Frequently Asked Questions

Certification Authority:

Zertifizierung:

Weitere Informationen:

Wie lange dauert die Zertifizierung?

Wir sind bemüht, Zertifizierungsanträge innerhalb von sechs bis acht Wochen nach der Annahme zu bearbeiten. Wir bitten um Verständnis, dass die Arbeit am aktuellen Heft Vorrang hat. Bei den Schlüsseln, die auf der Messe erzeugt wurden, können wir im übrigen erst nach dem genannten Einsendeschluss für die Public Keys mit der Zertifizierung beginnen – dem entsprechend läuft die Frist erst ab diesem Termin. Für weitere Verzögerungen sorgen leider immer wieder Schlüssel, die nicht rechtzeitig per EMail eingeschickt wurden und deren Inhaber wir nochmals erinnern müssen.

Kann ich auch einen GnuPG-Schlüssel zertifizieren lassen?

Wir zertifizieren alles, was sich mit PGP 5.0i (Linux) bearbeiten lässt. Für "normale" GnuPG-Schlüssel trifft das zu. Es ist allerdings denkbar, dass es bei GnuPG Optionen gibt, die eine Bearbeitung verhindern.

Sie empfehlen in c't bei PGP die Abkehr von RSA-Schlüsseln, weil zukünftige Freeware-Versionen keine RSA-Verschlüsselung mehr bieten sollen. Ich habe aber im Internet gelesen, dass die neuen DSS/DH-Schlüssel nicht so sicher sind.

Die Algorithmen, die PGP in seinem neueren Schlüsselmodell DSS/DH einsetzt, gelten als sicher - es sind keine ernsthaften Angriffe oder Schwachpunkte bekannt. Das Bundesamt für Sicherheit in der Informationstechnik hat den Digital Signature Algorithm (DSA), der im DSS-Verfahren verwendet wird, (mit 1024 Bit) für die nächsten sechs Jahre als "Geeigneten Kryptoalgorithmus" nach den strengen Anforderungen des deutschen Signaturgesetzes zugelassen.

Ich habe auf einer Messe einen Schlüssel generiert. Was muss ich nun noch tun?

Zunächst müssen Sie bitte die PGP-Software installieren; Downloadlinks finden Sie hier . Bitte machen Sie sich mit der Anleitung zu PGP vertraut - eine deutsche Anleitung für Einsteiger hat Kai Raven erstellt.

Ihre generierten Schlüssel von der Diskette können Sie während der Installation oder nachträglich in Ihren neuen PGP-Schlüsselbund importieren (am einfachsten per Doppelklick auf die Dateien secring.skr und pubring.pkr).

Mit GnuPG importieren Sie den öffentlichen Schlüssel von der Diskette durch "gpg --import a:\pubring.pkr" und den Privaten mit "gpg --import a:\secring.skr" auf der Kommandozeile.

Ein "gpg --list-secret-keys" listet Ihnen den/die importierten privaten Schlüssel inklusive der öffentlichen Schlüssel aus Ihrem lokalen Schlüsselbund auf.

Durch "gpg --edit-key IhreKeyid" gehen Sie in den Editiermodus des Schlüssels, nun sind Sie auf der Kommandozeile von gpg. Eine Hilfe bekommen Sie durch "help". Mit "passwd" können Sie die Passphrase ändern. Sie sollten auf jeden Fall die Vertrauensstufe mit "trust" auf "5 = I trust ultimately" hochsetzen. Mit "save" verlassen Sie den Editiermodus und sichern die Änderungen des Schlüssels.

Schließlich schicken Sie uns bitte Ihren öffentlichen Schlüssel als ASCII-Export im Textteil einer Mail an pgpCA@ct.heise.de . Am einfachsten geht das, indem Sie per Drag&Drop Ihren Schlüssel aus PGPKeys heraus in ein leeres Mailfenster ziehen oder Ihren Schlüssel in PGPKeys selektieren, "Kopieren" und im Mailfenster "Einfügen" - in beiden Fällen muss dort ein "PGP PUBLIC KEY BLOCK" erscheinen. Bitte signieren Sie diese Mail nicht zusätzlich und achten Sie darauf, dass sie nicht als HTML-Mail oder mit zusätzlichen Zeilenumbrüchen verschickt wird.

Was ist ein Eigenzertifikat und wozu ist das gut?

Das Eigenzertifikat ist die eigene Signatur unter der eigenen Benutzerkennung im Schlüssel. Es handelt sich hierbei nicht um einen (klartext-)signierten ASCII-Export des Schlüssels.

