ des Fensters „PGP-Optionen“.

Schutz statischer Schlüssel im Speicher

Beim Aktivieren eines PGP Virtual Disk-Laufwerks wird Ihr Passwort in einen Schlüssel konvertiert. Dieser Schlüssel wird zum Verschlüsseln und Entschlüsseln der Daten auf dem PGP Virtual Disk Laufwerk verwendet. Das Passwort wird sofort aus dem Speicher gelöscht, der Schlüssel (aus dem Ihr Passwort nicht abgeleitet werden kann) bleibt jedoch im Speicher, während das Laufwerk aktiviert ist.

Dieser Schlüssel wird zwar nicht im virtuellen Speicher gespeichert; wenn jedoch ein bestimmter Speicherbereich genau dieselben Daten für extrem lange Zeiträume speichert, ohne dass der Computer ausgeschaltet oder zurückgesetzt wird, bleibt eine statische Ladung im Speicher zurück, die von Angreifern gelesen werden könnte. Wenn Ihr PGP Virtual Disk-Laufwerk für längere Zeit aktiviert bleibt, können mit der Zeit erkennbare Spuren Ihres Schlüssels im Speicher zurückbleiben. Mit bestimmten Geräten könnte der Schlüssel wiederhergestellt werden. Diese Geräte sind zwar nicht im Elektronikfachgeschäft um die Ecke zu finden, stehen aber wahrscheinlich großen Regierungsbehörden zur Verfügung.

PGP Desktop schützt vor solchen Übergriffen, indem zwei Kopien (eine normale Kopie und eine Kopie mit invertierten Bits) im Hauptspeicher gehalten und alle paar Sekunden gewechselt werden.

Weitere Sicherheitsaspekte

Im Allgemeinen hängt Ihre Fähigkeit zum Schutz Ihrer Daten von den Vorkehrungen ab, die Sie treffen, und kein Verschlüsselungsprogramm kann Sie vor unzureichenden Sicherheitsmaßnahmen schützen. Wenn Sie z. B. Ihren Computer eingeschaltet und vertrauliche Dateien geöffnet lassen, während Sie sich nicht an Ihrem Schreibtisch befinden, können andere Personen auf diese Informationen zugreifen oder sogar den Schlüssel für den Zugriff auf die Daten erhalten.

Hier sind einige Empfehlungen zur Wahrung der optimalen Sicherheit:

Deaktivieren Sie unbedingt alle PGP Virtual Disk-Laufwerke, bevor Sie Ihren Computer verlassen. Die Dateien werden dann sicher in einer verschlüsselten Datei gespeichert, bis Sie erneut darauf zugreifen möchten.

Verwenden Sie einen Bildschirmschoner mit Kennwortschutz, um anderen Personen den Zugriff auf Ihren Computer oder das Anzeigen Ihres Bildschirms zu erschweren, wenn Sie sich nicht an Ihrem Schreibtisch befinden.

224


Stellen Sie sicher, dass Ihre PGP Virtual Disk-Laufwerke nicht für andere Computer im Netzwerk freigegeben werden. Wenden Sie sich dazu ggf. an Ihren Netzwerkadministrator. Die Dateien in einem aktivierten PGP Virtual Disk-Laufwerk sind für alle Personen zugänglich, die sie im Netzwerk sehen können.

Schreiben Sie Ihre Passwörter auf keinen Fall auf. Wählen Sie ein Passwort, das Sie sich merken können. Wenn Sie sich Ihr Passwort nur schwer merken können, verwenden Sie eine Gedächtnisstütze (z. B. Poster, Lied, Gedicht, Witz usw.), aber schreiben Sie es nicht auf.

Wenn Sie PGP Desktop zu Hause verwenden und Ihren Computer mit anderen Personen teilen, werden diese wahrscheinlich Ihre PGP Virtual Disk-Laufwerksdateien sehen können. Deaktivieren Sie daher die nicht benötigten PGP Virtual Disk-Laufwerke, damit ihr Inhalt von anderen Personen nicht gelesen werden kann.

Wenn eine andere Person physisch Zugang zu Ihrem Computer hat, kann diese Person Ihre PGP Virtual Disk-Laufwerksdateien sowie andere Dateien oder Laufwerke löschen. Wenn der physische Zugang ein Problem ist, sichern Sie Ihre PGP Virtual Disk-Laufwerksdateien, oder speichern Sie sie auf einem externen Gerät, auf das nur Sie Zugriff haben.

Beachten Sie, dass die Kopien des PGP Virtual Disk-Laufwerks denselben Verschlüsselungsschlüssel verwenden wie das Original. Wenn Sie eine Kopie Ihres Laufwerks mit einer anderen Person austauschen und Sie beide Ihre Hauptpasswörter ändern, wird weiterhin derselbe Schlüssel zur Verschlüsselung der Daten verwendet. Der Schlüssel kann dann zwar wiederhergestellt werden, dies ist jedoch nicht einfach.

Sie können den zugrunde liegenden Schlüssel durch Umschlüsselung des Laufwerks ändern.

225

PGP NetShare bietet transparente durchgehende Verschlüsselung für freigegebene Dateispeicherung.

Hinweis: Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP-Administrator unter Umständen bestimmte Funktionen deaktiviert. Ist eine Funktion deaktiviert, wird das Bedienelement auf der linken Seite nicht angezeigt, und das Menü oder andere auf diese Funktion zutreffenden Optionen sind nicht verfügbar. Die in diesem Handbuch enthaltenen Abbildungen entsprechen der Standardinstallation, bei der alle Funktionen aktiviert sind. Wenn Ihr PGP-Administrator diese Funktion deaktiviert hat, ist dieser Abschnitt für Sie nicht relevant.

In diesem Kapitel

Info zu PGP NetShare............................................................................ 226 PGP NetShare lizenzieren...................................................................... 229

Autorisierte Benutzerschlüssel:............................................................. 230 Einen PGP NetShare-Administrator (Eigentümer) einrichten ................ 230 Mit geschützten Ordnern arbeiten ........................................................ 233 Mit PGP NetShare-Anwendern arbeiten ............................................... 246 PGP NetShare-Zugangslisten importieren............................................. 251 Mit Active Directory-Gruppen arbeiten.................................................. 251

Einen Ordner entfernen......................................................................... 253 Einen Ordner umschlüsseln .................................................................. 254 Ein Passwort löschen ............................................................................ 255 Dateien außerhalb eines geschützten Ordners schützen ..................... 255 Auf PGP NetShare-Funktionen mit dem Kontextmenü zugreifen ......... 257 PGP NetShare in einer mit PGP Universal Server verwalteten Umgebung............................................................................................. 258 Zugriff auf die Eigenschaften einer geschützten Dateien .................... 259 Verwenden der PGP NetShare-Menüs in PGP Desktop ....................... 260

11 PGP NetShare verwenden

226

PGP® Desktop 9.9 für Windows PGP NetShare verwenden

Info zu PGP NetShare

Mit PGP NetShare können Benutzer geschützte Dateien in einem freigegebenen Speicherbereich, wie z. B. auf einem firmeninternen Dateiserver, in einem freigegebenen Ordner oder auf einem Wechseldatenträger (z. B. USB-Laufwerk), gemeinsam verwenden.

Hinweis: Wenn kein freigegebener, leicht zugänglicher Speicherort zur Verfügung steht, ist die gemeinsame Nutzung Ihrer PGP NetShare-Dateien nur über ein USB-Laufwerk möglich.

Die Dateien sind durch die Verschlüsselung geschützt, werden aber weiterhin wie normale Dokumente-Notepad, Microsoft Word, HTML, Microsoft Excel usw. angezeigt. Mit den Anwendungen können Sie die Dateien direkt lesen und bearbeiten; die Anwendungen wissen, dass die Dateien geschützt sind. Alle Benutzer mit Zugriff auf den freigegebenen Speicherplatz können die Dateien zwar sehen, aber sie nicht verwenden oder lesen.

PGP NetShare ist reine Client-Software-Sie müssen nichts auf dem Dateiserver installieren und können mit Ihrer vorhandenen Speicher-Infrastruktur arbeiten. Die Verschlüsselung und Entschlüsselung der geschützten Dateien und Ordner erfolgt ausschließlich durch den Client. Bei Server-Sicherheitskopien werden die verschlüsselten Dateien (Ciphertext) archiviert und können ohne Lesebefugnis nicht gelesen werden.

Die Personen mit Zugriff auf geschützte Dateien werden Benutzer genannt, die Ordner, in denen sich geschützte Dateien befinden, heißen geschützte Ordner.

Benutzern werden Rollen zugewiesen, die die für den Benutzer zugänglichen Operationen festlegen. Nähere Informationen zu Rollen finden Sie unter PGP NetShare-Rollen (auf Seite 228).

Ein geschützter Ordner ist ein beliebiger Ordner, der für das Speichern von geschützten Dateien konfiguriert ist. Dateien, die sich in einem Ordner befinden, der zu einem geschützten Ordner umgewandelt wird, werden automatisch verschlüsselt; Dateien, die in einen geschützten Ordner nach dessen Erstellung verschoben werden, werden beim Hinzufügen zu diesem Ordner verschlüsselt. Mit dem Befehl Einzelne Dateien schützen auf der Registerkarte „NetShare“ (Extras > PGP-Optionen) können Sie auch einzelne Dateien schützen.

Achtung: PGP NetShare bietet keine Zugriffssteuerung für die Dateien in einem geschützten Ordner. Da es sich um eine Zugriffssteuerung auf Dateiebene handelt, kann jeder mit Zugriff auf die Dateien in einem geschützten Ordner neue unverschlüsselte Dateien hinzufügen und/oder vorhandene verschlüsselte Dateien entfernen. Daher ist es wichtig, dass Sie Ihre geschützten Ordner in einem sicheren freigegebenen Raum einrichten; gleichfalls bedeutet dies jedoch auch, dass Ihr Netzwerkadministrator die in einem geschützten Ordner befindlichen Dateien sichern kann, ohne Sie lesen zu können.

227


PGP NetShare kann mit den Programmkomponenten PGP Virtual Disk und PGP Whole Disk Encryption von PGP Desktop eingesetzt werden. Das bedeutet, dass Sie einen geschützten Ordner in PGP Virtual Disk oder bei Laufwerksverschlüsselung mit PGP WDE erstellen können. PGP NetShare ist für den Schutz von Dateien in einer gemeinsam genutzten Umgebung (in der Regel ein Netzwerk) ausgelegt. PGP Virtual Disk und PGP Whole Disk Encryption schützen einzelne Festplatten oder Partitionen auf einem lokalen System. Diese drei hocheffizienten Sicherheitsprodukte sind für geringfügig unterschiedliche Einsatzzwecke konzipiert. Sie können auch alle drei Produkte auf demselben System verwenden, um Ihre Daten noch sicherer zu schützen.

Das folgende Beispiel soll Ihnen helfen, die Einsatzmöglichkeiten von PGP NetShare besser zu verstehen:

Angenommen, Sie sind in einer kleinen Firma mit zwei Hauptproduktlinien für die Finanzen zuständig. Der Firmeninhaber ruft Sie in sein Büro und bittet Sie, eine Initiative einzuleiten, um zu prüfen, ob die Einführung einer weiteren Hauptproduktlinie erfolgreich sein könnte.

Er möchte, dass Sie und die Verantwortlichen für die Marketing-, Verkaufs-, Entwicklung-, Fertigungs- und Support-Abteilung dieses Thema umfassend erörtern und eine Empfehlung aussprechen. Das gesamte Projekt muss vertraulich behandelt werden.

Glücklicherweise arbeiten alle Benutzer im Unternehmen mit PGP Desktop in einer mit PGP Universal Server verwalteten Umgebung, sodass die Lösung für das Erstellen, Freigeben, Aktualisieren und sichere Speichern von Dateien der Gruppe bereits verfügbar ist: PGP NetShare.

Da die Mitglieder Ihres Projektteams an verschiedenen Orten arbeiten, müssen Sie für das Projekt einen geschützten Ordner einrichten, der an einem gemeinsamen Standort für alle zugänglich ist. Wenn Sie den geschützten Ordner beispielsweise im Firmennetzwerk einrichten, kann jedes Projektmitglied darauf zugreifen.

Nachdem der geschützte Ordner eingerichtet wurde, können die Projektmitglieder auf neue Dateien zugreifen, bestehende Dateien öffnen und bearbeiten oder Dateien löschen, ohne sich um die Tatsache zu kümmern, dass diese Dateien durch Verschlüsselung geschützt sind. Verschlüsselung und Entschlüsselung erfolgen vollständig transparent.

Ein weiterer Vorteil von PGP NetShare besteht darin, dass die Dateien für alle unbefugten Benutzer völlig normal aussehen. So ist es beispielsweise dem Netzwerkadministrator möglich, die Dateien im geschützten Ordner auf dieselbe Weise zu sichern wie die anderen Dateien im Netzwerk des Unternehmens. Die gesicherten Dateien sind ebenfalls durch Verschlüsselung geschützt.

PGP NetShare bietet für die Dateien in einem geschützten Ordner lückenlose Sicherheit. Die Daten sind immer verschlüsselt, auch dann wenn gerade Zugriff auf einen geschützten Ordner besteht oder wenn dieser von einem zum anderen Projektmitglied versendet wird.

228


Achtung: Wenn Sie Speichern unter für eine geschützte Datei auswählen und diese außerhalb des geschützten Ordners speichern, so ist die neue Version nicht geschützt.

PGP NetShare-Rollen

Administrator: Dies ist der „Eigentümer“ des geschützten Ordners. Der Administrator kann Benutzer hinzufügen und entfernen und die Rollen von Benutzern und Gruppenadministrator ändern. Der Administrator verfügt über volle Lese- und Schreibrechte für den geschützten Ordner. Für jeden geschützten Ordner kann es nur einen Gruppenadministrator geben, wobei diese Rolle jedoch optional ist - Sie müssen für einen konkreten geschützten Ordner keinen Administrator bestimmen. Sie werden Administrator, indem Sie einen geschützten Ordner erstellen, sich selbst als Mitglied hinzufügen und sich selbst die Rolle des Administrators zuweisen. Sie können gleichzeitig Mitglied in mehreren Administrator-Gruppen sein.

Die Administrator-Rolle kann von einem Gruppenadministrator nicht entfernt werden, ein Administrator kann jedoch seine Rolle einem anderen Mitglied zuweisen.

Administratoren müssen vollen Schreibzugriff auf den geschützten Ordner haben.

Gruppenadministrator: Dies ist der „Administrator“ des geschützten Ordners. Der Administrator kann Benutzer hinzufügen und entfernen sowie zu Gruppenadministratoren ernennen oder ihre Rolle von Gruppenadministratoren auf Benutzer zurückführen. Der Gruppenadministrator verfügt über volle Lese- und Schreibrechte für den geschützten Ordner. Für jeden geschützten Ordner in PGP NetShare kann es mehrere Gruppenadministratoren geben.

Gruppenadministratoren müssen vollen Schreibzugriff auf den geschützten Ordner haben.

Benutzer: Dies sind die Benutzer, die im freigegebenen Speicherplatz auf die geschützten Dateien zugreifen können. Die Dateien im geschützten Ordner werden in die Schlüssel der Benutzer verschlüsselt. Sie werden Benutzer, wenn ein geschützter Ordner erstellt wird, Sie PGP NetShare zugewiesen werden und der Administrator oder Gruppenadministrator Ihnen eine Benutzerrolle zuweist. Alle Benutzer verfügen über die gleichen Lese- und Schreibrechte für den geschützten Ordner. Benutzer können die Rollen anderer Benutzer nicht ändern. Sie können gleichzeitig Mitglied in mehreren Gruppen von Benutzern sein.

Hinweis: Wenn Sie einen Ordner haben, der mit einer älteren Version von PGP Desktop geschützt wurde, müssen Sie für bestehende Benutzer manuell neue Rollen auswählen. Weitere Informationen finden Sie unter Die Rolle eines Benutzers ändern (auf Seite 248).

229


PGP NetShare lizenzieren

Damit Sie mit PGP NetShare arbeiten können, müssen Sie auf Ihrem Computer PGP Desktop 9.5 oder höher installiert haben und außerdem über eine Lizenz verfügen, die PGP NetShare unterstützt.

So ermitteln Sie, ob Ihre Kopie von PGP Desktop die Komponente PGP

NetShare unterstützt


2 Wählen Sie Hilfe > Lizenz. Das Dialogfenster „PGP Desktop-Lizenz“ erscheint.

3 Im Arbeitsbereich Produktinformation befindet sich das Programmsymbol PGP NetShare. Wenn Sie den Cursor über den Produktnamen bewegen, sehen Sie Informationen über das Produkt und erfahren, ob Sie über eine aktuell gültige Nutzungslizenz verfügen. Wird PGP NetShare nicht unterstützt, wenden Sie sich an Ihren PGP-Administrator und fragen nach einer Lizenz, die PGP NetShare unterstützt.

Wenn Sie mit einer inzwischen abgelaufenen Lizenz von PGP NetShare einen oder mehrere geschützt Ordner erstellt haben, können Sie keine weiteren geschützten Ordner mehr erstellen. Außerdem können Sie die in den geschützten Ordnern enthaltenen Dateien nicht mehr verwenden, keine Dateien in bestehende geschützte Ordner einfügen und auch nicht mehr als berechtigter Benutzer für einen neuen geschützten Ordner aufgenommen werden.

Wenn Sie Zugriff auf die verschlüsselten Dateien in einem vorhandenen geschützten Ordner benötigen, müssen Sie entweder eine neue PGP NetShare-Lizenz bekommen oder die Dateien/Ordner in Ihrem geschützten Ordner entschlüsseln, indem Sie den Befehl Remove <filename> from PGP NetShare

(<Dateiname> von PGP NetShare entfernen) ausführen (siehe Zugriff auf PGP NetShare-Funktionen mithilfe der Kontextmenüs) (auf Seite 257)).

230


Autorisierte Benutzerschlüssel

PGP NetShare nutzt die PGP-Schlüssel der Benutzer zur Steuerung des Zugriffs und der Nutzung von entschlüsselten Dateien im geschützten Ordner. Außerdem werden die privaten Schlüssel der berechtigten Benutzer zum Signieren neuer Dateien verwendet, die in den geschützten Ordner eingefügt werden.

Hinweis: PGP NetShare unterstützt keine Passwörter zum Schutz der Dateien. Hierzu müssen PGP-Schlüssel verwendet werden.

Wenn eine Benutzergruppe erstellt wird, legt der Ersteller die öffentlichen Schlüssel der Benutzer fest, die die Dateien im geschützten Ordner nutzen können. Für die Nutzung dieser Dateien benötigen die Benutzer auf ihrem System den passenden privaten Schlüssel, um auf die entschlüsselten Versionen der Dateien zugreifen zu können.

Einen PGP NetShare Administrator (Eigentümer) einrichten

Obgleich ein PGP NetShare Administrator für einen geschützten Ordner nicht erforderlich ist, könnte es für Sie von Vorteil sein, unter den berechtigten Benutzer oder Gruppenadministratoren diese Rolle zuzuweisen. Zu den Aufgaben dieser Person gehört die Überwachung der Dateien und Ordner im geschützten Ordner sowie das Hinzufügen und Entfernen von Benutzern und Gruppenadministratoren, um sicherzustellen, dass die Dateien im geschützten Ordner so genutzt werden, wie vorgesehen.

Da alle berechtigten Benutzer Dateien, Ordner und (in bestimmten Fällen) Benutzer hinzufügen und entfernen können, besteht die Möglichkeit, dass sich im Lauf der Zeit beim Hinzufügen und Entfernen von Dateien im geschützten Ordner bzw. von Benutzern eine gewisse Konzeptlosigkeit einstellt.

Der Administrator überwacht die Benutzer und den geschützten Ordner im Hinblick auf diese Probleme und greift bei Bedarf korrigierend ein.

„Positiv gelistete“ und „Negativ gelistete“ Dateien, Ordner

und Anwendungen

Bestimmte Dateien, Ordner und Anwendungen können „positive gelistet“ oder „negativ gelistet“ sein. Positiv bzw. negativ gelistete Elemente werden entweder zwangsläufig geschützt oder niemals geschützt.

231


Dateien„Negativ gelistete“ und andere Dateien, die Sie nicht schützen

können

PGP NetShare erlaubt Ihnen nicht bestimmte Dateien und Ordner zu schützen. Bevor eine Datei (bzw. ein Ordner) von PGP NetShare geschützt wird, wird sie mit einer Negativliste verglichen. Wenn sich eine Datei (oder ein Ordner) auf solch einer Negativliste befindet, fährt PGP NetShare mit der Erstellung der geschützten Datei (oder Ordners) fort, aber die Datei (oder der Ordner) wird übersprungen und im Fortschrittsfenster des PGP NetShare-Assistenten wird eine Meldung angezeigt, die darauf hinweist, dass sich die Datei (oder der Ordner) auf einer Negativliste befindet.

Zu den negativ gelisteten Dateien gehören:

Alle Dateien mit der Dateierweiterung *.skr, *.pkr und *.pgd um zu verhinden, dass Sie Ihre Schlüssel oder PGP Virtual Disk-Laufwerke verschlüsseln.

Der PGP Desktop-Installationsordner und alle darin befindlichen Dateien (standardmäßig befindet sich der Ordner unter C:\Programmdateien\PGP Corporation\PGP Desktop).

Der PGP-Einstellungsordner und alle darin befindlichen Dateien (standardmäßig befindet sich der Ordner unter C:\Dokumente und Einstellungen\[Ihr Anwendername]\Anwendungsdaten\PGP Corporation\PGP).

Der PGP-Standard-Schlüsselbundordner (standardmäßig befindet sich der Ordner im Ordner Meine Dokumente).

Zu den anderen Dateien, die PGP NetShare geschützten Ordnern nicht hinzufügt sind jegliche Dateien oder Ordner, die den System-Attributsatz aufweisen, sowie alle Dateien und Ordner im Windows-Installationsverzeichnis (standardmäßig C:\Windows und C:\Windows\System32) sowie die Datei Thumbs.db, die bei der Anzeige von Thumbnail-Grafiken in Windows Explorer erstellt wird. Wenn Systemdateien oder -ordner zu PGP NetShare hinzugefügt werden, wird die Datei und/oder der Ordner übersprungen und im Fortschrittsfenster des PGP NetShare-Assistenten wird eine Meldung angezeigt, die darauf hinweist, dass es sich bei dem Element um eine Systemdatei bzw. einen Systemordner handelt.

Durch PGP Universal „negativ gelistete“ und „positiv gelistete“ Ordner

Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP-Administrator unter Umständen bestimmte Ordner „negativ“ oder „positiv“ gelistet.

232


Negativ gelistete Ordner

Negativ gelistete Ordner sind Ordner, die nie zu PGP NetShare hinzugefügt und verschlüsselt werden. Negativ gelistete Ordner können beispielsweise die Ordner C:\Programme oder C:\Windows\Temp sein. Wenn der PGP-Administrator einen nicht vorhandenen Ordner negativ listet, so wird dieser Ordner in Ihrem System erstellt.

Hinweis: Wenn Ihr PGP Universal-Administrator einen Ordner negativ listet und dieser Ordner bereits von PGP NetShare geschützt ist, so wird dieser Ordner aus PGP NetShare entfernt und mitsamt den im Ordner enthaltenen Dateien entschlüsselt.

Positiv gelistete Ordner

Positiv gelistete Ordner sind Ordner, die immer zu PGP NetShare hinzugefügt und verschlüsselt werden. Wenn der PGP-Administrator einen nicht vorhandenen Ordner positiv listet, so wird dieser Ordner in Ihrem System erstellt. Wenn Ihr PGP-Administrator beispielsweise festlegt, dass der Ordner C:\Dokumente und Einstellungen\[Benutzername]\Meine Dokumente\geschützt positiv gelistet wird, wobei der Ordner \geschützt jedoch nicht vorhanden ist, so wird dieser Ordner erstellt. Sie können positiv gelistete Ordner nicht aus PGP NetShare entfernen.

Hinweis: Wenn Sie einen Ordner entfernen, der vom PGP Universal-Administrator positiv gelistet wurde, so wird dieser Ordner beim nächsten Zugriff auf PGP NetShare oder beim nächsten Starten von PGP Desktop automatisch erstellt.

gelistet::: „ „Negativ“ und "„Positiv“ gelistete Anwendungen

Wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden, hat Ihr PGP Universal Server-Administrator möglicherweise bestimmte Anwendungen als „negativ“ oder „positiv“ gelistet festgelegt. Von diesen Anwendungen erstellte Dateien werden entweder niemals verschlüsselt oder aber immer verschlüsselt.

Negativ gelistete Anwendungen

Negativ gelistete Anwendungen sind Anwendungen, bei denen alle von dieser Anwendung erstellten Dateien nicht automatisch verschlüsselt werden. Negativ gelistete Anwendungen erhalten den auf dem Laufwerk befindlichen Dateiinhalt, einschließlich PGP NetShare-Kopf und Datei-Ciphertext. Negativ gelistete Anwendungen umgehen beim Lesen einer Datei den PGP NetShare-Filter, so dass die Dateien beim Lesen verschlüsselt bleiben und negativ gelistete Anwendungen die verschlüsselten Daten an andere Anwendungen weitergeben können. Beispiele für negativ gelistete Anwendungen sind Sicherungs- und FTP-Programme.

Andere Arten von Verschlüsselung (negativ gelistete Ordner haben z. B. Vorrang gegenüber negativ gelisteten Anwendungen).

233


Ein Verwendungsbeispiel wäre z.B wenn Ihr PGP Universal Server-Administrator das Sicherungsprogramm des Unternehmens als negativ gelistete Anwendung definiert hat. Alle von dieser Anwendung erstellten Sicherungsdateien werden geschützt und die Verschlüsselung wird auch dann aufrechterhalten, wenn die Sicherungsdatei an einen anderen Standort transferiert wird.

Positiv gelistete Anwendungen

Bei positiv gelisteten Anwendungen werden alle mit der Anwendung erstellten Dateien zwangsläufig verschlüsselt. Von positiv gelisteten Anwendungen erstellte Dateien werden automatisch in Ihren Schlüssel verschlüsselt und sind ungeachtet ihres Standortes immer verschlüsselt (einschließlich temporärer Dateien und System-Zwischenspeicher). Beispiele für positiv gelistete Anwendungen sind Microsoft Office, Microsoft Excel und Adobe Acrobat.

Andere Verschlüsselungsarten (z.B. die positiv gelisteten Ordner) haben Vorrang gegenüber den positiv gelisteten Anwendungen.

Ein Verwendungsbeispiel wäre z.B wenn Ihr PGP Universal Server-Administrator festlegt hat, dass Microsoft Excel ein positiv gelistetes Programm ist, damit alle von der Finanzabteilung erstellten Tabellenkalkulationen geschützt sind.

Mit geschützten Ordnern arbeiten

Ein geschützter Ordner ist ein beliebiger Ordner, der für das Speichern von geschützten Dateien konfiguriert ist. Dateien, die sich in einem Ordner befinden, der zu einem geschützten Ordner umgewandelt wird, sind automatisch verschlüsselt; Dateien, die in einen geschützten Ordner nach dessen Erstellung verschoben werden, werden beim Hinzufügen zu diesem Ordner verschlüsselt. Mit dem Befehl Einzelne Dateien schützen auf der Registerkarte „NetShare“ (Extras > PGP-Optionen) können Sie auch einzelne Dateien schützen.

Tipp: Stellen Sie sicher, dass Sie eine angemessene Sicherungsroutine festlegen und dass von allen durch PGP NetShare geschützten Ordner regelmäßig Sicherungskopien angelegt werden.

Den Speicherort für einen geschützten Ordner auswählen

PGP empfiehlt, Ihren durch PGP NetShare geschützten Ordner in einem Bereich einzurichten, der für alle berechtigten Benutzer zugänglich ist. Andere Benutzer sollten keinen Zugriff erhalten.

Technisch gesehen ist es zwar möglich, den geschützten Ordner in einem öffentlich zugänglichen Bereich einzurichten, doch muss berücksichtigt werden, dass PGP NetShare für die Dateien in einem geschützten Ordner keine Zugriffskontrolle übernimmt.

234


Der Schutzgrad, der mit PGP NetShare erreicht werden kann, hängt davon ab, wie Sie mit den Dateien in einem geschützten Ordner umgehen und wer Zugriff auf die Dateien hat. Berücksichtigen Sie bei der Auswahl des Speicherorts für einen durch PGP NetShare geschützten Ordner die folgenden Randbedingungen.

Normale Verwendung (auf Seite 234)

Dateizugriff (auf Seite 234)

Direkter Zugriff auf Ciphertext (siehe Direct Access to Encrypted Data (Ciphertext) (Direkter Zugriff auf verschlüsselte Daten (Ciphertext) auf Seite 235)

Geschützte Dateien fehlerhaft, gelöscht oder überschrieben (auf Seite 235)

Negativ gelistete und andere Dateien, die Sie nicht schützen können

Normale Verwendung

Bei der normalen Verwendung durch einen berechtigten Benutzer sind die in einem geschützten Ordner enthaltenen Dateien durch PGP NetShare vollständig geschützt. Unter normaler Verwendung versteht sich das Öffnen, Bearbeiten und Speichern einer geschützten Datei, das Erstellen einer neuen Datei in einem geschützten Ordner, sowie das Verschieben oder Kopieren einer Datei in einen geschützten Ordner.

Wenn eine Datei aus einem mit PGP NetShare geschützten Ordner heraus verschoben oder kopiert wird, versucht PGP NetShare, die Datei geschützt zu halten. So wird es beispielsweise möglich, Dateien aus einem geschützten Ordner auf ein USB-Laufwerk zu kopieren, ohne den Dateischutz zu verlieren. Wenn Sie eine Datei aus einem geschützten Ordner heraus kopieren oder verschieben, sollten Sie sich vergewissern, dass auch die Zieldatei noch geschützt ist. Beachten Sie hierzu das Schlosssymbol, oder rufen Sie die Dateieigenschaften ab.

Dateizugriff

Jede Anwendung, mit der Sie arbeiten, erhält uneingeschränkten Zugriff auf die entschlüsselten Daten der mit PGP NetShare geschützten Dateien. Dies umfasst andere Anwendungen der PGP Corporation, z. B. PGP Zip. Wenn Sie daher ein PGP Zip-Archiv erstellen und eine von PGP NetShare geschützte Datei einfügen, enthält das PGP Zip-Archiv eine entschlüsselte Version der Datei.

Beachten Sie außerdem folgendes: wenn Sie Speichern unter für eine geschützte Datei auswählen und diese außerhalb des geschützten Ordners speichern, ist die neue Dateiversion nicht geschützt.

235


Direkter Zugriff auf verschlüsselte Daten (Ciphertext)

Unter bestimmten Bedingungen kann PGP NetShare umgangen werden, sodass der direkte Zugriff auf die verschlüsselten Daten bzw. den Ciphertext der verschlüsselten Datei möglich wird.

Dann kann ein Benutzer wie beispielsweise der Netzwerkadministrator, der zwar physischen Zugriff auf die geschützten Dateien hat, jedoch nicht mit PGP Desktop arbeitet, die geschützten Dateien auf einem Dateiserver sichern, verschieben, kopieren, per FTP übertragen usw. In diesen Fällen würde dann der Ciphertext der geschützten Dateien gesichert, verschoben, kopiert bzw. per FTP übertragen.

Beschädigte, gelöschte oder überschriebene geschützte Dateien

PGP NetShare steuert nicht den Zugriff auf Dateien. Auch wenn Benutzer ohne die entsprechende Berechtigung Dateien innerhalb geschützter Ordner nicht öffnen können, so haben sie dennoch Zugriff auf diese Dateien. Das bedeutet, dass der Dateischutz von PGP NetShare keine Sicherheit gegen Beschädigung, Löschen oder Überschreiben von Dateien durch Benutzer darstellt, die Zugriff auf diese Dateien haben. PGP NetShare schützt den Inhalt einer Datei-nicht jedoch die Datei selbst.

