Windows 8: Eingabeaufforderung (cmd) als Admin starten.
Wie öffne ich die Eingabeaufforderung als Admin?
(Andere Bezeichnungen für Eingabeaufforderung: cmd, MS-DOS prompt, Windows command line, Command Prompt, Konsole)
So öffnest du die Eingabeaufforderung als Admin sowohl bei Windows 8 oder 8.1, als auch bei Windows 10.
Klicke entweder mit der rechten Maustaste auf den Windows-Button.
Oder noch besser, benutze folgende Tastenkombination (Windowstaste + X):
In beiden Fällen öffnet sich links ein Menü.
Klicke auf " Eingabeaufforderung (Administrator) "
So wird öffnet man die Eingabeaufforderung:
Öffne zuerst die Einstellungen-Suche in der Charm-Leiste, am schnellsten geht das mit der Tastenkombination:
Klicke mit der rechten Maustaste auf das Suchergebnis Eingabeaufforderung und dann auf "Als Admin ausführen"
kann man bluestacks auch ohne admin kennwort installieren.win7?
2 Antworten.
Du kannst versuchen, es in C:\bluestacks zu installieren.
Vielleicht klappts ja.
Die meisten Programme brauchen Admin, weil sie in c:\programme installieren.
Andy sagt mir gar nix. Ich hab damals auf Bluestacks verzichtet, ne andere Partition eingerichtet und Android x86 als zweites Betriebssystem neben Windows installiert.
Nur wenn es eine portable edition gibt.
Auch interessant.
Ist es möglich, als "Nicht-Admin" das Administratorpasswort rauszufinden (NICHT verändern oder löschen)?
Hallo und guten Abend. Als ich mich eben eingeloggt habe, habe ich bemerkt das ich mein Kennwort für mein Nutzerkonto auf meinem PC nicht eingeben musste. Ein Blick in die Systemsteuerung hat gereicht und ich habe festegestellt: Der Admin hat mein Passwort gelöscht. Gibt es eine Möglichkeit dies einem Admin zu verbieten? Über die Konsole gibt es zwar einen Befehl dieser bewirkt aber nur das der User sein Passwort nicht ändern kann. Über gpedit.msc kann ich auch nix ändern da ich Windows 7 Home Premium habe und dieses Snap-In erst ab Professional verfügbar ist. Auf eine Antwort von euch würde ich mich freuen.
War eben auf GoogleMaps unterwegs und was wirklich erstaunt das jedes kleinste Detail in 3D dargestellt wird. Auch auf irgendwechlchen Waldwegen und Mcces Schildern. So Landschaften würden ja noch Sinn ergeben, aber die Texturen der gesamten Häuser von der Seite? Wie geht das :D Und vorallem auch z.B. Bäume sind in der richtigen größe und alles dargestellt.
Also kann mich jemand aufklären wie das geht, vorallem so plötzlich, die gesamte Welt :'D.
bitte lest euch erstmal alles durch, bevor Ihr mir eine Antwort gebt. Also ich schildere mal folgendes Problem: Ich habe 2 Accounts auf meinem DELL Pc, beide mit einem Microsoft- Account verbunden. Mein eines Benutzerkonto ist Admin (als Beispiel in Zukunft Zahl: 1), darauf kann ich nicht zugreifen und ich werde aufgefordert es online über mein Microsoft Konto zu ändern. Dies funktioniert aber auch nicht nach dem ich es geändert habe (vertifizierungs SMS. ) und mich dann einlogen will. Online funktioniert alles aber dann auf meinem PC Account nicht. So jetzt habe ich noch ein 2tes Konto was keine Admin rechte besitzt (als Beispiel i Zukunft Zahl: 2) dort komm ich mit meinem Passort rein. Allerdings wenn ich mit dem Account online gehe, exestiert er garnicht. Ganz schön merkwürdig. Also wichtig ist mir jetzt erstmal, das ich auf mein Account 1 wieder zugreifen kann. Online gehts, aber nicht auf dem Pc benutzerkonto. Daraufhin habe ich mich bei einem Microsoft Live Chat partner gewendet und ihm das geschildert. Nach einem hin und her, hat er gesagt ich solle da und da anrufen. Dies habe ich dann getan. Dort am Telefon sagte man mir, ich soll es nochmal online ändern und nach 24 Stunden versuchen. Nachdem ich dies getan hatte und gewartet habe hat es immernochnicht funtioniert. Also rief ich nochmal an und nach 15 Minütiger Warteschleife wurde ich mit einem Microsoft Berater verbunden. Auch diesmal schilderte ich mein Problem. Er hat gemeint er müsse mich zu einer Kollegin durchstellen. Als ich endlich mit ihr gesprochen hatte, und mein Problem nochmals geschildert stellte sich heraus, das es nicht in ihrer Zuständigkeit liege und ihr Kollege mich falsch verbunden hätte. Darauf stelle sich mich zu einem zustädnigen durch. Also schilderte ich nochmal mein Problem. Dieser jedoch meine er könnte aus Datenschutzrechtlichen Gründen nichts für mich tun. Ich solle zu einem Techniker gehen und mir dort helfen lassen. Den müsse ich bezahlen. Was aber eine frechheit ist, da es ein Microsoft Problem ist und nicht meins. Jetzt habe ich inzwischen schon versucht mit Offline NT Password & Registry Editor. Also CD gebrant IMG datei gebrannt, Boot optionen geändert. doch wenn er schließlich das Programm von der CD gebootet hat und ich beginne, findet er die Windows Partiotion nicht. Also habe ich es mit CMD versucht. Aber um da was zu ändern brauche ich das Admin Kennwort. Geht es z.B. das CMD als Admin auszuführen ohne das Kennwort zu haben? Und wie mache ich es das er (falls ich es darüber mahcen muss) die Windows Partition findet? Zudem habe ich gehört, das sich einiges auch irgendwie mit Regedit ändern lässt oder einer .Bat datei. Aber keine Ahnung wie oder was?
Danke für Ihre Aufmerksamkeit. Wenn Sie mir helfen können bitte eine ordentliche Antwort schreiben und nicht irgendeine weil es Punkte bringt. Natürlich werde ich auch ein Danke und eine auszeichnung für die hilfreichste Antwort vergeben. VIELEN DANK.
Hallo, ich habe auf meinem Rechner zwei Konten: einen Admin und einen Standartbenutzer. Das Passwort des Admin habe ich vergessen, das des Standartbenutzers weiß ich. Nun meine Frage: Kann man das Passwort des Admin als Standartbenutzer auslesen?
Vielen Dank im Voraus!
Hallo, gibt es das spiel cs go für die Ps4? Und wenn ja, wo kann man es kaufen ?
Hallo liebe Community,
ich habe mir einen neuen Steam account erstellt und darauf direkt Counter Strike Global Offensive installiert. Ich wollte nun was im Steam Marktplatz kaufen, jedoch steht da, dass ich 15 Tage nach dem aktivieren von Steam Guard warten muss um überhaupt Transaktionen zu tätigen. Nun wollte ich euch fragen, ob ihr ne Idee habt, wie ich die Zeit eventuell umgehen könnte oder trotz Steam Guard etwas kaufen kann.
Weis jemand wie man das Admin Passwort (nicht al zu schwer) umgehen kann?
Hallo Leute :D Ich habe gestern meine CSGO Items zu meinem besten Freund geschickt per Steam Trade. Heute wollte ich sie zurück haben und habe gesehen das der Handel für 15 Tage zurückgehalten wird. Außerdem stand dort, dass mein Kumpel den Mobile Authentificator nicht seit mind. 7 Tagen verwendet. Heißt das dann, das ich nach 7 Tagen ihm ein Offer mit meinen Items machen kann? Oder bekomme ich sie erst nach 15 Tagen?
Oh Nein . ich habe mein Windows Admin Passwort vergessen, was kann ich machen? (benutze winXP)
Also meine fragen steht schon in der Überschrift. Aber wollte noch dazu sagen hab noch eine gast seite ohne Kennwort kann man von da aus das passwort vom admin ändern. ?
Vielen dank schon mal.
es geht um einen Windows Vista Pc das Kennwort hab ich vergessen. kann ich das zurücksetzen?
PowerShell Get-Script -Name Peter Kriegel | Management.
Vom PowerShell Script zur Applikation Teil 1: Scripte mit Doppelklick als Applikation starten.
Wenn man PowerShell Scripte per Doppelklick starten möchte kann man in der Systemsteuerung die PowerShell.exe mit der Dateiendung .ps1 verknüpfen.
Systemsteuerung\Alle Systemsteuerungselemente\Standardprogramme\Dateizuordnungen festlegen.
Dies ist aus Sicherheitsgründen nicht zu empfehlen und deshalb nicht Standard.
Ebenso ist diese Lösung nicht sehr elegant und Sie muss auf jedem Rechner durchgeführt werden.
Ich zeige hier in diesem Tutorial wie das besser geht und wie man PowerShell Scripte wie ein Applikation per Doppelklick starten kann.
Grundlage für diesen Workshop ist das PowerShell Script “ Hello-World.ps1″ , dies enthält nur 2 Zeilen:
Möchte man nun dieses Script per Doppelklick starten kann man sich eine Windows Link Datei (Verknüpfung) mit der Endung .lnk erstellen.
Dies mach man am leichtesten indem man mit der rechten Maustaste auf dem Desktop klickt und Neu -> Verknüpfung wählt.
In dem Fenster “Verknüpfung erstellen” gibt man den Pfad zum PowerShell Script an.
Bei mir ist dies: F:\Doppelklick\Hello-World.ps1.
Im folgenden Fenster geben sie den Namen für die Verknüpfung an(bei mir ist das Hell-World) und drücken fertigstellen.
Die neu erstellte Verknüpfung auf dem Desktop.
Nun klicken wir mit der rechten Maustaste auf die neue Verknüpfung und wählen Eigenschaften .
In dem Eigenschaften Fenster ergänzen wir die Zeile im Eingabe Feld Ziel: in dem wir vor dem Pfad PowerShell.exe gefolgt von einem Leerzeichen eingeben:
Nun ändert das Symbol der Verknüpfung sein Aussehen und wir können das Script mit einem Doppelklick starten.
Ich habe in meinem Artikel “PowerShell ExecutionPolicy richtig verstehen!” erklärt, dass man Scripte auch starten kann trotzdem auf dem Rechner die ExecutionPolicy die ausführung von Scripten verbietet.
Um sicher zu stellen das unser Script auf jedem Rechner ausgeführt werden kann, ergänzen wir die Zeile im Eingabe Feld Ziel: mit der Angabe –ExecutionPolicy unrestricted :
PowerShell.exe F:\Doppelklick\Hello-World.ps1–ExecutionPolicy unrestricted.
Man kann nun in dem Eingabe Feld Ziel: noch mehr Optionen von PowerShell.exe benutzen.
Die Optionen sind in der PowerShell Hilfe nachzulesen oder man gibt in einer Konsole das folgende Kommando ein:
Von besonderem Interesse, sind hier die folgenden Optionen:
-NoExit, –NoProfile, -WindowStyle und -EncodedCommand.
Die Optionen –File und –Command, haben bei mir auf dem System in der Windows Verknüpfung nicht für das Starten eines Scripts funktioniert!
Wenn man das Skript in einem Unternehmen auf eine Dateifreigabe (Share) legt, braucht man dem User nur noch die Windows Verknüpfung zu Verfügung stellen.
Sollten dabei Probleme entstehen, so habe ich eine Lösung dafür in meinem Artikel “PowerShell Snapins und Module zentral im Unternehmen Teil 1″ im Abschnitt “PowerShell Script Ausführung von dem Netzwerk Share erlauben” beschrieben.
Was nun bleibt sind die Fragen:
Wie man das Pärchen von Windows Verknüpfung und PowerShell Script auf andere Rechner verteilt?
Wie man den Pfad in der Windows Verknüpfung so flexibel gestaltet das er auch auf dem Zielrechner Funktioniert.
Man kann dort die große Kanone nehmen und mit einem (freien kostenlosen) Tool ein Windows Installer Paket (.msi) erstellen. Dies benötigt aber Administrationsrechte beim Installieren.
Wie die “Installation” von PowerShell Scripten mit der PowerShell erledigt werden kann, beschreibe ich im nächsten Workshop Artikel in dieser Tutorial Serie.
Die Ausgabe von: PowerShell.exe /?
PowerShell[.exe] [-PSConsoleFile <Datei> | -Version <Version>]
[-NoLogo] [-NoExit] [-Sta] [-NoProfile] [-NonInteractive]
[-WindowStyle <style>] [-EncodedCommand <Base64EncodedCommand>]
[-File <Dateipfad> <Argumente>] [-ExecutionPolicy <ExecutionPolicy>]
Lädt die angegebene Windows PowerShell-Konsolendatei. Verwenden Sie.
