19 Im- und Export eines geheimen Schlüssels

18 Dateien signieren und verschlüsseln

18 Dateien signieren und verschlüsseln

Nicht nur E-Mails, sondern auch einzelne Dateien können Sie mit Gpg4win signieren und verschlüsseln. Das Prinzip ist das gleiche:

Sie signieren eine Datei mit Hilfe Ihres Zertifikats, um sicherzugehen, dass die Datei unverändert bei Ihrem Empfänger ankommt.
Sie verschlüsseln eine Datei mit Hilfe des Zertifikat des Empfängers, um die Datei vor unbefugten Personen geheim zu halten.

Mit der Anwendung GpgEX können Sie Dateien ganz einfach aus Ihrem Windows Explorer heraus signieren oder verschlüsseln - egal ob OpenPGP oder S/MIME. Dieses Kapitel erläutert Ihnen, wie das genau funktioniert.

Sollten Sie eine Datei als E-Mail-Anhang verschicken, übernimmt z.B. GpgOL automatisch die Signierung bzw. Verschlüsselung der Datei zusammen mit Ihrer E-Mail. Sie brauchen sich in diesem Fall nicht gesondert darum kümmern.

18.1 Dateien signieren und überprüfen

Beim Signieren einer Datei kommt es nicht vorrangig auf die Geheimhaltung, sondern auf die Unverändertheit (Integrität) der Datei an.

Die Signierung können Sie bequem mit GpgEX aus dem Kontextmenü des Windows Explorer ausführen. Selektieren Sie eine Datei und öffnen Sie mit der rechten Maustaste das Kontextmenü:

Dort wählen Sie Signieren und verschlüsseln aus.

Selektieren Sie im erscheinenden Fenster die Option Nur signieren:

Der darunter liegende Rahmen Verschlüsselungseinstellungen wird dadurch ausgegraut, da sie ja lediglich signieren möchten.

Im letzten Abschnitt Signatur-Zertifikate wählen Sie - sofern nicht schon vorausgewählt - Ihr (OpenPGP oder S/MIME) Zertifikat aus, mit dem Sie die Datei signieren möchten.

Klicken Sie nun auf [Weiter].

Nun haben Sie die Möglichkeit, die Auswahl der zu bearbeitenden Dateien zu bestätigen und ggf. die Auswahl zu korrigieren.

Bestätigen Sie Ihre Auswahl mit [Weiter].

Sie müssen nun Ihre Passphrase in den aufkommenden Pinentry-Dialog eingeben.

Nach erfolgreicher Signierung erhalten Sie folgendes Fenster:

Sie haben damit Ihre Datei erfolgreich signiert.

Abhängig davon, ob Sie OpenPGP oder S/MIME zum Signieren genutzt haben, erhalten Sie als Ergebnis eine Datei mit der Endung .sig (bei OpenPGP) oder .p7s (bei S/MIME).

Beim Signieren einer Datei wird stets eine „abgetrennte“ (separate) Signatur verwendet. Dies bedeutet, dass Ihre zu signierende Datei unverändert bleibt und eine zweite Datei mit der eigentlichen Signatur erzeugt wird. Um die Signatur später zu überprüfen, sind beide Dateien notwendig.

Folgendes Beispiel zeigt noch einmal, welche neue Datei Sie erhalten, wenn Sie Ihre ausgewählte Datei (hier <dateiname>.txt) mit OpenPGP bzw. S/MIME signieren:

OpenPGP:: <dateiname>.txt -> <dateiname>.txt.sig
S/MIME:: <dateiname>.txt -> <dateiname>.txt.p7s

Signatur überprüfen

Wir wollen nun überprüfen, ob die eben signierte Datei integer (inkorrekt) ist.

Zum Überprüfen der Unverändertheit (Integrität) und der Authentizität müssen die Signatur-Datei und die signierte Datei (Originaldatei) in dem selben Dateiordner liegen. Selektieren Sie die Signatur-Datei - also die mit der Endung .sig oder .p7s - und wählen Sie aus dem Kontextmenü des Windows Explorer den Eintrag Entschlüsseln und überprüfen:

Daraufhin erhalten Sie folgendes Fenster:

Kleopatra zeigt unter Eingabe-Datei den vollständigen Pfad zur ausgewählten Signatur-Datei an.

Die Option Eingabe-Datei ist eine angehängte Signatur ist aktiviert, da Sie ja Ihre Originaldatei (hier: signierte Datei) mit der Eingabe-Datei signiert haben. Kleopatra findet automatisch die zugehörige signierte Originaldatei.

Automatisch ist auch der Ausgabe-Ordner auf den gleichen Pfad ausgewählt. Der wird aber erst relevant wenn Sie mehr als eine Datei gleichzeitig verarbeiten.

Bestätigen Sie die gegebenen Operationen mit [Entschlüsseln/überprüfen].

Nach erfolgreicher Überprüfung der Signatur erhalten Sie folgendes Fenster:

Das Ergebnis zeigt, dass die Signatur valide ist - also die Datei nicht verändert wurde. Selbst wenn nur ein Zeichen hinzugefügt, gelöscht oder geändert wurde, wird die Signatur als gebrochen angezeigt.

18.2 Dateien verschlüsseln und entschlüsseln

Genauso wie E-Mails lassen sich Dateien nicht nur signieren, sondern auch verschlüsseln. Das sollten Sie im folgenden Abschnitt mit GpgEX und Kleopatra einmal durchspielen.