Daher ist es dringend ratsam, zusätzlich zur kryptographischen Zugriffskontrolle und zu dem von PGP NetShare gebotenen Schutz weitere wirksame Instrumente für die Dateizugriffskontrolle vorzusehen.

236


Einen neuen geschützten PGP NetShare-Ordner erstellen

Der geschützte Ordner ist der Speicherort für alle Dateien, die durch PGP NetShare geschützt sind.

Tipp: Wenn Sie einen neuen von PGP NetShare geschützten Ordner erstellen, werden bei den bereits im Ordner befindlichen Dateien die Daten der letzten Änderung auf das Datum der PGP NetShare-Operation geändert. Wenn Sie die Änderungsdaten beibehalten wollen, müssen Sie zuerst einen leeren PGP NetShare-Ordner erstellen und dann Dateien hinzufügen.

Hinweis: Wenn Sie einen von PGP NetShare geschützten Ordner erstellen wollen, müssen Sie über Schreibzugriff verfügen.

So erstellen Sie einen neuen geschützten PGP NetShare-Ordner:

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP NetShare“. Der Arbeitsbereich von PGP NetShare erscheint.


Ziehen Sie den Ordner, den Sie als geschützten Ordner vorgesehen haben, in das Feld mit der Beschriftung „Dateien ziehen und hier ablegen“. Dadurch wird der PGP NetShare-Assistent geöffnet und der Schritt der Festlegung des geschützten Ordners übersprungen.

237


Klicken Sie im Bedienfeld „PGP NetShare“ auf Ordner hinzufügen oder wählen Sie NetShare > Ordner hinzufügen aus. Im PGP NetShare-Assistenten erscheint das Dialogfeld „Ordner auswählen“.

Klicken Sie auf Durchsuchen. Es erscheint das Dialogfenster „Ordner suchen“.

Navigieren Sie zu dem Ordner mit den Dateien, die im geschützten Ordner abgelegt werden sollen. Wenn Sie einen leeren Ordner erstellen möchten, um dort die Dateien für den geschützten Ordner abzulegen, klicken Sie auf Neuen Ordner

erstellen.

Klicken Sie auf OK, um das Dialogfenster Ordner suchen zu schließen. Das Fenster Ordner auswählen erscheint erneut.

238


(Optional) Geben Sie im Feld Beschreibung eine Beschreibung für den geschützten Ordner ein.

3 Klicken Sie auf Weiter. Das Fenster Benutzer hinzufügen wird angezeigt.

4 Wenn Sie für den geschützten Ordner, den Sie erstellen, Benutzer hinzufügen möchten, klicken Sie auf den Abwärtspfeil. Eine Liste der Schlüssel auf Ihrem Schlüsselbund wird angezeigt.

5 Wählen Sie einen Benutzer aus, und klicken Sie auf Hinzufügen.

239


Hinweis: Wenn Sie selbst Zugriff auf den Inhalt des geschützten Ordners benötigen, müssen Sie Ihren eigenen Schlüssel hinzufügen. Sie haben sonst keinen Zugriff auf die Dateien im geschützten Ordner.

Sie können berechtigte Benutzer auch hinzufügen, indem Sie auf Hinzufügen klicken. Das Dialogfenster „Benutzerauswahl“ wird angezeigt.


Ziehen Sie Schlüssel aus der Spalte Schlüsselquelle in die Spalte Hinzuzufügende Schlüssel.

Klicken Sie in der Spalte Schlüsselquelle auf einen Schlüssel und dann auf Hinzufügen.

Doppelklicken Sie in der Spalte Schlüsselquelle auf einen Schlüssel.

Fügen Sie Schlüssel vom PGP Global Directory hinzu, indem Sie auf das Symbol von PGP Global Directory klicken, einen Suchbegriff im Feld Suche eingeben und dann zum Starten der Suche auf die Lupe klicken. Die Suchergebnisse werden in der Spalte Schlüsselquelle angezeigt; von dort aus können Sie sie in die Spalte Schlüssel zum

Hinzufügen einfügen.

Hinweis: PGP NetShare weist neu hinzugefügte Mitglieder nicht automatisch darauf hin, dass sie als berechtigte Benutzer zu einem geschützten Ordner hinzugefügt wurden. Grundsätzlich ist es Aufgabe des Erstellers des neuen geschützten Ordners, die Mitglieder darüber zu informieren, dass der geschützte Ordner erstellt wurde und dass sie nun berechtigte Benutzer sind.

240


7 Klicken Sie abschließend auf OK, um den Bildschirm zur Benutzerauswahl zu schließen. Das Fenster Benutzer hinzufügen wird erneut angezeigt.

8 Sie können den einzelnen Benutzern Rollen zuweisen, indem Sie mit der rechten Maustaste auf den jeweiligen Benutzernamen klicken und eine Rolle auswählen:

Administrator: Erstellen Sie nur eine Administrator-Rolle pro geschütztem PGP NetShare-Ordner. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner; sie ermöglicht das Hinzufügen und Entfernen von Benutzern, die Zuweisung von Rollen sowie die Ernennung eines anderen Benutzers zum Administrator.

Gruppenadministrator: Für jeden geschützten PGP NetShare-Ordner können Sie beliebig viele Gruppenadministratoren einrichten. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner, sie ermöglicht das Hinzufügen und Entfernen von Benutzern und die Zuweisung von Rollen.

Benutzer: Für jeden geschützten PGP NetShare-Ordner können Sie beliebig viele Benutzer einrichten. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner.

Sie können die Rolle eines Benutzers jederzeit nach Erstellung des geschützten Ordners ändern. Klicken Sie in PGP Desktop auf den geschützten Ordner und anschließend mit der rechten Maustaste auf den Benutzernamen, um die Rolle dieses Benutzers zu ändern.

9 Klicken Sie auf Weiter. Das Fenster Signierer auswählen wird geöffnet.

241


10 Wählen Sie auf dem lokalen Schlüsselbund einen privaten Schlüssel aus. Dieser Schlüssel dient zum Signieren der Dateien, die durch Verschlüsselung im geschützten Ordner geschützt werden.

11 Geben Sie das Passwort für den Schlüssel ein.

12 Klicken Sie auf Weiter. Die Fortschrittsanzeige erscheint.

Die Dateien im geschützten Ordner werden verschlüsselt, und die angegebenen Benutzer werden als berechtigte Benutzer hinzugefügt.

242


Hinweis: Wenn Sie den Verschlüsselungsprozess abbrechen, bleiben die bereits verschlüsselten Dateien verschlüsselt. Zur Wiederherstellung des ursprünglichen unverschlüsselten Zustands der Dateien siehe Einen Ordner entfernen (auf Seite 253).

13 Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

Mit Dateien in einem geschützten PGP NetShare-Ordner arbeiten

Sobald Sie ein berechtigter PGP NetShare-Benutzer sind, können Sie auf die Dateien im geschützten Ordner auf drei Arten zugreifen:

Doppelklicken Sie auf den geschützten Ordner, um ihn zu öffnen, und doppelklicken Sie dann auf die gewünschte Datei.

Öffnen Sie die gewünschte Datei in der Anwendung, in der die Datei erstellt wurde.

Öffnen Sie den geschützten Ordner, indem Sie auf dessen Pfad klicken, der als Hyperlink angezeigt wird; doppelklicken Sie anschließend auf die gewünschte Datei.

Wenn das Passwort des für Ihre Mitgliedschaft im geschützten PGP NetShare-Ordner verwendeten privaten Schlüssels auf Ihrem System zwischengespeichert ist, müssen Sie zum Öffnen der Dateien keine weiteren Schritte durchführen. Die Dateien werden automatisch geöffnet.

Falls Ihr Passwort jedoch nicht zwischengespeichert wird, ist der geschützte Ordner gesperrt. Sie müssen die Authentifizierung durchführen, um die Dateien im geschützten Ordner öffnen zu können. Weitere Informationen siehe Einen geschützten Ordner entsperren (auf Seite 242).

Einen geschützten Ordner entsperren

Mit der Schaltfläche Entsperren können Sie versuchen, auf einen scheinbar gesperrten Ordner zuzugreifen und ihn zu entsperren. Der Befehl ist in allen Situationen nützlich, in denen ein Ordner manuell entsperrt werden muss. Ein geschützter Ordner muss manuell entsperrt werden, wenn er aus einem der folgenden Gründe gesperrt ist:

Der Timer im Dialogfenster „Passwortabfrage“ läuft ab.

Sie klicken im Dialogfenster „Passwortabfrage“ auf Abbrechen, ohne ein gültiges Passwort einzugeben.

Alle zukünftigen Versuche, auf den geschützten Ordner zuzugreifen, werden durch das Dialogfenster „Zugriff verweigert“ abgewiesen. Sie müssen jeden Ordner entsperren, bevor Sie seine Dateien verwenden können.

243


So entsperren Sie einen geschützten Ordner

1 Klicken Sie mit der rechten Maustaste auf den geschützten Ordner, und wählen Sie PGP Desktop > PGP NetShare-Eigenschaften.

2 Das Fenster PGP NetShare-Eigenschaften wird angezeigt.

3 Klicken Sie auf Entsperren. Das Dialogfenster Entsperren wird angezeigt.

Geben Sie das entsprechende Passwort ein, und klicken Sie auf OK. Das Dialogfenster „Entsperren“ schließt sich. Das Passwort wird zwischengespeichert, und Sie erhalten Zugriff auf alle Dateien im geschützten Ordner.

244


Die Dateien in einem geschützten Ordner ermitteln

Sobald Sie ein berechtigter Benutzer sind, haben Sie uneingeschränkten Zugriff auf alle Dateien im geschützten Ordner. Wenn Sie den geschützten Ordner selbst erstellt haben, wissen Sie wahrscheinlich, welche Dateien darin enthalten sind. Wenn Sie jedoch von einem anderen Mitglied in den geschützten Ordner hinzugefügt wurden, ist Ihnen nicht unbedingt klar, welche Dateien im geschützten Ordner zur Verfügung stehen.

So ermitteln Sie, welche Dateien sich in einem geschützten Ordner

befinden:

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld „PGP NetShare“.

2 Klicken Sie auf den als Hyperlink angezeigten Pfad zum geschützten Ordner. Der Inhalt des geschützten Ordners wird in einem neuen Fenster angezeigt, das alle Dateien und Ordner enthält, die sich im geschützten Ordner befinden.

Wenn der Zugriff verweigert wird, bedeutet dies, dass der geschützte Ordner gesperrt ist. In diesem Fall öffnen Sie im Bildschirm Eigenschaften des gesperrten Ordners die Registerkarte „PGP NetShare“ und heben die Ordnersperre auf, oder Sie starten Ihr System neu, um Zugriff zu erhalten. Weitere Informationen zum Entsperren eines geschützten Ordners finden Sie unter Dateien in einem geschützten PGP NetShare-Ordner verwenden (auf Seite 242).

Unterordner zu einem geschützten Ordner hinzufügen

PGP NetShare unterstützt das Hinzufügen von Dateien und Ordnern zu einem geschützten Ordner, nachdem dieser erstellt wurde.

Alle Dateien in einem Ordner, die Sie einem geschützten Ordner hinzufügen, werden automatisch geschützt; sobald sie einem geschützten Ordner hinzugefügt werden, sind sowohl der Ordner als auch die darin enthaltenen Dateien nur noch berechtigten Benutzern zugänglich.

Achten Sie darauf, dass Sie nicht einen Ordner hinzufügen, bei dem es sich bereits um einen geschützten Ordner für eine andere Benutzergruppe handelt. Dadurch hätte das neue Unterverzeichnis nicht dieselben berechtigten Benutzer wie der übergeordnete Ordner.

245


Den Ordnerstatus überprüfen

Mit dem Befehl Ordnerstatus überprüfen rufen Sie aktuelle Informationen zum Status eines PGP NetShare-Ordners ab. Der Befehl steht im Ordner-Arbeitsbereich von NetShare, im Bedienfeld „PGP NetShare“ und im Menü NetShare zur Verfügung.

So überprüfen Sie den Status eines Ordners in einem geschützten

Ordner

1 Klicken Sie im Arbeitsbereich von PGP NetShare im Bereich Ordnerstatus auf Ordnerstatus überprüfen. Es muss ein PGP NetShare-Ordner ausgewählt sein.

2 Links neben der Schaltfläche Ordnerstatus prüfen wird der Status des ausgewählten Ordners angezeigt (Beispiel: Alle Ordner und Dateien sind verschlüsselt).

Tipp: Unter der Benutzerliste werden Datum, Uhrzeit und Schlüssel-ID des Benutzers angezeigt, der den geschützten Ordner zuletzt verwaltet hat.

246


Geschützte Ordner an andere Speicherorte kopieren

Die größtmögliche Sicherheit erzielen Sie dann, wenn Sie immer innerhalb eines geschützten Ordners arbeiten; Die PGP Corporation empfiehlt für den Fall, dass Sie einen Ordner kopieren, zuvor einen geschützten Ordner als Zielordner zu erstellen. Wenn Sie Dateien von einem geschützten Ordner in einen anderen geschützten Ordner kopieren, bleiben Ihre Dateien immer geschützt.

PGP NetShare behält die Dateiverschlüsselung bei, auch wenn der geschützte Ordner an einen anderen Speicherort verschoben wird. Jedoch kann es je nachdem, wie und wohin die Dateien kopiert werden, dazu kommen, dass der Schutz des Ordners dabei verloren geht. Die Dateien im Ordner bleiben geschützt, aber die PGP NetShare-Informationen des Ordners können verloren gehen, und somit wird er nicht mehr mit dem PGP-Symbol angezeigt.

Wenn Sie einen Ordner an einen ungeschützten Speicherort kopiert haben, sollten Sie den Ordnerstatus prüfen; gehen Sie dabei gemäß Beschreibung in Ordnerstatus prüfen (auf Seite 245) vor, um sicherzustellen, dass Ordner und Dateien verschlüsselt werden.

Wenn der Ordner nicht verschlüsselt ist, gehen Sie wie folgt vor:

1 Wenn Sie über die entsprechenden PGP NetShare-Berechtigungen verfügen, erstellen Sie einen neuen geschützten Ordner als Ziel (siehe Einen neuen geschützten PGP NetShare-Ordner erstellen (auf Seite 236).

2 Kopieren Sie den Inhalt des Ordners, dessen Schutz verloren gegangen ist, in den neuen geschützten Ordner.

3 Importieren Sie die Zugangsliste des alten Ordners in den neuen Ordner siehe PGP NetShare-Zugangslisten importieren (auf Seite 251).

Mit berechtigten Benutzern arbeiten

Jeder Benutzer von PGP Desktop 9.5 oder höher, der über ein passendes Schlüsselpaar in PGP Desktop verfügt, kann berechtigter Benutzer eines geschützten PGP NetShare-Ordners werden.

Die Schlüsselpaare können:

in PGP Desktop erstellt worden sein,

von einer OpenPGP-Anwendung erstellt und in PGP Desktop importiert worden sein,Ein X.509-Zertifikat, das in PGP Desktop importiert wurde.

Es gibt zwei Möglichkeiten ein berechtigter Benutzer zu werden:

Sie können mit PGP Desktop einen geschützten Ordner erstellen und sich selbst als berechtigten Benutzer hinzufügen.

Sie können von einem vorhandenen Mitglied als berechtigter Benutzer hinzugefügt werden.

247


Sobald Sie berechtigter Benutzer sind, haben Sie dieselben Rechte wie alle anderen Mitglieder.

Einen PGP NetShare-Benutzer hinzufügen

Die meisten PGP NetShare-Benutzer werden beim Erstellen des geschützten Ordners hinzugefügt, Sie können jedoch auch jederzeit später Mitglieder hinzufügen-hierzu müssen Sie jedoch Administrator oder Gruppenadministrator des geschützten Ordners sein.

Achtung: Wählen Sie die Benutzer von PGP NetShare mit Sorgfalt aus. Sobald eine Person als Benutzer hinzugefügt ist, verfügt sie über die gleichen Rechte wie alle andern Benutzer. Das neue Mitglied kann dem geschützten Ordner neue Dateien hinzufügen oder vorhandene Dateien aus diesem Ordner entfernen.

So fügen Sie einen neuen PGP NetShare-Benutzer hinzu

1 Wählen Sie den PGP NetShare-Ordner aus, zu dem Sie ein neues Mitglied hinzufügen möchten.

2 Klicken Sie im Bereich Benutzerzugang auf Benutzer hinzufügen. Das Dialogfenster „Benutzerauswahl“ wird angezeigt.


Ziehen Sie Schlüssel aus der Spalte Schlüsselquelle in die Spalte Hinzuzufügende Schlüssel.

Klicken Sie in der Spalte Schlüsselquelle auf einen Schlüssel und dann auf Hinzufügen.

248


Fügen Sie Schlüssel vom PGP Global Directory hinzu, indem Sie auf das Symbol von PGP Global Directory klicken, einen Suchbegriff im Feld Suche eingeben und dann zum Starten der Suche auf die Lupe klicken oder die Eingabetaste drücken. Die Suchergebnisse werden in der Spalte Schlüsselquelle angezeigt; von dort aus können Sie sie in die Spalte Schlüssel zum Hinzufügen einfügen.

Hinweis: PGP NetShare weist neu hinzugefügte Mitglieder nicht automatisch darauf hin, dass sie als berechtigte Benutzer hinzugefügt wurden. Es liegt in der Verantwortung der Person, die neue Benutzer hinzugefügt hat, die Betroffenen zu informieren.

4 Klicken Sie auf OK. Der Benutzer wird der Benutzerliste hinzugefügt.

5 Klicken Sie auf Übernehmen. Das Fenster Signierer auswählen wird geöffnet.

6 Wählen Sie aus den privaten Schlüsseln auf dem lokalen Schlüsselbund einen Schlüssel aus, oder akzeptieren Sie den Standardschlüssel. Dieser Schlüssel dient bei der Umschlüsselung zum Signieren der Dateien. Wenn Benutzer hinzugefügt werden, so erfolgt als Vorsichtsmaßnahme eine Umschlüsselung der Dateien im geschützten Ordner.

7 Geben Sie das Passwort für den ausgewählten Schlüssel ein, sofern es nicht zwischengespeichert ist, und klicken Sie auf Weiter. Die Fortschrittsanzeige erscheint, und die Dateien im angegebenen geschützten Ordner werden umgeschlüsselt.

8 Klicken Sie auf Fertig stellen.

Die Rolle eines Benutzers ändern

Sie können die Rolle eines Benutzers jederzeit nach Erstellung des geschützten Ordners ändern. Nähere Informationen zu Rollen finden Sie unter PGP NetShare-Rollen (auf Seite 228).

So ändern Sie die Rolle eines Benutzers

1 Wählen Sie in PGP Desktop den PGP NetShare-Ordner aus, zu dem Sie ein neues Mitglied hinzufügen möchten.

2 Klicken Sie im Abschnitt Benutzerzugang mit der rechten Maustaste auf den Benutzernamen und klicken Sie auf Rolle ändern.

Tipp: Sie können auch mit der rechten Maustaste auf den Anwendernamen klicken und die gewünschte Rolle auswählen.

3 Wählen Sie aus der angezeigten Liste die gewünschte Rolle für diesen Anwender aus:

249


Administrator: Erstellen Sie nur eine Administrator-Rolle pro geschütztem PGP NetShare-Ordner. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner, sie ermöglicht das Hinzufügen und Entfernen von Benutzern, die Zuweisung von Rollen sowie die Ernennung eines anderen Benutzers zum Administrator.

Gruppenadministrator: Für jeden geschützten PGP NetShare-Ordner können Sie beliebig viele Gruppenadministratoren einrichten. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner, sie ermöglicht das Hinzufügen und Entfernen von Benutzern und die Zuweisung von Rollen.

Benutzer: Für jeden geschützten PGP NetShare-Ordner können Sie beliebig viele Benutzer einrichten. Diese Rolle verfügt über volle Lese-/Schreibrechte am Ordner.

4 Klicken Sie auf Übernehmen, um Ihre Änderungen zu speichern.

Einen Benutzer aus einem geschützten Ordner löschen

Wenn Sie ein Mitglied eines geschützten PGP NetShare-Ordners entfernen möchten, müssen Sie den betreffenden Benutzer löschen.

So löschen Sie einen Anwender aus einem geschützten PGP NetShare-

Ordner

1 Wählen Sie im Fenster PGP NetShare den geschützten Ordner aus, aus dem Sie den Benutzer löschen möchten.

250


2 Klicken Sie in der Liste Benutzerzugang am unteren Bildschirmrand auf den Namen des Benutzers, den Sie löschen möchten, und dann auf die Schaltfläche Benutzer löschen. Der ausgewählte Benutzer wird aus der Liste gelöscht.

3 Klicken Sie auf Übernehmen. Das Fenster Signierer auswählen wird geöffnet.

4 Wählen Sie aus den privaten Schlüsseln auf dem lokalen Schlüsselbund einen Schlüssel aus, oder akzeptieren Sie den Standardschlüssel. Dieser Schlüssel dient bei der Umschlüsselung zum Signieren der Dateien. Sobald ein Mitglied aus einem geschützten Ordner entfernt wird, werden die Dateien in diesem Ordner als Sicherheitsmaßnahme automatisch umgeschlüsselt.

5 Geben Sie bei der entsprechenden Aufforderung das Passwort für den ausgewählten Schlüssel ein, und klicken Sie auf Weiter. Die Fortschrittsanzeige erscheint und die im geschützten Ordner spezifizierten Dateien werden umgeschlüsselt.

6 Klicken Sie auf Fertig stellen. Der gelöschte Benutzer ist nun kein Mitglied des geschützten Ordners mehr und kann auf die Dateien in diesem Ordner nicht mehr zugreifen.

251


PGP NetShare-Zugangslisten importieren

Beim Importieren von Zugangslisten importieren Sie die Mitglieder und deren Schlüssel aus einer Gruppe berechtigter Benutzer, deren Mitglied Sie sind, in eine andere Gruppe, in der Sie ebenfalls Mitglied sind.

Diese Option ist nur verfügbar, wenn es mehr als einen geschützten Ordner gibt.

So importieren Sie eine Zugangsliste

1 Wählen Sie im Bildschirm PGP NetShare den geschützten Ordner aus, in den Sie die Mitglieder eines anderen geschützten Ordners importieren möchten.

2 Klicken Sie in der Benutzerzugangsliste unten am Fensterrand auf Zugangsliste importieren. Das Dialogfenster „PGP Benutzerzugangsliste importieren“ wird angezeigt.

3 Klicken Sie auf den Namen des vorhandenen geschützten Ordners, dessen Mitglieder Sie importieren möchten und klicken Sie anschließend auf Importieren.

4 Klicken Sie auf Übernehmen. Das Dialogfenster „Signierer auswählen“ wird angezeigt.

5 Wählen Sie aus den privaten Schlüsseln auf dem lokalen Schlüsselbund einen Schlüssel aus, oder akzeptieren Sie den Standardschlüssel. Dieser Schlüssel dient bei der Umschlüsselung zum Signieren der Dateien. Sobald der Mitgliederbestand dieses Ordners verändert wird, erfolgt die Umschlüsselung der Dateien in einem geschützten Ordner automatisch als Sicherheitsmaßnahme.

6 Geben Sie bei der entsprechenden Aufforderung das Passwort für den ausgewählten Schlüssel ein, und klicken Sie auf Weiter. Die Fortschrittsanzeige erscheint und die im geschützten Ordner spezifizierten Dateien werden umgeschlüsselt.

7 Klicken Sie auf Fertig stellen. Die neuen Mitglieder werden dem geschützten Ordner hinzugefügt.

Mit Active Directory-Gruppen arbeiten

PGP NetShare integriert sich in Active Directory, sodass Sie auf einfache Weise Benutzer den geschützten Ordnern einer Active Directory-Gruppe zuweisen können. PGP NetShare verwendet LDAP (Lightweight Directory Access Protocol), um die Gruppeninformationen vom Active Directory Ihrer Organisation abzurufen.

252


PGP NetShare für Gruppen einrichten

Um die Gruppeninformationen abzurufen, müssen Sie eine Verbindung mit dem PGP Universal Server vornehmen und dann die Option zur Verwendung mit Gruppenerweiterungen aktivieren. In der folgenden Anleitung werden die Schritte beschrieben, wenn PGP Desktop als eigenständige Anwendung installiert ist. Wenn PGP Desktop in einer vom PGP Universal Server verwalteten Umgebung installiert und eingesetzt wird, führen Sie diese Schritte nicht aus, da die LDAP-Integration automatisch erfolgt.

Hinweis: Es gibt eine Höchstanzahl von Anwendern, die Sie zum gleichen Zeitpunkt zu einem PGP NetShare-Ordner hinzufügen können (50 Anwender). Obwohl es möglich ist diese im Code verankerte Höchstgrenze zu ändern, so hat dies doch Auswirkungen und sollte nicht versucht werden, ohne vorher den Support der PGP Corporation zu konsultieren. Weitere Informationen finden Sie unter PGP Support Knowledgebase Artikel 830 (https://support.pgp.com/?faq=830). So richten Sie PGP NetShare für die Arbeit mit Gruppen ein

1 Fügen Sie den PGP Universal Server zu Ihrer Liste der bevorzugten Keyserver hinzu. Erstellen Sie dazu einen neuen Messaging-Service, und geben Sie den Namen des PGP Universal Servers an. Nähere Informationen finden Sie unter Einen Service erstellen und Kontoeigenschaften bearbeiten (siehe „Einen neuen Messaging-Service erstellen“ auf Seite 107).

2 Stellen Sie die Bindung mit dem PGP Universal Server her. Befolgen Sie hierzu die Anleitung zum manuellen Binden an einen PGP Universal Server in Messaging mit Lotus Notes und MAPI (auf Seite 345).

3 Wählen Sie im Assistenten zur PGP-Schlüsselerstellung den Schlüsselmodus GKM, CKM oder SCKM aus. Wählen Sie nicht SKM aus.

4 Vergewissern Sie sich, dass der Schlüssel auf dem PGP Universal Server verfügbar ist. Wählen Sie dazu in PGP Desktop das Bedienfeld „PGP-Schlüssel“ aus. Klicken Sie auf Nach Schlüsseln suchen, wählen Sie den Namen des PGP Universal Servers aus, geben Sie Ihren Namen ein, und klicken Sie auf Suchen.

5 Aktivieren Sie die Gruppenerweiterung. Wählen Sie dazu in PGP Desktop das Bedienfeld „PGP Messaging“ aus.

6 Wählen Sie Messaging > Für Gruppenerweiterung verwenden aus. Der Menübefehl wird nun mit einem Häkchen angezeigt.

Gruppen aktualisieren

Wenn Sie PGP NetShare in einer von PGP Universal verwalteten Umgebung einsetzen und wenn Ihr PGP-Administrator Active Directory-Gruppen eingerichtet hat, können Sie PGP NetShare überprüfen lassen, ob die Gruppenmitgliedschaften noch aktuell sind.

253


So aktualisieren Sie Active Directory-Gruppen

1 Wählen Sie im Bildschirm PGP NetShare den geschützten Ordner aus, dessen Active Directory-Gruppen aktualisiert werden sollen.

2 Klicken Sie im Abschnitt Benutzerzugang auf Gruppen aktualisieren. PGP NetShare überprüft die Active Directory-Gruppenmitgliedschaften und aktualisiert diese bei Bedarf.

Einen Ordner entfernen

Mit dem Befehl Ordner entfernen werden die Dateien in einem Ordner wieder in ihren normalen, entschlüsselten Zustand zurückversetzt.

Alle Ordner und Dateien, die zum geschützten Ordner gehören, werden entschlüsselt; die PGP-Symbolauflage der Dateien wird entfernt.

So heben Sie den Schutz eines geschützten PGP NetShare-Ordners auf

1 Wählen Sie im Bildschirm PGP NetShare den geschützten Ordner aus, dessen Schutz aufgehoben werden soll:

2 Klicken Sie im Bedienfeld PGP NetShare auf Ordner entfernen.

Das Fenster Entschlüsselung bestätigen wird angezeigt.

3 Vergewissern Sie sich, dass Sie den richtigen Ordner ausgewählt haben, und klicken Sie auf Weiter. Falls Ihr Passwort nicht zwischengespeichert wurde, wird das Dialogfeld „Ordner entsperren“ angezeigt.

4 Geben Sie das Passwort eines der Schlüssel ein, in den die Dateien verschlüsselt wurden, und klicken Sie auf OK. Geben Sie ein passendes Passwort innerhalb der zulässigen Zeit ein, sonst wird die Entschlüsselung abgebrochen. Die Fortschrittsanzeige erscheint und die Dateien werden entschlüsselt.

5 Klicken Sie auf Fertig stellen. Die Dateien im geschützten Ordner sind nun nicht mehr durch Verschlüsselung geschützt. Der Ordner wird aus der Liste der geschützten PGP NetShare-Ordner entfernt, und sein Sperrsymbol wird ausgeblendet.

254


Einen Ordner umschlüsseln

Bei der Umschlüsselung eines Ordners werden die Dateien im angegebenen geschützten Ordner umgeschlüsselt. Während dieses Vorgangs wird der zu Grunde liegende Schlüssel geändert. Damit ist sichergestellt, dass niemand Zugriff erhält, der sich den Schlüssel zwischenzeitlich verschafft haben könnte.

Mit dem Befehl Ordner umschlüsseln können Sie Ordner jederzeit umschlüsseln; dies kann beispielsweise der Fall sein, wenn Sie vermuten, dass ein Unbefugter Zugang zu den Dateien in einem geschützten Ordner erhalten hat.

Beispiele für Gründe zum Umschlüsseln:

Sie sind sich nicht sicher, ob der Inhalt eines geschützten Ordners wirklich verschlüsselt ist; dies kann der Fall sein, wenn jemand, der nicht berechtigter Benutzer ist, eine Datei in einen geschützten Ordner sendet.

Die Schlüsselinformationen eines berechtigten Benutzers wurden offengelegt.

Ein neuer berechtigter Benutzer wurde hinzugefügt und benötigt Zugriff auf den geschützten Ordner (dies geschieht nicht automatisch).

So schlüsseln Sie einen geschützten Ordner um:

1 Wählen Sie im Fenster PGP NetShare den geschützten Ordner aus, den Sie umschlüsseln möchten, und klicken Sie dann im PGP NetShare-Bedienfeld auf Ordner umschlüsseln.

Das Fenster Benutzer hinzufügen wird angezeigt. Wird ein geschützter Ordner umgeschlüsselt, so können Sie diesem neue Mitglieder hinzufügen oder vorhandene Mitglieder entfernen.

2 Klicken Sie auf Weiter, um fortzufahren. Das Fenster Signierer auswählen wird geöffnet.

3 Wählen Sie aus den privaten Schlüsseln auf dem lokalen Schlüsselbund einen Schlüssel aus, oder akzeptieren Sie den Standardschlüssel. Dieser Schlüssel dient bei der Umschlüsselung zum Signieren der Dateien.

4 Geben Sie bei der entsprechenden Aufforderung das Passwort ein, und klicken Sie auf Weiter. Die Fortschrittsanzeige erscheint und die im geschützten Ordner spezifizierten Dateien werden umgeschlüsselt.

255


5 Klicken Sie auf Fertig stellen. Der Umschlüsselungsvorgang ist damit abgeschlossen.

Ein Passwort löschen

Standardmäßig werden Passwörter von PGP NetShare so gespeichert, wie es in der Registerkarte „Allgemein“ der PGP Desktop-Optionen eingestellt ist. Dies erleichtert die Verwendung von PGP NetShare, da Sie beim Zugriff auf die Dateien im geschützten Ordner Ihr Passwort nicht einzugeben brauchen.

Wenn Sie allerdings Ihr System verlassen, ist ein zwischengespeichertes Passwort nicht empfehlenswert, da eine nicht berechtigte Person ohne Passwortabfrage Aktionen durchführen könnte.