“Export-Console” in Windows PowerShell, um eine Konsolendatei zu erstellen.
Startet die angegebene Windows PowerShell-Version.
Blendet das Copyrightbanner beim Start aus.
Verhindert ein Beenden nach dem Ausführen aller Startbefehle.
Startet die Shell unter Verwendung eines Apartments mit einem Thread.
Verhindert die Verwendung des Benutzerprofils.
Zeigt dem Benutzer keine interaktive Aufforderung an.
Beschreibt das Format der an Windows PowerShell gesendeten Daten. Gültige.
Werte: “Text” (Textzeichenfolgen) und “XML” (serialisiertes CLIXML-Format).
Legt die Formatierung der Windows PowerShell-Ausgabe fest. Gültige Werte:
“Text” (Textzeichenfolgen) und “XML” (serialisiertes CLIXML-Format).
Akzeptiert eine base-64-codierte Zeichenfolgenversion eines Befehls.
Verwenden Sie diesen Parameter, um Befehle an Windows PowerShell zu senden,
für die komplexe Anführungszeichen/geschwungene Klammern erforderlich sind.
Ausführen einer Skriptdatei.
Legt die Standardausführungsrichtlinie für die Sitzung fest.
Führt die angegebenen Befehle (und alle Parameter) so aus, als wären sie.
an der Windows PowerShell-Eingabeaufforderung eingegeben worden,
und wird dann beendet, sofern nicht “NoExit” angegeben wurde.
Der Wert von “Command” kann “-“, eine Zeichenfolge, ein Skriptblock sein.
Beim Wert “-” wird der Befehlstext von der Standardeingabe.
Wenn der Wert von “Command” ein Skriptblock ist, muss der Skriptblock in.
geschweifte Klammern (<>) eingeschlossen werden. Sie.
können einen Skriptblock nur angeben, wenn “PowerShell.exe” in Windows.
PowerShell ausgeführt wird. Die Ergebnisse des Skriptblocks werden als.
deserialisierte XML-Objekte und nicht als aktive Objekte an die.
übergeordnete Shell zurückgegeben.
Wenn der Wert von “Command” eine Zeichenfolge ist, muss “Command” der.
letzte Parameter im Befehl sein, da alle nach dem Befehl eingegebenen.
Zeichen als Befehlsargumente interpretiert werden. Schreiben Sie eine.
Zeichenfolge zum Ausführen eines Windows PowerShell-Befehls im folgenden.
wobei die Anführungszeichen eine Zeichenfolge angeben und der.
Aufrufoperator (&) die Ausführung des Befehls veranlasst.
Zeigt diese Meldung an. Wenn Sie in Windows PowerShell einen Befehl für.
“PowerShell.exe” eingeben, stellen Sie den Befehlsparametern einen.
Bindestrich (-) und keinen Schrägstrich (/) voran. In “Cmd.exe” können Sie.
einen Bindestrich oder einen Schrägstrich verwenden.
PowerShell -PSConsoleFile SqlSnapIn.Psc1.
PowerShell -version 1.0 -NoLogo -InputFormat text -OutputFormat XML.
PowerShell Get-Script -Name Peter Kriegel | Management.
Mehrere Arten mit der PowerShell ein externes Programm zu starten.
Dies ist einen überarbeitete, erweiterte Version des Artikels:
PowerShell kann neben den eigenen Cmdlets auch PowerShell Externe Programme und DOS Befehle ausführen.
Das Ausführen von Programmen und die Übergabe von vielen Argumenten beim Aufruf des Programmes sind nicht so einfach zu lösen.
Ebenso verlangt die Übergabe von Argumenten, die Leerzeichen, doppelte – und/oder einfache Anführungszeichen enthalten, sehr viel Übung.
Wenn dann noch in den Argumenten $Variablen expandiert werden sollen, ist das Endergebnis oft unklar!
Ich erkläre hier mehrere Arten mit der PowerShell ein Programm zu starten und in dem Punkt 5 erkläre ich wie die Übergabe von Argumenten mit dem Aufrufoperator & am leichtesten geht.
In der PowerShell 3.0 gibt es nun eine noch einfachere Art Parameter an ein Programm zu übergeben!
Mir sind in der PowerShell mehrere Arten bekannt mit denen man ein PowerShell Externes Programm starten kann:
1. Das Einfache aufrufen von einer Executeable über Ihren Namen oder den kompletten Pfad.
# Notpad.exe aufrufen (liegt in einem PATH Pfad)
# IPConfig Dos Befehl aufrufen.
# Robocpy von einem Pfad aufrufen.
Dies ist leicht zu nutzen, aber der PowerShell Parser kommt mit komplizierten Parametern schnell durcheinander! Deshalb ist es nur begrenzt nutzbar und funktioniert nicht mit jedem Programm.
Wenn ein Programm im Windows Suchpfad ist (Umgebungsvariable: Path) wird es auch bei einem einfachen Aufruf durch seine Namen ohne Pfad ausgeführt.
# Ein Programm (im Aktuellen Verzeichnis ausführen)
2. Invoke-Expression (Alias: IEX)
Mit Invoke-Expression ist es leicht einen Befehl der als String vorliegt auszuführen.
# Den String in der Variablen ausführen.
3. Invoke-Command (Alias: ICM)
Mit Invoke-Command kann man Befehle, Remote und Lokal, über WinRM (WS-MAN) ausführen lassen.
4. Invoke-Item (Alias: II)
Mit Invoke-Item wird die die Standardaktion für das angegebene Element ausgeführt. Beispielsweise wird eine ausführbare Datei ausgeführt oder eine Dokumentdatei in der Anwendung geöffnet, die dem Dokumentdateityp zugeordnet ist.
Der Aufrufoperator & führt einen Befehl, ein Skript oder einen Skriptblock aus. Der Aufrufoperator & kann keine Befehlsparameter interpretieren. Der Aufrufoperator gibt an, dass der nachfolgende Wert einen Befehl darstellt. Auf diese Weise können Sie in Variablen gespeicherte und durch Zeichenfolgen dargestellte Befehle ausführen.
Pfade mit Leerzeichen müssen in Anführungszeichen gesetzt werden, deshalb ist hier der & Operator zwingend nötig!
# den Text in eine Variable legen.
# Den Text ausführen lassen (Notepad Starten)
# Pfade mit Leerzeichen müssen in Anführungszeichen gesetzt werden.
# Deshalb ist hier der & Operator zwingend nötig!
Dies Funktioniert auch mit Leerzeichen in den Argumenten.
& $Cmd $Arg1 $Arg2 $Arg3 $Arg4 $Arg5 $Arg6.
# oder einfacher als Array.
6. cmd /c – Die DOS Konsole zum Ausführen benutzen.
Man kann aus der PowerShell heraus die DOS Konsole zum Ausführen von Befehlen benutzen. Dies ist sehr nützlich zum Ausführen von DOS Befehlen. Nach ausführen des Befehls in der DOS Konsole wird das Ergebnis von der PowerShell in Textform empfangen.
7. Start-Process (Alias: start oder saps)
Mit Start-Process kann man ein ausführbares Programm mit einer anderen “Umgebung” starten. Man kann ein anderes Benutzerprofil, eine andere Identität (ähnlich wie: runas.exe) nutzen oder die Befehlsausgabe umleiten. Wenn Start-Process eine nicht ausführbare Datei übergeben wird, dann startet Start-Process die Datei mit dem Programm, das der Datei zugeordnet ist (vergleichbar mit dem Cmdlet “Invoke-Item”). Hier arbeitet Start-Process wie das bekannte ShellExecute (Windows Shell). Der Parameter –Verb steuert die Aktion die beim Starten des Prozesses ausgeführt werden soll. Hier ist z.B. PLAY bei einer WAV Sound Datei möglich oder RUNAS um den Prozess als Administrator auszuführen.
Start-Process gibt ein Process Objekt zurück, das man mit den Prozess Cmdlets verwalten kann.
Start-Process (Join-Path $env:temp Ping.txt)
8. .Net Methode [System.Diagnostics.Process]::Start()
Die .NET Klasse System.Diagnostics.Process mit Ihrer statischen Methode Start(), ist identisch mit dem Cmdlet Start-Process und wurde in der PowerShell 1.0 genutzt.
Trotzdem ist dies immer noch interessant da man hier mehr Möglichkeiten hat!
$ps.StartInfo.Arguments = ” 127.0.0.1 -t -n 5 -i 4 -w 500 -4″
[string] $Out = $ps.StandardOutput.ReadToEnd();
9. WMI Methode Win32_Process.Create()
Die WMI Methode Create() aus der Klasse Win32_Process erzeugt auf einem Rechner einen Prozess.
Dies kann auf dem lokalen Rechner geschehen oder über DCOM mit Hilfe des RPC Server-Programms auf entfernten Rechner remote.
PowerShell erhält als Ergebnis ein Objekt von Typ System.Management.ManagementBaseObject#\__PARAMETERS diese Objekt gibt die Prozess ID und die die Return Codes zurück.
Das Stop-Parsing Symbol –% ist ein bequemer neuer Weg in der PowerShell 3.0 um Komplizierte Parameter an ein Programm zu übergeben.
Das Stop-Parsing-Symbol (–%), teilt der Windows PowerShell mit das die folgenden Zeichen, bis zum Ende der Zeile, nicht Interpretiert werden sollen. Beim Aufruf eines ausführbaren Programms in Windows PowerShell, platzieren Sie ddas Stop-Parsing-Symbol, vor die Programm Argumente.
Nach dem Stop-Parsing-Symbol -%, werden die Argumente, bis zum Ende der Zeile, so übergeben wie sie sind.
# icacls in PowerShell 2.0 Starten.
# hier müssen viele Zeichen Maskiert werden (Escape)
# damit sie nicht falsch verstanden werden.
icacls X:\VMS /grant Dom\HVAdmin:`(CI`)`(OI`)F.
# icacls in PowerShell 3.0 Startenmit dem stop-parsing Symbol.
icacls X:\VMS –% /grant Dom\HVAdmin:(CI)(OI)F.
Wer die Wahl hat, hat die Qual ;-). Ich persönlich nutze in den meisten Fällen den Aufrufoperator & mit den Argumenten die einzeln in einem Array übergeben werden. Weil dies auch in der PowerShell 2.0 Funktioniert.
Technet Artikel in Englisch an dem ich mitgewirkt habe:
Cmd konsole als admin starten
Java EE (Java Platform, Enterprise Edition) ist eine durch Schnittstellen definierte Architektur fьr Unternehmensanwendungen, bestehend aus verschiedenen Komponenten.
JNDI (Java Naming and Directory Interface) ist ein Teil der Java-EE-Spezifikation und bietet einen Namens- und Verzeichnisdienst, ьber den Objekte und Dienste gefunden und verfьgbar gemacht werden.
Programmierbeispiele zur Verwendung des JNDI.
. finden Sie zum Beispiel unter:
Programmierbeispiel zum Auslesen der Namen im JNDI-Context.
Besonders zu Beginn kann es sehr hilfreich sein, die genauen Namen aller JNDI-Eintrдge anzeigen zu lassen. Zum Beispiel der Name fьr das 'UserTransaction'-Objekt heiЯt bei den verschiedenen Java EE Application Servern unterschiedlich.
Sie benцtigen ein installiertes aktuelles Java SE JDK.
Sie benцtigen einen installierten Java EE Application Server, zum Beispiel Sun GlassFish, JBoss, Oracle WebLogic oder IBM WebSphere.
Ьberprьfen Sie die Installation. Starten und stoppen Sie den Server je nach Java EE Application Server, Plattform und Installationsart zum Beispiel mit Kommandos дhnlich zu:
GlassFish\bin\asadmin stop-domain domain1.
cmd.exe /c "\IbmWebSphere\AppServer\profiles\AppSrv01\bin\stopServer.bat" server1 -profileName AppSrv01.
Ьberprьfen Sie auch die Administrator-Management-Konsole. Je nach Java EE Application Server, Plattform und Installationsart zum Beispiel ьber folgende URLs:
Legen Sie eine Projektverzeichnisstruktur an, zum Beispiel so:
Bei einigen Java EE Application Servern (z.B. GlassFish und JBoss) kцnnen Sie die benцtigten AppServer-spezifischen .jar-Libs kopieren (z.B. in das Unterverzeichnis <MeinJndiProjekt>/lib ). Bei anderen Java EE Application Servern (z.B. WebLogic 10.3) mьssen Sie eine bestimmte .jar-Lib aus dem AppServer-Verzeichnis dem Classpath hinzugefьgen, weil die Libs weitere Dateien in AppServer-Verzeichnissen benцtigen. Alternativ kцnnen Sie bei einigen AppServern auch eine komplette .jar-Lib erstellen, z.B. fьr WebLogic eine wlfullclient.jar oder fьr WebSphere eine AppClient-Lib.
