WiSiKo einrichten

Beim ersten Start prüft WiSiKo zunächst, ob Sie eine geeignete Version des Gnu Privacy Guard (GnuPG oder GPG) bereits auf Ihrem Rechner installiert haben. GnuPG gibt es seit vielen Jahren als Open Source Implementierung des von Phil Zimmermann in den Neunzigern des letzten Jahrtausends entwickelten Pretty Good Privacy, dies ist einerseits eine kryptologische Technologie und andererseits auch eine Philosophie. Die geeignete Version heißt Version 2.1 (GnuPG modern), denn damit werden auch X.509 Zertifikate und Card Handling abgedeckt. WiSiKo schaltet, falls kein geeignetes GnuPG gefunden wurde, auf einen Downloadbildschirm. Sie können direkt das zum Zeitpunkt der Erstellung der Ihnen vorliegenden WiSiKo-Version aktuelle GnuPG herunterladen und installieren oder die GnuPG Website aufsuchen und die aktuelle Version herunterladen. By the way können Sie sich, falls des Englischen kundig, auch über GnuPG informieren. Die Installation bzw. das Vorhandensein des GnuPG ist für den Betrieb des WiSiKo obligatorisch.

Download gnuPG

Ich empfehle die oben dargestellte Variante, also den direkten Download und automatischen Start der Installation des gnuPG. Nach Fertigstellung der Installation können Sie, falls das Installationsprogramm keinen Neustart des Rechners erwartet, auf "Fertig" klicken. Sollte das Installationsprogramm einen Neustart anfordern (immer wenn sich Teile des bereits vorhandenen gnuPG während der Installation in Betrieb befanden), klicken Sie auf Abbruch (nach dem Neustart rufen Sie WiSiKo erneut auf, dann wird die Einrichtung fortgesetzt).

Die Einrichtungsroutine, die bei jedem Programmstart abgearbeitet wird, prüft das Vorhandensein des gnuPG und der angegebenen Ordner.

WiSiKo einrichten

Wenn sie GnuPG installiert haben oder wenn es bereits vorhanden war, fragt Sie WiSiKo nach dem GnuPG Verwaltungsverzeichnis (Ordner). Ich empfehle hier folgende Lösung:

1. Verwenden Sie einen USB-Stick.

2. Stecken Sie den neuen Stick ein und schauen Sie, welchen Laufwerksbuchstaben Ihr Windows dem Stick verordnet hat.

3. Wählen Sie im WiSiKo-Auswahldialog  das Sticklaufwerk und erzeugen darauf einen neuen Ordner, z. B. „gnuPG“

4. Wählen Sie diesen Ordner aus.

Warum? Sie können den Stick abziehen und mitnehmen. Im Falle des Verlusts Ihres Rechners, durch Vergessen in der Bahn, Wohnungseinbruch etc. kommt ein Dritter zumindest nicht an Ihre Daten. Außerdem können Sie Ihre Schlüsselverwaltung auf anderen Computern verwenden.

Natürlich können Sie auch das von GnuPG vorgesehene Verzeichnis "[Users]\[Username]Appdata\Roaming\GnuPG" verwenden. In diesem Fall klicken Sie im Auswahldialog "Ordner suchen" auf "Abbruch".

Falls Sie bereits mit gnuPG arbeiten, wählen Sie den vorhandenen Ordner, das ist in der Regel "[Users]\[Username]Appdata\Roaming\GnuPG" oder kopieren Sie den Inhalt des vorhandenen Ordners (vor oder während der Festlegung) in den neuen Ordner (z. B. auf dem Stick). Diese Maßnahme ist deshalb wichtig, weil im nächsten Schritt der WiSiKo-Key erzeugt wird. Dieses openPGP-Schlüsselpaar muss in die Schlüsselverwaltung integriert werden.

Im dritten Schritt erzeugen Sie Ihren WiSiKo Key. Dies ist ein normales openPGP Schlüsselpaar. Es wird nicht für Ihre Kommunikation verwendet, sondern dient WiSiKo-intern zur Verschlüsselung der Datenbank und der Passwörter für Ihre E-Mail-Accounts. Außerdem enthält der WiSoKo Key ggf. durch entsprechende Beglaubigungen Ihre Lizenzinformationen. Zur Erzeugung des WiSiKo Keys müssen sie nur eine Passphrase angeben.

WiSiKo Key einrichten

GnuPG spricht von Passphrasen, also, falls gewollt, ganzen Sätzen. Je nach Verwendung Ihres Rechners können Sie auch recht einfache Passphrasen verwenden. Die Passphrase dient nur der Absicherung Ihrer geheimen Schlüssel auf dem Stick oder Ihrer Festplatte, wird also nicht irgendwohin übermittelt.