So löschen Sie ein Passwort

1 Klicken Sie in Windows auf das PGP-Symbol in der Taskleiste.

2 Wählen Sie in der angezeigten Liste den Befehl Zwischenspeicher

löschen. Damit dieser Befehl verfügbar ist, muss mindestens ein Passwort zwischengespeichert sein. Ihre zwischengespeicherten Passwörter werden gelöscht.

Dateien außerhalb eines geschützten Ordners schützen

PGP NetShare verfügt über eine erweiterte Option, mit der Sie einzelne Dateien schützen können, die sich nicht in einem geschützten PGP NetShare-Ordner befinden. Diese Option ist standardmäßig deaktiviert.

Hinweis: Ihr PGP-Administrator hat diese Option unter Umständen deaktiviert, wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden.

256


Wenn Sie einzelne Dateien außerhalb eines geschützten PGP NetShare-Ordners schützen möchten, müssen Sie zunächst die Option Einzelne Dateien schützen

auf der Registerkarte „NetShare“ der PGP-Optionen aktivieren; weitere Informationen finden Sie unter PGP NetShare-Optionen (auf Seite 326). Wenn diese Option nicht aktiviert ist, können Sie Dateien, die sich außerhalb eines geschützten PGP NetShare-Ordners befinden, nicht schützen.

Sobald Sie die Option Einzelne Dateien schützen aktiviert haben, können Sie einzelne Dateien außerhalb eines geschützten Ordners schützen, indem Sie das PGP Desktop-Kontextmenü in Windows Explorer verwenden. Einzeln geschützte Dateien erscheinen nicht im Arbeitsbereich „PGP-NetShare“- der PGP Desktop-Benutzeroberfläche.

Achtung: PGP NetShare unternimmt alles, um individuell geschützte Dateien effektiv zu schützen. Bestimmte Anwendungen (z. B. Microsoft Word) speichern geänderte Dateien jedoch so, dass die geschützte Datei für PGP NetShare erscheint als wäre sie gelöscht worden. Unter diesen Umständen ist PGP NetShare nicht mehr in der Lage, diese Dateien zu schützen. Beachten Sie bitte, dass dies nur für einzeln geschützte Dateien gilt, die sich nicht in einem geschützten Ordner befinden, und nicht für Dateien in einem geschützten PGP NetShare-Ordner. Damit geschützte Dateien auch weiterhin geschützt bleiben, empfiehlt die PGP Corporation die Aufbewahrung der Dateien, die Sie schützen möchten, in einem geschützten PGP NetShare-Ordner.

So aktivieren Sie die Option Einzelne Dateien schützen

1 Gehen Sie auf Extras > PGP-Optionen.

2 Klicken Sie auf die Registerkarte NetShare.

3 Vergewissern Sie sich auf der Registerkarte „NetShare“, dass die Option Einzelne Dateien schützen aktiviert ist. Die Standardeinstellung ist nicht aktiviert.

So schützen Sie einzelne Dateien mit PGP NetShare

1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf die Datei, die mit PGP NetShare geschützt werden soll.

2 Gehen Sie im Kontextmenü auf PGP Desktop > [Dateiname] zu PGP

NetShare hinzufügen.

3 Im PGP NetShare-Assistenten können Sie berechtigte Benutzer hinzufügen und einen privaten Schlüssel als Signatur auswählen.

4 Wenn der Verschlüsselungsprozess abgeschlossen ist, klicken Sie auf Beenden. Die geschützte Datei wird in Windows Explorer mit einem PGP NetShare-Symbol angezeigt.

Sie können mit dem Kontextmenü auch die PGP NetShare-Eigenschaften einer geschützten Datei einsehen, individuell geschützte Dateien, die sich außerhalb eines geschützten Ordners befinden, umschlüsseln und den Schutz dieser Dateien aufheben.

257


So zeigen Sie die PGP NetShare-Eigenschaften einer geschützten Datei

mithilfe des Kontextmenüs an

1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf die geschützte Datei, deren PGP NetShare-Eigenschaften Sie sehen möchten.

2 Gehen Sie im Kontextmenü auf PGP Desktop > PGP NetShare-

Eigenschaften.

Das Fenster mit den Eigenschaften der ausgewählten Datei wird angezeigt.

3 Klicken Sie zum Schließen des Eigenschaften-Fensters auf OK.

So schlüsseln Sie geschützte Dateien mithilfe des Kontextmenüs um

1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf die geschützte Datei, die Sie umschlüsseln möchten.

2 Gehen Sie im Kontextmenü auf PGP Desktop > Umschlüsseln.

3 Im PGP NetShare-Assistenten können Sie berechtigte Benutzer hinzufügen und/oder entfernen und einen privaten Schlüssel als Signatur auswählen.

4 Wenn der Umschlüsselungsprozess abgeschlossen ist, klicken Sie auf Beenden.

So heben Sie den Schutz einzeln geschützter Dateien mithilfe des

Kontextmenüs auf

1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf die geschützte Datei, deren Schutz Sie aufheben möchten.

2 Gehen Sie im Kontextmenü auf PGP Desktop > [Dateiname] von PGP

NetShare entfernen.

3 Bestätigen Sie im PGP NetShare-Assistenten, dass Sie den Schutz dieser Datei aufheben möchten, indem Sie auf Weiter klicken.

4 Wenn die Datei entschlüsselt wurde, klicken Sie auf Beenden.

Auf PGP NetShare-Funktionen mithilfe des Kontextmenüs

zugreifen

Bestimmte PGP NetShare-Funktionen sind in den Kontextmenüs von Windows Explorer verfügbar.

Aus Windows Explorer können Sie Ordner schützen (und Dateien, wenn Sie die Option Einzelne Dateien schützen aktiviert haben), indem Sie mit der rechten Maustaste auf den Ordner bzw. die Datei klicken. Wählen Sie im Kontextmenü PGP Desktop > [Name] zu PGP NetShare hinzufügen aus, um den Ordner bzw. die Datei für den Schutz durch PGP NetShare zu kennzeichnen.

258


Weitere Informationen über den Schutz einzelner Dateien außerhalb eines geschützten Ordners mithilfe von PGP NetShare finden Sie unter Dateien außerhalb eines geschützten Ordners schützen (auf Seite 255).

Sobald ein Ordner oder eine Datei durch PGP NetShare geschützt ist, stehen im Kontextmenü von Windows Explorer drei Befehle zur Verfügung:

PGP NetShare-Eigenschaften. Mit diesem Befehl wird für die Datei bzw. den Ordner die Registerkarte „PGP NetShare“ des Eigenschaften-Fensters geöffnet. Auf dieser Registerkarte können Sie feststellen, wer geschützte Dateien nutzen darf, wer gesperrte Dateien und Ordner freigeben darf und wer Benutzer hinzufügen darf, die die geschützten Dateien nutzen können.

Umschlüsseln. Mit diesem Befehl wird der angegebene Ordner oder die Datei anhand eines neuen zu Grunde liegenden Schlüssels umgeschlüsselt.

<Dateiname> von PGP NetShare entfernen. Mit diesem Befehl wird der PGP NetShare-Schutz des angegebenen Ordners oder der Datei aufgehoben.

Die entsprechenden Verfahren sind in Dateien außerhalb eines geschützten Ordners schützen (auf Seite 255) näher erläutert.

PGP NetShare in einer von PGP Universal verwalteten

Umgebung

Wenn Sie PGP NetShare in einer von PGP Universal verwalteten Umgebung einsetzen, hat Ihr PGP-Administrator möglicherweise Einstellungen konfiguriert, die sich auf das Verhalten von PGP NetShare in Ihrem System auswirken.

Diese Einstellungen sind:

Der Benutzer darf PGP NetShare-Ordner erstellen und verwalten. Wenn diese Einstellung aktiviert ist, können Sie Ordner erstellen, die durch PGP NetShare geschützt sind. Ist die Einstellung deaktiviert, können Sie geschützte Ordner verwenden, die andere Personen erstellt haben. Sie können jedoch selbst keine geschützten Ordner erstellen. Diese Einstellung ist standardmäßig aktiviert.

Der Benutzer darf den erweiterten Benutzermodus aktivieren. Ist diese Einstellung aktiviert, dürfen Sie in den PGP-Optionen den erweiterten Benutzermodus aktivieren. Das bedeutet, dass Sie einzelne Dateien schützen können, die sich nicht mehr in einem geschützten Ordner befinden. Diese Einstellung ist standardmäßig deaktiviert.

Die Verschlüsselung von Dateien in den folgenden Ordnern erzwingen. Diese Ordner werden positiv gelistete Ordner genannt. Positiv gelistete Ordner sind Ordner, die immer zu PGP NetShare hinzugefügt und verschlüsselt werden. Weitere Informationen finden Sie unter „Negativ gelistete“ und „Positiv gelistete“ Ordner in PGP Universal (auf Seite 230).

259


Die Verschlüsselung von Dateien in den folgenden Ordnern verhindern. Diese Ordner werden negativ gelistete Ordner genannt. Negativ gelistete Ordner sind Ordner, die nie zu PGP NetShare hinzugefügt und verschlüsselt werden. Weitere Informationen finden Sie unter „Negativ gelistete“ und „Positiv gelistete“ Ordner in PGP Universal (auf Seite 230).

Wenden Sie sich an Ihren PGP-Administrator, wenn Sie Fragen zu diesen Einstellungen haben.

Zugriff auf die Eigenschaften geschützter Dateien oder

Ordner

Jede durch PGP NetShare geschützte Datei hat im Bildschirm Eigenschaften die Registerkarte „PGP NetShare“, die Informationen über die Datei anzeigt.

So rufen Sie die Registerkarte „PGP NetShare“ im Dialogfenster

„Eigenschaften“ einer Datei auf

1 Führen Sie im Windows Explorer einen der folgenden Schritte aus:

Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie im Kontextmenü den Befehl Eigenschaften.

Wählen Sie Datei > Eigenschaften aus.

Der Bildschirm mit den Eigenschaften der ausgewählten Datei wird angezeigt.

260


2 Klicken Sie auf die Registerkarte „PGP NetShare“. Die Registerkarte „PGP NetShare“ wird angezeigt.

3 In dieser Registerkarte sehen Sie die Namen der Benutzer, die die verschlüsselte Datei benutzen dürfen. An dieser Stelle haben Sie folgende Möglichkeiten:

Entsperren. Klicken Sie hier, um einen geschützten Ordner zu entsperren, der gesperrt wurde.

Bearbeiten. Klicken Sie hier, um den Bildschirm Benutzer hinzufügen anzuzeigen. Hier können Sie Benutzer hinzufügen oder entfernen, die auf den ausgewählten Ordner bzw. die Datei zugreifen dürfen. Die Datei bzw. der Ordner wird umgeschlüsselt, wenn ein Benutzer hinzugefügt oder entfernt wird.

Sie können die Rollen der einzelnen Benutzer sehen, indem Sie mit der rechten Maustaste auf den Benutzernamen klicken. In dieser Registerkarte können Sie die Rolle des Benutzers nicht ändern (Informationen zum Ändern von Benutzerrollen finden Sie unter Changing a User's Role (Ändern von Benutzerrollen) (auf Seite 248)).

4 Klicken Sie auf OK, um das Dialogfenster „Eigenschaften“ zu schließen.

Verwenden der PGP NetShare-Menüs in PGP Desktop

Es gibt in PGP Desktop drei Menüs mit Befehlen, die PGP NetShare betreffen: Datei, Bearbeiten und NetShare.

Menü Datei

Wenn das Bedienfeld „PGP NetShare“ ausgewählt ist, können Sie mit dem Befehl Datei > Neuer PGP NetShare-Ordner einen neuen geschützten Ordner erstellen.

Das Verfahren hierzu ist das gleiche wie in Einen neuen geschützten PGP NetShare-Ordner erstellen (auf Seite 236).

Menü Bearbeiten

Wenn das Bedienfeld PGP NetShare ausgewählt ist, können Sie mit dem Befehl Umbenennen im Menü Bearbeiten einen geschützten Ordner umbenennen.

So benennen Sie einen geschützten PGP NetShare-Ordner über das

Menü Bearbeiten um

1 Öffnen Sie PGP Desktop, und klicken Sie auf das Bedienfeld PGP

NetShare.

261


2 Wenn mehrere geschützte Ordner vorhanden sind, klicken Sie auf den Namen des umzubenennenden Ordners.

3 Gehen Sie auf Bearbeiten > Umbenennen.

4 Geben Sie den neuen Namen des geschützten Ordners ein.

5 Drücken Sie die Eingabetaste oder klicken Sie außerhalb des Namens des geschützten Ordners. Der geschützte Ordner wird umbenannt.

Der Befehl Datei in Explorer anzeigen im Bearbeitungsmenü entspricht dem Klicken auf den Pfad eines geschützten Ordners. Der ausgewählte Ordner wird dann im Windows Explorer geöffnet.

Menü NetShare

Wenn das Bedienfeld „PGP NetShare“ ausgewählt ist, stehen folgende Befehle im Menü NetShare zur Verfügung:

Ordner hinzufügen: Wählen Sie diesen Befehl aus, um einen neuen geschützten Ordner zu erstellen. Das Verfahren hierzu ist das gleiche wie in Einen neuen geschützten PGP NetShare-Ordner erstellen (auf Seite 236). Das Bedienfeld „PGP NetShare“ muss ausgewählt sein, damit dieser Befehl aktiv ist.

Ordner entfernen: Wählen Sie diesen Befehl aus, wenn Sie einen geschützten Ordner wieder in seinen normalen, unverschlüsselten Zustand versetzen möchten. Alle Ordner und Dateien, die zum geschützten Ordner gehören, werden entschlüsselt; die PGP-Symbolauflage der Dateien wird entfernt. Ein geschützter Ordner muss ausgewählt sein, damit dieser Befehl aktiv ist.

Ordner umschlüsseln: Wählen Sie diesen Befehl aus, um die Dateien in einem geschützten Ordner umzuschlüsseln. Während dieses Vorgangs wird der zu Grunde liegende Schlüssel geändert. Damit ist sichergestellt, dass niemand Zugriff erhält, der sich den Schlüssel zwischenzeitlich verschafft haben könnte. Die Umschlüsselung erfolgt automatisch, wenn für den geschützten Ordner ein Benutzer hinzugefügt oder entfernt wird. Mit dem Befehl Ordner umschlüsseln können Sie einen Ordner jederzeit umschlüsseln. Dies kann beispielsweise der Fall sein, wenn Sie vermuten, dass ein Unbefugter Zugang zu den Dateien in einem geschützten Ordner erhalten hat. Ein geschützter Ordner muss ausgewählt sein, damit dieser Befehl aktiv ist.

Ordnerstatus überprüfen: Wählen Sie diesen Befehl aus, um die neuesten Informationen zum Status des ausgewählten geschützten Ordners abzurufen. Ein geschützter Ordner muss ausgewählt sein, damit dieser Befehl aktiv ist.

Letzten Ordner löschen: Wählen Sie diesen Befehl aus, um den ausgewählten Ordner aus der Liste der geschützten Ordner zu entfernen. Jedoch wird im Gegensatz zum Befehl Ordner entfernen der Inhalt des geschützten Ordners nicht entschlüsselt. Ein geschützter Ordner muss ausgewählt sein, damit dieser Befehl aktiv ist.

262


263

Mit PGP Zip können Sie verschlüsselte und komprimierte Pakete, sog. PGP Zip-Archive erstellen, öffnen und bearbeiten. In diesem Abschnitt werden die PGP Zip-Funktionen von PGP Desktop erläutert.


In diesem Kapitel

Übersicht ............................................................................................... 263

PGP Zip-Archive erstellen ...................................................................... 264 Ein PGP Zip-Archiv öffnen ..................................................................... 283 Ein PGP Zip-SDA öffnen ........................................................................ 284 Ein PGP Zip-Archiv bearbeiten............................................................... 284 Signierte PGP Zip-Archive prüfen .......................................................... 286

Übersicht

Ein PGP Zip-Archiv (Paket) ist eine einzelne Datei, die zwecks einfacher Datensicherung oder Datenübertragung verschlüsselt und komprimiert ist. Diese Archivdateien können eine beliebige Kombination von Dateien und/oder Ordnern enthalten und sind besonders geeignet für Datenübertragung und Datensicherung.

Verwenden Sie den PGP Zip-Assistenten, um neue PGP Zip-Archive zu erstellen. Der Assistent leitet Sie durch das Verfahren zur Auswahl von Dateien und/oder Ordnern für Ihr Archiv sowie zur Verschlüsselung und Komprimierung:

Verschlüsselung und Komprimierung von Dateien und/oder Ordnern mithilfe der PGP-Schlüssel eines oder mehrerer Empfänger (auf den Empfänger-Computern muss PGP Desktop installiert sein).

12 PGP Zip verwenden

264

PGP® Desktop 9.9 für Windows PGP Zip verwenden

Verschlüsselung und Komprimierung von Dateien und/oder Ordnern mithilfe eines Passworts (auf den Empfänger-Computern muss PGP Desktop installiert sein).

Verschlüsselung und Komprimierung von Dateien und/oder Ordner in ein selbstentschlüsselndes Archiv (PGP Zip-SDA), das durch ein Passwort geschützt ist (die Empfänger benötigen PGP Desktop nicht, auf den Computern muss jedoch Microsoft Windows installiert sein);

Keine Verschlüsselung und Komprimierung, stattdessen wird eine Datei erstellt, die Sie an die Empfänger senden und die Sie als Absender der Datei identifiziert.

Wenn Sie den PGP Zip-Assistenten zum Erstellen eines PGP Zip-Archivs verwenden, können Sie die Originaldateien automatisch an den PGP Shredder senden lassen, sodass diese Dateien sicher und dauerhaft von Ihrem Computer gelöscht werden.

Mit einer PGP Zip-Archivdatei können Sie folgendes tun:

Alle Dateien und/oder Ordner aus dem Archiv extrahieren.

Bestimmte Dateien und/oder Ordner aus dem Archiv extrahieren.

Bestimmte Dateien und/oder Ordner aus dem Archiv extrahieren und andere Dateien und/oder Ordner hinzufügen.

Dem Archiv neue Dateien und/oder Ordner hinzufügen.

Das Archiv wie folgt bearbeiten:

Ändern des Verschlüsselungsverfahrens

Ändern des Signaturschlüssels

Ändern der Empfänger

PGP Zip-Archive werden mit dem bevorzugten Algorithmus Ihrer PGP Desktop-Kopie (falls von einem PGP-Administrator konfiguriert) oder mit AES256 verschlüsselt. PGP Zip-Archive können zwischen Windows und Mac OS X-Plattformen hin und her bewegt werden. PGP Desktop muss auf dem Computer installiert sein, an den ein PGP Zip-Archiv gesendet werden soll.

PGP Zip-Archive erstellen

Verweise auf von PGP Universal verwaltete Umgebungen gelten nicht für die Produkte PGP Virtual Disk und PGP Virtual Disk Professional. Weitere Informationen über von PGP Universal verwaltete Umgebungen finden Sie unter „Zentral verwaltete“ bzw. „Einzelplatzanwender“ (auf Seite 5).

So erstellen Sie ein PGP Zip-Archiv

1 Klicken Sie in der Symbolleiste von PGP Desktop auf Neue PGP Zip-Datei (Sie können auch im Bedienfeld „PGP Zip“ auf Neue PGP Zip-Datei klicken).

265



Wenn Sie ein gesamtes Verzeichnis in ein PGP Zip-Archiv einfügen

möchten, klicken Sie auf Verzeichnis hinzufügen .

Wenn Sie eine Datei in ein PGP Zip-Archiv einfügen möchten, klicken

Sie auf Dateien hinzufügen .

Wenn Sie eine Datei oder ein Verzeichnis aus dem PGP Zip-Archiv entfernen möchten, klicken Sie auf Ausgewählte Dateien entfernen

.

266


Zusätzliche Optionen für die PGP Zip-Datei können Sie auswählen,

indem Sie auf Erweiterte Optionen von PGP Zip klicken. Die Standardeinstellungen eignen sich für die meisten Benutzer.

Hinweis: Wenn Sie eine Kombination von Dateien und Ordnern

hinzufügen möchten, kombinieren Sie die Schaltflächen und . Wenn Sie der Dateiliste ein Verzeichnis hinzufügen, zeigt der PGP Zip-Assistent aus Gründen der besseren Übersicht alle Dateien einzeln an. Wenn Sie dem Zip-Archiv viele Dateien hinzufügen möchten, können Sie Zeit sparen, indem Sie der Dateiliste zuerst ein gesamtes Verzeichnis hinzufügen und dann die Dateien löschen, die nicht hinzugefügt werden sollen. Bei diesem Vorgehen sollten Sie sich vor dem nächsten Schritt vergewissern, dass Sie tatsächlich alle Dateien entfernt haben, die nicht für das PGP Zip-Archiv vorgesehen sind.

3 Wenn Sie nach dem Erstellen des PGP Zip-Archivs die Originaldateien zuverlässig löschen möchten, aktivieren Sie die Option Originaldateien

nach Beenden an PGP Shredder senden.

Achtung: Dateien, die nach der Erstellung des Zip-Archivs an PGP Shredder gesendet wurden, können auf keine Weise wiederhergestellt werden, auch nicht mit einem entsprechenden Dienstprogramm. Ihre Dateien werden dauerhaft gelöscht und können nicht wiederhergestellt werden. Setzen Sie diese Option also mit Vorsicht ein.

267


4 Klicken Sie zur Festlegung spezieller Optionen auf Erweiterte Optionen

von PGP Zip :

Wählen Sie Kein Zip-Archiv erstellen (Dateien einzeln ausgeben), wenn Sie nicht ein verschlüsseltes PGP Zip-Archiv erhalten wollen, sondern einzelne verschlüsselte Dateien.

Wenn Sie ein Zip-Archiv ausschließlich aus Textdateien erstellen möchten, aktivieren Sie die Option Zeilenwechselzeichen für

Textdateien umwandeln.

Wenn die Sicherheitsrichtlinien Ihres Unternehmens die Verwendung von PGP Secure Viewer für Zip-Archive vorsehen, aktivieren Sie die Option PGP Secure Viewer beim Entschlüsseln anfordern. In diesem Modus wird die Datei beim Entschlüsseln in einem PGP Secure Viewer-Fenster angezeigt. Diese Option schützt gegen veraltete Angriffe, bei denen Strahlung abgefangen wird.

Wenn Sie das Zip-Archiv als binäre Datei per E-Mail versenden möchten und ein älteres E-Mail-Programm verwenden, aktivieren Sie die Option Text ausgeben. Durch das Speichern der Datei als ASCII-Text wird die verschlüsselte Datei um ungefähr 30 Prozent größer. Wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, ist diese Option nicht verfügbar.

Wenn Sie die ausgewählten PGP Zip-Optionen für zukünftige Verwendung speichern möchten, aktivieren Sie die Option Einstellungen beim nächsten Mal wieder verwenden.

Klicken Sie auf OK, wenn Sie alle erweiterten Optionen eingestellt haben. Klicken Sie auf Abbrechen, wenn Sie keine der Optionen ändern möchten.

Es erscheint erneut das Dialogfenster „PGP Zip“.

5 Nachdem Sie alle Dateien für das Archiv ausgewählt haben, klicken Sie auf Weiter.

6 Wählen Sie die gewünschte Verschlüsselungsart aus.

268


Tipp: Wenn Sie den Mauszeiger über die einzelnen Optionen bewegen, werden im Informationsfeld unterhalb der Liste weitere Details angezeigt.

Empfängerschlüssel. Erstellt ein PGP Zip-Archiv, indem die Dateien in die öffentlichen Schlüssel der Empfänger verschlüsselt werden. Dadurch ist gewährleistet, dass nur diese Empfänger mithilfe von PGP Desktop das Archiv öffnen können. Diese Option bietet den zuverlässigsten Schutz. Siehe In Empfängerschlüssel verschlüsseln (auf Seite 269).

Passwort: Erstellt ein PGP Zip-Archiv, indem die Dateien mit einem Passwort verschlüsselt werden, das Sie beim Speichern des Archivs festlegen. Das Archiv kann nur von Personen geöffnet werden, die das Passwort kennen und PGP Desktop verwenden. Siehe Verschlüsseln mit Passwort (auf Seite 274).

Hinweis: Die (konventionelle) Passwort-Verschlüsselung ist möglicherweise deaktiviert, wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten.

Selbstentschlüsselndes PGP-Archiv. Erstellt ein selbstentschlüsselndes PGP -Archiv mit einem Passwort, das Sie beim Speichern des Archivs festlegen. Zum Entschlüsseln eines selbstentschlüsselnden PGP-Archivs wird PGP Desktop nicht benötigt. Die Empfänger müssen jedoch an einem Computer arbeiten, auf dem das Betriebssystem Microsoft Windows läuft. Siehe Ein PGP Selbstentschlüsselndes Archiv (SDA) erstellen (auf Seite 277).

269


Nur signieren. Fügt einer unverschlüsselten Zip-Datei Ihre PGP-Signatur hinzu. Die Empfänger können das Zip-Archiv mit PGP Desktop öffnen. Die Signatur gewährleistet, dass das Archiv von Ihnen stammt und während der Übertragung nicht verändert wurde. Weitere Informationen finden Sie unter Nur signieren (siehe Erstellen eines Archivs nur mit Signatur auf Seite 280).

In Empfängerschlüssel verschlüsseln

Verwenden Sie Empfängerschlüssel:

Um den höchsten Grad an Sicherheit für Ihre Dateien zu erreichen.

Wenn alle Empfänger PGP Desktop auf ihren Computern (Windows oder Mac OS X) installiert haben.

Wenn Sie für jeden Empfänger einen öffentlichen Schlüssel haben (gespeichert auf Ihrem Schlüsselbund oder einem PGP-Keyserver).

Wenn Sie den Empfängern kein Passwort mitteilen möchten.

Die Verschlüsselung eines PGP Zip-Archivs mit den öffentlichen Schlüssel aller Empfänger ist die sicherste Variante und sollte grundsätzlich immer verwendet werden, wenn höchste Sicherheit gewährleistet sein muss und die erforderlichen Voraussetzungen erfüllt sind.

Sobald die Dateien geschützt sind, senden Sie die entstandene PGP Zip-Archivdatei an die Empfänger Ihrer Wahl. Die Empfänger öffnen die PGP Zip-Archivdatei dann mit PGP Desktop. Jeder Benutzer, dessen Schlüssel Sie bei der Verschlüsselung der Datei eingebunden haben, kann die PGP Zip-Archivdatei öffnen. Allen Benutzern werden dieselben Objekte zugänglich. Wenn Sie möchten, dass einige Empfänger nur auf bestimmte Objekte zugreifen können, müssen Sie jeweils ein eigenes PGP Zip-Archiv erstellen.

So nehmen Sie die Verschlüsselung in Empfängerschlüssel vor

1 Sofern Sie dies nicht schon getan haben, erstellen Sie ein PGP Zip-Archiv gemäß der Anleitung in PGP Zip-Archive erstellen (auf Seite 264).

270


2 Klicken Sie im Dialogfenster „Verschlüsseln“ auf Empfängerschlüssel.

3 Klicken Sie auf Weiter. Das Dialogfenster „Benutzerschlüssel hinzufügen“ wird angezeigt.

4 Wählen Sie die Empfänger des PGP Zip-Archivs aus. Führen Sie einen der folgenden Schritte aus:

Klicken Sie auf den Pfeil, um aus der Liste der Schlüssel auf Ihrem Schlüsselbund auszuwählen.

271


Wenn Sie die Datei an einen Empfänger senden möchten, dessen Schlüssel sich nicht auf Ihrem Schlüsselbund befindet, klicken Sie auf Hinzufügen. Das Dialogfenster „Empfängerauswahl“ wird angezeigt.

Wenn Sie alle zusätzlichen Namen ausgewählt haben, klicken Sie auf OK, um in das Fenster Benutzerschlüssel hinzufügen zurückzukehren.

Wenn Sie einen Schlüssel entfernen möchten, wählen Sie den Namen des Empfängers aus und klicken Sie auf Entfernen.

272


5 Klicken Sie auf Weiter. Wenn Sie die Verschlüsselungsoption Empfängerschlüssel oder Nur signieren auswählen, erscheint das Fenster Signieren und Speichern.

6 Auf Wunsch können Sie einen privaten Schlüssel auf Ihrem Schlüsselbund als Signaturschlüssel für das zu erstellende PGP Zip-Archiv angeben.

Dieser Signaturschlüssel wird verwendet, um das PGP Zip-Archiv digital zu signieren. Der bzw. die Empfänger können die Herkunft des Archivs prüfen, indem sie die digitale Signatur mithilfe des zugehörigen öffentlichen Schlüssels prüfen.

Wenn die Datei nicht signiert werden muss oder soll, wählen Sie in der Dropdown-Liste Signaturschlüssel den Eintrag Keiner.

Wenn Sie Ihr PGP Zip-Archiv signieren möchten, wählen Sie Ihren Schlüssel aus der Signaturschlüssel-Liste aus, und geben Sie anschließend das Passwort des ausgewählten Signaturschlüssels ein (dies ist nicht das Passwort, das zur Sicherung der Zip-Datei verwendet wird). Wenn Sie die eingegebenen Zeichen bei der Passworteingabe sehen möchten, wählen Sie Tastatureingabe

anzeigen.

273


Wenn Sie Ihr Passwort im Verlauf dieser Sitzung bereits mit PGP Desktop eingegeben haben, ist Ihr Passwort eventuell zwischengespeichert. Maßgebend sind Ihre Einstellungen der Optionen. In diesem Falle erscheint eine Meldung, dass das Passwort zwischengespeichert wird. Selbst wenn Ihr Passwort zwischengespeichert ist, können Sie entscheiden, die PGP Zip-Archivdatei nicht zu signieren.

7 Bestätigen Sie, dass das PGP Zip-Archiv am angegebenen Speicherort unter dem eingegebenen Dateinamen gespeichert wird. Bei Bedarf können Sie:

Den Speicherort der Datei ändern, indem Sie auf Durchsuchen

klicken und einen anderen Speicherort im Windows File-Dialogfenster aussuchen.

Den Speicherort der Datei ändern, indem Sie den gewünschten Speicherort des PGP Zip-Archivs manuell eingeben.

Den Namen der PGP Zip-Archivdatei ändern, indem Sie ihn am Ende der Zeichenfolge des Dateispeicherortes eingeben.

Der Standarddateiname für ein PGP Zip-Archiv, das nur eine einzige Datei, ein einziges Verzeichnis oder ein einziges Laufwerk enthält, setzt sich zusammen aus dem Namen des betreffenden Objekts und dem Suffix.pgp. Wenn das PGP Zip-Archiv mehrere Objekte enthält, wird der Dateiname aus dem Namen eines der Objekte und dem Suffix.pgp gebildet. Ändern Sie bei Bedarf den Dateinamen des PGP Zip-Archivs.

8 Wenn Sie die Option Nur signieren auswählen, klicken Sie auf Separate

Signaturen speichern.

9 Klicken Sie auf Weiter. Das PGP Zip-Archiv wird erstellt.

10 Klicken Sie auf Fertig stellen. Das PGP Zip-Archiv kann nun an die Empfänger gesendet werden, in deren Schlüssel das Archiv verschlüsselt wurde. Wenn sich unter den Schlüsseln, die Sie für die Verschlüsselung verwendet haben, Ihr eigener Schlüssel befindet, ist die Datei bereit zur Speicherung an einem Speicherort Ihrer Wahl.

274


Verschlüsseln mit Passwort


Verwenden Sie die Option Passwort:

Wenn Sie ein PGP Zip-Archiv erstellen möchten, ohne Empfängerschlüssel zu verwenden (diese Option ist unter Umständen weniger sicher als eine Verschlüsselung mit Empfängerschlüsseln, wenngleich sie immer noch sehr sicher ist).


Wenn Sie den Empfängern ein Passwort mitteilen möchten.

Wenn Sie nicht für jeden Empfänger einen öffentlichen Schlüssel haben (gespeichert auf Ihrem Schlüsselbund oder einem PGP-Keyserver).