(siehe auch META-INF/MANIFEST.MF in appserv-rt.jar)
Fьr den JNDI-Zugriff sind Voreinstellungen notwendig. Eine Mцglichkeit ist, die Parameter im Java-Code in einer ' HashTable ' dem ' InitialContext() '-Konstruktor direkt zu ьbergeben. Siehe hierzu das Programmierbeispiel: jee-transaktionen.htm#Client-JTA-DataSource.
Der ьblichere weil flexiblere Weg ist eine ' jndi.properties '-Datei im Classpath anzulegen.
Legen Sie im Projektverzeichnis ' <MeinJndiProjekt> ' eine zum verwendeten Java EE Application Server passende ' jndi.properties '-Datei an (Passen Sie den ' java.naming.provider.url '-Eintrag an die Adresse Ihres Java EE Application Servers an). Beispiele:
Fьr GlassFish V2 :
(Siehe auch jndi.properties in appserv-rt.jar.)
Fьr Oracle WebLogic :
Fьr IBM WebSphere ьber IBM-WebSphere-Libs :
Fьr IBM WebSphere ьber Sun-j2ee.jar-Lib :
(Eventuell in der 'j2ee-server-plan.xml' unter 'allowHosts' erlaubten IP-Adressbereich eintragen.)
Fьr alle: Mit Anmelde-Account :
Die folgende Testroutine zeigt eine Liste der Namen im aktuellen JNDI-Context.
Bei laufendem Java EE Application Server цffnen Sie ein Kommandozeilenfenster und geben die folgenden Kommandos ein, nachdem Sie diese an Ihren Java EE Application Server angepasst haben, z.B. mit den oben genannten zum AppServer passenden AppServer-Client-Libs:
Falls Sie keine Ausgabe erhalten, kцnnen Sie Folgendes probieren:
Um die erkannten Context-Properties zu ьberprьfen, fьgen Sie hinter der Zeile ' InitialContext ctx = new InitialContext(); ' folgende zusдtzliche Zeile ein:
Um eventuell ungewollte Exceptions zu sehen, fьgen Sie hinter der Zeile ' > catch( javax.naming.NamingException ex ) ' folgende zusдtzliche Zeile ein:
Falls Sie eine Fehlermeldung дhnlich zu ' java.lang.NoClassDefFoundError ' oder ' javax.naming.NoInitialContextException: Cannot instantiate class ' erhalten, fehlt eine benцtigte .jar-Library (z.B. ' jbossall-client.jar ' bzw. ' weblogic.jar ', . ) (entweder im ' lib '-Verzeichnis oder in der ' CLASSPATH '-Angabe).
Falls Sie eine Fehlermeldung дhnlich zu ' javax.naming.NoInitialContextException: Need to specify class name . java.naming.factory.initial ' erhalten, befindet sich das Verzeichnis von ' jndi.properties ' nicht im Classpath.
Falls JNDI nicht funktioniert: Fahren Sie den Java EE Application Server herunter und ьberprьfen Sie, ob der JNDI-Port (z.B. fьr JBoss: 1099) durch ein anderes Programm belegt ist. Rufen Sie hierfьr in einem Kommandozeilenfenster zum Beispiel netstat -a , netstat -a -b -n oder telnet 127.0.0.1 1099 auf.
Je nach Java EE Application Server kann der JNDI-Port eventuell notfalls verstellt werden (z.B. bei JBoss ьber die JBoss-NamingService-MBean entweder ьber die JMX Console oder die entsprechende jboss-xxx.xml-Datei).
Manche Java EE Application Server listen nicht alle Eintrдge, wenn sie von auЯerhalb abgefragt werden. Dann kann es sinnvoll sein, die Abfrage als Servlet zu implementieren, wie das folgende Beispiel zeigt:
Das Servlet muss in die web.xml eingetragen werden, zum Beispiel durch folgenden Block (bitte " . " durch den Package-Pfad ersetzen):
Das Servlet kцnnen Sie beliebigen Webanwendungen hinzufьgen, zum Beispiel der Webanwendung mit Servlet, JSP, JavaBean, . .
Service Locator (fьr EJB 2)
Bei Remote-Zugriffen mьssen Referenzen auf entfernete Objekte erzeugt werden.
Eine Sequenz zur Erlangung einer EJB2-Referenz lautet zum Beispiel:
Object ref = ctx.lookup("java:comp/env/ejb/MeinEjbJndiName");
IMeinEjbNameHome home = (IMeinEjbNameHome)PortableRemoteObject.narrow(ref,IMeinEjbNameHome.class);
IMeinEjbName meinEjbName = home.create();
Das Initialisieren des 'InitialContext', der 'lookup()' im 'InitialContext' und der 'PortableRemoteObject.narrow()'-Aufruf kцnnen mehrere Sekunden dauern. Damit diese Vorgдnge nur einmal stattfinden, sollten die 'EJBHome'-Objekte gecacht werden.
Eine Realisierung kцnnte zum Beispiel folgendermaЯen aussehen:
Von den beiden Alternativen ' getHome( Class homeClass ) ' und ' getHome( String name ) ' sollte nur eine verwendet werden.
Der Prдfix-String " java:comp/env/ejb/ " muss eventuell angepasst werden.
Windows 10: Eingabeaufforderung öffnen und nutzen - So geht's.
Schaut euch hier direkt im Video an, wie ihr die Eingabeaufforderung öffnet:
Die Eingabeaufforderung ist ein Feature, das schon sehr lange in Windows dabei ist. Mit der Funktion öffnet ihr ein neues Fenster in dem ihr per Kommandozeile MS-DOS-Befehle auf der Tastatur eingeben könnt. Besonders praktisch ist das, wenn ihr Veränderungen am Betriebssystem vornehmen wollt, die nicht oder nur umständlich über die Systemsteuerung angesteuert werden können. Dazu findet ihr bei uns auch die wichtigsten CMD-Befehle in Windows auf einen Blick.
Zunächst müsst ihr aber erst einmal die Windows-Eingabeaufforderung öffnen. Wir zeigen euch, wie das geht!
Möchtet ihr mehr über die Geschichte von Windows wissen, könnt ihr euch durch unsere Bilderstrecke zu diesem Thema klicken:
Windows 10: Eingabeaufforderung öffnen.
In Windows 10 gibt es drei verschiedene Möglichkeiten die Eingabeaufforderung zu öffnen.
Mit einem Mausklick auf das Windows-Logo Per Tastenkombination Mit der Windows-Suche.
Sucht euch dabei einfach die Methode heraus, die euch am besten gefällt – alle funktionieren gleichermaßen gut. Noch ein Hinweis vorweg: Bei Änderungen am System sind manchmal Administrator-Zugriffberechtigungen erforderlich – in diesem Fall müsst ihr die Eingabeaufforderung in Windows 10 als Administrator ausführen. Passt dabei aber auf, was ihr macht: Befehle die ihr per Eingabeaufforderung eingebt, können euer System in Mitleidenschaft ziehen – ihr solltet also genau wissen, welche Konsequenzen eure Eingaben haben.
Eingabeaufforderung über das Windows-Logo öffnen.
So öffnet ihr die Eingabeaufforderung in Windows 10 über das Windows-Logo:
Klickt mit der rechten Maustaste auf das Windows-Logo (links unten auf dem Bildschirm). Jetzt öffnet sich das erweiterte Startmenü. Wählt hier den Eintrag Eingabeaufforderung aus.
Eingabeaufforderung per Tastenkombination öffnen.
So öffnet ihr die Eingabeaufforderung in Windows 10 per Tastenkombination:
Drückt die Tastenkombination Windows + X . Es öffnet sich ein Kontext-Menü. Wählt den Eintrag Eingabeaufforderung aus.
Eingabeaufforderung mit Windows-Suche öffnen.
So öffnet ihr die Eingabeaufforderung in Windows 10 mit der Windows Suche:
Am unteren Rand des Bildschirms findet ihr die Cortana-Suchleiste – gebt hier den Befehl cmd ein. Es öffnet sich eine Liste – klickt den Eintrag Eingabeaufforderung mit der rechten Maustaste an. Wählt aus dem nächsten Menü die Option Ausführen aus.
Kauftipp – Windows 10 in der Pro-Version bekommt ihr hier zum Hammerpreis von unter 20 Euro:
Windows: Eingabeauffordung als Administrator öffnen.
Um tiefere Eingriffe im Betriebssystem vorzunehmen, müsst ihr die Eingabeaufforderung als Administrator öffnen – damit bekommt ihr mehr Zugriffsrechte, um Änderungen vorzunehmen.
In Windows 10 öffnet ihr die Eingabeaufforderung als Admin folgendermaßen:
Klickt mit der rechten Maustaste auf das Windows-Symbol. um das Kontext-Menü zu öffnen. Alternativ drückt ihr gleichzeitig auf die Tasten + . Wählt danach die Option „Eingabeaufforderung (Administrator)“. Es erscheint eine Abfrage: Bestätigt den Vorgang indem ihr auf „Ja“ klickt – jetzt habt ihr Zugriff auf die Konsole.
Tipp: Es gibt in Windows 10 noch eine andere Kommandozeile, die sogenannte Powershell. Wie ihr sie öffnet, erfahrt ihr im Artikel Windows 10: Powershell öffnen – So geht’s.
Eingabeaufforderung in Windows 8, 7, XP und Vista öffnen.
In den älteren Versionen von Windows unterscheidet sich der Vorgang, die Eingabeaufforderung zu öffnen, ein wenig.
Klickt mit der rechten Maustaste auf das Windows-Symbol unten links im Bildschirm. Wartet bis sich das Dropdown-Menü öffnet. Wählt dann aus der Liste den Eintrag „Eingabeaufforderung“ oder die „Eingabeaufforderung (Administrator)“ aus.
Windows 7 und Windows Vista.
Klickt unten links im Bildschirm auf das Windows-Symbol, um das Startmenü zu öffnen. Gebt dann den Befehl „cmd“ in die Suchzeile ein. Jetzt erscheint eine Liste, auf der ihr die Option „Eingabeaufforderung“ findet. Wählt das Suchergebnis einfach aus. Mit einem Rechtsklick startet ihr die Eingabeaufforderung ebenfalls als Administrator.
Öffnet das Startmenü und klickt auf den Punkt „Programme“. Klickt dann auf das Untermenü „Zubehör“. Zuletzt wählt ihr den Eintrag „Eingabeaufforderung“, um die Konsole auszuführen.
Neuerungen bei der Eingabeaufforderung in Windows 10.
Bei der Eingabeaufforderung in älteren Versionen von Windows musste man die Befehle in der Eingabeaufforderung mit der Tastatur eingeben. Die Eingabeaufforderung in Windows 10 erlaubt es, euch eingegeben Text per Copy-Paste-Verfahren zu kopieren und wieder einzufügen – das ist praktisch, wenn man nur einzelne Parameter in einem Befehl ändern muss, da man sich damit die erneute Eingabe des gesamten Befehls erspart. So aktiviert ihr das Feature:
Öffnet die Eingabeaufforderung mit einer der oben beschriebenen Methoden. Klickt die obere Leiste der Eingabeaufforderung mit der rechten Maustaste an. Wählt aus dem Menü die Option Eigenschaften . Setzt dann ein Häkchen bei der Option STRG-Tastenkombinationen aktivieren .
Anschließend könnt ihr den Text mit dem Befehl Strg-C in die Zwischenablage kopieren und an einer beliebigen Stelle mit Strg-V einfügen. Den Text markiert ihr mit der Tastenkombination Shift + Links/Rechts/Auf/Ab. Weitere Tastenkombinationen für Windows 10 findet ihr übrigens in diesem Artikel: Windows 10: Die besten Tastenkombinationen und Shortcuts.
Alles zu Windows 10.
So öffnet ihr die Eingabeaufforderung in Windows 10. Hat alles bei euch geklappt?
Installieren des Intune-Softwareclients auf Windows-PCs Install the Intune software client on Windows PCs.
In diesem Artikel.
Windows-PCs können mithilfe der Installation der Intune-Clientsoftware registriert werden. Windows PCs can be enrolled by installing the Intune client software. Die Intune-Clientsoftware kann mithilfe der folgenden Methoden installiert werden: The Intune client software can be installed by using the following methods:
Vom IT-Administrator, mithilfe einer der folgenden Methoden: Manuelle Installation, Gruppenrichtlinie oder in einem Datenträgerimage enthaltene Installation By the IT admin, using one of these methods: manual installation, Group Policy, or installation included in a disk image.