Falls Sie WiSiKo mit dem gleichen WiSiKo Key auf weiteren Rechnern installieren wollen, können Sie den WiSiKo Key, die UID ist „WiSiKo License“, später zunächst in eine Datei exportieren und dann bei der Einrichtung weiterer WiSiKo Installationen einlesen. In diesem Fall geben Sie keine Passphrase für den neuen WiSiKo Key ein, sondern klicken auf „Einlesen“.

Im vierten Schritt würden Sie, falls Sie eine Lizenz erworben haben, die Passphrase für Ihren Tresor angeben. Der Tresor ist ein zusätzlich verschlüsselter Ordner innerhalb WiSiKos, sinnvoll z. B., wenn Sie für Notfälle Ihre WiSiKo Passphrase und die Ihrer anderen Schlüssel hinterlegt  haben, bestimmte Informationen aber für immer verdeckt halten wollen.

Zuletzt können sie den Datenbankordner festlegen. WiSiKo sieht [Users]\[Username]\Appdata\Roaming\WiSiKo vor. Für eine mobile Installation auf einem Stick geben Sie hier einen Ordner auf dem Stick an.

Wenn die Angaben vollständig sind, startet WiSiKo. Damit es losgehen kann, können Sie wie folgt vorgehen:

Einrichtung eines E-Mail-Kontos und einer E-Mail-Adresse

E-Mail-Konto

Sie können beliebig viele E-Mail-Konten (accounts) einrichten. Wechseln Sie zu „Einstellungen“-„E-Mail-Konten“. Sie finden bereits einen Eintrag „Historisch“, unter diesem Konto werden alle nicht mehr benutzten E-Mail-Adressen aus früheren Zeiten eingetragen. Achtung! Weil das Konto „Historisch“ nur der Zuordnung importierter (historischer) E-Mails dient, werden hier keine Zugangsdaten eingetragen!

Neues E-Mail-Konto

Klicken sie auf „Neues E-Mail Konto“. Unter „Bezeichnung“ geben Sie dem Konto einen Namen, z. B. „Standard“, „GMX“ etc.

Neues E-Mail-Konto

Den Namen des „Posteingangsservers“ erfahren Sie auf der Internetseite Ihres E-Mail-Anbieters unter der Angabe zu „POP3“, bei GMX lautet er z. B. „pop.gmx.net“, bei GoogleMail „pop.googlemail.com“. Falls Sie einen eigenen Mail-Server betreiben, kennen Sie den Namen, häufig ist dies einfach der Domainname, z. B. „lamprecht-software.de“. WiSiKo berücksichtigt nur das POP3 Protokoll, das IMAP-Protokoll wird aus prinzipiellen Gründen nicht unterstützt.

Den Eintrag „Übertragungssicherheit“ sollten Sie bei „SSL/ TLS“ belassen. Die meisten Anbieter lassen seit etwa 2014 keine nicht-sicheren Verbindungen mehr zu. Zu „SSL/ TLS“ gehört der Port 995, ohne Absicherung verwenden Sie Port 110.

Die „Anmeldekennung“ haben Sie von Ihrem E-Mail-Anbieter erfahren. Meist ist es einfach Ihre E-Mail-Adresse, z. B. „info@lamprecht-software.de“ oder Ihre Kundennummer.

Und wieder ein Passwort! Dieses Passwort wird über das Internet übermittelt und sollte nicht leicht zu erraten sein. Denn: Wenn Mallory (Pseudonym für jemanden, der Ihnen Böses will) Ihr Passwort für den Zugang zum E-Mail-Konto kennt, meldet sich er sich einfach dort an, liest Ihre Mails oder verschickt welche in Ihrem Namen. Die Passwörter für Ihre E-Mail-Konten speichert WiSiKo verschlüsselt.

Analoge Angaben sind für den Postausgangsserver zu machen:

Den Namen des „Postausgangsservers“ erfahren Sie auf der Internetseite Ihres E-Mail-Anbieters unter der Angabe zu „SMTP“, bei GMX lautet er z. B. „mail.gmx.net“, bei GoogleMail „smtp.googlemail.com“. Falls Sie einen eigenen Mail-Server betreiben, lautet der Name, den Sie natürlich auch kennen, häufig  wie der des Posteingangsservers.