Tipp: Die Verschlüsselung mit einem Passwort wird auch als konventionelle Verschlüsselung bezeichnet.

Bei der Verschlüsselung des PGP Zip-Archivs mit einem Passwort kann eine extrem hohe Sicherheit erreicht werden, insbesondere wenn ein starkes Passwort verwendet wird. Die Verschlüsselung in die Schlüssel der Empfänger bietet jedoch noch mehr Sicherheit. Bei der Verschlüsselung in die Schlüssel der Empfänger benötigen die Benutzer, die im Besitz des PGP Zip-Archivs sind, zur Entschlüsselung der Datei sowohl ihre privaten Schlüssel als auch die Passwörter. (Für jeden privaten Schlüssel eines Empfängers ist ein eigenes Passwort definiert.)

Bei der Verschlüsselung mit einem Passwort, öffnen alle Benutzer die Datei mit demselben Passwort. Es sind dann keine privaten Schlüssel erforderlich. Jeder Benutzer, der im Besitz der Datei ist, mit PGP Desktop arbeitet und das Passwort kennt, kann die Datei entschlüsseln.

Achtung: Achten Sie sorgfältig darauf, dass das Passwort für das PGP Zip-Archiv nur den Empfängern der Datei zur Verfügung gestellt wird. Wenn das Passwort Unbefugten bekannt wird, erstellen Sie ein neues PGP Zip-Archiv mit einem anderen Passwort. Beachten Sie jedoch, dass Sie die Original-Archivdatei und deren Inhalt nicht nachträglich sichern können.

Sobald die Dateien geschützt sind, senden Sie die entstandene PGP Zip-Archivdatei an die Empfänger Ihrer Wahl. Die Empfänger öffnen die PGP Zip-Archivdatei dann mit PGP Desktop. Jeder Benutzer, der im Besitz der Datei und des Passworts ist, kann die PGP Zip-Archivdatei öffnen. Allen Benutzern werden dieselben Objekte zugänglich. Wenn Sie möchten, dass verschiedene Empfänger auf verschiedene Objekte zugreifen können, müssen Sie für jeden Empfänger ein eigenes PGP Zip-Archiv erstellen.

275


Achtung: Die Passwort-Verschlüsselung ist möglicherweise deaktiviert, wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten.

So verschlüsseln Sie mit einem Passwort

1 Sofern Sie dies nicht schon getan haben, erstellen Sie ein PGP Zip-Archiv gemäß der Anleitung in PGP Zip-Archive erstellen (auf Seite 264). Befolgen Sie die Anleitung bis Schritt 6. Kehren Sie anschließend zu diesem Abschnitt zurück.

2 Klicken Sie im Fenster Verschlüsseln auf die Option Passwort.

3 Klicken Sie auf Weiter. Das Dialogfenster „Passwort definieren“ wird geöffnet.

4 Wenn Sie die eingegebenen Zeichen bei der Passworteingabe sehen möchten, wählen Sie Tastatureingabe anzeigen.

5 Geben Sie im Feld Passwort das Passwort ein, das Sie verwenden möchten.

276


Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke des Passworts, das Sie erstellen. Sie vergleicht den Entropiewert des eingegebenen Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

6 Geben Sie im Feld Bestätigen das Passwort erneut ein.

7 Klicken Sie auf Weiter. Das Dialogfenster „Signieren und Speichern“ wird geöffnet.

8 Auf Wunsch können Sie einen privaten Schlüssel auf Ihrem Schlüsselbund als Signaturschlüssel für das zu erstellende PGP Zip-Archiv angeben.




anzeigen.

277



9 Bestätigen Sie, dass das PGP Zip-Archive am angegebenen Speicherort unter dem eingegebenen Dateinamen gespeichert wird. Bei Bedarf können Sie:

Den Speicherort der Datei ändern, indem Sie auf Durchsuchen… klicken und einen anderen Speicherort im Windows File-Dialogfenster aussuchen.




10 Klicken Sie auf Weiter. Das PGP Zip-Archiv wird erstellt.

11 Klicken Sie auf Fertig stellen. Ihr PGP Zip-Archiv ist bereit und kann an die Empfänger gesendet werden. Vergessen Sie nicht, den Empfängern das Passwort mitzuteilen, damit diese das Archiv öffnen können.

Ein PGP Selbstentschlüsselndes Archiv (SDA) erstellen


Verwenden Sie ein PGP Selbstentschlüsselndes Archiv (SDA):

278


Wenn Sie ein selbstentschlüsselndes PGP Zip-Archiv erstellen möchten, ohne Empfängerschlüssel zu verwenden (diese Option ist unter Umständen weniger sicher als eine Verschlüsselung mit Empfängerschlüsseln, wenngleich sie immer noch sehr sicher ist).

Wenn Empfänger nicht über PGP Desktop verfügen, wobei auf den Computern aller Empfänger Windows installiert sein muss.

Wenn Sie den Empfängern ein Passwort mitteilen möchten.

Wenn Sie nicht für jeden Empfänger einen öffentlichen Schlüssel haben (gespeichert auf Ihrem Schlüsselbund oder einem PGP-Keyserver).

Ein selbstentschlüsselndes PGP -Archiv (SDA) ist ein PGP Zip-Archiv, das auf jedem beliebigen Windows-Computer geöffnet werden kann, selbst wenn PGP Desktop dort nicht installiert ist. PGP Zip SDA-Dateien sind gewöhnliche ausführbare Windows-Dateien (.exe) und können einfach per Doppelklick geöffnet werden.

PGP Zip SDA-Dateien sind etwas größer als normale PGP Zip-Archive, da die Funktionalität zur Selbstentschlüsselung etwas zusätzlichen Speicherplatz benötigt (normalerweise ungefähr 100 KB).

Hinweis: Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung einsetzen, ist die Erstellung von PGP Zip-SDAs möglicherweise deaktiviert.

Nach der Erstellung des PGP Zip-SDAs können Sie das Archiv an einen Empfänger Ihrer Wahl senden. Jeder Benutzer, der im Besitz der Datei und des Passworts ist, kann die PGP Zip-Archivdatei öffnen. Allen Benutzern werden dieselben Objekte zugänglich. Wenn Sie möchten, dass verschiedene Empfänger auf verschiedene Objekte zugreifen können, müssen Sie für jeden Empfänger ein eigenes PGP Zip-Archiv erstellen.

Achtung: Achten Sie sorgfältig darauf, dass das Passwort für das PGP Zip-SDA nur den vorgesehenen Empfängern der Datei zur Verfügung gestellt wird. Wenn das Passwort Unbefugten bekannt wird, erstellen Sie ein neues PGP Zip-SDA mit einem anderen Passwort. Beachten Sie jedoch, dass Sie die Original-Archivdatei und deren Inhalt nicht nachträglich sichern können.

So erstellen Sie ein PGP Zip-SDA


2 Klicken Sie im Dialogfenster „Verschlüsseln“ auf PGP

Selbstentschlüsselndes Archiv.

279


3 Klicken Sie auf Weiter. Das Dialogfenster „Passwort definieren“ wird geöffnet.

4 Wenn Sie die eingegebenen Zeichen bei der Passworteingabe sehen möchten, wählen Sie Tastatureingabe anzeigen.

5 Geben Sie im Feld Passwort das Passwort ein, das Sie verwenden möchten.

Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke des Passworts, das Sie erstellen. Sie vergleicht den Entropiewert des eingegebenen Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Weitere Informationen finden Sie unter Die Passwort-Qualitätsanzeige (auf Seite 336).

6 Geben Sie im Feld Bestätigen das Passwort erneut ein.


8 Bestätigen Sie, dass das PGP Zip-Archive am angegebenen Speicherort unter dem eingegebenen Dateinamen gespeichert wird. Bei Bedarf können Sie:

280






9 Klicken Sie auf Weiter. Das PGP Zip -SDA wird erstellt.

10 Klicken Sie auf Fertig stellen. Ihr PGP Zip-SDA ist bereit und kann an die Empfänger gesendet werden.

Erstellen eines Archivs nur mit Signatur

Verwenden Sie Nur signieren:

Wenn Sie die Dateien nicht verschlüsseln (und damit den Empfängern kein Passwort mitteilen) müssen.

Wenn Sie eine Signaturdatei erstellen möchten, mit der die Empfänger bestätigen können, dass das erhaltene PGP Zip-Archiv tatsächlich von Ihnen stammt. Jede Datei wird einzeln verarbeitet und mit einer separaten Signatur versehen.


Wenn Sie sicherstellen wollen, dass Sie die Datei gesendet haben und Sie dem Empfänger zeigen wollen, dass die Datei während des Vorgangs nicht verändert wurde.

In Situationen, in denen Sie die Dateien für die Empfänger nicht verschlüsseln müssen, können Sie die Option Nur signieren wählen. Anstatt die Dateien zu verschlüsseln und in einem PGP Zip-Archiv zu komprimieren, löst diese Option nur die Komprimierung aus.

281


So verschlüsseln Sie mit der Option Nur signieren


Hinweis: Bei der Auswahl der Dateien, die komprimiert und signiert werden sollen, wird die Option Originaldateien an PGP Shredder

senden ignoriert, und zwar selbst dann, wenn die Option ausgewählt ist.

2 Klicken Sie im Dialogfenster „Verschlüsseln“ auf Nur signieren.

3 Klicken Sie auf Weiter. Das Fenster Signieren und speichern wird angezeigt.

4 Geben Sie einen privaten Schlüssel auf Ihrem Schlüsselbund als Signaturschlüssel für das zu erstellende PGP Zip-Archiv an.

282





anzeigen.


5 Bestätigen Sie, dass das PGP Zip-Archiv am angegebenen Speicherort erstellt wird. Bei Bedarf können Sie:



Der Standarddateiname für ein nur signiertes PGP Zip-Archiv setzt sich zusammen aus dem Namen des betreffenden Objekts und dem Suffix.sig.

283


6 Wenn zusätzlich zum PGP Zip-Archiv eine separate Signaturdatei erstellt werden soll, klicken Sie auf Getrennte Signatur speichern.

7 Klicken Sie auf Weiter. Das nur signierte PGP Zip-Archiv wurde erstellt.


Ein PGP Zip-Archiv öffnen

PGP Desktop muss auf dem Computer installiert sein, damit ein PGP Zip-Archiv geöffnet werden kann.

So öffnen Sie ein PGP Zip-Archiv

1 Doppelklicken Sie auf die PGP Zip-Archivdatei (diese hat die Dateiendung.pgp).

Ist das PGP Zip-Archiv mit einem Schlüssel gesichert, erscheint das PGP-Dialogfenster „Passwort für aufgelisteten Schlüssel eingeben“.

Ist das PGP Zip-Archiv mit einem Schlüssel gesichert, erscheint das PGP-Dialogfenster „Passwort eingeben“.

PGP Desktop zeigt den Inhalt des angegebenen PGP Zip-Archivs an. (Wenn PGP Desktop nicht geöffnet ist, wird die Anwendung mit dem aktiven PGP Zip-Objekt geöffnet.)

2 So extrahieren Sie Objekte:

Wenn Sie ein einzelnes Objekt extrahieren möchten, klicken Sie mit der rechten Maustaste auf das Objekt und wählen Sie Extrahieren aus dem Kontextmenü aus.

Wenn Sie mehrere Objekte extrahieren möchten, wählen Sie die Objekte aus, klicken Sie mit der rechten Maustaste auf eines der Objekte und wählen Sie Extrahieren aus dem Kontextmenü aus.

Es erscheint das Dialogfenster „Ordner suchen“.

3 Suchen Sie den Ordner, in den die Dateien extrahiert werden sollen, und klicken Sie auf OK. Wenn Sie einen neuen Ordner erstellen möchten, klicken Sie auf Neuer Ordner. Die Datei (en) werden an den von Ihnen festgelegten Speicherort extrahiert.

Wenn Sie die entschlüsselten Dateien aus dem PGP Zip-Archiv an den gleichen Speicherort extrahieren, von dem aus sie komprimiert wurden, werden die Originaldateien überschrieben. Um ein versehentliches Überschreiben zu vermeiden, werden Sie bei jeder Datei aufgefordert zu prüfen, ob Sie die vorhandene Datei tatsächlich überschreiben möchten.

284


Ein PGP Zip-SDA öffnen

Zum Öffnen eines PGP Zip-SDA muss PGP Desktop nicht installiert sein.

So öffnen Sie ein PGP Zip-SDA

1 Doppelklicken Sie auf die PGP Zip-SDA (diese hat die Dateiendung .exe). Das Dialogfenster „PGP SDA-Passworteingabe“ wird geöffnet.

2 Bestätigen Sie den gewünschten Speicherort. Wenn es nicht der richtige Speicherort ist, klicken Sie auf Durchsuchen und gehen Sie zum richtigen Speicherort oder geben Sie ihn im Feld ein.

Hinweis: Wenn Sie die entschlüsselten Dateien aus dem PGP Zip-SDA an den gleichen Speicherort extrahieren, von dem aus sie komprimiert wurden, werden die Originaldateien überschrieben. Um dies zu verhindern, werden Sie bei jeder Datei aufgefordert, einen anderen Speicherort auszuwählen. Sie können auch einen anderen Dateinamen eingeben. Wenn Sie auf Speichern klicken, ohne einen anderen Speicherort auszuwählen, erscheint ein Warndialog. Wenn Sie diesen Warndialog umgehen, wird die Originaldatei mit der Datei aus dem PGP Zip-SDA überschrieben.

3 Geben Sie das Passwort für das PGP Zip-SDA ein und klicken Sie dann auf OK. Das PGP Zip-SDA wird entschlüsselt.

Ein PGP Zip-Archiv bearbeiten

PGP Zip-Archive sind nicht statisch. Die folgenden Vorgänge sind jederzeit möglich:

Dateien aus dem Archiv extrahieren

Dateien in das Archiv einfügen

Einstellungen des Archivs bearbeiten

So bearbeiten Sie ein PGP Zip-Archiv

1 Klicken Sie in PGP Desktop auf das Bedienfeld „PGP Zip“. Das Bedienfeld „PGP Zip“ wird markiert.

2 Klicken Sie im oberen Bereich des Bedienfelds „PGP Zip“ in der Liste der PGP Zip-Archive auf das Archiv, das Sie bearbeiten möchten. Die Einstellungen für das Archiv und die Dateien bzw. Ordner werden angezeigt.

285


Ist das PGP Zip-Archiv, das Sie öffnen möchten, nicht in der Liste vorhanden klicken Sie auf Ein PGP Zip öffnen gehen Sie zur gewünschten Datei mit der Endung .pgp, wählen Sie sie aus und klicken Sie dann auf Öffnen.

3 Wenn Sie die Einstellungen des PGP Zip-Archivs bearbeiten möchten, klicken Sie auf Bearbeiten und nehmen Sie die gewünschten Änderungen vor:

Wenn Sie weitere Dateien in das Archiv einfügen möchten,

klicken Sie im Bedienfeld „PGP Zip“, auf Dateien hinzufügen, markieren die gewünschten Dateien und klicken auf Öffnen. Die Dateien werden in das Archiv aufgenommen.

Wenn Sie dem Archiv einen Ordner hinzufügen und Dateien in

diesen Ordner einfügen möchten, klicken Sie im Bedienfeld „PGP Zip“ auf Neuer Ordner und geben Sie einen aussagekräftigen Namen für den neuen Ordner ein (wenn gewünscht). Wählen Sie den neuen Ordner aus, klicken Sie im Bedienfeld „PGP Zip“ auf Dateien

hinzufügen, wählen Sie die Datei(en) aus, die dem Ordner hinzugefügt werden sollen, und klicken Sie dann auf Öffnen. Die Dateien werden in das Archiv aufgenommen und im angegebenen Ordner abgelegt.

Wenn Sie eine Datei aus einem Archiv extrahieren möchten, klicken Sie mit der rechten Maustaste auf die gewünschte Datei, gehen Sie im Kontextmenü auf Extrahieren, geben Sie einen Speicherort für die Datei an, und klicken Sie auf OK. Eine Kopie der Datei wird am angegebenen Speicherort erstellt; das Original verbleibt im PGP Zip-Archiv.

286


Wenn Sie eine Datei oder einen Ordner aus einem Archiv löschen

möchten, wählen Sie die gewünschten Objekte aus und drücken Sie die Löschtaste. Alternativ dazu wählen Sie den Menübefehl Bearbeiten > Löschen. Die angegebenen Objekte werden gelöscht.

Wenn Sie die an einem PGP Zip-Archiv vorgenommenen

Änderungen speichern möchten, klicken Sie in der rechten oberen Ecke auf Speichern oder im PGP Zip-Bedienfeld auf PGP Zip

speichern. Geben Sie Speicherort und Namen an. Wenn der gewählte Name am Speicherort bereits vorhanden ist, werden Sie gefragt, ob die vorhandene Datei überschrieben werden soll. Geben Sie das Passwort ein, mit dem das Archiv geschützt ist, und klicken Sie auf OK.

Um den Signaturschlüssel zu ändern, wählen Sie im Bedienfeld „PGP Zip“ die gewünschte PGP Zip-Datei aus. Klicken Sie auf Bearbeiten, und wählen Sie einen neuen Signaturschlüssel. Wenn Sie fertig sind, klicken Sie auf Speichern.

Um die Verschlüsselungsart zu ändern (Schlüssel oder Konventionell), wählen Sie im Bedienfeld „PGP Zip“ die gewünschte PGP Zip-Datei aus. Klicken Sie auf Bearbeiten, und wählen Sie die Verschlüsselungsart. Wenn Sie fertig sind, klicken Sie auf Speichern.

Wenn Sie Empfänger zum PGP Zip-Archiv hinzufügen möchten, wählen Sie die gewünschte PGP Zipdatei im PGP Zip-Bedienfeld aus, klicken Sie auf Bearbeiten und dann auf Empfänger hinzufügen. Wählen Sie im Dialogfenster „Empfänger hinzufügen“ die gewünschten Empfänger aus, und klicken Sie auf OK. Wenn Sie fertig sind, klicken Sie auf Speichern.

Wenn Sie Empfänger aus dem Archiv löschen möchten, wählen Sie die gewünschte PGP Zipdatei im PGP Zip-Bedienfeld aus, klicken Sie auf Bearbeiten, wählen Sie den gewünschten Empfänger aus und klicken Sie auf Empfänger löschen. Wenn Sie fertig sind, klicken Sie auf Speichern.

4 Wenn Sie mit der Bearbeitung fertig sind, klicken Sie auf Speichern. Sie können das vorherige PGP Zip-Archiv durch das veränderte ersetzen oder das veränderte Archiv unter einem neuen Namen speichern.

Signierte PGP Zip-Archive prüfen

Wenn Sie ein signiertes PGP Zip-Archiv erhalten, sollten Sie die Signatur prüfen, damit Sie die Herkunft kennen und sichergehen können, dass das Archiv nicht manipuliert wurde.

So überprüfen Sie ein PGP Zip-Archiv

1 Klicken Sie in PGP Desktop in der Symbolleiste auf PGP Zip-Datei

verifizieren. Das Dialogfenster „Öffnen“ wird angezeigt.

287


2 Navigieren Sie zu der signierten.pgp-Datei, die Sie überprüfen möchten, klicken Sie darauf, um sie zu markieren, und klicken Sie dann auf Öffnen.

Wenn die Nachricht nicht nur signiert, sondern auch verschlüsselt wurde, werden Sie aufgefordert, das Passwort Ihres privaten Schlüssels bzw. des privaten Schlüssels einzugeben, der dem öffentlichen Schlüssel entspricht, in den die Nachricht verschlüsselt wurde.

Wenn sich der private Schlüssel nicht auf Ihrem Schlüsselbund befindet, meldet PGP Desktop, dass die Nachricht nicht entschlüsselt werden kann. Dies bedeutet leider auch, dass Sie das Archiv nicht überprüfen können. Klicken Sie auf Abbrechen, um die Überprüfung abzubrechen.

3 Geben Sie das Passwort des privaten Schlüssels ein, und klicken Sie auf OK.

Hinweis: Wenn das Passwort des privaten Schlüssels zwischengespeichert ist, werden Sie nicht zur Eingabe des Passworts aufgefordert.

Der Inhalt des Archivs wird an demselben Speicherort wie das PGP Zip-Archiv abgelegt. Das Fenster Verifizierungsverlauf zeigt Informationen über das Archiv an, das Sie überprüfen.

4 Wenn Sie die Liste der überprüften Archive löschen möchten, klicken Sie auf Verifizierungsverlauf löschen. Alle Einträge des Fensters Verifizierungsverlauf werden entfernt.

289

Falls Sie vertrauliche Dateien vollständig vernichten wollen, ohne Fragmente ihrer Daten zurückzulassen, verwenden Sie das Dienstprogramm PGP Shredder.


In diesem Kapitel

Dateien und Ordner mit PGP Shredder dauerhaft löschen ................... 289

Einsatz des PGP Shred-Assistenten für freien Speicherplatz................ 292

Dateien und Ordner mit PGP Shredder dauerhaft löschen

Wenn Sie vertrauliche Dateien oder Ordner vollständig vernichten möchten, verwenden Sie hierzu die Funktion PGP Shredder. Wenn Sie Dateien oder Ordner mit PGP Shredder löschen, bleiben keine Spuren zurück.

Die PGP Shredder-Funktion überschreibt Ihre Daten mit Zufallstext. Dieser Vorgang wird in mehreren Durchgängen ausgeführt. Sie können die Anzahl der Durchgänge der PGP Shredder-Funktion festlegen, indem Sie im Bildschirm Einstellungen das Fenster Laufwerk öffnen. Weitere Informationen zur Festlegung von Optionen und Einstellungen finden Sie unter Laufwerksoptionen/-einstellungen (siehe Laufwerksoptionen auf Seite 328).

Das sichere Löschen kann langwierig sein. Die Dauer hängt von der Anzahl der angegebenen Durchgänge, der Geschwindigkeit der CPU, der Anzahl der ausgeführten anderen Anwendungen usw. ab.

13 Dateien mit PGP Shredder

sicher löschen

290

PGP® Desktop 9.9 für Windows Dateien mit PGP Shredder sicher löschen

Hinweis: Die Einstellung von drei Durchgängen im PGP Shredder überschreitet bereits die Mindestvorschriften der Datenträgerrichtlinien des US-Verteidigungsministeriums, Norm 5220.22-M. Die Sicherheit erhöht sich weiter bis zu ungefähr 28 Durchgängen. Die PGP Shredder-Funktion kann bis zu 49 Durchgänge ausführen. Dabei ist jedoch zu beachten, dass der erforderliche Zeitraum mit der Anzahl der Durchgänge steigt.

PGP Shredder kann auf verschiedene Arten eingesetzt werden:

Verwenden Sie das PGP Shredder-Symbol auf Ihren Desktop (Bestandteil der Installation von PGP Desktop).

Verwenden Sie das Symbol Dateien sicher löschen auf der PGP-Symbolleiste.

Gehen Sie auf Extras > Dateien sicher löschen und wählen Sie dann die Datei oder den Ordner aus, den Sie vernichten möchten.

Verwenden Sie die Kontextmenüs von Windows Explorer (klicken Sie mit der rechten Maustaste auf die Datei und gehen Sie auf PGP Desktop > PGP

Shred [Dateiname]).

Bitte beachten Sie, dass PGP Shredder keine Windows Systemdateien oder schreibgeschützte Dateien löscht. PGP Shredder entfernt auch keine Verzeichnisse mit Dateien, die nicht gelöscht werden können.

Sie können PGP Desktop und den PGP-Assistenten zum sicheren Löschen von freiem Speicherplatz auch verwenden, um Festplattenspeicherplatz, der Daten von früher gelöschten Dateien und Anwendungen enthalten könnte, permanent zu löschen.

Es ist besonders wichtig, den PGP-Assistenten zum sicheren Löschen von freiem Speicherplatz auf protokollierenden Dateisystemen wie NTFS zu verwenden, da diese Dateisysteme eine Kopie aller auf die Festplatte geschriebenen Daten in einem Dateisystemprotokoll speichern. Dies hilft beim Wiederherstellen der Festplatte bei Schäden, erfordert aber zusätzliche Arbeit beim Entfernen vertraulicher Daten. Durch das sichere Löschen einer Datei werden Protokolleinträge, die möglicherweise erstellt wurden, nicht entfernt. Insbesondere NTFS kann kleine (unter 1K) Dateien in internen Datenstrukturen speichern, die ohne den PGP-Assistenten zum sicheren Löschen von freiem Speicherplatz mit der Shred-Option „Interne NTFS-Datenstrukturen sicher löschen“ nicht vollständig gelöscht werden können.

Tipp: Ihre Daten können unter Umständen auch an anderen Speicherorten gespeichert sein, beispielsweise in temporären Dateien. Aus diesen Gründen ist die Verwendung von PGP Whole Disk Encryption zum Schutz aller Daten in Ihrem System erwägenswert.

291


Dateien mithilfe des PGP Shredder-Symbols auf Ihrem Desktop sicher

löschen

So vernichten Sie Dateien mithilfe des PGP Shredder-Symbols auf Ihrem

Desktop

1 Ziehen Sie die Dateien/Ordner, die Sie sicher löschen möchten, auf das PGP Shredder-Symbol. Ein Bestätigungs-Dialogfenster erscheint und fordert Sie auf, zu bestätigen, dass Sie die aufgelisteten Dateien und/oder Ordner vernichten (sicher löschen) wollen.

2 Klicken Sie auf Ja. Die Dateien werden sicher aus Ihrem System gelöscht.

Dateien aus PGP Desktop sicher löschen

So löschen Sie Dateien sicher aus PGP Desktop

1 Führen Sie im PGP Desktop-Hauptfenster einen der folgenden Vorgänge aus:

Klicken Sie auf das Symbol Dateien sicher löschen der PGP-Symbolleiste.

Gehen Sie auf Extras > Dateien sicher löschen.

Das Dialogfenster „Öffnen“ wird angezeigt.

2 Wählen Sie die Dateien aus, die Sie vernichten möchten, und klicken Sie dann auf Öffnen. Ein Bestätigungs-Dialogfenster erscheint und fordert Sie auf, zu bestätigen, dass Sie die aufgelisteten Dateien und/oder Ordner vernichten (sicher löschen) wollen.


Dateien aus Windows Explorer sicher löschen

So löschen Sie sicher Dateien mit dem Kontextmenü von Windows

Explorer

1 Klicken Sie in Windows Explorer mit der rechten Maustaste auf die Dateien/Ordner, die Sie sicher löschen möchten. Ein Bestätigungs-Dialogfenster erscheint und fordert Sie auf, zu bestätigen, dass Sie die aufgelisteten Dateien und/oder Ordner vernichten (sicher löschen) wollen.


292


Einsatz des PGP Shred-Assistenten für freien Speicherplatz

So löschen Sie sicher freien Speicherplatz auf Ihren Laufwerken

1 Bei geöffnetem PGP Desktop, gehen Sie auf Extras > PGP Shred für freien

Speicherplatz. Der Einführungsbildschirm des PGP-Assistenten zum sicheren Löschen von freiem Speicherplatz wird angezeigt.

2 Lesen Sie die Informationen, und klicken Sie dann auf Weiter. Das Dialogfenster „Sammeln von Informationen“ wird angezeigt.

3 Wählen Sie im Feld Laufwerk sicher löschen das Laufwerk aus, dass Sie sicher löschen möchten, sowie die Anzahl der Durchgänge, die PGP Shred für freien Speicherplatz ausführen soll. Obgleich drei Durchgänge mit PGP Shred ausreichend sind, um Daten sicher zu löschen, können Sie bis zu 49 Durchgänge einplanen. Die empfohlenen Richtlinien für die Anzahl der Durchgänge sind:

3 Durchgänge für den persönlichen Gebrauch.

10 Durchgänge für den geschäftlichen Gebrauch.

18 Durchgänge für den militärischen Gebrauch.

26 Durchgänge für optimale Sicherheit

4 Wählen Sie, ob interne NTFS-Datenstrukturen sicher gelöscht werden sollen. Diese Option ist nicht auf allen Systemen verfügbar.

293


Achtung: Falls die ausgewählte Partition nicht die Boot-Partition ist, können Sie eine intensive sichere Löschung durchführen, um interne NTFS-Datenstrukturen zu überschreiben, die Datenreste enthalten könnten. Die Partition wird bei diesem Verfahren vollständig ausgefüllt. Daher sollten Sie das Laufwerk während des sicheren Löschens von freiem Speicherplatz für keine anderen Operationen verwenden. Einige dieser Strukturen werden im Allgemeinen nicht als freier Speicherplatz auf dem Laufwerk angesehen, aber die Techniken, die von dieser Option angewendet werden, bewirken, das sie sicher gelöscht werden. Diese Option erhöht nicht das Risiko, dass die Festplatte durch das sichere Löschen auf irgendeine Weise beeinträchtigt wird.

5 Klicken Sie auf Weiter. Das Dialogfenster „Sicheres Löschen durchführen“ öffnet sich und zeigt statistische Informationen über die ausgewählte Festplatte oder das Laufwerk an.


Um sofort mit dem sicheren Löschen von freiem Speicherplatz zu beginnen, klicken Sie auf Sicheres Löschen starten. Der PGP-Assistent zum sicheren Löschen von freiem Speicherplatz sucht nach übrig gebliebenen Fragmenten und löscht diese dann sicher von der angegebenen Festplatte oder dem Laufwerk.

Wenn die Sitzung beendet ist, erscheint eine Nachricht am unteren Rand des Bildschirms Sicheres Löschen durchführen und teilt Ihnen mit, dass das ausgewählte Laufwerk sicher gelöscht wurde.

Wenn Sie das sichere Löschen von freiem Speicherplatz zeitlich planen möchten, klicken Sie auf Planen. Eine Nachricht weist Sie darauf hin, dass für das Planen von Operationen von PGP Shred für freien Speicherplatz der Windows Taskplaner verwendet wird und dass Sie zum Ausführen dieses Auftrags ein Windows-Passwort benötigen.

Klicken Sie zum Planen des Auftrags auf OK, geben Sie Ihr Windows-Passwort im Dialogfenster „PGP - Bestätigtes Passwort eingeben“ ein und machen Sie dann die zum Planen erforderlichen Angaben.

Wenn Sie den Auftrag abbrechen und zum Dialogfenster „Sicheres Löschen durchführen“ zurückkehren möchten, klicken Sie auf Abbrechen.

7 Klicken Sie auf Weiter. Das Dialogfenster „Fertig stellen“ wird angezeigt.


Sicheres Löschen von freiem Speicherplatz planen

Verwenden Sie den Windows-Taskplaner, um den freien Speicherplatz auf Ihrem System in bestimmten Abständen sicher zu löschen.

294


So planen Sie sicheres Löschen von freiem Speicherplatz

1 Führen Sie die Schritte in Einsatz des PGP Shred-Assistenten für freien Speicherplatz (auf Seite 292) aus, bis das Dialogfenster „Sicheres Löschen ausführen“ angezeigt wird.

2 Klicken Sie auf Planen.

3 Eine Nachricht weist Sie darauf hin, dass für das Planen von Operationen von PGP Shred für freien Speicherplatz der Windows Taskplaner verwendet wird und dass Sie zum Ausführen dieses Auftrags ein Windows-Passwort benötigen. Klicken Sie zum Fortfahren auf OK. Das Dialogfenster „PGP - Bestätigtes Passwort eingeben“ wird angezeigt.

4 Geben Sie im ersten Feld Ihr Windows-Passwort ein, geben Sie es im zweiten Feld zur Bestätigung erneut ein und klicken Sie anschließend auf OK. Das Dialogfenster „Windows-Taskplaner“ wird angezeigt.

5 Geben Sie im Feld Task planen an, wie oft der Auftrag ausgeführt werden soll:

Täglich. Diese Option führt Ihren Task einmal zum angegebenen Zeitpunkt an den angegebenen Tagen aus. Klicken Sie auf OK, um das Dialogfenster zu schließen, und geben Sie dann den Zeitpunkt, an dem der Task jeden Tag ausgeführt werden soll, in das Feld Startzeit ein.