Von Endbenutzern, die die Clientsoftware manuell installieren By end users, who manually install the client software.
Die Intune-Clientsoftware enthält die für die Registrierung des PCs in der Intune-Verwaltung mindestens erforderliche Software. The Intune client software contains the minimum software necessary to enroll the PC in Intune management. Nach der Registrierung eines PCs lädt die Intune-Clientsoftware dann die vollständige Clientsoftware herunter, die für die Verwaltung des PC benötigt wird. After a PC has been enrolled, the Intune client software then downloads the full client software required for PC management.
Diese Downloadserie verringert die Auswirkungen auf die Netzwerkbandbreite und reduziert die Zeit, die zur ersten Registrierung des PC in Intune erforderlich ist, auf ein Mindestmaß. This series of downloads reduces the impact on the network's bandwidth and minimizes the time required to initially enroll the PC in Intune. Außerdem wird sichergestellt, dass auf dem Client die neueste verfügbare Software läuft, nachdem der zweite Download abgeschlossen ist. It also ensures that the client has the most recent software available after the second download has finished.
Eine Lizenz für Intune ermöglicht die Installation der Intune-Clientsoftware auf bis zu fünf PCs. One Intune license allows the installation of the Intune client software on up to five PCs.
Herunterladen der Intune-Clientsoftware Download the Intune client software.
Mit Ausnahme der Methode, bei denen Benutzer die Intune-Clientsoftware selbst installieren, erfordern alle Methoden, dass die Software zuerst von IT-Administratoren heruntergeladen wird, damit sie anschlieГџend den Endbenutzern bereitgestellt werden kann. All methods, except those in which users install the Intune client software themselves, require that IT admins download the software first so that it can be subsequently deployed to end users.
Klicken Sie auf der Seite Clientsoftwaredownload auf Clientsoftwaredownload . On the Client Software Download page, click Download Client Software . Speichern Sie anschließend das Paket Microsoft_Intune_Setup.zip , das die Software enthält, an einem sicheren Speicherort in Ihrem Netzwerk. Then save the Microsoft_Intune_Setup.zip package that contains the software to a secure location on your network.
Das Installationspaket der Intune-Clientsoftware enthält eindeutige und spezifische Informationen zu Ihrem Konto, die über ein eingebettetes Zertifikat verfügbar sind. The Intune client software installation package contains unique and specific information, which is available through an embedded certificate, about your account. Wenn nicht autorisierte Benutzer Zugriff auf das Installationspaket erhalten, können sie PCs bei dem Konto registrieren, dem das eingebettete Zertifikat entspricht, und möglicherweise Zugriff auf Unternehmensressourcen erhalten. If unauthorized users gain access to the installation package, they can enroll PCs to the account that is represented by its embedded certificate and might gain access to company resources.
Extrahieren Sie an dem sicheren Ort in Ihrem Netzwerk den Inhalt des Installationspakets. Extract the contents of the installation package to the secure location on your network.
Sie dГјrfen die extrahierte Datei ACCOUNTCERT weder umbenennen noch entfernen, da sonst die Installation der Clientsoftware misslingt. Do not rename or remove the ACCOUNTCERT file that is extracted, or the client software installation will fail.
Manuelles Bereitstellen der Clientsoftware Deploy the client software manually.
Auf den Computern, auf denen die Clientsoftware installiert werden soll, wechseln Sie zu dem Ordner, in dem sich die Installationsdateien der Clientsoftware befinden. On the computer(s) on which the client software is going to be installed, go to the folder where the client software installation files are located. FГјhren Sie dann Microsoft_Intune_Setup.exe aus, um die Clientsoftware zu installieren. Then run Microsoft_Intune_Setup.exe to install the client software.
Der Installationsstatus wird angezeigt, wenn Sie mit dem Mauszeiger auf das Symbol in der Taskleiste des Client-PCs zeigen. The status of the installation is displayed when you hover over the icon in the taskbar on the client PC.
Bereitstellen der Clientsoftware mithilfe von Gruppenrichtlinien Deploy the client software by using Group Policy.
Führen Sie im Ordner, der die Dateien Microsoft_Intune_Setup.exe und MicrosoftIntune.accountcert enthält, den folgenden Befehl aus, um die Windows Installer-basierten Installationsprogramme für 32-Bit- und 64-Bit-Computer zu extrahieren: In the folder that contains the files Microsoft_Intune_Setup.exe and MicrosoftIntune.accountcert , run the following command to extract the Windows Installer-based installation programs for 32-bit and 64-bit computers:
Kopieren Sie die Dateien Microsoft_Intune_x86.msi , Microsoft_Intune_x64.msi und MicrosoftIntune.accountcert in einen Netzwerkpfad, auf den alle Computer, auf denen die Clientsoftware installiert werden soll, zugreifen können. Copy the Microsoft_Intune_x86.msi file, the Microsoft_Intune_x64.msi file, and the MicrosoftIntune.accountcert file to a network location that can be accessed by all computers on which the client software is going to be installed.
Benennen Sie die Dateien nicht um, und trennen sie sie nicht, da bei der Installation der Clientsoftware sonst ein Fehler auftritt. Do not separate or rename the files or the client software installation will fail.
Verwenden Sie Gruppenrichtlinien, um die Software auf Computern in Ihrem Netzwerk bereitzustellen. Use Group Policy to deploy the software to computers on your network.
Weitere Informationen zum automatischen Bereitstellen von Software mithilfe von Gruppenrichtlinien finden Sie unter Gruppenrichtlinien für Anfänger. For more information about how to use Group Policy to automatically deploy software, see Group Policy for Beginners.
Bereitstellen der Clientsoftware als Teil eines Images Deploy the client software as part of an image.
Sie können die Intune-Clientsoftware als Teil eines Betriebssystemabbilds auf Computern installieren. Verwenden Sie dazu die folgende Vorgehensweise als Leitfaden: You can deploy the Intune client software to computers as part of an operating system image by using the following procedure as a guide:
Kopieren Sie die Clientinstallationsdateien Microsoft_Intune_Setup.exe und MicrosoftIntune.accountcert in den Ordner %Systemdrive%\Temp\Microsoft_Intune_Setup auf dem Referenzcomputer. Copy the client installation files, Microsoft_Intune_Setup.exe and MicrosoftIntune.accountcert , to the %Systemdrive%\Temp\Microsoft_Intune_Setup folder on the reference computer.
Erstellen Sie den Registrierungseintrag WindowsIntuneEnrollPending , indem Sie dem Skript SetupComplete.cmd den folgenden Befehl hinzufГјgen: Create the WindowsIntuneEnrollPending registry entry by adding the following command to the SetupComplete.cmd script:
Fügen Sie setupcomplete.cmd den folgenden Befehl hinzu, um das Registrierungspaket mit dem Befehlszeilenargument „/PrepareEnroll“ auszuführen: Add the following command to setupcomplete.cmd to run the enrollment package with the /PrepareEnroll command-line argument:
Mithilfe des Skripts SetupComplete.cmd können von Windows Setup Veränderungen am System vorgenommen werden, bevor sich ein Benutzer anmeldet. The SetupComplete.cmd script enables Windows Setup to make modifications to the system before a user signs on. Durch das Befehlszeilenargument /PrepareEnroll wird ein Zielcomputer auf die automatische Registrierung bei Intune nach Beenden von Windows Setup vorbereitet. The /PrepareEnroll command-line argument prepares a targeted computer to be automatically enrolled in Intune after Windows Setup finishes.
Legen Sie die Datei SetupComplete.cmd auf dem Referenzcomputer im Ordner %Windir%\Setup\Scripts ab. Put SetupComplete.cmd in the %Windir%\Setup\Scripts folder on the reference computer.
Erstellen Sie ein Systemabbild des Referenzcomputers, und stellen sie es auf den Zielcomputern bereit. Capture an image of the reference computer and then deploy this to targeted computers.
Wenn der Zielcomputer nach Beenden von Windows Setup neu gestartet wird, wird der RegistrierungsschlГјssel WindowsIntuneEnrollPending erstellt. When the targeted computer restarts at the completion of Windows Setup, the WindowsIntuneEnrollPending registry key is created. Mit dem Registrierungspaket wird ГјberprГјft, ob der Computer registriert ist. The enrollment package checks to see if the computer is enrolled. Wenn der Computer registriert ist, ist keine weitere Aktion erforderlich. If the computer is enrolled, no further action is taken. Wenn der Computer nicht registriert ist, wird vom Registrierungspaket eine Aufgabe zur automatischen Microsoft Intune-Registrierung erstellt. If the computer is not enrolled, the enrollment package creates a Microsoft Intune Automatic Enrollment Task.
Bei der Ausführung dieser Aufgabe zur automatischen Registrierung zum nächsten geplanten Zeitpunkt prüft die Aufgabe das Vorhandensein des Registrierungswerts WindowsIntuneEnrollPending und versucht, den Ziel-PC bei Intune zu registrieren. When the automatic enrollment task runs at the next scheduled time, it checks the existence of the WindowsIntuneEnrollPending registry value, and it tries to enroll the targeted PC in Intune. Sollte die Registrierung aus einem beliebigen Grund fehlschlagen, wird die Registrierung beim nächsten Ausführen der Aufgabe erneut versucht. If the enrollment fails for any reason, the enrollment is retried the next time the task runs. Die Wiederholungen werden für einen Monat ausgeführt. The retries continue for a month.
Die Aufgabe zur automatischen Intune-Registrierung, der Registrierungswert WindowsIntuneEnrollPending und das Kontozertifikat werden entweder vom Zielcomputer gelöscht, sobald die Registrierung erfolgreich war oder ein Monat vergangen ist (egal was zuerst kommt). The Intune Automatic Enrollment Task, the WindowsIntuneEnrollPending registry value, and the account certificate are deleted from the targeted computer either when the enrollment is successful or after a month (whichever comes first).
Einweisen von Benutzern in die eigenständige Registrierung Instruct users to self-enroll.
Benutzer können die Intune-Clientsoftware installieren, indem Sie auf die Unternehmensportal-Website gehen. Users install the Intune client software by going to the Company Portal website. Die genauen Informationen, die den Benutzern im Webportal angezeigt werden, können je nach MDM-Autorität Ihres Kontos und je nach Betriebssystemplattform und Version des Benutzer-PCs variieren. The exact information that users see in the web portal varies, depending on your account's MDM Authority and the OS platform/version of the user's PC.
Wenn Benutzern keine Lizenz für Intune zugewiesen wurde oder die MDM-Autorität der Organisation nicht auf Intune festgelegt wurde, werden den Benutzern keine Optionen zum Registrieren angezeigt. If users haven't been assigned an Intune license or if the organization's MDM Authority hasn't been set to Intune, users aren't shown any options to enroll.
Wenn Benutzern eine Lizenz für Intune zugewiesen wurde und die MDM-Autorität der Organisation auf Intune festgelegt wurde: If users have been assigned an Intune license, and the organization's MDM Authority has been set to Intune:
Windows 7- oder Windows 8-PC-Benutzern wird die Option zum Anmelden bei Intune NUR angezeigt, indem sie die PC-Clientsoftware, die in ihrer Organisation eindeutig ist, herunterladen und installieren. Windows 7 or Windows 8 PC users are shown ONLY the option to enroll to Intune by downloading and installing the PC client software that is unique to their organization.
Windows 10- oder Windows 8.1-PC-Benutzern werden zwei Registrierungsoptionen angezeigt: Windows 10 or Windows 8.1 PC users are shown two enrollment options:
PC als mobiles Gerät registrieren : Benutzer wählen die Schaltfläche ANLEITUNG ZUM REGISTRIEREN und werden zu Anweisungen weitergeleitet, wie sie ihren PC als mobiles Gerät registrieren. Enroll PC as a mobile device : Users choose the Find Out How to Enroll button and are taken to instructions on how to enroll their PC as a mobile device. Diese Schaltfläche wird hervorgehoben angezeigt, da die MDM-Registrierung die Standardeinstellung und die bevorzugte Registrierungsoption ist. This button is prominently displayed, because MDM enrollment is considered to be the default and preferred enrollment option. Die MDM-Option ist jedoch nicht auf dieses Thema anwendbar, das nur die Installation der Clientsoftware behandelt. However, the MDM option is not applicable to this topic, which covers only the client software installation. Registrieren des PCs mit Intune-Clientsoftware : Ihre Benutzer müssen den Link Zum Herunterladen hier klicken auswählen, der sie durch die Installation der Clientsoftware führt. Enroll PC using the Intune client software : You'll need to tell your users to select the Click here to download it link, which takes them through the client software installation.