Den Eintrag „Übertragungssicherheit“ sollten Sie bei „SSL/ TLS“ belassen. Die meisten Anbieter lassen seit etwa 2014 keine nicht-sicheren Verbindungen mehr zu. Zu „SSL/ TLS“ gehört der Port 465, ohne Absicherung verwenden Sie Port 25.

Für die Anmeldekennung und das Passwort ist häufig die gleiche Angabe wie für den Posteingangsserver vorgesehen. Sie können diese Einträge durch Setzen des Häkchens „Anmeldeangaben wie bei POP3“ übernehmen.

Ein Häkchen bei „Posteingang (POP3)“ bedeutet, dass dieses Konto in den E-Mail-Abruf einbezogen wird, ein Häkchen bei „Postausgang (SMTP)“ bedeutet, dass Sie über dieses Konto E-Mails versenden können.

Neue E-Mail-Adresse

E-Mail-Adresse

Sie können jedem E-Mail-Konto eine oder mehrere E-Mail-Adressen zuweisen. Allerdings müssen diese Adressen zum Konto gehören (über dieses Konto abgewickelt werden). Wenn Ihr Konto das eines E-Mail-Anbieters ist, können Sie in der Regel nur eine Adresse pro Konto zuweisen.  Haben Sie einen eigenen Mailserver, können Sie Aliasadressen angeben. Diese haben i. d. R. den gleichen Domainnamen, z. B. für „lamprecht-software.de“ -> „info@lamprecht-software.de“, „updates@lamprecht-software.de“, „u.lamprecht@lamprecht-software.de“ etc. Zum Einrichten einer E-Mail-Adresse klicken Sie auf „Neue E-Mail Adresse“ und geben die Adresse an. Wollen Sie die Adresse später ändern, müssen Sie sie vorher löschen und dann neu anlegen.

Jeder E-Mail-Adresse können Sie, soweit vorhanden,  kryptologische Schlüssel zuweisen (Zur Einrichtung Ihrer Schlüssel siehe unten).

Einrichtung einer Identität

Identitäten bezeichnen in WiSiKo einen E-Mail-Auftritt. Sie können z. B. eine Identität als Privatmensch und eine als Vereinsvorstand definieren. Die Angaben zu Ihrer Identität werden jeder von Ihnen verfassten E-Mail, nicht einer weitergeleiteten, in Form einer elektronischen Visitenkarte (vCard) angehängt. Verwendet Ihr Korrespondenzpartner WiSiKo, werden die Angaben aus der Visitenkarte automatisch in dessen WiSiKo-Adressverwaltung übertragen. Sie können den Identitäten je ein Foto und ein Logo zuordnen. Beachten Sie, dass so, durch Anhängen der vCard an Ihre versandten E-Mails, diese immer eine gewisse Mindestgröße haben werden. Falls möglich (wenn Sie eine Website oder Homepage haben), sollten Sie Foto und/ oder Logo durch Eingabe einer Internet-Adresse in die vCard einfügen. Dies machen Sie durch Eintrag in das Feld „URL“ (unter Foto oder Logo) , z. B. „http://lamprecht-software.de/bilder/logo.jpg“. Die rot beschrifteten Felder (Anzeigename, Nachname, Vorname, zu verw. E-Mail)  müssen ausgefüllt werden.

Identität einrichten

Identität einrichten

Einrichtung Ihres openPGP Schlüssels

Der WiSiKo Key ist ein reiner Lizenzschlüssel und wird nur intern verwendet. Wechseln Sie zu „openPGP“-„Eigene openPGP-Schlüssel“: Hier sehen Sie den Schlüssel „(1) WiSiKo License“. Klicken Sie den Schlüssel an, sehen Sie rechts die Schlüsseleinzelheiten, u. a. den Eintrag „ – „ unter E-Mail.

Schlüsselpaar einrichten

Da „ – „ keine gültige E-Mail-Adresse ist, können Sie den WiSiKo Key nicht für Ihre Korrespondenz verwenden, ein neuer Schlüssel muss her:

Bleiben Sie in „openPGP“-„Eigene openPGP-Schlüssel“ und klicken auf „Neues Schlüsselpaar erzeugen“.

Schlüsselpaar einrichten

Schlüsselpaar einrichten

Es erscheint rechts ein Fenster, das folgende Angaben erwartet:

Algorithmus. Heute kommt eigentlich nur RSA/RSA in Frage. RSA (nach dem Namen seiner Erfinder Ron Rivest, Adi Shamir und Len Adleman) ist heute der gebräuchlichste Algorithmus. DSA (Digital Sign Algorithm) und Elgamal werden für openPGP evtl. nur noch aus Tradition angeboten … also „RSA/ RSA“

Schlüssellänge. Sie hören es überall, je mehr desto besser. Es gibt eine Beziehung zwischen  Schlüssellänge, Geschwindigkeit und Sicherheit, je größer der Schlüssel desto langsamer sind die Verfahren aber um so sicherer. Bedenken Sie, es geht nicht nur um Ihren Rechner sondern auch um den des Kommunikationspartners. Minimal sollten es heute aber 2048 bit sein.