Wöchentlich. Diese Option führt Ihren Task auf wöchentlicher Basis zum angegebenen Datum und Zeitpunkt aus. Geben Sie die Anzahl der Wochen zwischen den Löschoperationen in das vorgesehene Textfeld ein, und wählen Sie dann einen Tag in der Liste Geplante Tasks wöchentlich aus.

Monatlich. Diese Option führt Ihren Task einmal monatlich am angegebenen Tag und Zeitpunkt aus. Geben Sie den Zeitpunkt in das vorgesehen Textfeld ein, und geben Sie dann den Tag des Monats ein, an dem der Task ausgeführt werden soll. Klicken Sie auf Monate

auswählen, um anzugeben, in welchen Monaten der Task ausgeführt werden soll.

Einmalig. Diese Option führt Ihren Task genau einmal am angegebenen Datum und Zeitpunkt aus. Geben Sie den Zeitpunkt in das vorgesehen Textfeld ein, und wählen Sie dann einen Monat und ein Datum aus den Listen im Textfeld Einmalig ausführen aus.

Beim Starten des Computers. Bei dieser Option wird der Auftrag nur bei Systemstart ausgeführt.

Beim Anmelden. Diese Option führt Ihren Task aus, wenn Sie sich bei Ihrem Rechner anmelden.

Im Leerlauf. Diese Option führt Ihren Task aus, wenn Ihr System während der Zeitdauer im Leerlauf ist, die Sie im Textfeld Minuten angeben.

295


6 Geben Sie im Feld Startzeit die Uhrzeit an, zu der die Ausführung des Auftrags starten soll.

7 Geben Sie im Feld Geplante Tasks täglich an, wie oft der Auftrag ausgeführt werden soll.

8 Klicken Sie auf Erweitert, um ein Dialogfenster zu öffnen, in dem Sie zusätzliche Optionen auswählen können, wie das Startdatum, das Enddatum und die Dauer des Tasks.

9 Klicken Sie auf OK. Ein Bestätigungsdialog wird angezeigt.

Ihr neuer PGP-Ordner- oder freier Speicherplatz-Task ist nun geplant. Verwenden Sie den Windows-Taskplaner zum Bearbeiten oder Löschen Ihrer PGP-Tasks.

297

Verwenden Sie PGP Desktop, um ein PGP-Schlüsselpaar auf einer Smartcard oder einem Token zu erstellen oder ein PGP-Schlüsselpaar auf eine Smartcard oder einen Token zu kopieren. Beide Optionen ergeben ein zusätzliches Sicherheitsniveau, da Sie Ihr PGP-Schlüsselpaar auf Ihrer Smartcard oder Ihrem Token immer mitführen können, anstatt es auf Ihrem System zu belassen: Ein PGP-Schlüsselpaar auf einer Smartcard oder einem Token ist weniger gefährdet als dasselbe Schlüsselpaar, das auf Ihrem Computer gespeichert ist, da Sie die Smartcard bzw. den Token bei sich tragen können. In diesem Abschnitt wird die Verwendung von Smartcards mit PGP Desktop erläutert.


In diesem Kapitel

Grundlegendes zu Smartcards und Token ............................................ 298 Smartcard-Eigenschaften untersuchen ................................................. 301 Ein PGP-Schlüsselpaar auf einer Smartcard generieren........................ 302 Den öffentlichen Schlüssel von einer Smartcard auf einen Schlüsselbund kopieren............................................................... 304 Ein Schlüsselpaar vom Schlüsselbund auf eine Smartcard kopieren........................................................................ 304 Schlüssel von Ihrer Smartcard auslöschen............................................ 306 Mehrere Smartcards verwenden........................................................... 307 Sonder-Token......................................................................................... 308

14 Speichern von Schlüsseln

auf Smartcards und Token

298

PGP® Desktop 9.9 für Windows Speichern von Schlüsseln auf Smartcards und Token

Grundlegendes zu Smartcards und Token

Um PGP Desktop mit der Smartcard oder dem Token eines bestimmten Anbieters verwenden zu können, müssen Sie über ein unterstütztes Smartcard-Lesegerät verfügen (falls Sie eine Smartcard verwenden) und die entsprechenden Software-Treiber auf dem System installiert haben (sowohl für Smartcards als auch Token). Die Treiber müssen die PKCS -11 (Cryptographic Token Interface Standard) Bibliothek enthalten.

PGP Corporation empfiehlt Ihnen dringend, Software-Treiber von dem Anbieter zu verwenden, der auch die Smartcard oder den Token herstellt.

PGP Desktop erkennt und arbeitet mit einer Vielzahl von Smartcards, unter anderem Smartcards von Athena, AET SafeSign, Axalto (früher Schlumberger), SafeNet (früher Rainbow), Aladdin und GemPlus. PGP Desktop arbeitet ebenfalls mit Department of Defense Common Access Cards mit dem ActivCard Gold 2.0 Pofil.

Zusätzlich zu diesen Anbietern erkennt und arbeitet PGP Desktop mit Smartcards von Anbietern, deren Software-Treiber eine auf Standards basierte PKCS-11-Bibliothek enthält. Wenn die PKCS-11-Bibliothek eines Anbieters auf Ihrem System installiert ist und mit anderen PKCS-11-Anwendungen wie z. B. Mozilla Firefox oder Thunderbird funktioniert, ist die Wahrscheinlichkeit groß, dass PGP Desktop Smartcards von diesem Anbieter erkennt und damit arbeiten kann.

Wenn Sie ein PGP-Schlüsselpaar auf einer Smartcard erstellen und speichern, verwenden Sie kein Passwort, sondern die PIN der Smartcard zum Zugriff auf den privaten Schlüssel. Wenn Sie eine Smartcard haben, die ihre eigene Authentifizierung verwendet (beispielsweise auf einer eigenen Tastatur oder über ein biometrisches Gerät), arbeitet PGP Desktop auch mit diesen Smartcards; wenn PGP Desktop einen Passwortdialog anzeigt, geben Sie kein Passwort ein, sondern klicken nur auf OK. Das Gerät wird dann seine eigene Authentifizierungsmethode anzeigen.

Hinweis: Der private Abschnitt Ihres Schlüsselpaares, der auf einer Smartcard generiert wird, verlässt niemals das Gerät, d. h. er kann nicht exportiert werden. Entschlüsselungs- und Signierungsvorgänge finden direkt auf dem Gerät statt. Wenn Sie ein Schlüsselpaar auf Ihrem Computer und nicht auf der Smartcard generieren, und dann das Schlüsselpaar auf Ihre Smartcard kopieren, während das Schlüsselpaar auf dem Computer verbleibt, können Sie immer noch den privaten Abschnitt Ihres Schlüsselpaares vom Computer kopieren.

299


Department of Defense Common Access Cards (CAC-Cards des

US-Verteidigungsministeriums)

Department of Defense Common Access Cards (CACs) unterscheiden sich in ihrer Funktionsweise von anderen Smartcards. Sie sind schreibgeschützt und enthalten zwei separate Zertifikate: eines zum Signieren und das andere zum Verschlüsseln. PGP Desktop filtert die beiden Zertifikate anhand des Nutzungszwecks. Wenn Sie z. B. aufgefordert werden, einen Schlüssel zum Signieren einer Datei auszuwählen, wird nur das Signierzertifikat der CAC angezeigt.

JavaCards

Axalto-Smartcards sind JavaCards. Auf der Karte wird ein kleines Java-Modul ausgeführt, das Java-Applet genannt wird. Die Karte kann zur Ausführung verschiedener Applets konfiguriert werden, die das Verhalten oder die Konfiguration der Smartcard ändern, ein Vorgang, der mit Personalisierung bezeichnet wird. Damit JavaCards mit PGP Desktop verwendet werden können, sind nur ein paar der verfügbaren Personalisierungsprofile anwendbar.

Zusätzlich müssen bei allen derzeit verfügbaren Personalisierungsprofilen geringfügige Änderungen an ihrer Konfiguration vorgenommen werden, damit sie mit PGP Desktop funktionieren. Insbesondere:

Das Profil muss die PKCS-11-Unterstützung aktivieren. Meist erscheint der Name „Netscape“ oder „Entrust“ in den Titeln der Profile, die PKCS-11 unterstützen.

Ein PGP Desktop Schlüssel benutzt mindestens zwei private PKCS-11-Schlüssel. Damit ein Profil mit PGP Desktop verwendet werden kann, muss für die maximale Anzahl zulässiger privater Schlüssel der Wert 2 oder höher angegeben sein.

Weitere Informationen finden Sie in der Dokumentation der von Ihnen verwendeten JavaCard.

Unterstützte Smartcards

PGP Desktop erkennt und unterstützt folgende Karten:

Common Access Cards (CACs) des Verteidigungsministeriums mit dem ActivCard Gold 2.0 Profil. Weitere Informationen über das ActivCard Gold 2.0 Profil finden Sie auf der ActivCard-Website (www.activcard.com).

Athena Smart Card Solutions Smartcard einschließlich ASEKey USB-Token. Weitere Informationen über Smartcard von Athena Smart Card Solutions finden Sie auf der Athena Smart Card-Website (www.athena-scs.com).

AET SafeSign Smartcards, einschließlich ASEKey 1.0. Weitere Information über Smartcards von AET SafeSign finden Sie auf der Cryptoshop-Website (www.cryptoshop.com).

300


Axalto (früher Schlumberger) Smartcards, einschließlich Cryptoflex 32K. Weitere Information über Smartcards von Axalto finden Sie auf der Axalto-Website (www.axalto.com).

SafeNet-Smartcards einschließlich iKey 2032. (PGP Desktop unterstützt SafeNet iKey 1000 nicht mehr.) Weitere Information über Smartcards und USB-Token von SafeNet finden Sie auf der SafeNet-Website (www.safenet-inc.com/products/tokens/index.asp).

Aladdin-Smartcards einschließlich eToken PRO USB 16K, 32K und 64K. Weitere Information über Aladdin eToken-Produkte finden Sie auf der Aladdin Support-Website (www.aladdin.com/support/default.asp).

GemPlus Smartcards, einschließlich SafesITe und GemXpresso Pro. Weitere Information über Smartcards von GemPlus finden Sie auf der GemPlus-Website (www.gemplus.com).

PGP Desktop erkennt und arbeitet ebenfalls mit Smartcard anderer Anbieter, sofern in den entsprechenden Software-Treibern eine auf Standards basierte PKCS-11-Bibliothek enthalten ist. Falls eine nicht-standardmäßige Smartcard mit PGP Desktop nicht funktioniert, wird die Kennzeichnung Smartcard-Schlüssel nicht im Bedienfeld(s) „PGP Keys“ angezeigt, wenn die Smartcard auf dem System installiert wird.

Smartcards erkennen

Bevor Sie die Eigenschaften einer Smartcard, die Sie mit PGP Desktop verwenden wollen, untersuchen können, oder vor dem Erstellen eines PGP-Schlüsselpaares auf einer Smartcard, müssen Sie sicherstellen, dass PGP Desktop bezeugt, dass die Smartcard, mit der Sie arbeiten möchten, auf dem System verfügbar ist.

Die allgemeinen Voraussetzungen dafür sind:

Die Software-Treiber der Smartcard, die PKCS-11 unterstützen, müssen im System installiert sein.

Die Smartcard muss auf dem System installiert sein. Bei USB-Token bedeutet dies im Allgemeinen, dass sie in einen USB-Port eingesteckt sind. Bei Smartcards bedeutet dies in der Regel, dass sie in das entsprechende Smartcard-Lesegerät eingelegt sind.

Sobald Sie Treiber und Smartcard installiert haben, überprüfen Sie, ob PGP Desktop das System erkennt. Hierzu gibt es zwei Möglichkeiten:

Die einfachste Weise um zu erfahren, ob PGP Desktop eine Smartcard „sieht“, ist es, PGP Desktop zu öffnen und auf das Bedienfeld(s) „PGP Keys“ zu klicken. Wenn im Bedienfeld(s) „PGP Keys“ unter „Alle Schlüssel“ die Angabe „Smartcard-Schlüssel“ erscheint, sieht PGP Desktop die Smartcard auf dem System.

301


Ein etwas komplizierteres Verfahren besteht darin, PGP Desktop zu öffnen, auf das Bedienfeld(s) „PGP Keys“ zu klicken und dann vom Menü Datei die Option Neuer PGP-Schlüssel auszuwählen. Wenn der Bildschirm des PGP-Schlüsselerstellungs-Assistenten erscheint, schauen Sie nach unten. Wenn das Kontrollkästchen Schlüssel erstellen auf Token: Wenn das Kontrollkästchen <Smartcard-Info> aktiviert ist, sieht PGP Desktop die Smartcard auf dem System. Diese Methode ist der vorausgehenden Methode dadurch überlegen, dass PGP Desktop Ihnen Informationen über die Smartcard anzeigt, die auf dem System erkannt wird.

Smartcard-Eigenschaften untersuchen

Ein auf einer Smartcard gespeicherter PGP-Schlüssel wird auf dem PGP Desktop Bildschirm mit einem speziellen Symbol gekennzeichnet, einem Schlüssel auf einer Karte. In den Eigenschaften finden Sie Informationen zur Smartcard selbst, z. B. den Hersteller, die Seriennummer und die unterstützten Schlüsseltypen.

So zeigen Sie die Eigenschaften einer Smartcard an

1 Legen Sie die Smartcard in das Smartcard-Lesegerät ein, oder stecken Sie den Token in einen USB-Anschluss. Der Schlüssel wird im Abschnitt Smartcard-Schlüssel des Bedienfeld(s) „PGP Keys“s angezeigt.


3 Markieren Sie den Schlüssel, dessen Eigenschaften Sie sehen möchten.

Gehen Sie auf Schlüssel > Smartcard-Eigenschaften. Das Dialogfenster „PGP Smartcard-Eigenschaften“ mit Informationen über die Smartcard, auf der sich der Schlüssel befindet, wird angezeigt:

Name des Herstellers

Smartcard-Modell

der Smartcard zugewiesene Seriennummer

Die Funktionen der Smartcard, einschließlich den Typ des PGP-Schlüssels, den die Karte speichern kann, und die Anzahl an Zeichen, die Ihre PIN enthalten kann

Die Gesamtanzahl der privaten Schlüssel, die sich derzeit auf der Smartcard befinden, einschließlich Unterschlüssel.


302


Ein PGP-Schlüsselpaar auf einer Smartcard generieren

So generieren Sie ein PGP-Schlüsselpaar auf einer Smartcard

1 Legen Sie die Smartcard in das Smartcard-Lesegerät ein, oder stecken Sie den Token in einen USB-Anschluss. Der Schlüssel wird im Abschnitt „Smartcard-Schlüssel“ des Bedienfeld(s) „PGP Keys“s angezeigt.


3 Klicken Sie auf das Bedienfeld(s) „PGP Keys“. Wird die „Smartcard erkannt“, erscheint im Bedienfeld(s) „PGP Keys“ die Anzeige Smartcard-Schlüssel.

4 Gehen Sie auf Datei > Neuer PGP-Schlüssel. Das Dialogfenster „Einleitung zum PGP-Schlüsselerstellungs-Assistenten“ wird angezeigt.

PGP Desktop erkennt die Software-Treiber jeweils eines Smartcard-Anbieters. Wenn auf Ihrem Computer Software-Treiber von mehr als einem Smartcard-Anbieter installiert sind, müssen Sie festlegen, von welchem Anbieter die Smartcard stammt, die Sie zusammen mit PGP Desktop verwenden möchten. Weitere Informationen finden Sie unter Mehrere Smartcards verwenden (auf Seite 307).

5 Aktivieren Sie das Kontrollkästchen Schlüssel auf Token generieren: [Name der Smartcard im System], und klicken Sie dann auf Weiter. Das Dialogfenster „Name und E-Mail“ wird angezeigt.

6 Geben Sie im Feld Vollständiger Name Ihren Namen und im Feld Primäre

E-Mail Ihre E-Mail-Adresse ein. Wenn Sie weitere E-Mail-Adressen für diesen Schlüssel eingeben möchten, klicken Sie auf Mehr und geben Sie die E-Mail-Adresse(n) in die Felder Andere Adressen ein.

Tipp: Sie brauchen nicht unbedingt Ihren richtigen Namen oder Ihre richtige E-Mail-Adresse anzugeben. Wenn Sie Ihren richtigen Namen und Ihre richtige E-Mail-Adresse verwenden, können Sie von anderen Personen leichter als Eigentümer Ihres öffentlichen Schlüssels identifiziert werden.

7 Wenn Sie erweiterte Schlüsseleinstellungen festlegen möchten, klicken Sie auf Erweitert. Das Dialogfenster „Erweiterte Schlüsseleinstellungen“ wird angezeigt. Legen Sie die folgenden Einstellungen fest:

Schlüsseltyp: RSA (Diffie-Hellman/DSS-Schlüssel werden nicht unterstützt)

Schlüsselgröße: Von 1028 bis 2048

Ablaufdatum: Nie oder ein von Ihnen festgelegtes Datum

Zulässige Algorithmen: AES, CAST, TripleDes, IDEA und Twofish

303


Bevorzugter Algorithmus: Wählen Sie einen der zulässigen Algorithmen aus

Zulässiger Hash: SHA-2-256, SHA-2-384, SHA-2-512, RIPEMD-160, SHA-1, MD-5

Bevorzugter Hash: Wählen Sie eine der zulässigen Hash-Funktionen aus

Bestimmte Einstellungen sind unter Umständen nicht verfügbar, wenn Sie von der von Ihnen verwendeten Smartcard nicht unterstützt werden.

Klicken Sie auf OK, um Ihre Einstellungen zu speichern und das Dialogfenster „Erweiterte Schlüsseleinstellungen“ zu schließen.


9 Geben Sie im Dialogfenster „Zuweisung des Passworts“ die PIN ein, die der Smartcard entspricht. Die PIN fungiert als Passwort für den Schlüssel. Als zusätzliche Sicherheitsmaßnahme werden die für das Passwort eingegebenen Zeichen gewöhnlich nicht auf dem Bildschirm angezeigt. Wenn Sie jedoch sicher sind, dass Sie nicht beobachtet werden und die Zeichen beim Eingeben des Passworts sehen möchten, aktiveren Sie die Option Tastatureingabe anzeigen.

10 Klicken Sie auf Weiter, um den Schlüsselerstellungsvorgang zu starten. PGP Desktop erstellt Ihr neues Schlüsselpaar direkt auf der Smartcard. Dieser Vorgang kann einige Minuten dauern.

11 Wenn der Schlüsselerstellungsvorgang anzeigt, dass er abgeschlossen ist, klicken Sie auf Weiter. Sie werden aufgefordert, den öffentlichen Teil des soeben erstellten Schlüssels zum PGP Global Directory hinzuzufügen.

12 Lesen Sie den Text auf dem Bildschirm und führen Sie einen der folgenden Schritte aus:

Wenn Sie Ihren öffentlichen Schlüssel in das PGP Global Directory einstellen möchten, klicken Sie auf Weiter.

Wenn Sie nicht möchten, dass Ihr öffentlicher Schlüssel im PGP Global Directory eingestellt wird, klicken Sie auf Überspringen.

13 Klicken Sie auf Fertig stellen. Das neue Schlüsselpaar wird erstellt und direkt auf Ihrer Smartcard gespeichert.

Da der private Teil Ihres Schlüsselpaares nur auf der Smartcard verbleibt, wenn Sie die Smartcard aus dem System entfernen, wechselt das Schlüsselsymbol zu einem einzelnen Schlüssel, um darzustellen, dass der öffentliche Teil auf dem Schlüsselbund verbleibt und der private Teil mit der Smartcard entfernt wurde.

304


Den öffentlichen Schlüssel von einer Smartcard auf einen

Schlüsselbund kopieren

Wenn Sie Ihre Schlüssel auf einer Smartcard speichern, können Sie zu einem Computer gehen (d. h. zu einem Computer mit kompatiblem Smartcard-Lesegerät oder einem freien USB-Anschluss und installierter PGP Desktop-Anwendung sowie mit den entsprechenden Treibern) und den öffentlichen Abschnitt Ihres Schlüsselpaares automatisch auf den PGP Desktop-Schlüsselbund auf diesem System kopieren.

So kopieren Sie den öffentlichen Schlüssel von Ihrer Smartcard auf den

Schlüsselbund eines anderen Benutzers:



3 Warten Sie, bis Ihr Schlüssel in PGP Desktop angezeigt wird. Wenn der Schlüssel angezeigt wird, bedeutet dies, dass Ihr öffentlicher Schlüssel auf das System kopiert wurde.

4 Nehmen Sie die Smartcard aus dem Smartcard-Lesegerät. Ihr öffentlicher Schlüssel verbleibt auf dem System.

Ein Schlüsselpaar von Ihrem Schlüsselbund auf eine

Smartcard kopieren

Verwenden Sie PGP Desktop, um ein vorhandenes Schlüsselpaar von Ihrem System auf eine Smartcard zu kopieren. Diese Methode eignet sich besonders zum Sichern Ihres Schlüsselpaares und/oder Weitergeben des öffentlichen Schlüssels. Auf eine Smartcard können nur RSA-Schlüssel kopiert werden.

Hinweis: Diffie-Hellman/DSS-Schlüssel können nicht auf Smartcards kopiert werden.

Das Kopieren eines Schlüsselpaares auf eine Smartcard ist etwas anderes als das Erstellen eines Schlüsselpaares direkt auf der Smartcard (ein Vorgang, der nicht von allen Smartcards unterstützt wird). Wenn Sie ein Schlüsselpaar direkt auf einer Smartcard erstellen, muss sich die Smartcard auf dem System befinden, um den privaten Schlüssel verwenden zu können.

305


Wenn Sie ein vorhandenes Schlüsselpaar auf eine Smartcard kopieren, so befindet sich der private Abschnitt Ihres Schlüsselpaares sowohl auf der Smartcard, als auch auf Ihrem System (sofern Sie nicht den privaten Abschnitt Ihres Schlüsselpaares vom System löschen).

Es gibt zwei wichtige Gründe, ein vorhandenes Schlüsselpaar auf eine Smartcard zu kopieren:

Wenn Sie die Kopie zur Datensicherung für das Schlüsselpaar auf Ihrem System und zum Kopieren Ihres öffentlichen Schlüssels von der Smartcard auf den Schlüsselbund anderer Personen verwenden möchten. In diesem Fall hätten Sie zwei Kopien desselben privaten Schlüssels: eine auf dem System, auf dem der Schlüssel ursprünglich erstellt wurde, und eine auf der Smartcard.

Wenn Sie die Kopie als einzige Kopie Ihres privaten Schlüssels verwenden möchten, als hätten Sie ihn direkt auf der Smartcard erstellt. In diesem Fall müssen Sie den privaten Schlüssel von Ihrem System löschen (PGP Desktop gibt Ihnen die entsprechende Option). Wählen Sie diese Option aus, um den privaten Schlüssel von Ihrem System zu löschen, wenn Sie Smartcards erst verwenden, nachdem Sie bereits das PGP-Schlüsselpaar erstellt haben und die Vorteile nutzen möchten, die ein auf der Smartcard gespeichertes Schlüsselpaar bietet, jedoch kein neues Schlüsselpaar erstellen möchten.

Wenn Sie das PGP-Schlüsselpaar auf eine Smartcard kopieren, wird das Passwort für das Schlüsselpaar auf der Smartcard automatisch zur PIN der Smartcard geändert. Das Passwort für das Schlüsselpaar, das sich bereits auf dem System befand, d. h. das Schlüsselpaar, das Sie auf die Smartcard kopiert haben, wird jedoch nicht geändert. Sie haben zwei Kopien des gleichen Schlüsselpaares, jede mit eigenem Passwort.

Wenn Sie den privaten Schlüssel von Ihrem System löschen und ihn nur auf der Smartcard behalten möchten, verwenden Sie einfach die PIN der Smartcard als Passwort für Ihren privaten Schlüssel.

So kopieren Sie ein vorhandenes PGP-Schlüsselpaar auf Ihre Smartcard



3 Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar, das Sie kopieren möchten, und wählen Sie Zu Smartcard-Schlüsseln hinzufügen aus. Ein Warnungs-Dialogfenster informiert Sie darüber, dass das PGP-Passwort für dieses Schlüsselpaar nach dem Kopieren auf die Smartcard automatisch zur Smartcard-PIN geändert wird.

4 Klicken Sie auf OK, um fortzufahren. Das Dialogfenster „PGP - Passwort eingeben“ wird angezeigt.

5 Geben Sie das Passwort Ihres Schlüssels ein und klicken Sie auf OK. Das Dialogfenster „PGP - Passwort eingeben“ wird angezeigt.

306


6 Geben Sie die Smartcard-PIN ein und klicken Sie auf OK. Das Schlüsselpaar wird zur Smartcard kopiert. PGP Desktop fragt an, ob Sie den privaten Teil des Schlüsselpaares vom Schlüsselbund entfernen möchten, sodass er sich nur noch auf der Smartcard befindet.


Wenn Sie den privaten Abschnitt Ihres Schlüsselpaares von Ihrem Schlüsselbund entfernen möchten, klicken Sie auf Ja. Der private Abschnitt des Schlüsselpaares wird aus dem Schlüsselbund auf Ihrem System gelöscht und existiert nur noch auf der Smartcard.

Wenn Sie den privaten Abschnitt Ihres Schlüsselpaares auf Ihrem Schlüsselbund beibehalten möchten, klicken Sie auf Nein. Der private Teil wird nicht gelöscht; jetzt haben Sie zwei Kopien desselben Schlüsselpaares, eine auf Ihrem System und die andere auf Ihrer Smartcard.

Schlüssel von der Smartcard sicher löschen

Sie können alle auf einer Smartcard gespeicherten Daten löschen, indem Sie die Funktion Inhalte sicher löschen des Dialogfensters „Smartcard-Eigenschaften“ verwenden.

So löschen Sie den Inhalt einer Smartcard



3 Wählen Sie im PGP Schlüssel-Dialogfenster die Option Smartcard-

Schlüssel aus. Die PGP-Schlüssel auf der Smartcard werden angezeigt.

4 Wählen Sie die Smartcards oder Token aus, die Sie sicher löschen möchten.

5 Gehen Sie auf Schlüssel > Smartcard sicher löschen. PGP Desktop bittet um Bestätigung, dass alle derzeit auf der Smartcard oder dem Token befindlichen Schlüssel gelöscht werden sollen.

6 Klicken Sie auf OK. Das Dialogfenster „PGP - Passwort eingeben“ wird angezeigt.

7 Geben Sie die PIN für diese Smartcard ein. Als zusätzliche Sicherheitsmaßnahme werden die für das Passwort eingegebenen Zeichen gewöhnlich nicht auf dem Bildschirm angezeigt. Wenn Sie jedoch sicher sind, dass Sie nicht beobachtet werden und die Zeichen beim Eingeben des Passworts sehen möchten, aktiveren Sie die Option Tastatureingabe

anzeigen.

8 Klicken Sie auf OK. PGP Desktop löscht alle auf der Smartcard gespeicherten Schlüssel.

307


Mehrere Smartcards verwenden

PGP Desktop unterstützt die Smartcards einer Vielzahl von Anbietern. PGP Desktop kann jedoch nur mit den Smartcards eines einzigen Anbieters gleichzeitig arbeiten.

Beim Starten sucht PGP Desktop automatisch in Ihrem System nach Software-Treibern, die die Verwendung der Smartcards eines bestimmten Anbieters unterstützen. Wenn die Anwendung die betreffenden Software-Treiber findet, werden diese geladen in der Annahme, dass Sie Smartcards von diesem Anbieter besitzen und diese benutzen wollen.

Wenn auf Ihrem System Software-Treiber eines einzelnen Anbieters installiert sind, funktioniert dies ausgezeichnet; PGP Desktop findet automatisch die Software-Treiber und ermöglicht die Verwendung der Smartcards dieses Anbieters. Sie brauchen nichts zu tun; es funktioniert einfach.

Es kann jedoch auch Fälle geben, in denen Sie Smartcards von mehr als einem Anbieter verwenden müssen. In solchen Fällen, und wenn auf einem System die Software-Treiber von mehr als einem Anbieter vorhanden sind, müssen Sie PGP Desktop angeben, wessen Smartcards Sie benutzen wollen. Andernfalls weiß PGP Desktop nicht, welche Software-Treiber zu verwenden sind, und wählt möglicherweise nicht diejenigen aus, die Sie wünschen.

So geben Sie an, welcher Smartcard-Software-Treiber verwendet

werden soll


2 Gehen Sie auf Extras > PGP-Optionen. Das Dialogfenster „PGP-Optionen“ wird angezeigt.

3 Klicken Sie auf die Registerkarte „Schlüssel“.

4 Wählen Sie im Abschnitt Synchronisierung aus der Liste Mit Smartcards

und Token synchronisieren den Anbieter des zu verwendenden Software-Treibers aus:

Wenn Sie Software-Treiber von nur einem Anbieter auf dem System besitzen, verwenden Sie die Standardeinstellung Automatisch.

Wählen Sie Keine aus, um zu verhindern, dass PGP Desktop Smartcards von anderen Anbietern verwendet.

Wenn Sie einen Anbieter angeben möchten, der nicht auf der Liste erscheint, wählen Sie Andere. Navigieren Sie im Dialogfenster „Smartcard-Treiber auswählen“ zur DLL-Datei der Software-Treiber Ihres Smartcard-Anbieters, wählen Sie diese aus, und klicken Sie auf Öffnen. Jetzt können Sie Smartcards verwenden, die von dem von Ihnen ausgewählten Software-Treiber unterstützt werden.

308


PGP Desktop erwartet nun, dass Sie Smartcards des ausgewählten Anbieters verwenden. Wenn Sie eine Smartcard eines anderen Anbieters zu Ihrem System hinzufügen, wird diese von PGP Desktop nicht erkannt. Sie müssen dieses Verfahren wiederholen, um auf einen anderen Smartcard-Anbieter zu wechseln.

Sonder-Token

PGP Desktop verwendet den Aladdin eToken Pro USB Token zur Authentifizierung beim Systemstart, sofern das Boot-Laufwerk laufwerksverschlüsselt ist (weitere Informationen zum Schutz eines Boot-Laufwerks mit PGP Whole Disk Encryption finden Sie unter Laufwerke mit PGP Whole Disk Encryption schützen (auf Seite 145)). Nur der USB-Token Aladdin eToken Pro kann zu diesem Zweck verwendet werden. Informationen über das Konfigurieren dieses Tokens finden Sie unter Aladdin eToken konfigurieren (auf Seite 308)

Aladdin eToken konfigurieren

Sie benötigen einen USB-Token Aladdin eToken Pro, der ein PGP-Schlüsselpaar hat, um ihn mit der PGP Whole Disk-Verschlüsselungsfunktion von PGP Desktop für Windows zu verwenden.

So erstellen Sie einen USB-Token Aladdin eToken Pro zur Verwendung

mit PGP Whole Disk Encryption

1 Erwerben Sie einen USB-Token Aladdin eToken Pro. Er ist der einzige Token, der mit PGP Whole Disk Encryption verwendet werden kann. Verwenden Sie eines der drei Modelle: 16K, 32K oder 64K. Die Modelle 16K und 32K unterstützen 1024-Bit-Schlüssel; das Modell 64K unterstützt bis zu 2048-Bit-Schlüssel.

2 Stellen Sie sicher, dass die entsprechende Treiber-Software von Aladdin auf Ihrem System installiert ist. Weitere Informationen zu den Aladdin-Treibern finden Sie unter Erforderliche Treiber für Aladdin eToken (auf Seite 165).

Wenn die Treiber-Software installiert ist, zeigt PGP Desktop Smartcard Schlüssel im Bedienfeld(s) „PGP Keys“ an.

3 Öffnen Sie PGP Desktop für Windows.