In der folgende Tabelle werden die Optionen zusammengefasst. The following table summarizes the options.
Die folgenden Screenshots zeigen, was die Benutzer sehen, wenn sie mithilfe des Softwareclients ihre Geräte registrieren. The following screenshots show what users see as they enroll their devices using the software client.
Benutzer werden zuerst aufgefordert, ihr Gerät zu identifizieren oder zu registrieren. Users are first prompted to identify or to enroll their device.
Damit Ihre Benutzer die PC-Clientsoftware installieren können, müssen Sie den Link Zum Herunterladen hier klicken auswählen, wodurch Benutzer die PC-Clientsoftware herunterzuladen können und sie durch den Installationsvorgang geführt werden. To have your users install the PC client software, you'll need to tell them to select the Click here to download it link, which enables users to download the PC client software and takes them through the installation process. Die ANLEITUNG ZUM REGISTRIEREN -Schaltfläche führt Benutzer zur Dokumentation für die Registrierung mithilfe der MDM-Registrierung, die für diese Softwareclient-Anweisungen nicht relevant ist. The Find out how to enroll button takes users to documentation about how to enroll using MDM enrollment, which is not relevant to these software client instructions.
Wenn Benutzer auf den Link klicken, sehen sie eine Software herunterladen -Schaltfläche, die sie auswählen, um die Installation der PC-Clientsoftware zu starten. When users click the link, they see a Download Software button, which they select to start the PC client software installation.
Benutzer werden dann aufgefordert, sich mit ihren Unternehmensanmeldeinformationen anzumelden. Users are then asked to sign in with their corporate credentials.
Benutzer werden auf die Willkommensseite fГјr die Installation gefГјhrt. Users are taken to the Welcome page for the installation.
Die Benutzer wählen Weiter aus, und die Installation wird gestartet. Users choose Next , and the installation starts.
Wenn die Installation abgeschlossen ist, wählen die Benutzer Fertig stellen aus. When the installation completes, users choose Finish .
Wenn Benutzer versuchen, ihren PC als mobiles Gerät zu registrieren, nachdem sie ihn bereits mithilfe der Intune-PC-Clientsoftware registriert haben, wird ihnen der folgenden Fehlerbildschirm angezeigt. If users try to enroll their PC as a mobile device after having already enrolled using the Intune PC client software, they see the following error screen.
Гњberwachen und ГњberprГјfen der erfolgreichen Clientbereitstellung Monitor and validate successful client deployment.
Verwenden Sie eins der folgenden Verfahren, um die erfolgreiche Clientbereitstellung zu Гјberwachen und zu ГјberprГјfen. Use one of the following procedures to help you monitor and validate successful client deployment.
So ГјberprГјfen Sie die Installation der Clientsoftware mithilfe der Microsoft Intune-Administratorkonsole To verify the installation of the client software from the Microsoft Intune administrator console.
Suchen Sie in der Liste der Computer die verwalteten Computer, von denen mit Intune kommuniziert wird. Um nach einem bestimmten verwalteten Computer zu suchen, geben Sie den Computernamen oder einen Teil des Namens in das Textfeld Geräte suchen ein. In the list, find the computers that are communicating with Intune, or search for a specific managed computer by typing the computer name (or any part of the name) in the Search devices box.
ГњberprГјfen Sie den Status des Computers im unteren Bereich der Konsole. Examine the status of the computer in the bottom pane of the console. Beheben Sie alle Fehler. Resolve any errors.
So erstellen Sie einen Computerinventurbericht zum Anzeigen aller registrierten Computer To create a computer inventory report to display all enrolled computers.
Belassen Sie auf der Seite Neuen Bericht erstellen die Standardwerte in den Feldern (sofern Sie keine Filter anwenden möchten), und klicken Sie anschließend auf Bericht anzeigen . On the Create New Report page, leave the default values in all fields (unless you want to apply filters), and then click View Report .
In einem neuen Fenster wird die Seite Computerinventurbericht geöffnet, auf der alle erfolgreich bei Intune registrierten Computer angezeigt werden. The Computer Inventory Report page opens in a new window that displays all computers that are successfully enrolled in Intune.
Klicken Sie im Bericht auf beliebige SpaltenГјberschriften, um die Liste nach dem Inhalt der betreffenden Spalte zu sortieren. Click any column heading in the report to sort the list by the contents of that column.
Deinstallieren der Windows-Clientsoftware Uninstall the Windows client software.
Es gibt zwei Möglichkeiten, die Registrierung der Clientsoftware von Windows aufzugeben: There are two ways to unenroll the Windows client software:
Гњber die Intune-Verwaltungskonsole aus (empfohlene Methode) From the Intune admin console (recommended method) Гњber eine Eingabeaufforderung auf dem Client From a command prompt on the client.
Registrierung durch Verwendung der Intune-Verwaltungskonsole aufheben Unenroll by using the Intune admin console.
Um die Registrierung des Softwareclients über die Intune-Verwaltungskonsole aufzuheben, navigieren sie zu Gruppen > Alle Computer > Geräte . To unenroll the software client by using the Intune admin console, go to Groups > All Computers > Devices . Klicken Sie mit der rechten Maustaste auf den Client, und wählen Sie Abkoppeln/Zurücksetzen aus. Right-click the client, and select Retire/Wipe .
Aufgeben der Registrierung durch Verwendung einer Eingabeaufforderung auf dem Client Unenroll by using a command prompt on the client.
Führen Sie mithilfe einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus. Using an elevated command prompt, run one of the following commands.
Beachten Sie, dass alle diese Agents auf jeder Windows-SKU installiert sind: Note that all of these agents are installed on every SKU of Windows:
Durch die Aufhebung der Registrierung eines Clients verbleibt ein ungesicherter Bericht auf Serverseite für den betroffenen Client. Client unenrollment will leave a stale sever-side record for the affected client. Der Vorgang zur Aufhebung der Registrierung ist asynchron. Es gibt neun Agents, die gelöscht werden müssen, also dauert es bis zu 30 Minuten, bis der Vorgang abgeschlossen ist. The unenrollment process is asynchronous, and there are nine agents to uninstall, so it may take up to 30 mins to complete.
ГњberprГјfen des Status der Aufhebung der Registrierung Check the unenrollment status.
Überprüfen Sie „%ProgramFiles%\Microsoft\OnlineManagement“, und stellen Sie sicher, dass ausschließlich die folgenden Verzeichnisse auf der linken Seite angezeigt werden: Check "%ProgramFiles%\Microsoft\OnlineManagement" and ensure that only the following directories are shown on the left:
AgentInstaller AgentInstaller Protokolle Logs Updates Updates Allgemein Common.
Entfernen des Ordner „OnlineManagement“ Remove the OnlineManagement folder.
Der Prozess zur Aufhebung der Registrierung entfernt nicht den OnlineManagement-Ordner. The unenrollment process does not remove the OnlineManagement folder. Warten Sie nach der Deinstallation 30 Minuten, und führen Sie dann diesen Befehl aus. Wait 30 minutes after the uninstall, and then run this command. Wenn Sie ihn zu früh ausführen, kann die Deinstallation in einem unbekannten Status verbleiben. If you run it too soon, the uninstall could be left in an unknown state. Um den Ordner zu entfernen, starten Sie einen Befehl mit erhöhten Rechten, und führen Sie folgendes aus: To remove the folder, start an elevated prompt and run:
Cmd konsole als admin starten
Trend Micro, Inc.
Trend Micro™ OfficeScan™
Diese Readme-Datei war zum oben genannten Zeitpunkt aktuell. Es wird jedoch allen Kunden empfohlen, sich auf der Trend Micro Website unter http://docs.trendmicro.com/de-de/enterprise/officescan.aspx ьber Updates zu informieren.
Registrieren Sie sich innerhalb von 30 Tagen nach der Installation online bei Trend Micro, damit Sie auch weiterhin neue Pattern-Dateien und Produkt-Updates von der Trend Micro Website beziehen kцnnen. Registrieren Sie sich wдhrend der Installation oder online unter https://olr.trendmicro.com.
Das Trend Micro Team ist stets bemьht, die Dokumentation zu verbessern. Ihre Meinung ist uns wichtig. Bitte bewerten Sie diese Dokumentation auf der folgenden Website: http://docsstg.trendmicro.com/en-us/survey.aspx.
1. Info ьber OfficeScan.
Trend Micro™ OfficeScan™ schьtzt Unternehmensnetzwerke vor Malware, Netzwerkviren, webbasierten Bedrohungen, Spyware und kombinierten Bedrohungen. Als integrierte Lцsung besteht OfficeScan aus einem Agent-Programm, das sich auf dem Endpunkt befindet, und einem Serverprogramm, das alle Agents verwaltet. Der Agent ьberwacht den Endpunkt und sendet dessen Sicherheitsstatus an den Server. Ьber die webbasierte Management-Konsole vereinfacht der Server das Festlegen koordinierter Sicherheitsrichtlinien und verteilt Updates an alle Agents.
OfficeScan wird vom Trend Micro™ Smart Protection Network™ unterstьtzt, einer Sicherheitsinfrastruktur mit webbasiertem Client der nдchsten Generation, die intelligentere Sicherheit als herkцmmliche Ansдtze liefert. Die einzigartige In-the-Cloud-Technologie und ein leichtgewichtiger Agent verringern die Abhдngigkeit von konventionellen Pattern-Downloads und sorgen dafьr, dass im Zusammenhang mit Desktop-Updates keine Verzцgerungen mehr auftreten. Unternehmen profitieren von der grцЯeren Netzwerkbandbreite, dem reduzierten Verarbeitungsaufwand und den damit verbundenen Kostenersparnissen. Benutzer erhalten standortunabhдngig direkten Zugriff auf die neuesten Sicherheitsfunktionen – innerhalb des Unternehmensnetzwerks, von zu Hause oder von unterwegs.
OfficeScan umfasst die folgenden neuen Funktionen und Erweiterungen:
Verbesserung des Ransomwareschutzes.
Der Schutz vor Ransomware-Angriffen wurde weiter verbessert. OfficeScan Agents kцnnen nun von Ransomware-Bedrohungen verschlьsselte Dateien wiederherstellen, Ransomware zugeordnete Prozesse sperren und gefдhrdete ausfьhrbare Dateien daran hindern, das Netzwerk zu infizieren.
Verbesserung beim Schutz vor neu erkannten Programmen.
Zur Optimierung der Sicherheitsrichtlinie zum Ransomware-Schutz auf einzelnen Agents wurde die Funktion zum Schutz vor neu erkannten Programmen in das Fenster mit den Einstellungen fьr die Verhaltensьberwachung verschoben.
Darьber hinaus kцnnen Sie die Nachricht anpassen, die auf Agent-Endpunkten angezeigt wird, nachdem ein Benutzer ein neu erkanntes Programm heruntergeladen und ausgefьhrt hat.
Das Modul fьr vorrausschaunde Maschinenlernen kann Ihr Netzwerk mit Hilfe erweiterter Dateifunktionsanalysen und heuristischer Prozessьberwachung vor neuen, zuvor unerkannten oder unbekannten Gefahren schьtzen. Mit vorrausschaunde Maschinenlernen kцnnen Zero-Day-Angriffe verhindert werden, indem die Wahrscheinlichkeit fьr das Vorhandensein einer Bedrohung in einer Datei oder einem Prozess und die mцgliche Bedrohungsart ermittelt werden.
Der OfficeScan Edge-Relais-Server bietet Ihnen mehr Transparenz und verbesserten Schutz fьr Endpunkte, die das lokale Intranet verlassen, indem folgende Funktionen bereitgestellt werden:
Synchronisierung der Listen der verdдchtigen Objekte Exemplar Zusendung Protokollweiterleitung Ьbermittlung von Statusinformationen des Agents, wie z. B. aktuelles Pattern und Komponentenversionen.
Zusendung einer Verdдchtige Datei.
Zur weiteren Verbesserung der Integration mit einem Deep Discovery Virtual Analyzer kцnnen OfficeScan Agents nun verdдchtige Dateien, die unter Umstдnden noch unbekannte Bedrohungen enthalten, erkennen und zu Analysezwecken direkt an den Virtual Analyzer senden. Nachdem das Vorhandensein einer Bedrohung bestдtigt wurde, werden die Listen verdдchtiger Objekte sofort aktualisiert und mit allen Agents synchronisiert, wodurch die Verbreitung der Bedrohung im Netzwerk verhindert wird.
Verbesserungen der Dashboard-Benutzeroberflдche.
Das Dashboard wurde umgestaltet und bietet nun mehr Transparenz im Hinblick auf den Schutzstatus des Netzwerks.