Der eigentliche PGP-Schlüssel ist ein Binärdatenblock, der nur über die Key-ID (acht Hexadezimal-Ziffern) identifiziert wird. Die Benutzerkennungen (üblicherweise Name und EMail-Adresse) folgen in einem separaten Datenblock, der sich ohne weiteres an einen bestehenden Schlüssel anhängen und über die Keyserver verbreiten lässt. Die Signatur durch den eigenen Schlüssel belegt, dass der Schlüsselinhaber selbst die Benutzerkennung erzeugt hat.

Kann ich mehrere Schlüssel zertifizieren lassen?

Ja. Bitte geben Sie für jeden Schlüssel einen eigenen Antrag ab. Eine Diskette genügt, legen Sie aber bitte für jeden Schlüssel eine eigene Datei an. Falls Sie Ihre PGP-Keys per EMail schicken, reicht hingegen eine Nachricht mit allen Keys in einem Block.

Zertifiziert die c't-CA auch DSS/DH-Keys aus den 5er-Versionen?

Ja.

Kann ich Schlüssel ohne EMail-Adresse in der Benutzerkennung zertifizieren lassen?

Ja. Die Zertifizierung durch die c't-CA bezieht sich ausschließlich auf den Namen in der Benutzerkennung; eine EMail-Adresse ist daher verzichtbar.

Zertifiziert die c't-CA auch Firmenschlüssel?

Jein. In aller Regel zertifizieren wir nur natürliche Personen. Die Ergänzung eines Firmennamens in der Benutzerkennung stört dabei allerdings nicht (sie wird aber ebenso wenig überprüft wie die EMail-Adresse). Anträge für Schlüssel, deren Benutzerkennung ausschließlich auf die Firma (oder sonstige juristische Person) lautet, akzeptieren wir hingegen nur ausnahmsweise, wenn ein besonderes Interesse vorliegt (beispielsweise bei Cross-Zertifizierungen oder Datenschutzbehörden).

Was ist eine Cross-Zertifizierung?

Bei Cross-Zertifizierungen signieren zwei CAs gegenseitige ihre Zertifizierungsschlüssel. Dadurch erlangen die Zertifikate der CAs über einen Zwischenschritt auch für die Teilnehmer der jeweils anderen Infrastruktur Gültigkeit (sofern der Teilnehmer das wünscht).

Ich habe eine neue EMail-Adresse. Kann ich meinen alten zertifizierten Schlüssel weiterbenutzen?

Jein. Sie können ihren alten Schlüssel um eine zusätzliche Benutzerkennung mit der neuen EMail-Anschrift erweitern und diese zur neuen "primären Benutzerkennung" machen. Allerdings ist es nicht möglich, auf den Keyservern eine alte Benutzerkennung zu löschen; Ihre vorherige EMail-Adresse bleibt also im Schlüssel bestehen. Diese Methode hat den Vorteil, einen Bezug zu ihrer vorherigen Anschrift bestehen zu lassen. Unser Zertifikat bezieht sich aber nur auf die alte Benutzerkennung.

Alternativ können Sie durch ein "Key Revocation Certificate" (KRC) Ihren alten Schlüssel komplett für ungültig erklären ("revoke" im Kontextmenü Ihres Schlüssels wählen). Sobald Sie ein KRC an einen Keyserver geschickt haben, vertreibt er es von da an mit Ihrem Schlüsselblock; Sie können dann einen neuen Schlüssel für Ihre aktuelle EMail-Adresse erzeugen. Durch ein KRC wird auch unser Zertifikat unter dem alten Schlüssel belanglos.

Für eine Zertifizierung eines neuen Schlüssels oder einer neuen Benutzerkennung ist in jedem Fall ein vollständig neuer Antrag mit persönlicher Vorlage Ihres Ausweises notwendig. Ein Weg, einen möglichst beständigen PGP-Schlüssel zu erzeugen, könnte in der Angabe einer dauerhaften Alias-Adresse bestehen (etwa bei einem sogennanten Freemailer, vgl. c't 15/2003, S. 148 ff.).

Kann ich einen Zertifizierungsantrag für einen neuen Schlüssel per EMail an die c't-CA schicken, wenn ich sie mit meinem alten, bereits zertifizierten PGP-Key unterschreibe?

Nein. Zur Zertifizierung eines Schlüssels ist immer die persönliche Vorlage eines amtlichen Ausweises bei der Abgabe eines eigenhändig unterschriebenen schriftlichen Antrags erforderlich. Ansonsten könnten wir nicht wirklich sicher sein, dass der Antrag vom vorgeblichen Auftraggeber ausgeht.