4 Erstellen Sie ein Schlüsselpaar auf dem Aladdin eToken (Anleitungen hierzu siehe Ein PGP-Schlüsselpaar auf einer Smartcard generieren (auf Seite 302)) oder verwenden Sie das Kontextmenü Hinzufügen zu, um ein vorhandenes Schlüsselpaar auf den Token zu kopieren (Anleitungen hierzu siehe Kopieren des öffentlichen Schlüssels von einer Smartcard auf einen Schlüsselbund (auf Seite 304)).

309


Wenn Sie ein vorhandenes Schlüsselpaar an den Token senden möchten, muss es sich um einen 1024- oder 2048-Bit-RSA-Schlüssel handeln. Der Aladdin eToken Pro unterstützt derzeit keine anderen Schlüsselgrößen oder DH/DSS-Schlüssel.

Wenn Sie ein Schlüsselpaar auf dem Token erstellen oder ein vorhandenes Schlüsselpaar zum Token senden, ändert sich das Passwort des Schlüsselpaares zur PIN des Tokens. Die Standard-PIN für den Aladdin eToken Pro ist 1234567890. Das es sich lediglich um eine Muster-PIN handelt, sollten Sie diese mithilfe der Aladdin-Software ändern.

5 Sie können jetzt das PGP-Schlüsselpaar auf dem Aladdin eToken mit PGP Whole Disk Encryption verwenden.

311

PGP Desktop wurde auf die Anforderungen der meisten Benutzer zugeschnitten, jedoch können Sie einige Einstellungen Ihren spezifischen Anforderungen entsprechend anpassen. In diesem Abschnitt werden die Optionen und ihre Einstellungsmöglichkeiten in PGP Desktop erläutert.


In diesem Kapitel

Zugriff auf das Dialogfenster „PGP-Optionen“ ..................................... 311 Allgemeine Optionen............................................................................. 312 Schlüsseloptionen ................................................................................. 314 Hauptschlüsseloptionen ........................................................................ 318 Messaging-Optionen ............................................................................. 319

PGP NetShare-Optionen........................................................................ 326 Laufwerksoptionen................................................................................ 328 Notifier-Optionen ................................................................................... 330 Erweiterte Optionen .............................................................................. 333

Zugriff auf das Dialogfenster „PGP-Optionen“

So greifen Sie auf die PGP-Optionen zu


Klicken Sie in der Windows-Taskleiste auf das Symbol PGP Tray und wählen Sie Optionen aus.

Öffnen Sie PGP Desktop und gehen Sie auf Extras > PGP Optionen.

A Einstellen der PGP

Desktop-Optionen

312

PGP® Desktop 9.9 für Windows Einstellen der PGP Desktop-Optionen

2 Wählen Sie eine Registerkarte aus und nehmen Sie die gewünschten Änderungen vor. Wenn Sie mit einer bestimmten Registerkarte fertig sind, wählen Sie eine andere Registerkarte.

3 Zum Speichern der Änderungen und Beenden klicken Sie auf OK. Klicken Sie auf Abbrechen, wenn Sie die vorgenommenen Änderungen nicht übernehmen möchten.

Allgemeine Optionen


Die Registerkarte „Allgemein“ enthält eine Reihe von PGP Desktop-Einstellungen.

Die Optionen auf der Registerkarte „Allgemein“ des Dialogfensters „Einstellungen“ sind folgende:

313


PGP-Symbol in der Windows-Taskleiste anzeigen. Wenn diese Option aktiviert ist, wird das PGP-Symbol in der Windows-Taskleiste angezeigt, während PGP Desktop auf dem System aktiv ist. Das PGP Tray-Symbol bietet einfachen Zugriff auf die PGP Desktop Funktionen. Deaktivieren Sie das Kontrollkästchen, um das PGP-Symbol von der Windows-Taskleiste zu entfernen. Starten Sie zum Wiederherstellen des PGP-Symbols PGP Desktop und wählen Sie dann im Menü Extras die Option PGP-Optionen aus. Öffnen Sie die Registerkarte „Allgemein“ und aktivieren Sie das Kontrollkästchen.

Hinweis: Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, ist diese Option möglicherweise erforderlich.

Wenn Sie das PGP Tray-Symbol aus der Windows-Taskleiste entfernen, werden dadurch die PGP Desktop-Dienste nicht beendet. Die PGP-Desktop-Dienste laufen weiter, auch wenn das PGP Tray-Symbol aus der Windows-Taskleiste entfernt wird.

Wenn Sie die PGP-Dienste beenden möchten, klicken Sie auf das PGP Tray-Symbol. Wählen Sie aus der Liste der Befehle PGP-Dienste beenden aus. Ein Dialogfenster als Warnung wird angezeigt. Sie müssen bestätigen, dass Sie diese Aktion ausführen möchten.

Hinweis: Die PGP Corporation empfiehlt, die PGP Desktop-Dienste nur dann anzuhalten, wenn dies unbedingt erforderlich ist.

Mein Passwort. Bietet Optionen zum Speichern Ihres Passwort.

Mein Passwort nur für die laufende Windows-Sitzung speichern. Diese Option speichert Ihr Passwort automatisch, bis Sie sich vom Computer abmelden. Dieser Vorgang wird als Zwischenspeicherung des Passworts bezeichnet. Wenn diese Option markiert ist, werden Sie für jeden privaten Schlüssel einmal zur Eingabe Ihres Passworts aufgefordert. Sie müssen dann das Passwort bis zum Abmelden vom Computer nicht nochmals für den Schlüssel eingeben.

Achtung: Wenn diese Option aktiviert ist, ist es sehr wichtig, dass Sie sich vom Computer abmelden, bevor Sie ihn verlassen. Ihr Passwort kann wochenlang im Zwischenspeicher verbleiben, wenn Sie sich niemals abmelden. Unbefugte Personen können Ihre verschlüsselten Nachrichten lesen oder Nachrichten mit Ihrem Schlüssel verschlüsseln, während Sie sich nicht am Computer befinden. Wenn Sie normalerweise für längere Zeit am Computer angemeldet sind, wählen Sie eine der anderen Zwischenspeicherungsoptionen.

314


Mein Passwort für X (hh:mm:ss) speichern. Speichert Ihr Passwort für den angegebenen Zeitraum automatisch im Speicher. Wenn Sie diese Option aktivieren, werden Sie einmal für die erste Signierungs- oder Entschlüsselungsaufgabe zur Eingabe Ihres Passworts aufgefordert. Sie werden während des festgelegten Zeitraums nicht erneut zur Eingabe des Passworts aufgefordert. Die Standardeinstellung ist 00:02:00 (2 Minuten).

Mein Passwort nicht speichern. Verhindert, dass Ihr Passwort im Speicher aufbewahrt wird. Wenn Sie diese Option aktivieren, müssen Sie immer dann Ihr Passwort eingeben, wenn es benötigt wird.

Bitte beachten Sie, dass selbst wenn Sie sich dafür entscheiden, Ihr Passwort nicht zu speichern, Sie nur einmal zur Eingabe Ihres Passworts aufgefordert werden, wenn Sie auf alle Dateien in einem Ordner zugreifen wollen, der zu PGP NetShare hinzugefügt wurde.

Produktsprache. Wählen Sie hier die Sprache für die Benutzeroberfläche von PGP Desktop aus. Die Optionen lauten: Englisch (Standard), Deutsch und Japanisch.

Hinweis: Sie müssen sich beim System ab- und wieder anmelden, wenn Sie zu einer anderen Sprache wechseln wollen.

Alle X Tage auf Aktualisierungen prüfen. Wenn diese Option markiert ist, prüft PGP Desktop in festgelegten Intervallen automatisch, ob Software-Aktualisierungen verfügbar sind. Das Standardintervall beträgt einen Tag. Wenn eine neuere Version von PGP Desktop zum Herunterladen verfügbar ist, wird ein Hinweisbildschirm angezeigt, der das Herunterladen der neuen Version ermöglicht. Wenn diese Option deaktiviert ist, prüft PGP Desktop nicht automatisch, ob Software-Aktualisierungen verfügbar sind.

Für diese Option ist eine aktive Internetverbindung erforderlich.

Hinweis: Wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, muss diese Einstellung möglicherweise aktiviert werden. PGP Desktop sucht dann nach Aktualisierungen auf dem verbundenen PGP Universal-Server.

Schlüsseloptionen


315


Die Registerkarte „Schlüssel“ enthält Einstellungen für PGP Desktop-Schlüssel.

Folgende Optionen stehen zur Verfügung:

Synchronisierung. Mit diesen Einstellungen wird festgelegt, wie die Schlüssel auf Ihren Schlüsselbunden mit den öffentlichen Servern synchronisiert werden.

Täglich mit Keyservern synchronisieren. Wenn diese Option ausgewählt ist, führt PGP Desktop täglich eine Synchronisation der öffentlichen Schlüssel auf Ihrem Schlüsselbund mit Ihrer Liste der Keyserver aus. Diese Liste enthält auch das PGP Global Directory.

Hinweis: Wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, muss diese Einstellung möglicherweise aktiviert werden.

Sind geänderte Versionen der Schlüssel verfügbar, werden sie automatisch heruntergeladen. Wenn PGP Desktop vom Keyserver benachrichtigt wird, dass ein Schlüssel vom Keyserver entfernt wurde, deaktiviert PGP Desktop diesen Schlüssel auf dem lokalen Schlüsselbund.

316


Wenn Sie mit PGP Desktop eine Änderung an einem Schlüsselpaar auf Ihrem Schlüsselbund vornehmen, wird diese Änderung nicht automatisch von Ihrem Computer auf einen Keyserver hochgeladen. Sie müssen den geänderten Schlüssel manuell zum gewünschten Keyserver hochladen. PGP Desktop fragt beim Beenden des Programms ab, ob geänderte Schlüssel hochgeladen werden sollen. Wenn Sie den Schlüssel zum Keyserver senden möchten, klicken Sie mit der rechten Maustaste auf den geänderten Schlüssel, klicken im Kontextmenü auf den Befehl Senden an und wählen den gewünschten Keyserver in der Liste aus.

Beim Überprüfen von Signaturen automatisch auf Keyservern

nach Schlüsseln suchen. Wenn diese Option aktiviert ist, können Sie festlegen, dass PGP Desktop die konfigurierten Keyserver nach einem überprüften Schlüssel durchsucht, wenn die öffentlichen Schlüssel am lokalen Schlüsselring nicht vorhanden sind:

Hinweis: Wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, wird diese Option verwendet. Ihr PGP Universal Server definiert, ob Schlüssel gesucht und, wenn gefunden, zwischengespeichert werden. Schlüssel, die in einer von PGP Universal verwalteten Umgebung gefunden werden, werden nie auf Ihrem Schlüsselbund gespeichert.

Wenn der öffentliche Schlüssel gefunden wird, stehen drei Optionen zur Auswahl:

Nicht auf meinem Schlüsselbund speichern: Alle Schlüssel, die auf den konfigurierten Keyservern gefunden werden, werden nur einmal dazu verwendet, um die Signatur zu überprüfen, mit der Sie gegenwärtig arbeiten. Der Schlüssel wird anschließend nicht auf Ihrem Schlüsselbund gespeichert.

Speichern auf meinem Schlüsselbund bestätigen lassen: Diese Option bedeutet, dass PGP Desktop eine Abfrage ausgeben soll, ob Sie die gefundenen Schlüssel auf Ihrem lokalen Schlüsselbund speichern möchten.

Schlüssel auf meinem Schlüsselbund speichern: Mit dieser Option legen Sie fest, dass die gefundenen Schlüssel automatisch auf dem lokalen Schlüsselbund gespeichert werden.

Schlüsselbund mit Token und Smartcards synchronisieren. Mit dieser Option können Sie festlegen, wie PGP Desktop die Synchronisierung mit Smartcards und Token durchführt:

Automatisch: PGP Desktop lädt und verwendet automatisch den PKCS-11-Treiber des ersten Smartcard/Token-Anbieters, der auf dem System gefunden wird. Wenn auf Ihrem System lediglich der PKCS-11-Treiber eines einzigen Smartcard-/Token-Anbieters installiert ist, wählen Sie diese Einstellung; PGP Desktop erkennt und verwendet automatisch die Smartcards/Token von diesem Anbieter.

317


Aufgelisteter Anbieter: PGP Desktop lädt und verwendet den PKCS-11-Treiber des Smartcard/Token-Anbieters, den Sie aus der Liste auswählen. Verwenden Sie diese Einstellung, wenn in Ihrem System die PKCS-11-Treiber mehrerer Smartcard- bzw. Token-Anbieter installiert sind, um den gewünschten Anbieter anzugeben.

Andere: Damit können Sie im eingeblendeten Dialogfeld „Smartcard-Treiber auswählen“ einen PKCS-11-Treiber auswählen. Mit dieser Option erkennt und verwendet PGP Desktop die Smartcards/Token des Anbieters, dessen PKCS-11-Treiber Sie auswählen. Verwenden Sie diese Einstellung, wenn Sie Smartcards bzw. Token von Anbietern verwenden möchten, die nicht aufgelistet sind.

Wenn die PKCS-11-Bibliothek eines Smartcard-Anbieters auf Ihrem System installiert ist und mit anderen PKCS-11-Anwendungen (z. B. Mozilla Firefox oder Thunderbird) funktioniert, ist die Wahrscheinlichkeit groß, dass PGP Desktop Smartcards von diesem Anbieter erkennen und verwenden kann.

In den seltenen Fällen, in denen eine nicht-standardmäßige Smartcard mit PGP Desktop nicht funktioniert, wird die Kennzeichnung „SmartCard-Schlüssel“ nicht im Bedienfeld(s) „PGP Keys“ angezeigt, wenn die Smartcard auf dem System installiert wird.

Keine. PGP Desktop verwendet keine Smartcards oder Token auf Ihrem System.

Keyserver. Klicken Sie auf diese Option, um die Liste der PGP-Keyserver in einem Dialogfenster anzuzeigen. In diesem Dialogfeld können Sie die Liste der Keyserver, die zur automatischen Schlüsselsuche verwendet werden, hinzufügen, bearbeiten oder löschen.

Sicherung. Mit diesen Einstellungen wird festgelegt, wann und wo Ihre Schlüssel gesichert werden.

318


Schlüssel beim Beenden von PGP sichern. Wenn diese Option aktiviert ist, sichert PGP Desktop Ihre Schlüssel automatisch am angegebenen Speicherort:

Zu meinem Schlüsselbund-Ordner (Standard). Wenn diese Option ausgewählt ist, werden Ihre Schlüssel im standardmäßigen Schlüsselbund-Ordner auf Ihrem System gesichert. Der Standardspeicherort ist der Ordner Eigene Dokumente.

Zu diesem Speicherort. Wenn diese Option ausgewählt ist, werden Ihre Schlüssel an dem Speicherort auf Ihrem Computer gesichert, den Sie festlegen. Geben Sie den vollen Dateipfad ein oder klicken Sie auf Durchsuchen, um zu einem Speicherort zu gelangen.

Hauptschlüsseloptionen

Die Hauptschlüsselliste ist ein Schlüsselsatz, der standardmäßig bei jedem Auswählen von Schlüsseln hinzugefügt wird, beispielsweise wenn Sie eine neue PGP Zip-Datei erstellen. Die betreffenden Schlüssel müssen dann nicht mehr in das Feld Empfänger gezogen werden.

Aktivieren Sie zum Verwenden der Hauptschlüsselliste das Kontrollkästchen Hauptschlüsselliste verwenden. Sie können in der Hauptschlüsselliste nur dann Schlüssel hinzufügen oder entfernen, wenn dieses Kontrollkästchen aktiviert ist.

319


Informationen über das Hinzufügen von Hauptschlüsseln finden Sie unter Schlüssel zur Hauptschlüsselliste hinzufügen (auf Seite 60). Informationen über das Löschen von Hauptschlüsseln finden Sie unter Schlüssel aus der Hauptschlüsselliste löschen (auf Seite 61).

Hinweis: Wenn Sie Ihren Schlüssel mithilfe des Setup-Assistenten generieren, wird er der Hauptschlüsselliste automatisch hinzugefügt. Wenn Sie die Schlüsselgenerierung übersprungen und Ihren Schlüssel in PGP Desktop importiert haben, wird Ihr Schlüssel nicht automatisch zur Liste hinzugefügt.

Messaging-Optionen

Die Registerkarte „Messaging“ enthält Einstellungen für E-Mail und IM-Messaging.


Optionen auf der Registerkarte „Messaging“:

320


E-Mail schützen: Aktivieren Sie das Kontrollkästchen the E-Mail schützen, wenn alle Ihre E-Mail-Konten automatisch von PGP Desktop geschützt werden sollen. Ist die Option aktiviert, fängt PGP Desktop sowohl ein- als auch ausgehende E-Mail-Nachrichten ab und schützt sie entsprechend der definierten Richtlinien.

Deaktivieren Sie das Kontrollkästchen E-Mail schützen, wenn Ihre E-Mail-Konten nicht mehr von PGP Desktop geschützt werden sollen.

Wenn Sie das Kontrollkästchen E-Mail schützen aktivieren, können Sie zusätzlich die folgenden Optionen auswählen:

Neue Konten finden: Aktivieren Sie diese Option, wenn PGP Desktop Ihre E-Mail-Aktivitäten überwachen und automatisch nach neuen, von Ihnen verwendeten E-Mail-Konten suchen soll. Wird ein neues Konto erkannt, fragt PGP Desktop, ob die mithilfe dieses Kontos gesendeten Nachrichten geschützt werden sollen.

Hinweis: Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, unterbindet die Verwendung eines Jokers (*) diese Funktion, da alle Maildienste der Jokerbindung * entsprechen. Deshalb entsprechen alle neuen Konten automatisch den Richtlinien und werden erstellt, auch wenn diese Option deaktiviert ist.

Meine E-Mail-Adressen automatisch zu meinem Schlüssel

hinzufügen. Wenn Sie diese Option aktivieren, fügt PGP Desktop automatisch die zum Senden von Nachrichten verwendeten E-Mail-Adressen zu Ihrem Schlüssel hinzu. Diese Option ist standardmäßig aktiviert. Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, ist diese Option unter Umständen deaktiviert.

Deaktivieren Sie diese Option, um zu verhindern, dass E-Mail-Adressen automatisch zum Schlüssel hinzugefügt werden. Dies dient dem Datenschutz; Sie können so beispielsweise verhindern, dass jemand Ihre E-Mail-Adresse ermittelt.

Ankommende E-Mails mit Anmerkung versehen: Aktivieren Sie diese Option, wenn ankommende E-Mail-Nachrichten mit Anmerkungen versehen werden sollen, in denen die von PGP Desktop durchgeführten Verarbeitungsschritte beschrieben werden. Sie können zwischen drei Anmerkungsebenen wählen:

Maximal: Ausführliche Anmerkung: In den Anmerkungen wird jede Aktion beschrieben, die von PGP Desktop während der Verarbeitung durchgeführt wurde.

Mittel: Fehler und Erfolg. Dies ist die Standardoption. Es werden Anmerkungen zu Verarbeitungsproblemen hinzugefügt, wie z. B. unbekannte Schlüssel oder Signierer. Außerdem werden bei dieser Einstellung Anmerkungen hinzugefügt, wenn die ankommende E-Mail-Nachricht verschlüsselt und/oder signiert wurde.

321


Minimal: Nur Fehler: Es werden nur Anmerkungen hinzugefügt, wenn bei der Verarbeitung Fehler aufgetreten sind.

Kommentar zu gesicherten Nachrichten hinzufügen: Wenn diese Option aktiviert ist, wird der hier eingegebene Text immer in verschlüsselte oder signierte Nachrichten aufgenommen. In diesem Feld eingegebene Kommentare werden unterhalb der Textkopfzeile --BEGIN PGP MESSAGE BLOCK-- und der PGP Desktop-Versionsnummer für jede geschützte Nachricht angezeigt. Diese Kommentare sind in verschlüsselten E-Mails nicht zu sehen.

Hinweis: Falls Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, enthält dieses Feld möglicherweise schon Text.

AOL® Instant Messaging-Nachrichten verschlüsseln (AIM®). Aktivieren Sie diese Option, wenn PGP Desktop Instant-Message-Sitzungen mit unterstützter Instant Messaging-Software verschlüsseln soll.

Unterstützt werden AOL® Instant Messenger™ und kompatible Software.

„PGP Enabled“ in meinen AIM-Benutzerinformationen anzeigen. Wenn diese Option aktiviert ist, wird die Meldung „PGP Enabled“ in der Titelzeile verschiedener Fenster (z. B. AIM-Buddy-Liste) angezeigt. Ist sie deaktiviert, wird die Meldung nicht angezeigt. Das Erscheinungsbild dieses Texts kann je nach Ihrem Instant Messaging Client unterschiedlich ausfallen.

PGP-Schlosssymbol über meinem Buddy-Symbol anzeigen: Wenn diese Option aktiviert ist, wird das stilisierte PGP-Schlosssymbol über Ihrem Buddy-Symbol angezeigt. Andere Benutzer erkennen daran, dass die Instant Messaging-Sitzung geschützt ist. Ist die Option deaktiviert, wird Ihr Symbol normal angezeigt.

Proxy-Optionen

Klicken Sie auf die Schaltfläche Proxy-Optionen, um auf die erweiterten Messaging-Optionen zuzugreifen.

322


Registerkarte „E-Mail”

Wenn Ihr Computer eine manuelle Proxy-Konfiguration benötigt, damit Sie E-Mails senden und empfangen können, müssen Sie diese Registerkarte verwenden.

PGP Desktop ist zwischen Ihrem E-Mail-Programm und dem Mail-Server „zwischengeschaltet“. Dadurch kann PGP Desktop den E-Mail-Nachrichtenverkehr automatisch für Sie filtern (als Proxy dienen). Auf diese Weise schützt PGP Desktop Ihre Nachrichten anhand der jeweiligen Richtlinie, ohne Sie bei der Arbeit zu behindern.

Normalerweise müssen Sie die PGP Proxy-Einstellungen nicht ändern. In manchen Situationen müssen die Proxy-Einstellungen jedoch geändert werden. Verwenden Sie dann die vom Netzwerkadministrator empfohlene Einstellung:

Automatisch. Die empfohlene Standardeinstellung. Ihre E-Mail-Nachrichten werden automatisch und transparent geschützt. PGP empfiehlt, diese Option ausgewählt zu lassen, es sei denn, Sie werden zur Verwendung der manuellen Einstellung aufgefordert.

Proxy manuell: Diese Option wird benötigt, wenn Sie eine SSH-Tunnelverbindung zu Ihrem Mail-Server verwenden oder wenn der Computer, auf dem PGP Desktop ausgeführt wird, gleichzeitig als Mail-Server fungiert. Weitere Informationen finden Sie unter Manuellen Modus konfigurieren (auf Seite 323).

323


Registerkarte „Instant Messaging”

Wenn sich Ihr Computer hinter einer Netzwerk-Firewall befindet, müssen Sie u. U. den Netzwerkport ändern, den AIM für Ihre Instant Messaging-Sitzungen verwendet. Die meisten Benutzer müssen diese Einstellung nicht ändern.

Manuellen Proxy verwenden. Aktivieren Sie diese Option, um den Port zu ändern, den AIM für Ihre Instant Messaging-Sitzungen verwendet. Geben Sie einen anderen Port als den standardmäßig verwendeten (5190) an. Fragen Sie den Netzwerkadministrator, ob Sie die Einstellung ändern müssen und wenn ja, welche Portnummer werden soll.

Manuellen Modus konfigurieren

Wenn Sie für E-Mail-Proxy die Einstellung Manuell festlegen, müssen Sie ebenfalls die PGP Messaging-Einstellungen konfigurieren, ebenso wie bestimmte Einstellungen Ihres E-Mail-Client (die entsprechenden Werte können Sie bei Ihrem Systemadministrator erfragen):

1 Wählen Sie im PGP Messaging-Dialog den Dienst aus, für den Sie den manuellen Modus verwenden wollen. Das Fenster Neuer Dienst wird geöffnet.

324


2 Klicken Sie auf Servereinstellungen. Der Dialog Das Dialogfenster für den angegebenen Dienst wird angezeigt.

3 Wählen Sie den Servertyp für den neuen Dienst aus:

Internet Mail - Wählen Sie diesen Typ aus, wenn Sie PGP Desktop eigenständig mit einer POP- oder IMAP-Verbindung verwenden.

PGP Universal - Wählen Sie diesen Typ aus, wenn Sie PGP Desktop in einer mit PGP Universal verwalteten Umgebung verwenden. Wenden Sie sich an Ihren PGP Universal-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

MAPI/Exchange - Für Benutzer von PGP Desktop, die Microsoft Outlook als Client auf einem Microsoft Exchange/MAPI-Server verwenden. Wenden Sie sich an Ihren E-Mail-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

Lotus Notes - Für Benutzer von PGP Desktop, die Lotus Notes als E-Mail-Client auf einem Lotus Domino-Server verwenden. Wenden Sie sich an Ihren E-Mail-Administrator, wenn Sie weitere Informationen zu diesen Einstellungen benötigen.

4 Geben Sie im Abschnitt Mail-Server für eingehende Nachrichten einen Wert im Feld Lokalen Port X auf diesen Server zurückleiten ein.

PGP Desktop prüft dann diesen Port auf E-Mail-Nachrichten, die von Ihrem Mail-Server zu Ihrem Mail-Client gehen.

5 Geben Sie im Abschnitt Mail-Server für ausgehende Nachrichten (SMTP)

einen Wert im Feld Lokalen Port X auf diesen Server zurückleiten ein.

PGP Desktop wird diesen Port auf E-Mail-Nachrichten prüfen, die von Ihrem Mail-Client zu Ihrem Mail-Server gehen.

325



Der Dialog Servereinstellungen wird geschlossen.

7 Öffnen Sie Ihren E-Mail-Client, und navigieren Sie zu den Einstellungen für Ihr E-Mail-Konto (falls Sie mehrere Konten besitzen, müssen Sie jedes Konto einzeln konfigurieren)

8 Geben Sie für die Einstellungen Mail-Server für eingehende Nachrichten

(POP3 oder IMAP) und Mail-Server für ausgehende Nachrichten (SMTP) in Microsoft Outlook den Wert 127.0.0.1 ein.

9 Klicken Sie auf Weitere Einstellungen.

326


10 Klicken Sie im Dialogfeld „Internet E-Mail-Einstellungen“ auf Erweitert. Die Registerkarte „Erweitert“ des Dialogfensters „Internet E-Mail-Einstellungen“ wird angezeigt.

11 Geben Sie im Feld Eingangsserver (POP3 oder IMAP) den gleichen Wert ein, den Sie für den Posteingangsserver im Feld Lokalen Port X auf diesen Server zurückleiten festgelegt haben; Schritt 7 dieses Verfahrens.

12 Geben Sie im Feld Ausgangsserver (SMTP) den gleichen Wert ein, den Sie für den Postausgangsserver im Feld Lokalen Port X auf diesen Server zurückleiten festgelegt haben; Schritt 8 dieses Verfahrens.

13 Klicken Sie auf OK, und schließen Sie die Konfiguration der Kontoeinstellungen ab. Der manuelle Modus für den ausgewählten Dienst ist konfiguriert.

14 Wenn Sie mit der Konfiguration des manuellen Modus für die Dienste fertig sind, starten Sie Ihr System neu.

PGP NetShare-Optionen

Verwenden Sie die Registerkarte „NetShare-Optionen“, um Einstellungen für den Schutz von geteilten Netzwerkdateien zu ändern.

327



Erscheinungsbild des Ordners. Wählen Sie die Option PGP-Symbol auf

geschützten Dateien und Ordnern, wenn ein PGP-Sperrsymbol auf den Dateien und Ordnern erscheinen soll, die durch PGP NetShare geschützt sind.

Erweitert. Wählen Sie Einzelne Dateien schützen, um einzelne Dateien, die sich außerhalb eines geschützten Ordners befinden, mithilfe von PGP NetShare zu schützen.

Hinweis: Ihr PGP-Administrator hat diese Option unter Umständen deaktiviert, wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden.

Weitere Informationen über den Schutz einzelner Dateien außerhalb eines geschützten Ordners mithilfe von PGP NetShare finden Sie unter Dateien außerhalb eines geschützten Ordners schützen (auf Seite 255).

328


Laufwerksoptionen

Die Registerkarte „Laufwerk“ enthält Einstellungen für Volumes, die mit PGP Virtual Disk geschützt werden. Außerdem enthält die Registerkarte „Laufwerk“ Optionen für PGP Shredder.


Hinweis: Wenn Sie mit PGP Desktop in einer von PGP Universal verwalteten Umgebung arbeiten, sind diese Einstellungen möglicherweise bereits konfiguriert.

PGP Virtual Disk-Optionen

Für PGP Virtual Disk stehen die folgenden Optionen zur Verfügung:

Deaktivieren von PGP Virtual Disks ermöglichen, auch wenn Dateien

geöffnet sind. Gewöhnlich kann ein PGP Virtual Disk Laufwerk nicht automatisch deaktiviert werden, wenn darin befindliche Dateien geöffnet sind. Die Aktivierung dieser Option lässt die Deaktivierung auch mit geöffneten Dateien zu (wird als erzwungene Deaktivierung bezeichnet).

329


Vor der Deaktivierung nicht fragen ermöglicht PGP Desktop, die Deaktivierung eines PGP Virtual Disk Laufwerks zu erzwingen, ohne Ihnen zuvor mitzuteilen, dass möglicherweise Dateien geöffnet sind.

Warnung: Wenn Sie die Deaktivierung eines PGP Virtual Disk-Laufwerks erzwingen, während Dateien geöffnet sind, können Daten verloren gehen.

Deaktivierung im Stromsparmodus. Wenn diese Option aktiviert ist, deaktiviert PGP Desktop automatisch alle aktivierten PGP Virtual Disk Laufwerke, wenn der Computer in einen Stromsparmodus übergeht. Zu diesen Modi gehören beispielsweise Standby und Hibernate.

Aktivieren Sie Stromsparmodus verhindern, falls PGP-Laufwerke

nicht deaktiviert werden können um zu verhindern, dass Ihr Computer in den Stromsparmodus übergeht, wenn ein virtuelles PGP-Laufwerk nicht deaktiviert werden konnte. Diese Option ist auf Microsoft Windows Vista-Systemen nicht verfügbar (Windows Vista ermöglicht das Verhindern des Stromsparmodus nicht mehr).

Warnung: Der Windows Hibernate-Modus ist inhärent unsicher, da Windows vertrauliche Daten auf die Festplatte schreibt, wenn Ihr PGP Virtual Disk beim Eintreten der Hibernation geöffnet ist. PGP Corporation empfiehlt die Verwendung der PGP Whole Disk-Verschlüsselungsfunktion, wenn Hibernation verwendet wird; anderenfalls sollten Sie die Optionen Deaktivierung im

Stromsparmodus und Stromsparmodus verhindern, falls PGP-

Laufwerke nicht deaktiviert werden können aktivieren.

PGP Shredder-Optionen

Mit PGP Shredder können Sie vertrauliche Daten sicher löschen. Sie können die Sicherheitsstufe der PGP Shredder-Funktion sowie andere Einstellungen festlegen.

Die Optionen der PGP Shredder-Funktion sind folgende:

Anzahl der Durchgänge. PGP Shredder entfernt Ihren Dateien, indem sie normal gelöscht und anschließend mit Nullen überschrieben werden, sodass der Speicherplatz, der zuvor von den soeben gelöschten Dateien belegt war, überschrieben wird.

Mit diesem Verfahren können Ihre Dateien bei nur wenigen Durchgängen mit einem großen Maß an Sicherheit überschrieben werden. Daher sind standardmäßig 3 Durchgänge vorgesehen, die ein äußerst hohes Maß an Sicherheit bieten. Sie können die gewünschte Sicherheitsstufe jedoch noch steigern, indem Sie diese Einstellung Ihren Bedürfnissen bis auf maximal 49 Durchgänge erhöhen.

Beachten Sie dabei, dass der Preis für zusätzliche Sicherheit der Zeitaufwand für das sichere Löschen der Datei (en) ist, der von mehreren Faktoren, insbesondere jedoch von der Geschwindigkeit Ihres Prozessors abhängt.