Verbesserungen bei der Integration des Control Managers.
Zur Vermeidung unbefugter Kommunikation zwischen dem Control Manager Server und dem OfficeScan Server muss bei der Registrierung des Control Managers Zertifikatsauthentifizierung durchgefьhrt werden. Die Richtlinienverwaltung durch den Control Manager Server erfolgt unter Verwendung der Verschlьsselung mit цffentlichen Schlьsseln.
Schutz vor Schwachstellen.
Bei der Echtzeitsuche kцnnen Sie mit Hilfe von CVE-Schwachstellen (Common Vulnerabilities and Exposures) Bedrohungen erkennen und sperren.
Bei der Verhaltensьberwachung kann darьber hinaus ungewцhnliches Programmverhalten erkannt werden, das im Zusammenhang mit Angriffen auf Schwachstellen ьblich ist.
Verbesserung bei verdдchtigen Verbindungen.
Sie kцnnen die Funktion fьr verdдchtige Verbindungen jetzt so konfigurieren, dass von der globalen C&C-IP-Liste und dem Malware-Fingerabdruck fьr Netzwerke erkannte Netzwerkverbindungen protokolliert oder gesperrt werden kцnnen.
Verbesserungen bei Firewalls.
Der Anwendungsfilter der OfficeScan Firewall bietet nun Unterstьtzung fьr Windows 8 und hцhere Plattformen.
Sie kцnnen OfficeScan Agent-Benutzern die Berechtigung zum Konfigurieren der Firewall-Sicherheitsstufe und -Ausnahmenliste erteilen.
Der zuvor verwendete Begriff "Roaming-Modus" wurde in "Unabhдngiger Modus" umbenannt.
Plattform- und Browser-Unterstьtzung.
Diese Version von OfficeScan bietet Unterstьtzung fьr Folgendes:
Hinweis: Diese Version von OfficeScan bietet keine weitere Unterstьtzung fьr den Apache Webserver.
Bekannte Probleme, die behoben wurden.
OfficeScan XG hat die folgenden Softwareprobleme gelцst:
Weitere Informationen zu Hotfix-Lцsungen und den Verbesserungen, die in OfficeScan XG vorgenommen wurden, finden Sie unter:
Der Lieferumfang von OfficeScan Server umfasst folgende Dokumentation:
Installations- und Upgrade-Handbuch: Ein PDF-Dokument, in dem Anforderungen und Verfahren zum Installieren des OfficeScan Servers und zum Aktualisieren des Servers und der Agents beschrieben werden Administratorhandbuch: Ein PDF-Dokument mit folgenden Inhalten: Informationen ьber die ersten Schritte, Verfahren zur Agent-Installation, OfficeScan Server- und OfficeScan Agent-Verwaltung Hilfe: Im WebHelp-Format erstellte HTML-Dateien, die Anleitungen, allgemeine Benutzerhinweise und oberflдchenspezifische Informationen enthalten. Auf die Hilfe kann ьber die OfficeScan Server-, Agent- und Policy Server-Konsolen sowie ьber das OfficeScan Master Setup zugegriffen werden. Readme-Datei: Enthдlt eine Liste bekannter Probleme und grundlegende Installationshinweise. Die Datei kann auch neueste Produktinformationen enthalten, die noch nicht in der Hilfe oder in gedruckter Form zur Verfьgung stehen. Knowledge Base: Eine Online-Datenbank mit Informationen zur Problemlцsung und Fehlerbehebung. Sie enthдlt aktuelle Hinweise zu bekannten Softwareproblemen. Die Knowledge Base finden Sie im Internet unter folgender Adresse: http://esupport.trendmicro.com.
Die neuesten Versionen der PDF-Dokumente und der Readme finden Sie unter http://docs.trendmicro.com/de-de/enterprise/officescan.aspx.
Der OfficeScan Server und Agent kann auf Endpunkten unter Microsoft Windows-Plattformen installiert werden. Der OfficeScan Agent ist auch mit verschiedenen Produkten von Drittanbietern kompatibel.
Auf der folgenden Website erhalten Sie eine vollstдndige Liste der Systemvoraussetzungen und kompatibler Produkte von Drittanbietern:
GrцЯe des Verteilungspakets.
Hinweis: Die GrцЯen fьr alle folgenden Verteilungspakete beziehen sich auf Pakete, die keine zusдtzlichen Plug-in-Funktionen enthalten. Die GrцЯe des Verteilungspakets kann variieren, wenn das Paket zusдtzliche Plug-in-Funktionen enthдlt.
GrцЯe des neuen Installationspakets (32/64 Bit) ьber Agent Packager Tool.
Installationspaket (Herkцmmliche Suche) = 139 MB Installationspaket (Intelligente Suche) = 103 MB.
Installationspaket (Herkцmmliche Suche) = 170 MB Installationspaket (Intelligente Suche) = 133 MB.
MSI-Installationspaket (Herkцmmliche Suche) = 264 MB MSI-Installationspaket (Intelligente Suche) = 227 MB.
Weitere Anweisungen zu den nachfolgenden Themen finden Sie im Installations- und Upgrade-Handbuch:
Installation des OfficeScan Servers Upgrade des OfficeScan Servers und der Agents Rollback der Agents auf eine Vorgдngerversion von OfficeScan.
Weitere Informationen zur OfficeScan Agent-Installation finden Sie im Administratorhandbuch .
6. Konfiguration nach der Installation.
Ьberprьfen Sie, ob der OfficeScan Server upgegradet wurde.
Klicken Sie in der Webkonsole auf Hilfe > Info . Es sollten die Versionsinformationen XG, Build 1222 angezeigt werden.
In der Control Manager Konsole sollte als OfficeScan Version 1222 angezeigt werden.
Hinweis: Trend Micro empfiehlt die Installation von Trend Micro Control Manager™ 6.0 SP 3 Patch 2, um Kompatibilitдt mit OfficeScan XG sicherzustellen.
Falls das Update fehlgeschlagen ist, fьhren Sie umgehend ьber Updates > Server > Manuelles Update ein manuelles Update durch. Weitere Informationen ьber typische Update-Probleme und Lцsungen finden Sie in der Online-Hilfe. Sie kцnnen sich auch an Ihren Support-Anbieter wenden.
Agent-Installation auf den unterstьtzten Plattformen.
Benutzer, die den OfficeScan Agent ьber die Webinstallationsseite auf einem Endpunkt unter Windows 7, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8, Server 2012 oder Server 2016 installieren mцchten, sollten vor der Installation folgende Informationen erhalten:
Melden Sie sich mit dem integrierten Administratorkennwort beim Endpunkt an. Цffnen Sie den Internet Explorer, und fьgen Sie den Link des OfficeScan Servers (beispielsweise https://computername:4343/officescan) zur Liste der vertrauenswьrdigen Websites hinzu. In Internet Explorer kann auf die Liste zugegriffen werden, indem Sie zu Extras > Internetoptionen > Registerkarte 'Sicherheit' navigieren. Wдhlen Sie das Symbol 'Vertrauenswьrdige Sites' und klicken Sie auf Sites . Дndern Sie die Sicherheitseinstellung des Internet Explorers, um die Option Automatische Eingabeaufforderung fьr ActiveX-Steuerelemente zu aktivieren. Navigieren Sie in Internet Explorer zu Extras > Internetoptionen > Registerkarte 'Sicherheit' und klicken Sie auf Stufe anpassen . Lassen Sie wдhrend der Installation des OfficeScan Agents die Installation des ActiveX-Steuerelements zu.
Wenn Benutzer den OfficeScan Agent ьber den Agent Packager (EXE-Paket) auf einem Endpunkt unter Windows 7, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8, Server 2012 oder Server 2016 installieren, gehen Sie folgendermaЯen vor:
Erstellen Sie das EXE-Paket ьber den OfficeScan Server.
Senden Sie das Paket an die Benutzer, und weisen Sie sie an, es auf ihren Endpunkten zu starten.
Zum Starten des EXE-Pakets mьssen Benutzer mit der rechten Maustaste auf die EXE-Datei klicken und Als Administrator ausfьhren auswдhlen.
Wenn Benutzer den OfficeScan Agent ьber den Agent Packager (MSI-Paket) auf einem Endpunkt unter Windows 7, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8, Server 2012 oder Server 2016 installieren, gehen Sie folgendermaЯen vor:
Erstellen Sie das MSI-Paket ьber den OfficeScan Server. Senden Sie das Paket an die Benutzer, und weisen Sie sie an, es auf ihrem Endpunkt ьber die herkцmmliche Methode zum Цffnen von Dateien, wie z. B. Doppelklicken, zu starten.
Hinweis: Sie kцnnen das MSI-Paket auch (ьber die Eingabeaufforderung) starten und den OfficeScan Agent automatisch auf einem Remote-Endpunkt unter Windows 7, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8, Server 2012 oder Server 2016 installieren.
Benutzer, die den OfficeScan Agent ьber das Anmeldeskript-Setup (AutoPcc.exe) auf einem Endpunkt unter Windows 7, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8, Server 2012 oder Server 2016 installieren mцchten, sollten folgende Informationen erhalten:
Stellen Sie eine Verbindung zum Servercomputer her. Navigieren Sie zu \\ \ofcscan. Klicken Sie mit der rechten Maustaste auf "AutoPcc.exe", und wдhlen Sie Als Administrator ausfьhren aus.
7. Bekannte Probleme.
In dieser Version sind folgende Probleme bekannt:
Serverinstallation, Upgrade und Deinstallation.
Zugriff auf die OfficeScan Webkonsole und alle OfficeScan Dienste ist nicht mцglich, wenn der OfficeScan Server unter Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2 installiert wurde, bevor er der Domдne beigetreten ist. Problemlцsung:
Fьr Windows Server 2008:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Registerkarte 'Ausnahmen' .
Aktivieren Sie die Ausnahme fьr Datei- und Druckfreigaben.
Fьgen Sie die folgenden Port-Ausnahmen hinzu:
Trend Micro Local Web Classification Server HTTP, TCP-Port 5274 Trend Micro OfficeScan Server HTTP, TCP-Port 8080 Trend Micro OfficeScan Server HTTPS, TCP-Port 4343 Trend Micro Smart Scan Server (integriert) HTTP, TCP-Port 8082 Trend Micro Smart Scan Server (integriert) HTTPS, TCP-Port 4345.
Fьr Windows Server 2008 R2:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Zugelassene Programme .
Wдhlen Sie die folgenden Funktionen aus, und erlauben Sie Zugriff fьr das Domдnen-Profil:
Datei- und Druckfreigaben Trend Micro Local Web Classification Server HTTP Trend Micro OfficeScan Server HTTP Trend Micro OfficeScan Server HTTPS Trend Micro Smart Scan Server (integriert) HTTP Trend Micro Smart Scan Server (integriert) HTTPS.
Bei Windows Server 2012 oder Windows Server 2012 R2:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Erweiterte Einstellungen .
Klicken Sie auf Eingehende Regeln . Lassen Sie den Zugriff fьr alle erforderlichen Datei- und Druckerfreigabe -Regeln.
Klicken Sie auf Eingehende Regeln > Neue Regel. > Port .
Fьgen Sie die folgenden Port-Ausnahmen hinzu:
Trend Micro Local Web Classification Server HTTP, TCP-Port 5274 Trend Micro OfficeScan Server HTTP, TCP-Port 8080 Trend Micro OfficeScan Server HTTPS, TCP-Port 4343 Trend Micro Smart Scan Server (integriert) HTTP, TCP-Port 8082 Trend Micro Smart Scan Server (integriert) HTTPS, TCP-Port 4345.
Nach der Remote-Installation des OfficeScan Servers auf einem Computer unter Windows Server 2008 wird die Verknьpfung fьr die Webkonsole nicht sofort auf dem Desktop des Computers angezeigt. Aktualisieren Sie den Desktop durch Drьcken auf F5, damit die Verknьpfung angezeigt wird.
Wenn der OfficeScan Server auf einer Festplatte mit dem FAT32-Dateisystem installiert wird, funktioniert die rollenbasierte Anmeldung bei der OfficeScan Webkonsole nicht.
Das Upgrade bricht mцglicherweise ab, wenn die vorhandene OfficeScan Datenbankdatei (im Verzeichnis "HTTPDB" unter "OfficeScan/PCCSRV") sehr groЯ ist. Trend Micro empfiehlt, vor dem Upgrade folgende Schritte durchzufьhren:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Registerkarte 'Ausnahmen' . Lцschen Sie die alten Serverprotokolle manuell ьber die OfficeScan Konsole. Navigieren Sie zu Administration > Datenbanksicherung und klicken Sie zum Sichern der Datenbank auf Jetzt sichern .