Für eine so weitreichende Sache wie die Zertifizierung eines neuen PGP-Schlüssels, auf die sich andere Anwender ggf. ohne weiteres verlassen, müssen wir eine höhere Sicherheitsstufe fordern, als sie selbst die Signatur eines bereits zertifizierten Schlüssels bringt; der Key könnte letztlich mittlerweile kompromittiert worden sein.

Muss ich meinen geheimen Schlüssel oder ein Rückruf-Zertifikat an die c't-CA schicken?

Nein, auf keinen Fall. Ihr geheimer Schlüssel gehört ausschließlich in Ihre Hände! Zertifizierungsanträge, zu denen uns ein geheimer Schlüssel oder ein KRC (Key Revocation Certificate) zugeht, lehnen wir generell ab - der Schlüsselinhaber wird davon benachrichtigt.

Ich habe meine Passphrase vergessen. Kann die c't-CA den Schlüssel für ungültig erklären?

Nein. Ein PGP-Key kann nur durch ein Rückrufzertifikat (KRC, Key Revocation Certificate) für ungültig erklärt werden. Ein solches KRC lässt sich nur mit Kenntnis der Passphrase erzeugen.

Ich habe meinen zertifizierten Schlüssel zurückbekommen, aber darunter finde ich nur die Signatur eines "Unknown Signers".

Solange sich der c't-Zertifizierungsschlüssel nicht in Ihrem Schlüsselbund befindet, kann PGP nur die Key-ID des Zertifikats anzeigen. Sie erhalten unseren CERTIFICATE-Key (Key-ID 0xB3B2A12C) vom einem Keyserver oder von unseren WWW-Seiten .

Ich habe den c't-CERTIFICATE-Key in meinen Schlüsselbund aufgenommen, aber zertifizierte Schlüssel werden dennoch nicht als gültig angesehen.

Bevor Sie den CERTIFICATE-Key "benutzen" können, müssen Sie ihn zunächst anhand des in c't abgedruckten Fingerprints überprüfen und mit Ihrem eigenen Schlüssel unterschreiben; dadurch erkennen Sie den Schlüssel als "gültig" an (Validity). Damit die Zertifikate eines gültigen Schlüssels akzeptiert werden, muss ihm aber auch "Vertrauen" zugesprochen werden (Trust): sobald Sie den Trust-Parameter auf "voll" gestellt haben, stehen Ihnen auch alle von uns zertifizierten PGP-Keys ohne weiteres als "gültig" zur Verfügung.

Ich habe die deutsche PGP-Version von der c't-Shareware-CD installiert. Seither funktioniert mein Outlook Express nicht mehr.

Outlook Express: Die aktuelle (europäische) Version 6.0.2 hat einen Fehler, der bei der Installation Outlook Express beschädigt. OE startet nicht mehr und muss neu installiert werden. Der Bug ist auf der internationalen PGP-Homepage dokumentiert. Workaround: Vor der PGP-Installation eine Kopie von <Outlook_Express_Path>\msimn.exe in ein anderes Verzeichnis sichern und diese nach der PGP-Installation unter dem Namen pgpmsimn.exe wieder in das OE-Verzeichnis zurückschreiben.

Outlook Express 5: PGP 6.0.2 unterstützt OE 5 nicht. Bitte editieren Sie ggf. vor der Installation von PGP die Datei Setup.ini im Verzeichnis Disk1. Ändern Sie den Eintrag für das Outlook Express-Plug-in von "1" auf "0".

Kann man den Installationspfad der c't-PGP-Version ändern?

Ja. Bitte editieren Sie vor der Installation von PGP den Eintrag "InstallDir" in der Datei Setup.ini im Verzeichnis Disk1.

Kann man PGP-Schlüssel löschen, die mit der c't-PGP-Version mitgeliefert werden?

Nein. Diese Schlüssel sind in in der Installation "fest verankert". Wir haben mit ihnen eine Auswahl getroffen, damit möglichst viele PGP-Schlüssel von Zertifizierungsinstanzen und deutschen Anwendern automatisch als gültig anerkannt werden. Um die Übersichtlichkeit in der Schlüsselauswahlbox zu erhöhen, können Sie aber diese Schlüssel "deaktivieren" (Kontextmenü). Deaktivierte PGP-Keys werden nicht als Verschlüsselungsziel angeboten, stehen aber weiterhin für Gültigkeitsprüfungen zur Verfügung.