Die empfohlenen Richtlinien für die Anzahl der Durchgänge sind:

330


3 Durchgänge für den persönlichen Gebrauch.

10 Durchgänge für den geschäftlichen Gebrauch.

18 Durchgänge für den militärischen Gebrauch.

26 Durchgänge für maximale Sicherheit.

Automatisch sicher löschen, wenn der Papierkorb geleert wird. Aktivieren Sie dieses Kontrollkästchen, wenn die PGP Shredder-Funktion bei jedem Leeren des Windows-Papierkorbs dessen Inhalt sicher löschen soll. Verwenden Sie diese Option mit Sorgfalt, da der PGP Shredder alle im Papierkorb vorhandenen Dateien sicher löscht, auch wenn sie nicht vertraulich sind; bei großen Dateien kann dies u. U. länger dauern.

Diese Option löscht auch solche Dateien automatisch sicher, die Sie ohne Benutzung des Papierkorbs löschen (durch Drücken der Umschalttaste beim Löschen des Elements). Außerdem werden auch temporäre System- und Anwendungsdateien, die automatisch vom System gelöscht werden, sicher gelöscht.

Bei dieser automatischen Datenvernichtung werden die von Ihnen gewählten Einstellungen der PGP Shredder-Funktion verwendet, die auch für das manuelle sichere Löschen gelten.

PGP Shredder-Programmsymbol auf dem Desktop. Aktivieren Sie dieses Kontrollkästchen, wenn Sie ein PGP Shredder-Programmsymbol auf Ihrem Desktop haben möchten. Sie können dieses Symbol dann ebenso wie das Symbol des Windows-Papierkorbs verwenden: einfach Dateien auf das Symbol ziehen. Diese Option ist standardmäßig aktiviert.

Vor dem sicheren Löschen immer warnen. Markieren Sie diese Option, wenn jedes Mal ein Bestätigungsfenster geöffnet werden soll, bevor ein sicheres Löschen durchgeführt wird. So können Sie noch einmal überprüfen, ob wirklich nur die gewünschten Dateien sicher gelöscht werden. Diese Option ist standardmäßig aktiviert.

Tipp: Ihre Daten können unter Umständen auch an anderen Speicherorten gespeichert sein, beispielsweise in temporären Dateien. Aus diesen Gründen ist die Verwendung von PGP Whole Disk Encryption zum Schutz aller Daten in Ihrem System erwägenswert.

Notifier-Optionen

Die Registerkarte „Benachrichtigung (Notifier)“ enthält Einstellungen für die Benachrichtigungsfunktion von PGP Desktop. Der Notifier zeigt Statusmeldungen in einer Ecke des Bildschirms an, wenn Sie E-Mail-Nachrichten senden oder empfangen. PGP Desktop Notifier meldet auch den Status der Programmkomponenten PGP Whole Disk Encryption und PGP NetShare auf Ihrem Computer.

331


Weitere Informationen zur Funktion PGP Desktop Notifier finden Sie unter PGP Desktop Notifier-Warnmeldungen (siehe „PGP Desktop Notifier-Warnmeldungen“ auf Seite 35).

Verwendungsoptionen

Wählen Sie zum Aktivieren der Benachrichtigung PGP-Benachrichtigung

verwenden und legen Sie die Bildschirmposition fest.

Bildschirmposition: PGP Desktop-Benachrichtigungen können in einer der vier Ecken Ihres Bildschirms erscheinen (Unten rechts, Unten links, Oben

rechts oder Oben links). Wählen Sie die Ecke aus, in der die PGP Desktop-Benachrichtigungen angezeigt werden sollen. Die Standardposition ist Unten links.

Messaging-Optionen

Für die Funktion PGP Desktop Notifier stehen die folgenden Einstellungen zur Verfügung:

Benachrichtigen beim Verarbeiten ausgehender E-Mail: Aktivieren Sie dieses Kontrollkästchen, wenn Sie beim Senden von E-Mails PGP Desktop-Benachrichtigungen zum Verschlüsselungs- und/oder Signierungsstatus wünschen. Deaktivieren Sie dieses Kontrollkästchen, wenn Sie beim Senden von E-Mails keine PGP Desktop-Benachrichtigungen wünschen.

332


Senden von E-Mails bestätigen lassen, wenn der Schlüssel des

Empfängers nicht gefunden wird: PGP Desktop sucht einen öffentlichen Schlüssel des Empfängers jeder E-Mail, die Sie versenden. Wenn für einen Empfänger kein öffentlicher Schlüssel gefunden werden kann, wird die betreffende E-Mail per Voreinstellung als Klartext (ohne Verschlüsselung) gesendet. Wenn Sie diese Benachrichtigungsoption wählen, werden Sie in solchen Fällen benachrichtigt und erhalten die Möglichkeit, die betreffende E-Mail zu sperren, sodass sie nicht gesendet wird.

(Weitere Informationen zu den PGP Desktop-Standardrichtlinien finden Sie unter Dienste und Richtlinien (auf Seite 105).)

Vor der Absendung von E-Mail immer bestätigen lassen: Sie können dieses Kontrollkästchen aktivieren, wenn Sie es bevorzugen, jede gesendete E-Mail einzeln zu bestätigen. Sie können den Verschlüsselungsstatus im Benachrichtigungsfenster überprüfen und dann entscheiden, ob die E-Mail gesendet werden soll oder nicht.

Ausgehende E-Mail für n Sekunde(n) zur Bestätigung aufhalten: (wobei n eine Zahl zwischen 1 und 30 ist; die Standardeinstellung ist 4 Sekunden). Sie können die Verzögerungszeit für ausgehende Nachrichten und für die Anzeige der PGP Desktop-Benachrichtigung ändern, indem Sie die Pfeiltasten (nach oben/unten) verwenden. Innerhalb der Verzögerungszeit können Sie die PGP Desktop Notifier-Nachricht überprüfen.

Benachrichtigungen für eingehende E-Mail anzeigen: Für ankommende E-Mails können Sie festlegen, in welchem Umfang Sie beim Eintreffen einer E-Mail über deren Status informiert werden möchten. Zur Wahl stehen:

Beim Empfang gesicherter E-Mail - Eine Benachrichtigung erscheint, wenn Sie eine gesicherte E-Mail erhalten. Dieses Fenster enthält den Absender der E-Mail, den Betreff, den Status von Verschlüsselung und Überprüfung sowie die E-Mail-Adresse des Absenders.

Nur, wenn Nachrichtenüberprüfung fehlschlägt - Für ankommende E-Mails wird nur dann eine Benachrichtigung angezeigt, wenn PGP Desktop die Signatur der ankommenden E-Mail nicht überprüfen kann.

Nie - Wählen Sie diese Option, wenn Sie beim Empfang von E-Mails keine Benachrichtigung wünschen. Diese Option wirkt sich nicht auf die Benachrichtigungen für ausgehende E-Mails aus.

Von Status verschlüsselter PGP-IM-Sitzungen benachrichtigen - Aktivieren Sie dieses Kontrollkästchen, wenn zu Beginn und bei Beendigung eines gesicherten Instant-Message-Chats kurz ein PGP Desktop-Benachrichtigungsfenster angezeigt werden soll.

333


Erweiterte Optionen


Auf der Registerkarte mit den erweiterten PGP-Optionen können Sie sehr spezifische Einstellungen festlegen. Die meisten Benutzer brauchen diese Einstellungen nicht zu ändern.

334


Tastaturbefehle. Sie können in PGP Desktop auf viele Arten eigene Tastaturbefehle definieren, um schneller und einfacher zu arbeiten. In PGP Desktop sind bereits zahlreiche Tastaturbefehle vorkonfiguriert, Sie können die Tastenbelegungen jedoch nach Ihren Bedürfnissen ändern. Klicken Sie auf Bearbeiten, um das Dialogfenster „PGP-Tastaturbefehle“ zu öffnen.

PGP Universal. HTTPS-Proxy für Kommunikation mit PGP Universal

verwenden: Ändern Sie diese Einstellungen nicht, sofern Sie dies nicht auf Anweisung Ihres Netzwerkadministrators tun.

Wenn Ihre PGP Universal-Installation eine sichere Client-Server-Verbindung über einen Proxy erfordert, können Sie dazu diese Einstellungen verwenden. Erfragen Sie bei Ihrem Administrator die Informationen zum Servernamen, zum verwendeten Kommunikationsport sowie zu Ihrem Benutzernamen und Passwort, damit Sie diesen Abschnitt richtig konfigurieren können.

Ändern Sie eine Taste (oder Tastenmodus), indem Sie auf Taste

zurücksetzen klicken. Weitere Informationen zu Tastenmodi finden Sie unter Tastenmodi (auf Seite 135).

FIPS 140-2 Funktions- und Integritätsprüfung aktivieren. Wählen Sie diese Option, wenn die Überprüfungen nach FIPS 140-2 durchgeführt werden sollen. Beachten Sie aber, dass die Computerleistung dadurch beeinträchtigt wird. Sie müssen den Computer neu starten, damit diese Einstellung übernommen wird.

335

Passwörter und Passphrasen werden verwendet, um Informationen zu schützen. Passphrases, wörtlich übersetzt Schlüsselsätze, sind länger als Passwörter und können mehrere Wörter und eine breitere Palette an Zeichen verwenden. Da der Ausdruck Passphrase im Deutschen nicht sehr gebräuchlich oder verständlich ist, wird in diesem PGP-Produkt zum leichteren Verständnis der Ausdruck Passwort verwendet. Sie können als Passwort aber auch gesamte Sätze verwenden. Sie erreichen dadurch eine höhere Sicherheit als mit einfachen Passwörtern.

Ein Beispiel für ein einfaches Passwort ist ein Wort mit vier Buchstaben oder zwei zusammenhängende Worte: „wennarbeit“ ohne die Anführungszeichen. Ein stärkeres Passwort beinhaltet außerdem Großbuchstaben: WennArbeit. Noch besser ist es, wenn Sie Ziffern hinzufügen: Wenn9Arbeit4.

Im Vergleich hierzu sind Passphrasen länger und verwenden eine breitere Palette von Zeichen. Eine einfache Passphrase ist zum Beispiel: „Mb&1a>ttA.“ (ohne Anführungszeichen, aber mit Punkt). Dieses Passwort scheint zwar auf den ersten Blick schwer merkbar zu sein, da es aber auf einem einfachen Satz basiert, lässt es sich einfacher behalten.

Passphrasen können auch aus einfachen Sätzen bestehen, zum Beispiel aus einem Buch, inklusive der Satzzeichen und Groß-/Kleinschreibung. „Weil das nicht Golf ist, antwortete ich“ (einschließlich Anführungszeichen). Obwohl dies nicht nach einer starken Passphrase aussieht, ist sie doppelt so stark wie die bisherigen Beispiele.

In diesem Abschnitt werden die Unterschiede zwischen einfachen und komplexen Passwörtern beschrieben. Außerdem finden Sie hier Informationen zur Passwort-Qualitätsanzeige in PGP Desktop und Richtlinien zur Erstellung starker Passwörter.

In diesem Kapitel

Entscheidung über die Verwendung eines Passwortes oder einer Passphrase ............................................................................................ 336

Die Passwort-Qualitätsanzeige.............................................................. 336 Starke Passwörter erstellen .................................................................. 337 Was geschieht, wenn Sie Ihr Passwort vergessen?............................. 339

B Mit Passwörtern und

Passphrasen arbeiten

336

PGP® Desktop 9.9 für Windows Mit Passwörtern und Passphrasen arbeiten

Entscheidung über die Verwendung eines Passwortes oder

einer Passphrase

Wie entscheiden Sie, ob Sie ein Passwort oder eine Passphrase verwenden sollten? Das hängt davon ab, was Sie schützen möchten. Je wertvoller die Information ist, die Sie schützen möchten, desto stärker sollte der Schutz sein. Denken Sie immer daran: Auch wenn PGP-Produkte zum leichteren Verständnis immer von Passwörtern sprechen, können Sie auch eine lange Passphrase verwenden, um die Sicherheit zu erhöhen.

Die meisten Word-Dokumente sind ungeschützt; der Inhalt ist in der Regel nicht wertvoll genug, um den Aufwand zu rechtfertigen. Beim Online-Banking verlangen manche Banken eine PIN für den Kontozugang; je nach Kontostand kann dies als Sicherheitsmaßnahme eher unzulänglich sein. Sie können ein kostenloses Hotmail-Konto für unwichtige E-Mails verwenden; ein einfaches Passwort genügt hier als Sicherheitsmaßnahme. Für das E-Mail-Konto an Ihrem Arbeitsplatz, über das Sie interne Produkt-, Kunden- und Buchhaltungsinformationen erhalten, sollten Sie ein starkes Passwort verwenden.

Mit PGP Desktop können Sie beispielsweise ein Passwort für Ihr PGP-Schlüsselpaar und für Ihre virtuellen PGP-Laufwerke vergeben. Wenn Sie für Ihr PGP-Schlüsselpaar nur ein schwaches Passwort verwenden und ein Angreifer physischen Zugriff auf Ihren Schlüsselbund hat, muss er lediglich Ihr Passwort herausfinden, um die Nachrichten, die Sie senden und empfangen, lesen zu können.

Die Passwort-Qualitätsanzeige

Die Passwort-Qualitätsanzeige gibt Ihnen eine Richtlinie für die Stärke der in PGP Desktop erstellten Passwörter. Es handelt sich jedoch um bessere Richtlinien als lediglich die Anzahl der Zeichen.

Im Allgemeinen gilt: je länger die Anzeige, desto stärker das Passwort. Aber was bedeutet die Länge der Passwort-Qualitätsanzeige wirklich?

Die Passwort-Qualitätsanzeige vergleicht die Zufallsmenge (Entropiewert) des von Ihnen eingegebenen Passworts mit einer echten zufälligen Zeichenkette mit 128 Bit (der gleiche Entropiewert wie in einem AES128-Schlüssel). Dies wird als Entropie von 128 Bit bezeichnet.

(Entropie ist ein Maßstab für den Schwierigkeitsgrad beim Festlegen eines Passworts oder eines Schlüssels.)

Wenn das von Ihnen erstellte Passwort die Passwort-Qualitätsanzeige nun ungefähr halb ausfüllt, verfügt diese Passphrase über eine Entropie von etwa 64 Bit. Wenn das Passwort die Passwort-Qualitätsanzeige komplett ausfüllt, verfügt diese Passphrase über eine Entropie von etwa 128 Bit.

337


Wie stark ist demnach eine Entropie von 128 Bit? Ende der 90er Jahre wurden spezialisierte „DES-Cracker -Computer gebaut, die innerhalb weniger Stunden einen DES-Schlüssel herausfinden konnten, indem alle möglichen Schlüsselwerte ausprobiert wurden.

Angenommen, Sie könnten einen Computer bauen, der innerhalb einer Sekunde einen DES-Schlüssel herausfinden könnte (der Computer müsste in der Lage sein, 255 Schlüssel pro Sekunde auszuprobieren), dann würde der Computer ungefähr 149 Billionen (Tausend Milliarden) Jahre brauchen, um einen AES-Schlüssel von 128 Bit herauszufinden. Im Vergleich dazu soll das Universum nicht einmal 20 Milliarden Jahre alt sein.

Wie wird die Entropie eines bestimmten Zeichens gemessen? Die Antwort lautet: je größer der Pool an Zeichen, aus dem ein bestimmtes Zeichen ausgewählt werden kann, desto mehr Entropie wird dem ausgewählten Zeichen zugewiesen.

Wenn Sie z. B. eine numerische PIN auswählen sollen, beschränkt sich Ihre Auswahl auf die Zahlen Null bis Neun; also insgesamt 10 Zeichen. Dies ist ein recht kleiner Pool, und die Entropie für das ausgewählte Zeichen ist relativ gering.

Wenn Sie ein Passwort mithilfe der englischen Version von PGP Desktop auswählen, sieht die Sache jedoch anders aus. Sie können aus drei Zeichen-Pools auswählen: Großbuchstaben und Kleinbuchstaben (52 Zeichen), die Zahlen Null bis Neun (10 Zeichen) und die Interpunktionszeichen auf einer Standardtastatur (32 Zeichen).

PGP Desktop bestimmt beim Eingeben eines Zeichens den Entropiewert für das jeweilige Zeichen basierend auf der Datenbasis, aus der es stammt, und wendet diesen Wert auf die Passwort-Qualitätsanzeige an.

Das gleiche Konzept gilt für die Zeichensätze anderer Sprachen; je größer der Zeichenpool, desto mehr Entropie pro Zeichen. Wenn Sie z. B. einen asiatischen oder arabischen Zeichensatz verwenden würden, von denen manche über mehrere Hundert Zeichen verfügen, wäre die Entropie für ein ausgewähltes Zeichen entsprechend höher, und die Passwort-Qualitätsanzeige würde wesentlich schneller ausgefüllt.

Starke Passwörter erstellen

Das Erstellen eines guten Passworts ist ein Kompromiss aus Einfachheit bei der Eingabe und Stärke des Passworts. Längere Passwörter mit Groß- und Kleinbuchstaben, Zahlen sowie Interpunktionszeichen sind stärker, jedoch auch schwieriger zu merken.

Untersuchungen haben gezeigt, dass schwierig zu merkende Passwörter häufiger aufgeschrieben werden, was jedoch den Sinn eines starken Passworts verfehlt. Es ist daher besser, ein kürzeres starkes Passwort zu verwenden, das Sie sich merken können, als ein längeres starkes Passwort, das Sie aufschreiben müssen, um es nicht zu vergessen.

338


Ein geläufiges System zum Erstellen von starken Passwörtern ist die Verkürzung eines Passworts in einzelne Zeichen. So wird z. B. aus dem Passwort:

My brother and I are greater together than apart.

das Passwort:

Mb&1a>ttA.

Dieses Passwort besteht aus 10 Zeichen und enthält Groß- und Kleinbuchstaben, Zahlen sowie Interpunktionszeichen. Mit 10 Zeichen handelt es sich hierbei um ein relativ kurzes Passwort. Wenn Sie glauben, dass 10 Zeichen nicht ausreichen, können Sie entweder mit derselben Methode ein weiteres Passwort erstellen und dann beide zusammen verwenden, oder einfach gleich ein längeres Passwort erstellen.

Bei einer anderen Methode werden einfache Wörter mit Interpunktionszeichen und Großbuchstaben verwendet. Beispiel:

Edited by John Doe (not John Doe, Editor)

Hierbei handelt es sich um ein starkes Passwort, obwohl es nicht besonders lang oder kompliziert ist. Wenn Sie sich dazu entschließen, ein Passwort aus einem Ihnen bekannten Buch zu verwenden, dürfen Sie das Buch nicht verlieren.

Sie können beim Erstellen eines Passwortes in PGP Desktop bis zu 255 Zeichen, einschließlich Leerzeichen, verwenden.

Ein weiterer Ansatz ist das Verknüpfen vieler kurzer, gängiger Wörter. Eine Methode, die als Diceware™ bezeichnet wird, verwendet Würfel, um aus einer besonderen Liste, der Diceware Word List, die 7776 kurze englische Wörter, Abkürzungen und leicht zu merkende Zeichenketten enthält, zufällige Wörter auszuwählen. Wenn Sie genügend solcher Zeichenketten zusammenfügen, können Sie ein starkes Passwort erstellen. Laut FAQ (häufig gestellte Fragen und Antworten) für Diceware können Sie mit einem aus 10 Wörtern bestehenden Diceware-Passwort bis zu 128 Bit an Entropie erzielen.

Weitere Informationen über Diceware finden Sie auf der Diceware Passphrase Homepage (http://world.std.com/~reinhold/diceware.html).

Bei der Erstellung von Passwörtern sollten Sie Folgendes beachten:

Verwenden Sie ein Passwort aus Ihrem Langzeitgedächtnis, da es unwahrscheinlicher ist, dass Sie dieses vergessen. Das Passwort sollte mindestens 8 Zeichen enthalten.

Erstellen Sie ein Passwort mit mindestens acht Zeichen. Die Länge ist nicht mit der Stärke gleichzusetzen, dennoch ist ein langes Passwort besser als ein kurzes.

Verwenden Sie sowohl Groß- und Kleinbuchstaben, Zahlen sowie Interpunktionszeichen.

Achtung: Verwenden Sie möglichst nur ASCII-Zeichen. Dies ist besonders wichtig, wenn Sie internationale Tastaturen verwenden, da bestimmte Sonderzeichen (z. B. „§“) in Passwörtern nicht unterstützt werden.

339


Ändern Sie Ihr Passwort regelmäßig; ein Mal alle drei Monate ist eine gute Faustregel. Je länger Sie das gleiche Passwort verwenden, desto mehr Zeit geben Sie anderen, es ausfindig zu machen.

Folgendes sollten Sie beim Erstellen von Passwörtern unbedingt vermeiden:

Schreiben Sie Ihr Passwort nicht auf.

Geben Sie Ihr Passwort nicht an andere Personen weiter.

Lassen Sie sich beim Eingeben Ihres Passworts nicht beobachten.

Verwenden Sie als Passwort nicht den Begriff „Passwort“ oder „Passphrase“.

Verwenden Sie keine Muster. Also nicht „abcdefgh“ oder „12345678“ oder „qwertyui“ oder „88888888“ oder „AAAAAAAA“.

Verwenden Sie keine gebräuchlichen Wörter. Jeder halbwegs gute Hacker verwendet ein Lexikon zum Knacken von Passwörtern, das es mit geläufigen Wörtern versucht. Verketten Sie nicht zwei geläufige Wörter, verwenden Sie nicht die Pluralform eines geläufigen Wortes, und verwenden Sie kein geläufiges Wort mit einem großen Anfangsbuchstaben.

Verwenden Sie keine Zahlen, die sich auf Sie beziehen. Wenn jemand diese Zahlen kennt, können Hacker sie ausfindig machen. Verwenden Sie auf keinen Fall Ihr Geburtsdatum, Ihre Telefonnummer, Ihre Sozialversicherungsnummer oder Ihre Hausnummer.

Verwenden Sie keine Namen. Verwenden Sie nicht den Namen einer Person, einer fiktiven Person oder Ihres Haustiers. Verwenden Sie nicht den Namen Ihres letzten Urlaubsorts, Ihren Anmeldenamen oder den Namen Ihrer Firma. Verwenden Sie nicht den Namen Ihrer Lieblingsfußballmannschaft oder eines Körperteils. Verwenden Sie außerdem keine Namen aus Büchern, insbesondere aus der Bibel.

Verwenden Sie keinen der oben genannten Namen von hinten nach vorne oder mit einem einzelnen voran- bzw. nachgestellten Zeichen.

Was geschieht, wenn Sie Ihr Passwort vergessen?

Wenn Sie Ihr Passwort vergessen, können Sie Informationen, die zu Ihrem Schlüssel verschlüsselt wurden, nie mehr entschlüsseln. Sie können jedoch Ihren Schlüssel wiederherstellen, falls Ihr PGP-Administrator eine Schlüsselwiederherstellungsrichtlinie für Ihr Unternehmen implementiert hat. Weitere Informationen finden Sie unter PGP-Schlüsselwiederherstellung (siehe „Wenn Sie Ihren Schlüssel oder Ihr Passwort verloren haben”` auf Seite 91, Schlüssel mit PGP Universal wiederherstellen auf Seite Error! Bookmark not

defined.); wenden Sie sich bei Bedarf an Ihren PGP-Administrator.

340


341

Mithilfe von PGP Universal können Unternehmen E-Mail-Nachrichten anhand konfigurierbarer Richtlinien, die vom PGP-Administrator zur Durchsetzung der Firmensicherheitsrichtlinien erstellt werden, automatisch und (für den Endbenutzer) transparent geschützt werden. PGP Universal ermöglicht PGP-Administratoren außerdem die Verwaltung des PGP Desktop Einsatzes durch Benutzer innerhalb ihrer Organisation. Weitere Informationen zu PGP Universal finden Sie unter PGP Universal Server auf der PGP-Website (http://www.pgp.com/products/universal/index.html).

Wenn Sie PGP Desktop in einer von PGP Universal verwalteten Umgebung verwenden, kommen Sie in den Genuss der bewährten PGP-Verschlüsselungstechnologie bis zur Desktop-Ebene sowie der weiteren Sicherheitsfunktionen in PGP Desktop: Unter anderem PGP Whole Disk Verschlüsselung, PGP Virtual Disk Laufwerke, PGP Zip Archive and PGP Shredding.

Um PGP Desktop in einer von PGP Universal verwalteten Umgebung zu verwenden, müssen Sie PGP Desktop mithilfe eines vom PGP-Administrator erhältlichen Installationsprogramms installieren.

Wenn Sie eine PGP Desktop-Version für den privaten Gebrauch erworben haben und sie nicht in einem Unternehmensumfeld verwenden, haben Sie wahrscheinlich eine Einzelplatz-Version, sodass dieser Abschnitt für Sie nicht relevant ist.

Achtung: Wenn Sie PGP Desktop in einem Unternehmensumfeld verwenden und die PGP Desktop-Installationsdatei nicht von Ihrem PGP-Administrator erhalten haben, wenden Sie sich an Ihren PGP-Administrator bevor Sie diese Version von PGP Desktop installieren oder verwenden.

In diesem Abschnitt werden die Unterschiede bei der Verwendung von PGP Desktop in einer durch PGP Universal verwalteten E-Mail-Domain beschrieben.

In diesem Kapitel

Übersicht ............................................................................................... 342

Für PGP-Administratoren....................................................................... 343

C PGP Desktop mit PGP

Universal Server

verwenden

342

PGP® Desktop 9.9 für Windows PGP Desktop mit PGP Universal Server verwenden

Übersicht

Das PGP Desktop Installationsprogramm wurde vom PGP-Administrator auf eine der folgenden Weisen konfiguriert:

Keine Richtlinieneinstellungen. Ihre Kopie von PGP Desktop hat keine Richtlinieneinstellungen; Sie können alle von Ihrer Lizenz unterstützten Einstellungen nutzen.

Automatische Erkennung von Richtlinieneinstellungen. Ihre Kopie von PGP Desktop wird den PGP Universal Server kontaktieren, der das Installationsprogramm erstellt hat, und die entsprechenden Einstellungen herunterladen. Die empfangenen Einstellungen erfordern möglicherweise die Verwendung von PGP Desktop Funktionen auf bestimmte Art und Weise.

Voreingestellte Richtlinieneinstellungen. Ihre Kopie von PGP Desktop hat entsprechende Richtlinieneinstellungen; Diese Einstellungen erfordern möglicherweise die Verwendung von PGP Desktop-Funktionen auf bestimmte Art und Weise.

Der Empfang Ihrer PGP Desktop Einstellungen von einem PGP Universal Server bedeutet, dass Sie PGP Desktop Funktionen möglicherweise auf eine bestimmte Art und Weise benutzen müssen. Hierzu gehören:

Möglicherweise müssen bei der Installation von PGP Desktop bestimmte Aktionen ausgeführt werden: Es ist beispielsweise möglich, dass Sie Ihr Boot-Laufwerk mit PGP Whole Disk verschlüsseln oder ein PGP Virtual Disk Laufwerk erstellen müssen.

Möglicherweise können oder müssen Sie PGP Desktop Funktionen auf bestimmte Art und Weise verwenden: So ist es z. B. möglich, dass Sie Ihre AIM-Instant Messaging-Sitzungen verschlüsseln müssen, oder dass es Ihnen gestattet ist, Dateien beim Löschen automatisch sicher zu löschen.

Möglicherweise können Sie bestimmte PGP Desktop Funktionen nicht verwenden: beispielsweise können Sie möglicherweise keine konventionelle Verschlüsselung verwenden oder selbstentschlüsselnde Archive (SDAs) erstellen.

Möglicherweise müssen Sie bestimmte Messaging-Richtlinien einhalten: Beispielsweise kann es sein, dass Sie Nachrichten an bestimmte E-Mail-Domain verschlüsseln und signieren müssen.

Möglicherweise sind bestimmte Funktionen wie PGP Messaging oder PGP NetShare deaktiviert, oder Sie haben einen benutzerspezifischen PGP Whole Disk Encryption BootGuard-Bildschirm (auf Windows-Systemen). Weitere Informationen finden Sie unter Features Customized by Your PGP Universal Administrator (Vom PGP Universal-Administrator angepasste Funktionen) (auf Seite 5).

343

PGP® Desktop 9.9 für Windows PGP Desktop mit PGP Universal Server verwenden

Auf solche Funktionen von PGP Desktop, die von einem PGP-Administrator in einer von PGP Universal verwalteten Umgebung verwaltet werden können, wird in ihrer Beschreibung im gesamten PGP Desktop-Benutzerhandbuch hingewiesen.

Wenden Sie sich für weitere Informationen über die Unterschiede bei der Verwendung von PGP Desktop in einer von PGP Universal verwalteten Umgebung an Ihren PGP-Administrator.

Für PGP-Administratoren

Falls Sie als PGP-Administrator die Implementierung von PGP Desktop für manche oder alle Benutzer in Ihrer Organisation verwalten, empfiehlt PGP Corporation, den PGP Desktop-Benutzern die Verwaltung ihrer eigenen Schlüssel zu überlassen, was mit Client-Schlüsselmodus bezeichnet wird.

Bei der Vorbereitung zur Erstellung der PGP Desktop-Installationsprogramme auf Ihrem PGP Universal Server können Sie bestimmen, ob die PGP Desktop-Benutzer die Möglichkeit erhalten, ihre eigenen Schlüssel zu verwalten (Client-Schlüsselmodus) oder ob der PGP Universal Server ihre Schlüssel verwaltet (Server-Schlüsselmodus).

Diese Einstellungen werden im Bereich Schlüsselverwaltung im Bildschirm Schlüssel-Setup: Standard festgelegt, der Teil der Konfiguration der Standard-Benutzergruppenrichtlinie für interne Benutzer ist (Benutzergruppe >

Richtlinienoptionen > Schlüssel-Setup: Standard in der administrativen Schnittstelle von PGP Universal Server).

Für PGP Desktop-Benutzer ist der Client-Schlüsselmodus die bessere Wahl, denn:

Viele PGP Desktop-Funktionen erfordern, dass die Benutzer die Kontrolle über ihre privaten Schlüssel besitzen. Wenn diese Schlüssel von PGP Universal Server verwaltet werden, sind die betroffenen Funktionen Ihren PGP Desktop-Benutzern nicht zugänglich.

Im Server-Schlüsselmodus sind bestimmte Optionen nicht verfügbar, die Sie für Ihre PGP Desktop-Benutzer vorkonfigurieren. Beispielsweise ist die automatische Erstellung von virtuellen PGP-Laufwerken nicht möglich.

345

In diesem Abschnitt wird die Verwendung von PGP Desktop mit Lotus Notes und MAPI beschrieben.

In diesem Kapitel

Grundlegendes zur Unterstützung von Lotus Notes und MAPI............ 345

PGP Desktop mit Lotus Notes verwenden ........................................... 346 An einen Universal Server binden ......................................................... 347 Notes-Adressen..................................................................................... 348 Client-Einstellungen in Notes ................................................................ 349

Grundlegendes zur Unterstützung von Lotus Notes und MAPI

Nach der korrekten Konfiguration der Richtlinien funktioniert PGP Desktop Messaging mit Lotus Notes und MAPI-E-Mail-Clients in einer durch PGP Universal gesicherten Arbeitsumgebung auf dieselbe Weise wie mit POP- oder IMAP-E-Mail-Clients. Nähere Beschreibungen dazu finden Sie unter E-Mail-Nachrichten sichern (auf Seite 101). Die Informationen in diesem Anhang ergänzen die Informationen in diesem Kapitel.

Lotus Notes ist eine Groupware-Anwendung, die Funktionen für Messaging, Kalender und Ablaufplanung unterstützt. PGP Desktop unterstützt Lotus Notes E-Mail-Clients Version 5.x und höher.

MAPI (Messaging Application Programming Interface) ist eine Messaging-Architektur und eine Client-Schnittstelle, die in Microsoft Exchange-Umgebungen verwendet wird.