Trend Micro Mobile Security ist ein eigenstдndiges Programm und wird nicht mehr als Plug-in-Programm in OfficeScan 11.0 unterstьtzt. Wenn Sie Mobile Security weiterhin verwenden mцchten, empfiehlt Trend Micro ein Upgrade auf die Standalone-Version 9.0. Ausfьhrliche Migrationsanweisungen finden Sie unter http://esupport.trendmicro.com/solution/en-US/1098095.aspx.
Wдhrend der Installation des OfficeScan Servers kann die Prescan-Funktion keine Bedrohungen durch Double-Byte-Malware erkennen.
Das Dashboard der Webkonsole zeigt die Fehlermeldung "500 Internal Server Error" (Interner Serverfehler) an, wenn Microsoft Visual C++ 2015 Wiederverteilungspaket (x86) nicht installiert ist. Um dieses Problem zu beheben, installieren Sie Microsoft Visual C++ 2015 Wiederverteilungspaket (x86) und starten Sie den IIS-Dienst neu.
Wenn der Servercomputer von OfficeScan oder ein Agent-Endpunkt das Stammzertifikat nicht ordnungsgemдЯ aktualisiert hat (wenn der Computer beispielsweise keine Verbindung zum Internet hat), kann OfficeScan die digitalen Signaturen des Computers wдhrend der Kommunikation zwischen Prozessen (IPC) nicht ьberprьfen. Um dieses Problem zu beheben, mьssen Sie das Stammzertifikat manuell aktualisieren oder ein Windows Update durchfьhren.
Ein unerwarteter Fehler ist aufgetreten. Lцschen Sie den Zwischenspeicher des Browsers und wiederholen Sie die Aktion. Wenn das Problem weiterhin besteht, starten Sie den Server neu oder wenden Sie sich an Ihren Trend Micro Vertriebspartner.
Die Daten kцnnen nicht angezeigt werden, weil ein unerwarteter Fehler aufgetreten ist. Versuchen Sie es spдter erneut.
Navigieren Sie im Internet Explorer zu Extras > Internetoptionen > Allgemein (Registerkarte) . Aktivieren Sie im Abschnitt "Browserverlauf" das Kontrollkдstchen Browserverlauf beim Beenden lцschen . Klicken Sie auf die Schaltflдche Einstellungen . Wдhlen Sie unter "Neuere Versionen der gespeicherten Seiten suchen" die Option Bei jedem Zugriff auf die Webseite aus. Дndern Sie unter "Verlauf" die Angabe neben Aufbewahrung im Verlauf (in Tagen) in "0". Klicken Sie auf OK , um die temporдren Internetdateien und Verlaufseinstellungen zu speichern. Klicken Sie auf OK , um die Optionseinstellungen des Internet Explorers zu speichern.
Bei der Ьbertragung der OfficeScan-Datenbank in eine auf einem Domдnencontroller-Endpunkt installierte SQL-Datenbank mьssen Sie im SQL Migration Tool (SQLTool.exe) die Option "OfficeScan-Datenbank zu einem vorhandenen SQL Server migrieren" auswдhlen.
Wenn Sie eine neue SQL Server 2008 R2 SP2 Express-Instanz auf einem Domдnencontroller-Endpunkt installieren mцchten, mьssen Sie sich an die Informationen in der Microsoft Knowledge Base zur manuellen Installation von SQL Server 2008 R2 SP2 Express halten.
Installation, Upgrade und Deinstallation von Agents.
Der OfficeScan Agent kann die Web Reputation Server nach dem Durchfьhren einer Erstinstallation oder eines Upgrades nicht abfragen. Um das Problem zu beheben, stellen Sie sicher, dass Agents ihre Endpunkte neu starten, wenn eine Aufforderung zum Neustart erscheint.
Bei der Anmeldung als Administrator mit einem in Active Directory erstellten Anmeldeskript auf einem Endpunkt unter Windows Vista Home, Server 2008, 7, 8 oder Server 2012 kann der OfficeScan Agent nicht auf dem Endpunkt installiert werden. Sie erhalten eine Meldung darьber, dass es sich nicht um ein Administratorkonto handelt.
Bei Installation dieser Produktversion auf einem Citrix Presentation Server wird die Verbindung des Citrix-Clients zum Server getrennt. Problemlцsung:
Цffnen Sie auf dem Citrix Server den Registrierungseditor und navigieren Sie zu HKLM\\SOFTWARE\TrendMicro\NSC\TmProxy\WhiteList. Klicken Sie auf Bearbeiten > Neu > Schlьssel und geben Sie fьr den Schlьssel IIS ein. Erstellen Sie unter diesem neuen Schlьssel einen Zeichenfolgenwert ( Bearbeiten > Neu > Zeichenfolgenwert ) mit dem Namen ProcessImageName und verwenden Sie w3wp.exe als seinen Wert. Starten Sie den OfficeScan NT Listener-Dienst neu. Wenn eine Anwendung gestartet wird, die den Windows Service Control Manager (SCM) sperrt, kann der OfficeScan Agent weder installiert noch aktualisiert werden. Stellen Sie vor dem Upgrade oder der Installation von OfficeScan sicher, dass keine Anwendung ausgefьhrt wird, die SCM sperrt. Wenn der Vulnerability Scanner auf einem Endpunkt unter Windows Server 2008, Windows 7, Windows 8 oder Windows Server 2012 ausgefьhrt wird, wird die Registerkarte "DHCP" nicht auf der Konsole des Tools angezeigt.
Das ServerProtect Normal Server Migration Tool ist nicht in der Lage:
ServerProtect fьr Windows 5.8 mit Patch 7 oder hцher zu erkennen Den Zielendpunkt nach der Installation des OfficeScan Agents neu zu starten, selbst wenn die Option "Nach der Installation neu starten" ausgewдhlt ist.
Um diese Probleme zu beheben, цffnen Sie den Registrierungseditor auf dem Normal Server und dem Information Server, und fьgen Sie folgenden Registrierungsschlьssel ein:
Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ServerProtect\CurrentVersion\RPC Name: AgentFilter Typ: REG_SZ (String-Wert) Wert: IP-Adressen oder Endpunktname des OfficeScan Servers.
Microsoft IIS 7 funktioniert in den folgenden Fдllen nicht:
Bei Ausfьhrung von Setup zum Installieren sowohl des OfficeScan Servers als auch des Agents auf einem Endpunkt unter Windows Server 2008, aber ohne Service Pack 2, und Angabe von IIS 7 als Webserver. Die Webkonsole kann nach der Installation nicht geцffnet werden, und keine der Anwendungen, die IIS verwenden, funktioniert. Bei der Installation des OfficeScan Agents auf einem Endpunkt mit Windows Server 2008 und Microsoft IIS 7. Keine der Anwendungen, die IIS verwenden, funktioniert.
Auf dem Endpunkt mit Windows Server 2008, aber ohne Service Pack 2, wird der Benutzer in einer Meldung aufgefordert, den IIS Dienst neu zu starten, um das Problem zu beheben.
Um auf Endpunkten mit einer 64-Bit-Prozessorarchitektur die webbasierte Agent-Installation durchzufьhren, benцtigen Sie die 32-Bit-Version des Internet Explorers. Die 64-Bit-Version des Internet Explorers wird nicht unterstьtzt. Der OfficeScan Agent kann auf einem Endpunkt, auf dem das Antiviren-Programm Norton SystemWorks™ installiert ist, mцglicherweise nicht ordnungsgemдЯ installiert werden. Dieses Programm muss vor der Installation der OfficeScan Agent-Software deinstalliert werden. Wenn der OfficeScan Agent mit der "Pro-Benutzer"-Methode installiert wird, wird die OfficeScan Agent-Verknьpfung weiterhin im Windows Start-Menь aller Benutzer angezeigt.
Nach dem Upgrade von OfficeScan treten folgende Probleme auf:
Wenn durch Verschieben eines Agents auf einen OfficeScan XG-Server ein Upgrade durchgefьhrt wird, lautet die Version des Patterns der allgemeinen Firewall 'n. v.'.
Um diese Probleme zu beheben, fьhren Sie die folgenden Schritte aus:
Stoppen Sie die Kryptografiedienste in der Microsoft Management-Konsole. Wechseln Sie zum Ordner "C:\Windows\system32", und benennen Sie den Ordner "catroot2" in "oldcatroot2" um. Starten Sie die Kryptografiedienste.
Цffnen Sie eine Eingabeaufforderung (cmd.exe), und fьhren Sie die folgenden Befehle aus:
Der Administrator kann den OfficeScan Agent nur dann remote auf Windows 7 x86-Plattformen installieren, wenn das Standard-Administratorkonto aktiviert ist. Problemlцsung:
Hinweis: Aktivieren Sie den Remote-Registrierungsdienst auf dem Windows 7 Computer. StandardmдЯig ist diese Funktion auf Windows 7 Computern deaktiviert.
Option A: Verwenden Sie das Domдnenadministratorkonto, um OfficeScan XG Agents remote auf Computern unter Windows 7 zu installieren.
Option B: Verwenden Sie das Standard-Administratorkonto:
Geben Sie den Befehl "net user administrator /active:yes" in der Befehlskonsole ein, um das Standard-Administratorkonto zu aktivieren Verwenden Sie das Standard-Administratorkonto, um den OfficeScan Agent remote auf dem Windows 7 Computer zu installieren. Die Installation von OfficeScan Agents unter Windows 7 oder Windows Server 2008 R2 mithilfe eines auf VMware Workstation 6.x und дlter ausgefьhrten GAST-Betriebssystems kann dazu fьhren, dass das System nicht mehr reagiert. Die Ursache hierfьr ist auf Kompatibilitдtsprobleme mit dem Intel™ Network Adapter Driver zurьckzufьhren.
Wenn Sie den OfficeScan Agent auf Windows 8- und Windows Server 2012-Plattformen unter Verwendung der browserbasierten Installation installieren, wдhrend der Benutzer sich gerade im Windows-Benutzeroberflдchenmodus befindet, schlдgt die Installation fehl. Grund hierfьr ist, dass Internet Explorer 10 die Ausfьhrung von ActiveX-Steuerelementen nicht zulдsst.
Wechseln Sie zum Ausfьhren der browserbasierten Installation des OfficeScan Agents auf Windows 8- und Windows Server 2012-Plattformen in den Desktopmodus.
Beim Ausfьhren von Internet Explorer oder Microsoft PowerPoint auf Windows Vista-Plattformen werden Benachrichtigungen zum Neustart im Vordergrund angezeigt.
Das Upgrade schlдgt mцglicherweise fehl, wenn ein MSI-Paket fьr das Upgrade eines OfficeScan Agents verwendet wird, der ursprьnglich auch unter Verwendung eines MSI-Pakets installiert wurde. Fьhren Sie folgende Schritte durch:
Stellen Sie sicher, dass das neue MSI-Paket den gleichen Dateinamen wie das ursprьngliche Paket aufweist. Wenn Sie den Dateinamen des ursprьnglichen MSI-Pakets nicht kennen, ьberprьfen Sie folgenden Registrierungsschlьssel: HKEY_CLASSES_ROOT\Installer\Products\F4D73DF48B1EA594592F1CD021C5A1C9\SourceList\PackageName Installieren Sie das neue MSI-Paket. Verwenden Sie die Eingabeaufforderung, um das Paket mit dem Parameter '/fvo' auszufьhren. Beispiel: msiexec /fvo c:\temp\package.msi. Wenn Sie das OfficeScan Agent-Programm zur Liste der Richtlinien fьr Softwareeinschrдnkung von Microsoft mithilfe der Benutzeroberflдche hinzufьgen, mьssen Sie mцglicherweise den Endpunkt neu starten, bevor nachtrдgliche Ergдnzungen in der Liste wirksam werden. Nach einem Rollback einer Komponente auf einem OfficeScan Agent zeigt das Fenster Details zum Komponenten-Update unter den Spalten Benachrichtigung versendet und Benachrichtigung empfangen "n. v." an.
Eine virtuelle Maschine von Microsoft Hyper-V wird unter Umstдnden nicht gestartet, wenn auf dem Host-Endpunkt der OfficeScan Agent installiert ist. Der Grund ist, dass der OfficeScan Agent und die virtuelle Maschine von Hyper-V auf dieselbe Hyper-V xml-Datei zugreifen und so eine Dateizugriffsverletzung verursachen. Provisorische Lцsung:
Legen Sie die Ausschlusseinstellung fьr den Ordner der xml-Datei fьr die virtuelle Maschine fest, die sich im Ordner C:\Programme\Microsoft\Virtual Machine Manager\ befindet.
Deaktivieren Sie die Durchsuchung der Dateizuordnungen, indem Sie den Registrierungswert fьr TmFilter/TmxpFilter дndern.
