DIESE ANLEITUNG IST VERALTET. BITTE NUTZE STATTDESSEN http://www.crypto-stick.com/de/installation

Einrichtung und Verwendung des GPFCryptoSticks unter Windows

Allgemeines

Dieses Dokument beschreibt die Verwendung des Crypto Stick der German Privacy Foundation e.V. (GPF). Grundsätzlich gilt das hier beschriebene Vorgehen auch für andere Smartcards bzw. Smartcard-basierende Token, es kann jedoch nicht gewährleistet werden.

Der GPFCryptoStick der GPF ist kein USB-Speicherstick sondern ermöglicht es Ihnen, Ihre eMails sicher zu verschlüsseln. Angreifer die Ihre eMails während der Übertragung abhören (z.B. Geheimdienste) oder Zugriff auf verwendete Mailserver haben (z.B. Administratoren) können somit Ihre eMail nicht lesen. Um das zu ge¬währleisten werden allgemein akzeptierte Verschlüsselungsverfahren (RSA, AES ) eingesetzt. Diese Verfahren bieten ein außerordentlich hohes Maß an Sicherheit und es kann praktisch ausgeschlossen werden, dass diese Verschlüsselung (auch nicht mit Supercomputern) in annehmbarer Zeit geknackt werden. Im Unterschied zu Softwareverfahren, die auf dem Rechner des Anwenders laufen, gelangt Ihr geheimer Schlüssel nie auf einen Computer, sondern wird sicher auf dem GPFCryptoStick gespeichert. Alle sensiblen kryptographischen Operationen werden sicher auf dem GPFCryptoStick durchgeführt. Dies hat den Vorteil, dass bei einer Kompromittierung Ihres Computers der Angreifer nicht an Ihren geheimen Schlüssel gelangen kann. Selbst wenn der GPFCryptoStick verloren geht oder gestohlen wird, kann der Finder bzw. Dieb nichts damit anfangen, da der Stick mittels einer PIN geschützt ist. Nach der Eingabe von 3 falschen PINs wird der Stick gesperrt und kann nur durch ein Administrator-PIN wieder freigeschaltet werden. Wird die Administrator-PIN dreimal falsch eingegeben, wird der Stick unwiderruflich gesperrt.

Hinweis! Diese Beschreibung setzt das Mailprogramm Mozilla Thunderbird bzw. Mozilla Thunderbird-Portable mit der Erweiterung Enigmail und GnuPG voraus. In Thunderbird sollten Sie bereits ein Konto für Ihren Emailzugang eingerichtet haben. Sollte dies nicht zutreffen, folgen Sie bitte dieser Anleitung.

Achtung ! Die folgenden Aktionen sollten Sie nur auf einem vertrauenswürdigen Rechner ausführen. Stellen Sie soweit es möglich ist sicher, dass das System frei ist von Schadsoftware (z.B. Viren, Trojaner), andernfalls verringern Sie Ihre Datensicherheit. Führen Sie daher die folgenden Aktionen zur Schlüsselerzeugung NICHT auf unbekannten Rechnern durch (z.B. im Internetcafé)!

Bevor mit dem GPFCryptoStick gearbeitet werden kann, muss er in zwei Schritten von Ihnen personalisiert werden:

  1. Installieren des Gerätetreibers
  2. Erzeugen Ihrer persönlichen Schlüssel
  3. Festlegen Ihrer geheimen PINs

Am besten gehen Sie in der unten beschriebenen Reihenfolge vor.

Installieren des Gerätetreibers

1. Laden Sie den PC Twin USB PC/SC Treiber für Windows 2000, XP, Server 2003, Vista oder für Windows XP 64, Server 64, Vista 64 herunter und speichern Sie die Datei.

save.png

2. Starten Sie nun die heruntergeladene Datei mit einem Doppelklick. Klicken Sie anschließend auf "ausführen".

ausfuehren.png

3. Sie werden nun gefragt, ob diese Software installiert werden soll. Bestätigen Sie die Installation.

installieren.png

4. Das Programm wird nun installiert und Sie können anschließend mit der Personalisierung des GPFCryptoSticks beginnen.

Änderung der PINs

Für den GPFCryptoStick gibt es zwei PINs.