Selektieren Sie eine Datei und öffenen Sie mit der rechten Maustaste das Kontextmenü:

Wählen Sie hier Signieren und verschlüsseln aus.

Sie erhalten den Dialog, den Sie vom Signieren einer Datei (vgl. Abschnitt 18.1) schon kennen.

Entscheiden Sie sich im oberen Feld für die Option Nur Verschlüsseln:

Die Verschlüsselungseinstellungen sollten Sie nur bei Bedarf umstellen:

Ausgabe als Text (ASCII-geschützt (ASCII armor)):: Bei Aktivierung dieser Option erhalten Sie die verschlüsselte Datei mit der Dateiendung .asc (OpenPGP) bzw. .pem (S/MIME). Diese Dateitypen sind mit jedem Texteditor lesbar - Sie würden dort den Buchstaben- und Ziffernsalat sehen, den Sie schon kennen. Ist diese Option nicht ausgewählt (Voreinstellung), so wird eine verschlüsselte Datei mit der Endung .gpg (OpenPGP) bzw. .p7m (S/MIME) angelegt. Diese Dateien sind Binärdateien - eine Betrachtung im Texteditor ist also sinnlos. Was Sie hier benutzen ist eigentlich gleichgültig; Gpg4win kommt mit beiden Arten klar.
Unverschlüsseltes Original anschließend löschen:: Ist diese Option aktiviert, wird Ihre ausgewählte Originaldatei nach dem Verschlüsseln gelöscht.

Klicken Sie auf [Weiter].

Nun haben Sie wieder die Möglichkeit, die Auswahl zu bestätigen oder zu korrigieren:

Bestätigen Sie mit [Weiter].

An wen soll die Datei verschlüsselt werden? Wählen Sie im folgenden Dialog einen oder mehrere Empfänger aus:

Klicken Sie dazu auf [Empfänger hinzufügen...] und wählen aus Ihrer Zertifikatsliste den oder die Empfänger aus. Abhängig vom gewählten Empfänger-Zertifikat und deren Typ (OpenPGP oder S/MIME) wird Ihre Datei anschließend für OpenPGP und / oder S/MIME verschlüsselt. Haben Sie also ein OpenPGP-Zertifikat und ein S/MIME-Zertifikat ausgewählt, werden Sie zwei verschlüsselte Dateien erhalten. Die möglichen Dateitypen der verschlüsselten Dateien finden Sie auf der nächsten Seite.

Klicken Sie nun auf [Weiter], um Ihre Datei zu verschlüsseln.

Nach erfolgreicher Verschlüsselung sollte Ihr Ergebnisfenster etwa so aussehen:

Das war's! Sie haben Ihre Datei erfolgreich verschlüsselt!

Wie beim Signieren einer Datei hängt das Ergebnis von der gewählten Verschlüsselungsmethode (OpenPGP oder S/MIME) ab.

Beim Verschlüsseln Ihrer Originaldatei (hier <dateiname>.txt) sind insgesamt vier Dateitypen als Ergebnis möglich:

OpenPGP:: <dateiname>.txt -> <dateiname>.txt.gpg
<dateiname>.txt -> <dateiname>.txt.asc (bei Ausgabe als Text/ASCII-armor))
S/MIME:: <dateiname>.txt -> <dateiname>.txt.p7m
<dateiname>.txt -> <dateiname>.txt.pem (bei Ausgabe als Text/ASCII-armor)

Eine der vier verschlüsselten Ergebnisdateien geben Sie nun an Ihren ausgewählten Empfänger weiter. Anders als beim Signieren einer Datei wird die unverschlüsselte Originaldatei natürlich nicht weitergegeben.

Datei entschlüsseln

Nun kann die zuvor verschlüsselte Datei zum Testen einmal entschlüsseln werden.

Dazu sollten Sie vorher beim Verschlüsseln auch an Ihr eigenes Zertifikat verschlüsselt haben - andernfalls können Sie die Datei nicht mit Ihrer Passphrase entschlüsseln (vgl. Kapitel 11).

Selektieren Sie die verschlüsselte Datei - also die mit der Endung .gpg, .asc, .p7m oder .pem - und wählen Sie aus dem Kontextmenü des Windows Explorer den Eintrag Entschlüsseln und überprüfen:

Im folgenden Entschlüsselungsdialog können Sie, bei Bedarf, noch den Ausgabe-Ordner verändern.

Klicken Sie auf [Entschlüsseln/überprüfen].

Geben Sie anschließend Ihre Passphrase ein.

Das Ergebnis zeigt, dass die Entschlüsselung erfolgreich war:

Sie sollten nun die entschlüsselte Datei problemlos lesen oder mit einem entsprechenden Programm verwenden können.

Kurz zusammengefasst

Sie haben gelernt, wie Sie mit GpgEX:

Dateien signieren,
signierte Dateien überprüfen,
Dateien verschlüsseln und
verschlüsselte Dateien entschlüsseln

können.

Gleichzeitig signieren und verschlüsseln

Ihnen ist diese Option bestimmt schon in den entsprechenden Dialogen aufgefallen. Wählen Sie sie aus, dann kombiniert GpgEX beide Aufgaben in einem Schritt.

Bechten Sie, dass immer zuerst signiert erst danach verschlüsselt wird.

Die Signatur wird also immer als geheim mitverschlüsselt. Sie kann nur von denjenigen gesehen und geprüft werden, die die Datei erfolgreich entschlüsseln konnten.

Möchten Sie Dateien signieren und verschlüsseln ist das derzeit nur mit OpenPGP möglich.

18 Dateien signieren und verschlüsseln

Inhalt