Die Unterstützung von Lotus Notes und MAPI in PGP Desktop bedeutet, dass Sie mit PGP-Technologie geschützte Nachrichten unter Verwendung Ihres vorhandenen E-Mail-Clients erhalten, und darüber hinaus die anderen Funktionen, die Lotus Notes und MAPI bereitstellen.

PGP Desktop unterstützt die Lotus Notes-Installation für einzelne wie für mehrere Benutzer.

D Messaging mit Lotus

Notes und MAPI

346

PGP® Desktop 9.9 für Windows Messaging mit Lotus Notes und MAPI

PGP Desktop mit Lotus Notes verwenden

Dieser Abschnitt bietet eine Übersicht über die Wechselfunktionen zwischen PGP Desktop und PGP Universal in einer Lotus Notes-Umgebung.

E-Mails an Empfänger in einem Lotus Notes-Unternehmen senden

Innerhalb der Lotus Notes-Umgebung unterstützt PGP Desktop die Verwendung der SMTP- wie auch der Notes-Adressierung.

Notes-Adressen verwenden

Lotus Notes-Clients, die PGP Desktop verwenden, können Notes-Adressen für die Schlüsselsuche nutzen. Wenn ein Lotus Notes E-Mail-Client eine E-Mail senden, erkennt der PGP Desktop-Client dies und fügt die Notes-Addresse automatisch dem Schlüssel hinzu. Dieser Schlüssel wird dann mit PGP Universal synchronisiert, um die Schlüsselsuche nach Notes-Adresse zu erleichtern.

Allen PGP Universal Serverschlüsseln ist eine SMTP E-Mail-Adresse zugeordnet (z. B. [email protected]). Die Schlüssel der Benutzer interner Lotus Notes E-Mail-Clients haben zusätzlich zur SMTP E-Mail-Adresse die Notes-Adresse im Schlüssel: z. B. CN=josem/O=notes6@notes6. (Externe Benutzer haben niemals eine Notes-Adresse auf ihrem Schlüssel, da der Kontakt mit externen Benutzern immer mithilfe ihrer SMTP E-Mail-Adresse erfolgt.) Die Schlüssel interner Lotus Notes E-Mail-Client-Benutzer haben beide Adressen, d. h. die SMTP E-Mail-Adresse und die Notes-Adresse, da die Schlüsselanfrage von PGP Universal Satellite for Windows eine der beiden Adressen anführen kann.

SMTP-Adressen für Empfänger mit PGP Desktop verwenden

Lotus Notes-Clients, die PGP Desktop verwenden, können SMTP-IDs für die Schlüsselsuche innerhalb des Unternehmens nutzen. Lotus Notes-Unternehmen nutzen u. U. SMTP-IDs für die gesamte interne Kommunikation, während andere Unternehmen ihren Mitarbeitern die Wahl lassen. PGP Desktop arbeitet mit beiden Konfigurationen zusammen. In diesem Szenario erstellt Lotus Notes die E-Mail in der Regel in MIME, und PGP Desktop Proxy führt S/MIME aus.

E-Mails an Empfänger außerhalb eines Lotus Notes-Unternehmens senden

Lotus Notes-Clients, die PGP Desktop verwenden, nutzen SMTP-IDs für E-Mail-Routing und Schlüsselsuche außerhalb des Unternehmens. PGP Desktop arbeitet mit beiden Konfigurationen zusammen. In diesem Szenario erstellt Lotus Notes die E-Mail in der Regel in MIME, und PGP Desktop Proxy führt S/MIME oder PGP/MIME aus. Der Empfänger erhält und entschlüsselt die E-Mail.

347


An einen Universal Server binden

Wenn Lotus Notes- oder MAPI-E-Mail-Clients mit PGP Desktop in einer durch PGP Universal gesicherten Arbeitsumgebung verwendet werden, ist möglicherweise ein zusätzlicher Schritt erforderlich, da sowohl Lotus Notes- als auch MAPI E-Mail-Clients sich direkt mit ihren Domino- bzw. Exchange-Mailservern verbinden müssen.

Wenn Sie die Einzelplatzversion von PGP Desktop verwenden, ist dieser

Abschnitt für Sie nicht relevant; Einzelplatz bedeutet in diesem

Zusammenhang außerhalb einer von PGP Universal verwalteten

Umgebung.

Zusätzlich zur Kommunikation mit ihren Mailservern müssen sie auch eine Verbindung zu ihrem PGP Universal Server haben. Beide Anforderungen werden erfüllt, indem eine Richtlinie für den jeweiligen Mailserver erstellt wird, sowie eine zweite Richtlinie, die sowohl den Mailserver als auch den PGP Universal Server einschließt.

Dies wird als Bindung bezeichnet und ermöglicht, dass Ihr E-Mail Client auf seinen Mailserver zum Senden und Empfangen von Mail zugreifen kann, und auf seinen PGP Universal-Server, um Schlüssel und Richtlinien abzurufen. Wie erwähnt, wird die Bindung mithilfe von PGP Desktop Messaging-Richtlinien erreicht.

Es gibt zwei Methoden, die notwendigen PGP Desktop Messaging-Richtlinien zum Unterstützen der Bindung zu erstellen: Vorbindung und manuelle Bindung.

Vorbindung

Mittels Vorbindung konfiguriert der PGP-Administrator das PGP Desktop-Installationsprogramm mit den Informationen, die zum Erstellen der Bindung in den PGP Desktop Messaging-Richtlinien erforderlich sind. Die Vorbindung bewirkt, dass die korrekten Richtlinien bereits in PGP Desktop konfiguriert sind.

Manuelle Bindung

Mittels manueller Bindung konfiguriert der PGP-Administrator nicht das PGP Desktop-Installationsprogramm mit den Informationen, die zum Erstellen der Bindung in den PGP Desktop Messaging-Richtlinien erforderlich sind. Sie müssen diese Richtlinien selbst erstellen.

Um einen Mailserver und einen PGP Universal Server manuell zu binden, müssen Sie zuerst einen Dienst für den PGP Universal Server konfigurieren und dann einen anderen Dienst für den Mailserver erstellen, der einen Verweis auf den PGP Universal Server beinhaltet.

348


So binden Sie einen Mailserver und einen PGP Universal Server manuell

mithilfe von PGP Desktop Messaging-Richtlinien:


2 Klicken Sie auf das PGP Messaging-Bedienfeld.

3 Klicken Sie unter vorhandenem Einzelplatz-Dienst auf Universal Server

<keiner> und wählen Sie Neuen erstellen aus.

4 Geben Sie im Menü Neuer PGP Universal-Dienst Ihren Universal Server-Namen ein und klicken Sie auf OK.

5 Senden Sie sich selbst eine Nachricht unter Verwendung Ihres E-Mail-Clients. Für MAPI-Benutzer ist dies unter Umständen nicht erforderlich. Wenn nicht, gehen Sie zu Schritt 8.

6 Klicken Sie im Dialogfenster Operation auf Ihre Anforderung gestoppt auf OK.

7 Lesen Sie in Ihrem Posteingangsordner die E-Mail von „PGP Universal“.

8 Das Dialogfenster „PGP Schlüsselgenerierungsassistent“ wird geöffnet.


10 Wählen Sie einen Schlüsselmodus in der Schlüsselverwaltungsauswahl aus und klicken Sie auf Weiter.

11 Wählen Sie in der Schlüsselquellauswahl einen PGP Desktop-Schlüssel aus, wenn Sie PGP Desktop in der Einzelplatzversion verwenden. Andernfalls wählen Sie Neuer Schlüssel oder Schlüssel importieren aus.


13 Wählen Sie den Schlüssel aus und klicken Sie auf Weiter.


Notes-Adressen

Alle PGP Desktop Schlüssel sind in der Regel mit mindestens einer SMTP-E-Mail-Adresse verbunden: [email protected] zum Beispiel.

Die PGP Desktop Schlüssel von Benutzern des Lotus Notes E-Mail-Client in einer von PGP Universal verwalteten Umgebung enthalten außer einer SMTP-E-Mail-Adresse ihre Notes-Adresse: z. B. CN=josem/O=notes6@notes6. (PGP Desktop-Benutzer der Einzelplatzversion haben keine Notes-ID auf ihrem Schlüssel; sie verwenden immer ihre SMTP E-Mail-Adresse.)

Falls Sie mit PGP Desktop und einem Lotus Notes E-Mail-Client in einer von PGP Universal verwalteten Umgebung arbeiten und weitere Informationen erhalten möchten, wenden Sie sich an Ihren PGP-Administrator.

349


Client-Einstellungen in Notes

Wenn Sie PGP Desktop mit einem Lotus Notes E-Mail-Client verwenden, müssen Sie sicherstellen, dass die Registerkarte „Server“ im Feld Home/Mail-Server-Einstellungen im Location Record Ihres E-Mail-Clients den vollen Notes-Namen angibt (host/orgName), und nicht nur den WINS-Host.

Wenn Sie eine E-Mail im Rich Text Format in Lotus Notes erstellen, achten Sie darauf, dass PGP Desktop die Nachricht nicht mit S/MIME-Verschlüsselung schützt, auch wenn Ihre Richtlinie eine S/MIME-Verschlüsselung vorschreibt. Stattdessen wird die PGP-Partitioned-Verschlüsselung verwendet.

PGP Corporation empfiehlt das Ausfüllen des Feldes Internet-Mailadresse auf der Registerkarte „Basics“ (Grundlagen) des aktuellen Speicherort-Dokumentes. OCNOTES verwendet dieses Feld zur Bestimmung der SMTP E-Mail-Adresse des Benutzers. Fehlt dieses Feld, konstruiert PGP Desktop eine SMTP E-Mail-Adresse für diesen Benutzer anhand des Global Domain-Dokuments des Domino Servers.

Wenn Sie sich im Inselmodus befinden und PGP Desktop nicht in der Lage ist, die Schlüssel bestimmter oder aller Empfänger zu finden, versucht PGP Desktop, die Nachricht erneut zu verschlüsseln und sucht dabei nach Schlüssel, wenn der Replikator die Nachricht an Ihren Homeserver sendet.

Wenn PGP Desktop den Schlüssel für einen Empfänger nicht findet und gleichzeitig die native Verschlüsselungsoption von Notes aktiviert ist, ermöglicht PGP Desktop die Verschlüsselung der Nachricht durch Lotus Notes; dies betrifft die Empfänger bzw. Nachrichten, die von PGP nicht verschlüsselt werden konnten.

Die Konfigurationsdatei Notes .ini

PGP Desktop aktualisiert die Konfigurationsdatei notes.ini und fügt die folgenden zwei Einträge hinzu:

NSF_HOOKS=nPgpOvid.dll

EXTMGR_ADDINS=nPgpOvid.dll

Diese beiden Einträge dürfen nicht geändert oder entfernt werden. PGP Desktop durchsucht die Datei notes.ini bei jedem Start. Wenn diese beiden Einträge fehlen, werden sie von PGP Desktop erneut eingefügt.

350

A

Active Directory-Gruppen in PGP NetShare • 251, 252

AES, Algorithmus in PGP Virtual Disk • 221 akustische Signale, PGP WDE-Authentifizierung

• 177 akustische Signale, während PGP WDE-

Authentifizierung • 177 Aladdin eToken Pro USB-Token • 159, 162, 165,

308 allgemeine Optionen • 312 Anmelden in PGP BootGuard-Bildschirm • 175 Anwender • 214

PGP Whole Disk Encryption, hinzufügen oder löschen aus • 185, 186

Anwendernamen auf Schlüsseln • 66 Anwendungsfenster • 28 Archive • 263

bearbeiten • 284 erstellen • 264 erweiterte Optionen • 264 Nur Signieren • 280 öffnen • 283, 284 selbstentschlüsselnd • 277, 284 Verifizieren signierter • 286

ausgehende E-Mails • 104 Authentifizierung für PGP Whole Disk Encryption

• 158, 177, 185 Akustische Signale während • 177 Umgehen in PGP WDE • 185 Verwendete Methode, festlegen • 158

automatische Aktivierung von PGP Virtual Disk-Datenträgern • 206

Automatische Sicherungssoftware PGP WDE-verschlüsselte Laufwerke • 189

B

BartPE, benutzen mit PGP WDE • 201 Bedienfeld • 28 Benachrichtigungen • 330 Benutzer • 246

geschützte Ordner, aktiviert in • 226, 246, 247, 249

PGP NetShare, Zugangslisten importieren in • 251

Benutzeroberfläche, Hauptfenster • 28

Berechtigte Benutzer in PGP NetShare • 226, 246

biometrische Wortliste, Erläuterung • 64 BootGuard • Siehe PGP BootGuard

C

CACs • 298 CAST, Algorithmus in PGP Virtual Disk • 221 Client-Schlüsselmodus • 135 Common Access Cards (CACs) • 298 CPU-Auslastung, während Verschlüsselung •

165

D

Dateien dauerhaft löschen • 291 Eigenschaften von, PGP NetShare • 257 in PGP NetShare negativ gelistete • 231 öffentliche Schlüssel exportieren • 55 schützen außerhalb eines geschützten

Ordners • 255 vernichten • 289 Verwenden in geschützten Ordnern • 242,

244 Daten von einem verschlüsselten Laufwerk

wiederherstellen • 197 Datenwiederherstellung • 197 deinstallieren • 25, 190 designierter Widerrufer • 85 Dienste • 105

Messaging • 105, 106, 107 digitale Signaturen • 52, 53, 56, 71, 79, 99, 269,

274, 280 Dritthersteller-Software

PGP WDE Kompatibilität mit • 157, 189

E

Eigenschaften • 64, 259, 301 eingehende E-Mails • 103 Einzelanmeldung • 158, 180

Bei PGP WDE anmelden • 182 mit PGP WDE verwenden • 180, 181, 182 Passwort, ändern • 182, 188 Umgehen, in PGP WDE • 183

Einzelplatzanwender • 5 E-Mail • 101

Stichwortverzeichnis

351


Dienste und Richtlinien • 105 mehrere Konten • 114 Messaging-Log • 138 öffentliche Schlüssel daraus kopieren • 58 öffentlichen Schlüssel anhängen • 54 Optionen • 322 Schlüsselmodi • 135 schützen • 101 Warnungen • 35

Entfernen • 65, 83, 306 Entschlüsseln • 198 Erstellen • 46, 107, 117, 206, 264, 337

Messaging-Dienst • 107 Messaging-Richtlinie • 117 Passwörter, starke • 337 PGP Virtual Disk-Datenträger • 206 PGP Zip-Archiv • 264 Schlüsselpaar • 47, 302

exportieren Schlüssel in Datei • 55 Schlüssel von einer Smartcard • 304

F

Fehlerbehebung • 11 Fehlersuche • 115, 173 Fingerabdruck, digitalen verifizieren • 73 FIPS • 333 Forensik, Datenwiederherstellung • 197 Foto-ID auf Schlüsseln • 65 freien Speicherplatz sicher löschen • 291, 292,

293, Siehe Sicheres Löschen von freiem Speicherplatz

G

geschützte Dateien negativ gelistet • 231

geschützte Ordner • 233, 259, Siehe geschützte Ordner

Active Directory-Gruppen • 251 Anzeigen von Dateien • 244 Benutzer, in geschützten Ordnern • 229, 230,

246, 251 Dateien, verwenden außerhalb von • 255 Dateien, verwenden in • 242, 244 Eigenschaften • 259 Entfernen • 253 Entsperren • 242 erstellen • 236 Lizenzierung • 229 Speicherort, Festlegen • 233 Status von • 245 Umschlüsseln • 254 Unterordner in • 244 Zugangslisten, importieren • 251

Geschützte Ordner entsperren • 242 Geschützter Schlüsselmodus (GKM) • 135 Gesperrt bei PGP BootGuard-Bildschirm • 178 geteilte Schlüssel wieder zusammenfügen • 87,

88 Grundbegriffe • 5, 13, 16, 105

H

Hauptschlüsseloptionen • 60, 61, 318

I

IBM Lenovo Rescue and Recovery • 201 Ihr Passwort ändern • 69 importieren, private Schlüssel und Zertifikate •

67 IM-Sitzungen verschlüsseln • 101, 141, Siehe

PGP Messaging Informationen zu schreibgeschützten

Laufwerken oder Partitionen • 184 Instant Messaging • 141

Optionen • 323 Sitzungen verschlüsseln • 143

J

JavaCards • 298

K

Keyserver • 15, 58

352


durchsuchen • 57 fremde öffentliche Schlüssel abrufen • 57 Liste von • 314 Senden des öffentlichen Schlüssels an • 53 zur Verteilung widerrufener Schlüssel nutzen

• 86 Keyserver durchsuchen • 57 komprimieren, PGP Virtual Disk-Laufwerk • 212 Kontextmenüs, in PGP Netshare • 257 Koordinator für PGP NetShare • 230 Kryptographie • 17

L

Laufwerke Anwender zu verschlüsselten Laufwerken

hinzufügen • 185 Fehler während Verschlüsselung • 173 geplantes sicheres Löschen • 293 Optionen • 328 unterstützt in PGP WDE • 150 Verschlüsseln • 167, 169 Verwendung, verschlüsselt. • 174 Wechsellaufwerke • 191, 193 Wiederherstellung, erstellen • 153

Laufwerke als schreibgeschützte in PGP WDE • 192

Laufwerk-Notifier • 39 Lese-/Schreibfehler • 169 Lizenzierung • 7, 147, 229 Log, Messaging • 138 lokale Anwender • 181, 188 löschen

Anwenderkennungen • 71 Benutzer • 249 Dateien, dauerhaft löschen • 291 Schlüssel • 71, 306 Signatur aus öffentlichem Schlüssel • 76 Unterschlüssel • 83

Löschen Anwender • 215 Messaging-Richtlinie • 132 PGP Virtual Disk-Laufwerke • 218

Lotus Notes E-Mail-Client • 345, 349

M

Mail-Server, siehe Messaging-Dienste • Siehe Messaging

MAPI • 341 mehrere Messaging-Services • 114 Messaging • 105

bestehende bearbeiten • 113 Deaktivieren und aktivieren • 113 Fehlersuche • 115 Löschen • 113 Lotus Notes • 345 MAPI • 345 mehrere • 114 Messaging-Log • 138 neu erstellen • 107 Optionen • 319 Warnungen • 35

Migration von PGP Desktop auf einen anderen Computer • 25

N

negativ gelistet in PGP NetShare • 231, 232

NetShare • Siehe PGP NetShare Notes-ID • Siehe Lotus Notes E-Mail-Client Notifier-Funktion

Beschreibung • 35 für Instant Messaging • 39

Notifier-Meldungen ausgehende E-Mail • 37 eingehende E-Mail • 36

O

öffentliche Schlüssel • 15 an andere Personen verteilen • 52 an Keyserver senden • 53 andere öffentliche Schlüsse abrufen • 56 aus E-Mails kopieren • 58 Bei PGP WDE authentifizieren • 159 deaktivieren und aktivieren • 72 E-Mail, anhängen • 54 in Datei exportieren • 55 in Datei speichern • 55 Keyserver durchsuchen • 57 kopieren von einer Smartcard • 304 PGP Whole Disk Encryption • 159 Signieren • 74 verifizieren • 73 Vorteile des Versendens an einen Keyserver

• 53 Offline-Richtlinie • 38, 104 Optionen • 311

353


allgmein • 312 Benachrichtigung • 326 erweitert • 333 Hauptschlüssel • 318 Instant Messaging • 319, 323 Laufwerk • 328 Messaging • 319 PGP NetShare • 255, 326 Proxy • 321 Schlüssel • 314 Verschlüsselung • 161, 165

Ordner auslöschen • 293 Ordner sicher löschen • 291 Ordner, geschützt in PGP NetShare • 226

P

Partitionen, verschlüsseln • 150, 162, 167 Passwort

vergessen • 339 Passwörter • 49, 222, 335, Siehe Passwörter

alternativ, hinzufügen • 185, 214 alternative für PGP Virtual Disk hinzufügen •

185 ändern • 69, 182, 187, 218, 304 Bei PGP WDE authentifizieren • 158 Einzelanmeldung • 158 festlegen • 47 Löschen zwischengespeichert • 255 Optionen • 312 PGP Whole Disk Encryption • 158 starke, erstellen • 337 unterstützte Zeichen in PGP WDE • 168 vergessen • 91 verschlüsseln mit in PGP Zip • 274

Passwort-Qualitätsanzeige • 336 PGP BootGuard-Bildschirm • 175, 177, 178 PGP Desktop

Beschreibung • 13 deinstallieren • 25 Hauptbildschirm • 27, 28 in einer von PGP Universal verwalteten

Umgebung • 342 installieren • 21, 22 PGP-Symbol in der Taskleiste • 30 Richtlinienbeschreibung • 105 Setup-Assistent • 24 SSL/TLS-Support • 133 Systemvoraussetzungen • 21 Upgrade • 23

PGP Desktop-Protokoll • 42

PGP Global Directory • 13, 58 PGP Keys

Schlüsselpaar erstellen • 46 PGP Keyserver-Liste • Siehe Keyserver PGP Messaging • 13, 101, 138

Dienste und Richtlinien • 105 Dienstebeschreibung • 105

PGP NetShare • 13, 225, Siehe geschützte Ordner Active Directory-Gruppen • 251, 252 Bearbeitungsmenüoptionen • 260 Benutzer • 246, 251 beschädigte, gelöschte oder überschriebene

Dateien Verwendung von • 235 Dateimenüoptionen • 260 Eigenschaften von Datei oder Ordner • 257 Koordinator definieren • 230 Lizenzierung • 229 negativ gelistet • 232 negativ gelistete Dateien • 231 Netshare-Menüoptionen • 261 Optionen • 255 Ordnerstatus überprüfen • 245 Passwort löschen • 255 PGP Virtual Disk oder PGP WDE verwenden

mit • 226 positiv gelistet • 232 positiv gelistete Ordner • 231 Rollen • 228, 248 Von PGP Universal verwaltete Umgebung •

258 Warnungen • 40 Zugangslisten aus einem anderen Ordner

importieren • 251 PGP Shred • 13, 289

Dateien, dauerhaft löschen • 291 freien Speicherplatz sicher löschen • 292,

293 PGP Zip, verwenden mit • 264

PGP Universal-Server • 5, 13, 47, 58, 91, 194, 258, 333, 341, 346

PGP Virtual Disk • 13, 204, 222

354


Aktivieren • 206, 211 alternative Benutzer • 214 austauschen • 220 Deaktivieren • 211, 212 Finden • 210 neu erstellen • 206 Passwörter, ändern • 218 Pflege • 219 Sichern • 220 Umschlüsseln • 213 Verschlüsselungsalgorithmen • 221

PGP Virtual Disk-Laufwerke aktivieren • 211 austauschen • 220 deaktivieren • 211, 212

PGP Whole Disk Encryption • 13, 145, 201

Anwender, arbeiten mit • 185, 186 Authentifizierung mit einem öffentlichen

Schlüssel • 159 Authentifizierungsoptionen • 158, 185 Automatische Sicherungssoftware • 189 deinstallieren • 190 Einzelanmeldung, Verwendung mit • 158,

180, 182, 183 Kompatibilität mit Anwendungen von

Drittherstellern • 157 Laufwerk vorbereiten für • 149 Laufwerke, PGP WDE-verschlüsselte

verwenden • 174 Laufwerksfehler während der

Verschlüsselung • 169, 173 Lizenzierung • 147 Optionen bei Laufwerkverschlüsselung •

156, 161, 165 Partitionen • 162 Passwort • 158, 168, 182, 187 PGP BootGuard-Bildschirm • 175, 177 PGP Universal-Server, verwaltet • 194 Sicherheitsmaßnahmen • 201 Tastaturbelegungen • 178 Token-basierte Authentifizierung • 159, 162 Unterstützte Laufwerkstypen • 150 Verschlüsselung eines Laufwerks • 169 Verschlüsselungsoptionen • 161, 165 verwendeter Verschlüsselungsalgorithmus •

151 Warnungen • 40 Wechseldatenträger • 193 Wiederherstellungsdatenträger erstellen •

153 Wiederherstellungs-Token • 196

PGP Zip • 13, 263

355


Änderungen speichern • 284 Archiv, erstellen • 264 Archive verschlüsseln • 269, 274 Dateien extrahieren aus • 284 Dateien nach Aktivierung sicher löschen •

264 ein Archiv bearbeiten • 284 ein Archiv öffnen • 283, 284 eine Datei oder einen Ordner hinzufügen •

284 eine Datei oder einen Ordner löschen • 284 erweiterte Optionen, Archiv erstellen • 264 Nur Signieren • 280 Selbstentschlüsselnde Archive • 277, 284 signierte Archive verifizieren • 286

PGP-Administrator • 194, 341, 342 PGP-Schlüssel • Siehe Schlüssel PGP-Symbol in der Taskleiste • 30 PKCS-11 Bibliothek • 298 PKCS-12-X.509-Zertifikate, importieren • 67 Platzhalter, in Richtlinien • 122 positiv gelistet

in PGP NetShare • 232 positiv gelistete Ordner • 231 primärer Bezeichner auf dem Schlüssel • 66, 67 private Schlüssel • 15, 47, 50, 67 Protokoll, Messaging • 42

R

Richtlinien • 105 Beispiele für Messaging • 123 für Verteilerlisten • 123, 124, 125, 127 Löschen • 132 Messaging erstellen • 117 Reihenfolge ändern • 133 Standardrichtlinien • Siehe

Standardrichtlinien Rollen, in PGP NetShare • 228, 248 Ruhezustand • 222

S

Schlüssel • 45, 63

aktivieren • 72 anzeigen • 45 auf Keyserver hochladen • 54 aus dem Schlüsselbund löschen • 71 deaktivieren • 72 Eigenschaften • 64 E-Mail, anhängen • 54 erstellen • 47 exportieren • 55, 304 Foto-ID ersetzen • 65 geteilten Schlüssel erstellen • 87, 88 Hauptschlüssel • 60 importieren • 67 mehrere Anwendernamen und E-Mail-

Adressen • 66 öffentliche Schlüssel in Datei speichern • 55 öffentliche Schlüssel verifizieren • 73 öffentlicher, verteilen • 52 Optionen • 314 schützen • 99 sichern • 52 Signieren • 74, 76 teilen • 87 Unterschlüssel • 78 validieren • 77 verloren • 91 Vertrauen für Validierungen gewähren • 77 widerrufen • 76, 82, 85, 86 wiederherstellen • 52, 91

Schlüsselbunde • 45, 51, 71 Schlüsselkennung • 64 Schlüsselmodi • 135 Schlüsselmodus rücksetzen • 135 Schlüsselpaar • 15

erstellen • 47 Smartcard • 302, 304

Schlüsselpaare erstellen • 47 generieren • 302

Schlüsselwiederherstellung • 91, Siehe Wiederherstellen Ihres Schlüssels

Selbstentschlüsselnde Archive • 277, 284 separater Signatur-Unterschlüssel • 13 Server-Client-Schlüsselmodus (SCKM) • 135 Server-Schlüsselmodus • 135 Services, Messaging • 114 Setup-Assistent • 24 sicher löschen, Schlüssel von Smartcard • 306 Sichere Instant Messaging-Anwendung (IM) •

141

356


Sicheres Löschen von freiem Speicherplatz • 13 planen • 293

Sicherheitsmaßnahmen • 201, 222 Sicherungssoftware, verwenden • 189 Signaturen

aus Schlüsseln löschen • 71, 76 widerrufen • 76, 82, 86

Signieren • 71 Archive in PGP Zip • 280, 284 öffentliche Schlüssel • 74 Schlüssel • 71, 74

signierte PGP Zip-Archive verifizieren • 286 Smartcard • 15, 297

Authentifizierung mit, auf BootGuard-Bildschirm • 163

Eigenschaften • 301 Ihren öffentlichen Schlüssel kopieren von •

304 JavaCards • 298 Karten, in PGP WDE unterstützt • 164 Leser, in PGP WDE unterstützt • 164 Passwort ändern • 304 Personalisierung • 298 PKCS-11 • 298 Schlüssel sicher löschen von • 306 Schlüsselpaar kopieren in • 304 Schlüsselpaar, neu erstellen auf • 302

Sprachunterstützung für PGP WDE • 178 SSL/TLS-Support • 133 Standardrichtlinien • 105, 123, 124, 125 starke Passwörter • 337 Startmenü • 34 Stromausfallschutz (Option) • 165 Support, Kontaktaufnahme • 11 Systemanforderungen • 150, 157, 163, 165 Systemvoraussetzungen • 21

T

Tasks, geplantes Löschen von freiem Speicherplatz • 293

Tastaturbefehle • 333 Tastaturlayouts für WDE • 178 Tastenmodi • 333 Tastenmodus zurücksetzen • 333 technischer Support • 11 technischer Support, Kontaktaufnahme • 11 Terminologie • 135, 226 Token • 162, 297

Bei PGP WDE authentifizieren • 159 Eigenschaften • 301 ein neues Schlüsselpaar erstellen auf • 302 kopieren zu oder von • 304 PGP Whole Disk Encryption, Verwendung mit

• 159, 162 Schlüssel sicher löschen von • 306

TPM • Siehe Trusted Platform Module (TPM) Authentifizierung

Tray-Symbol • Siehe PGP Tray-Symbol Trusted Platform Module (TPM)-

Authentifizierung • 160 Twofish, Algorithmus in PGP Virtual Disk • 221

U

Überblick über PGP Desktop • 1 Umgehen, PGP WDE SSO-Anmeldung • 183 Umschlüsseln • 189, 254 Universal Server • Siehe PGP Universal Server Unterschlüssel • 78

Ablaufdatum • 78, 81 ansehen • 80 anzeigen • 78 Eigenschaften • 78 Entfernen • 83 Größe • 78 Größe festlegen • 81 Gültigkeit • 78 neu erstellen • 81 separate • 78 Signieren • 81 Symbole • 78 Verschlüsseln und Signieren • 81 Verschlüsselung • 81 verwenden • 78 widerrufen • 82

Unterschlüssel anzeigen • 78 Upgrade • 23, 24

V

vergessene Passwörter • 91 Verschlüsselung

357


Anwender aus PGP WDE löschen • 186 Anwender hinzufügen • 185 Dauer berechnen in PGP WDE • 155 Empfängerschlüssel in PGP Zip • 269 Instant Messaging-Sitzungen • 143 Laufwerk oder Partition umschlüsseln • 189 Laufwerke oder Partitionen • 167, 169 Laufwerksfehler während • 169, 173 Maximale CPU-Auslastung (Option) • 155,

165 Optionen in PGP WDE • 161 Partitionen in PGP WDE • 162 Passwort in PGP Zip • 274 PGP WDE-verschlüsselte Laufwerke

verwenden • 174 Pilotversuch • 157 Reduzieren der Zeit für die

Erstverschlüsselung • 155, 165 Stromausfallschutz (Option) • 156, 165 verwendeter Algorithmus • 151, 221

Vertrauen gewähren • 77 Vertrauen, für Schlüsselvalidierungen gewähren

• 77 Virtual Disk-Laufwerke verteilen • 220 virtuelle Laufwerke • Siehe PGP Virtual Disk

W

Warnungen • 35, Siehe Benachrichtigungen Wechseldatenträger in PGP WDE • 191, 193,

194 Widerrufer, Schlüssel • 85 Wiederherstellungsdatenträger in PGP WDE

erstellen • 153 Wiederherstellungs-Token • 196 Windows Explorer • 32 Windows Preinstallation Environment, benutzen

mit PGP WDE • 201 WINS-Host • 349 Wortliste, biometrische • 64

X

X.509-Zertifikate • 67

Z

Zeichen, in PGP WDE unterstützt • 168 zentral verwaltete Anwender • 5 Zugangslisten importieren in PGP NetShare •

251 Zusätzliche Verschlüsselungsschlüssel

(Additional Decryption Keys, ADK) • 83

PGP Desktop for Windows User's...

Documents

Transcript of PGP Desktop for Windows User's...