Nach Erhalt des GPFCryptoStick sollten Sie sofort die Standard-PINs Smartcard-PIN = „123456“ und ADMIN-PIN = „12345678“ ändern.

Vorgehen

  1. Stecken Sie den GPFCryptoStick in eine USB-Buchse Ihres Rechners.

  2. Starten Sie Thunderbird.
  3. Wählen Sie in Thunderbird wie im folgenden Bild gezeigt. „OpenPGP“ → „Smart Card verwalten“
    • verwalten.png

  4. In dem Fenster „SmartCard-Details“ wählen Sie „SmartCard → PIN ändern“

pinaendern.png

  1. Wählen Sie dann „PIN ändern“. Dies ist Ihre Smartcard-PIN die Sie für das tägliche Arbeiten benötigen. Geben Sie hier die aktuelle PIN ein (Bei Auslieferung "123456") und zweimal Ihre neue PIN.

Für diese PIN können Sie die Zeichen: a-z A-Z 0-9 /.,;:-!?( )[ ]{}%+ verwenden. Die PIN sollte mindestens 6 Zeichen lang sein.

Klicken Sie auf „OK“

pinaendern2.png

  1. Wiederholen Sie den Vorgang für die ADMIN-PIN. „SmartCard → PIN ändern“

pinaendern.png

  1. Wählen Sie dann Admin-PIN ändern. Dies ist Ihre „ADMIN-PIN“ die Sie nur selten benö-tigen. Geben Sie hier die aktuelle PIN ein (Bei Auslieferung "12345678") und zweimal die neue PIN.

Für diese PIN können Sie die Zeichen: a-z A-Z 0-9 /.,;:-!?( )[ ]{}%+ verwenden. Die PIN sollte mindestens 8 Zeichen lang sein. Klicken Sie auf „OK“

pinaendern2.png

Sie haben nun die PINs geändert und sollten mit der Erzeugung Ihrer persönlichen Schlüssel fortfahren.

Erzeugung der Schlüssel

Zur Verschlüsselung von Daten und eMails muss zuerst ein Schlüsselpaar, bestehend aus öffentlichem und geheimem Schlüssel, erzeugt werden. Der sogenannte öffentliche Schlüssel dient zum Verschlüsseln der Daten bzw. der eMails. Diesen können Sie an alle, mit denen Sie sicher kommunizieren wollen verteilen (z.B. öffentlich zugänglich auf Ihrer Website veröffentlichen). Der sogenannte geheime Schlüssel dient zum Entschlüsseln der Daten bzw. Nachrichten. Dieser Schlüssel sollte NIEMANDEM bekannt gemacht werden! I.d.R haben auch Sie selbst keinen direkten Zugriff darauf (s.u.), da dieser sicher auf dem GPFCryptoStick gespeichert ist. Beide Schlüssel erzeugen Sie mit Hilfe des GPFCryptoStick bei folgendem Vorgehen:

  1. Stecken Sie den GPFCryptoStick in eine USB-Buchse Ihres Rechners.

  2. Starten Sie Thunderbird
  3. Wählen Sie in Thunderbird wie im folgenden Bild gezeigt
  4. „OpenPGP“ → „Smart Card verwalten“

    verwalten.png

  5. In dem Fenster „SmartCard-Details“ wählen Sie im Menü

SmartCard“ → „Schlüssel erzeugen“

Wenn Sie keine Sicherungskopie anlegen haben Sie bei Verlust oder Defekt des GPFCryptoStick keine Möglichkeit mehr an Ihre verschlüsselten Daten zu kommen!