Name/ Bezeichnung. Pflichtangabe! Üblich sind „[Vorname] [Name]“ oder „[Name], [Vorname]„. Auch Firmennamen kommen vor, sind aber nur zu empfehlen, wenn der Schlüssel speziellen Zwecken (Zertifizierungen, Lizenzierungen) dienen soll.

Ergänzung/ Kommentar. Kann leer bleiben. Hier gehört z. B. die Firma hin oder der Beruf bzw. Titel

E-Mail Adresse. Pflichtangabe!

Gültigkeit. Geben Sie hier ruhig ordentlich Stoff. Ich empfehle 10 Jahre oder länger. Auch wenn die Gültigkeit verlängert werden kann … wie sag ich es meinen Kommunikationspartnern? Vielleicht haben die Ihren Halbjahresschlüssel längst entsorgt.

Passphrase. Die Passphrase dient Ihrem Zugang zum geheimen Teil des Schlüssels. Zu einfach sollte sie aber nicht sein, falls Ihr geheimer Schlüssel in falsche Hände fällt.

Sind diese Angaben gemacht, klicken Sie auf „Erzeuge openPGP Schlüsselpaar“. Nach etwas Geduld sollten Sie Ihren neuen Schlüssel sowohl unter „Eigene openPGP-Schlüssel“ als auch unter „Fremde/ öffentl. openPGP-Schlüssel“ finden.

Schlüsselpaar einrichten

Ein mit WiSiKo erzeugter neuer Schlüssel ist immer schon eigenbeglaubigt.

Vielleicht haben Sie auch an der Kryptokampagne der United Internet Anbieter (gmx, web.de, 1&1) teilgenommen und besitzen bereits einen openPGP Schlüssel für Ihre E-Mail-Adresse…

Rufen Sie Mailvelope in Ihrem Browser auf (in Firefox z. B. durch Klick auf das Schloss in der Werkzeugleiste rechts oben) und wählen „Options“. Klicken Sie auf „Export“.

In WiSiKo gehen Sie auf „openPGP“-„Eigene openPGP-Schlüssel“ und klicken auf „Schlüsselpaar importieren“. Wählen Sie dann die eben erzeugte Datei aus und klicken auf „Schlüsselpaar einlesen“.

Signieren von Beglaubigungsstellen

Solange WiSiKo noch schön übersichtlich ist, sollten Sie in „openPGP“-„Fremde/ öffentl. openPGP-Schlüssel“ die dort hinterlegten Schlüssel von Beglaubigungsstellen selber beglaubigen. Dies sind zur Zeit mehrere Schlüssel „(1) ct magazine CERTIFICATE“, ein Schlüssel „(1) CA Cert Signing Authority“ und der Schlüssel „(1) WiSiKo Certificates“. Die Herausgeber dieser Schlüssel geben an, die Identität der Nutzer, deren Schlüssel sie beglaubigen, zu überprüfen. Es spricht also nicht viel dagegen, diesen Beglaubigungen so weitgehend zu vertrauen, das WiSiKo (bzw. das GnuPG-System) annimmt, das von diesen Stellen beglaubigte Schlüssel vertrauenswürdig sind.
Sie können diese Schlüssel (nachdem Sie selbst einen Schlüssel erzeugt haben) beglaubigen. Markieren Sie einen dieser Schlüssel, z.B.  (1)WiSiKo Certificates in „openPGP“-„Fremde/ öffentl. openPGP-Schlüssel“. Klicken Sie auf „Schlüssel (Benutzer-ID) beglaubigen“.

Machen Sie folgende Angaben:

  1. „Markierte Benutzer-Id“
  2. Wählen Sie Ihren Schlüssel
  3. Vertrauensstatus „voll“
  4. Beglaubigungsreichweite „2 Allen Schlüsseln, die direkt von diesem Schlüssel zertifiziert wurden (Kinder)“
  5. „Intern beglaubigen (Ihre …)“
  6. „Beglaubigungskompetenz setzen“ anhaken

Klicken Sie auf „Beglaubigen“. Der Vorgang wird in der Schlüsselverwaltung evtl. erst nach Neustart des Programms sichtbar.