Es wird empfohlen, diese Sicherheitskopie zu speichern. Wählen Sie dazu „Sicherungskopie des Schlüssels außerhalb der SmardCard speichern“ aus. Dann geben Sie unter „Passphrase“ ihr persönliches Passwort für die Sicherungskopie ein. Dieses Passwort sollte nicht kürzer als 8 Zeichen sein und groß und klein geschriebene Buchstaben sowie Ziffern enthalten. Sie können auch einen langen Satz verwenden, aber vermeiden Sie bekannte Prosa oder Lyrik. Außerdem sollte kein Name oder bekannter Begriff verwendet werden.

Erlaubte Zeichen: a-z A-Z 0-9 /.,;:-!?( )[ ]{}%+ (keine Umlaute ä,ü,ö,Ä,Ü,Ö oder ß)

Schlechte Passwörter: qwertz123, IchliebeSusi3, Passwort, Wer reitet so spaet...

Bessere Passwörter : g(Ak?2Pn7Yn oder Ki.stg2bLqzp%d oder

Dieses Passwort benötigen Sie NICHT zum täglichen Arbeiten. Es ist lediglich für die Wiederherstellung des geheimen Schlüssels nötig, z.B. wenn Sie den GPFCryptoStick verloren haben. Bewahren Sie das Passwort deshalb an einem sicheren Ort auf.

Außerdem können Sie festlegen, ob und wann der Schlüssel automatisch ungültig werden soll. D.h. ab diesem Zeitpunkt können keine eMails mehr mit diesem Schlüssel verschlüsselt werden und Sie müssen ein neues Schlüsselpaar erzeugen.

Klicken Sie abschließend auf „Schlüsselpaar erzeugen“

erzeugen2.png

  1. Sie werden nun gefragt, ob der Schlüssel erzeugt werden soll.

Bestätigen Sie mit „Ja“

bestaetigung.png

  1. Damit das Programm Ihre Schlüssel auf den Stick schreiben kann, müssen Sie die (oben geänderten) ADMIN-PIN und die SmartCard-PIN eingeben.

pin.png

Die Schlüsselerzeugung kann einige Minuten dauern. Beenden Sie das Programm daher nicht vorzeitig!

  1. Nach Abschluss der Schlüsselerzeugung erhalten Sie die folgende Meldung. Es wird nun ein Zertifikat erstellt, mit dem Sie im Notfall Ihren Schlüssel ungültig machen können. Dieses Zertifikat wird automatisch mit Ihrem privaten Schlüssel gespeichert. Dieses sollten Sie ausdrucken oder auf mindestens einem weiteren externen Medium sichern, damit Sie bei Verlust ihrer Schlüssel und Ihres Backups die Gültigkeit der Schlüssel widerrufen können.

Klicken Sie auf „Ja“

bestaetigung2.png

  1. Sie können nun das Verzeichnis auswählen in dem die Sicherungskopie abgelegt wird. Diese Kopie ist mit Ihrem oben eingegebenen Passwort verschlüsselt. Dadurch kann niemand ohne Ihr Passwort die Schlüssel lesen oder verwenden. Geben Sie deshalb ihr Passwort nicht heraus. Diese Datei mit dem Namen Ihrer Mailadresse und der Endung „asc“ sollten Sie später unbedingt noch auf einem weiteren Medium sichern.

Nachdem sie das Verzeichnis ausgewählt haben klicken Sie auf „Speichern

speichern.png

  1. Hier müssen Sie noch einmal Ihre SmartCard-PIN oder Ihre Passphrase angeben.

Klicken Sie dann auf „OK“

pin2.png

  1. Sie erhalten nun die Meldung das das Zertifikat erzeugt und gespeichert wurde.

Klicken Sie auf „OK“

meldung.png

Damit ist die Schlüsselerzeugung abgeschlossen. Sie können das Programm nun verlassen (Datei – Schließen).

schliessen.png

Damit ist Ihr GPFCryptoStick personalisiert und betriebsbereit. Viel Spaß bei der sicheren Emailverschlüsselung!

GPFWiki: CryptoStickAnleitungWindows (last edited 2012-09-12 00:09:20 by 191)


Creative Commons License Dieses Werk ist unter einer Creative Commons-Lizenz lizenziert.