So deaktivieren Sie die Dateizuordnung:
Цffnen Sie auf dem Servercomputer die Datei ofcscan.ini im Ordner \PCCSRV.
Дndern Sie unter [Global Setting] die folgende Einstellung: UseMapping=0 Speichern Sie die Datei.
Navigieren Sie in der Webkonsole zu Agents > Globale Agent-Einstellungen und klicken Sie auf Speichern , um diese Einstellung an alle Agents zu verteilen.
Die folgenden Registrierungsinformationen werden hinzugefьgt, nachdem die Verteilung abgeschlossen ist:
Entdeckt der OfficeScan Agent in einer Citrix-Umgebung ein Sicherheitsrisiko fьr eine bestimmte Benutzersitzung, erhalten alle aktiven Benutzersitzungen eine Benachrichtigung ьber das Sicherheitsrisiko.
Sicherheitsrisiken kцnnen sein:
Viren/Malware Spyware/Grayware VerstoЯ gegen eine Firewall-Richtlinie VerstoЯ gegen eine Web Reputation-Richtlinie Unbefugter Zugriff auf externe Gerдte.
Bei Update von OfficeScan Pattern und Engines von Control Manager werden Administratoren selbst dann nicht ьber den Update-Status informiert, wenn die Benachrichtigungen aktiviert sind. Der Update-Status kann in der Control Manager Konsole angezeigt werden.
OfficeScan Agents mit Einstellungen auf Agent-Ebene kцnnen die Einstellungen nur vom OfficeScan Server herunterladen, nicht von Update-Agents. Ein auf einer 64-Bit-Plattform ausgefьhrter Update-Agent kann keine inkrementellen Pattern generieren. Deshalb lдdt der Update-Agent unabhдngig von der Anzahl bereits zuvor heruntergeladener Pattern immer alle auf dem ActiveUpdate Server verfьgbaren inkrementellen Pattern herunter. Wenn der OfficeScan Server Agents ьber das Update von Komponenten benachrichtigt, kцnnen Agents ihr Update nur von Update-Agents beziehen, die auf Version 10.0 SP1 oder hцher aktualisiert wurden. Jedoch kцnnen diese Agents weiterhin ihre Updates direkt vom OfficeScan Server beziehen. Wenn sich der Server- und der Agent-Endpunkt an Standorten mit unterschiedlichen Zeitzonen befinden, kann der Agent nicht so konfiguriert werden, dass er der Zeitzone des Servers entsprechend aktualisiert wird.
Der Active Directory Bereich wird unter Umstдnden als leer angezeigt oder auf das Fenster fьr die Active Directory-Integration umgeleitet, wenn Sie bei einem groЯen Bereich die Berichte der ausgelagerten Serververwaltung abfragen. Vergewissern Sie sich, dass die erste Task beendet ist, bevor Sie eine weitere Abfrage durchfьhren. Die Rolle "Benutzer" hat auf der Seite "Manuelles Update" des Agents die Berechtigung zum Zugriff und zur Konfiguration, jedoch nur fьr die ausgewдhlten Domдnen. Jedoch erhalten alle Agents die Benachrichtigung, wenn ein Benutzer mit dieser Rolle auf Update starten klickt. Wenn ein Active Directory-Benutzer zu mehreren Active Directory-Gruppen gehцrt, werden fьr Menьelemente fьr verwaltete Domдnen die Domдnenberechtigungen kombiniert, es wird jedoch die hцhere Rolleneinstellung auf alle entsprechenden Domдnen angewendet. Bei einer Дnderung des Datum- und Uhrzeitformats des Endpunkts wird das Datum- und Uhrzeitformat in der OfficeScan Konsole nicht automatisch geдndert. Wenn die Webkonsole im Internet Explorer 9 oder hцher geцffnet wird, wird ein Zertifikatsfehler angezeigt.
Die Benutzer kцnnen die Menьelemente der Agent-Verwaltungshierarchie im Fenster "Schritt 3: Agent-Hierarchiemenь definieren" nicht ausblenden, wenn sie Benutzerkonten unter den Plattformen Windows 8.1 und Windows Server 2012 R2 bei Ausfьhrung von Internet Explorer 11 konfigurieren. Problemlцsung:
Installieren Sie den Hotfix fьr Internet Explorer 11 von der Microsoft Windows-Update-Website: http://support.microsoft.com/kb/2884101/en-us.
Nach dem Erweitern der Menьelemente beim Erstellen oder Verдndern einer Benutzerrolle oder eines Benutzerkontos kцnnen Sie die Menьelemente in Internet Explorer 11 nicht wieder minimieren.
Um dieses Problem bei 32-Bit-Plattformen zu beheben, installieren Sie das folgende Sicherheitsupdate von Internet Explorer:
Um dieses Problem bei 64-Bit-Plattformen zu beheben, installieren Sie das folgende Sicherheitsupdate von Internet Explorer:
Die Agent-Namen in der OfficeScan Agent-Hierarchie unterstьtzen nur 15 Zeichen und schneiden die folgenden Zeichen ab. Die Benachrichtigung ( Administration > Benachrichtigungen > Agents > Registerkarte 'Viren/Malware' ) unterstьtzt bei der Angabe der Viren-/Malware-Infektionsquelle keine Double-Byte-Zeichen (in der Regel in ostasiatischen Sprachen verwendet). Wenn die in der Webkonsole konfigurierte Agent-Sicherheitsstufe auf "Hoch" eingestellt ist, kann ьber den Nortel VPN-Client keine Verbindung hergestellt werden. Wдhlen Sie die Option Symbol und Benachrichtigungen anzeigen , um das OfficeScan Symbol in der Windows 7 und Windows 8 Taskleiste anzuzeigen. Die Standardoption fьr Windows 7 und Windows 8 lautet Nur Benachrichtigung anzeigen . In einigen Fenstern der OfficeScan Agent-Konsole befindet sich eine Hilfe-Schaltflдche, ьber die eine kontextsensitive HTML-Hilfe aufgerufen werden kann. Da Windows Server Core 2008 ьber keinen Browser verfьgt, kann diese Hilfe dort nicht aufgerufen werden. Um die Hilfe anzuzeigen, muss der Benutzer einen Browser installieren.
Im Fenster 'Ьbersicht aktualisieren' der Webkonsole ( Updates > Zusammenfassung ) werden das Konfigurations-Pattern der Verhaltensьberwachung, das Pattern der Richtliniendurchsetzung und das Pattern fьr digitale Signaturen aufgrund von JavaScript-Caching nicht korrekt angezeigt. Problemlцsung:
Leeren Sie den Browser-Cache, um die Komponentennamen zu aktualisieren.
Wird die Gerдtesteuerungsberechtigung fьr USB-Speichergerдte von "Zulassen" in "Blockieren" geдndert, wдhrend Dateien auf dem USB-Speichergerдt bereits auf dem Agent-Endpunkt geцffnet sind, ist der Zugriff auf die geцffneten Dateien weiterhin erlaubt. Die Berechtigung "Blockieren" wird beim nдchsten AnschlieЯen des USB-Gerдts oder beim Neustart des Agent-Endpunkts aktualisiert. Anwendungen fьr die Gerдteverwaltung (z. B. iTunes, HTCSync und SamSung Kies), die fьr Gerдte durch die Gerдtesteuerung gesperrt sind, sind auch fьr den Zugriff durch die Benutzer gesperrt.
Prдvention vor Datenverlust.
Daten in Instant-Messaging-Anwendungen werden nicht entdeckt, wenn die Ьbertragung ьber einen nicht transparenten Proxy-Server erfolgt. In den Protokollen fьr 'Prдvention vor Datenverlust' kцnnen in den Spalten Adresse und Ziel wegen eines Pufferьberlauf-Problems mit langen Dateinamen nur die ersten 1000 Byte von Zeichen angezeigt werden.
Die Firewall-Regel fьr den ausgehenden Datenverkehr funktioniert nicht wie erwartet, wenn ein Computer mehrere IP-Adressen mit unterschiedlichen Firewall-Richtlinien hat.
Fьhren Sie bei mittlerer oder hoher Sicherheitsstufe auf einem Citrix-Server die folgenden Schritte aus:
Erstellen Sie auf der OfficeScan Server-Webkonsole eine neue Firewall-Richtlinie. Fьgen Sie die folgenden Portnummern zur Ausschlussliste der Richtlinie hinzu: 1494, 2598 Navigieren Sie zu Agents > Firewall > Profile und klicken Sie auf Den Agents ein Profil zuweisen .
Bei Windows Server 2003-Plattformen, die VMware-Agents hosten, werden eingehende Pakete an einen VMware-Agent-Endpunkt nicht zugestellt, wenn auf dem Host-Computer der OfficeScan Agent installiert ist.
Provisorische Lцsung (fьr alle Agents):
Цffnen Sie auf dem Servercomputer die Datei ofcscan.ini im Ordner \PCCSRV.
Fьgen Sie unter [Global Setting] die folgende Einstellung hinzu: EnableGlobalPfwBypassRule=1.
Navigieren Sie in der Webkonsole zu Agents > Globale Agent-Einstellungen und klicken Sie auf Speichern , um diese Einstellung an alle Agents zu verteilen.
Provisorische Lцsung (fьr bestimmte Agents):
Цffnen Sie den Registrierungseditor auf dem Agent-Endpunkt.
Fьgen Sie den folgenden Registrierungswert hinzu:
Fьr x64-Endpunkte: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432\TrendMicro\PC-cillinNTCorp\CurrentVersion\PFW.
Name: EnableBypassRule Typ: REG_DWORD Wert: 1 Starten Sie den Agent neu, damit die Einstellungen wirksam werden. Wenn der Agent auf einem Endpunkt mit Windows Server 2003 ohne Microsoft Service Pack ausgefьhrt wird, blockiert die OfficeScan Firewall die Verbindung zum integrierten Smart Protection Server. Wenden Sie das neueste Service Pack an, damit dieses Problem nicht auftritt. OfficeScan Firewall-Dienst und -Treiber kцnnen nicht installiert werden, wenn eine Vorgдngerversion des Firewall-Treibers vorhanden ist und ausgefьhrt wird, aber das Netzwerkprotokoll keine allgemeine Trend Micro Firewall enthдlt. OfficeScan unterstьtzt spezifische Anwendungsausnahmen auf Windows 8 und Windows Server 2012 nicht. Auf Endpunkten mit diesen Plattformen lдsst OfficeScan den gesamten Anwendungsdatenverkehr zu bzw. verweigert ihn.
Nur Internet Explorer wird zur Konfiguration von Proxy-Einstellungen unterstьtzt, die von Agents zur Verbindungsherstellung mit dem allgemeinen Smart Protection Server verwendet werden. Wenn die Proxy-Einstellungen in anderen Browsern konfiguriert werden, kцnnen die Agents keine Verbindung zum allgemeinen Smart Protection Server herstellen.
Wenn Sie in einer Web Reputation-Richtlinie die Option HTTPS-URLs prьfen aktivieren:
Wдhlen Sie in Internet Explorer die Option Browsererweiterungen von Drittanbietern aktivieren . Wenn diese Option deaktiviert ist, kцnnen Agents die Reputation auf HTTPS-Websites nicht prьfen. Deaktivieren Sie fьr Agents unter Windows Server 2008 (32 Bit) in Windows Server Manager die verstдrkte Sicherheitskonfiguration fьr Internet Explorer (IE ESC). Wenn die verstдrkte Sicherheitskonfiguration fьr Internet Explorer aktiviert ist, wird die Sperrseite der Web Reputation im Quellcodemodus angezeigt. Der OfficeScan Agent kann die Web Reputation-Bewertung nicht abrufen. Dies tritt auf, wenn der Agent auf einem Endpunkt unter Windows Server 2008 (32 Bit oder 64 Bit) oder Windows Server 2008 R2 (64 Bit) mit Apache installiert wird, der IPv6 unterstьtzt. Als provisorische Lцsung kцnnen Sie IPv6 auf diesem Endpunkt deaktivieren.
Agents kцnnen bei Verwendung von Juniper Networks VPN und Proxy-Servern fьr den Internetzugang auf blockierte Sites zugreifen. Problemlцsung:
Stellen Sie unter Verwendung von Juniper Networks VPN eine Verbindung zum Netzwerk her. Цffnen Sie Internetoptionen > Verbindung > LAN-Einstellungen . Deaktivieren Sie die automatischen Konfigurationseinstellungen . Aktivieren Sie den Proxy-Server , und geben Sie die IP-Adresse und den Port Ihres Proxy-Servers an. Klicken Sie auf Ok . Fьr den Zugriff auf das Internet ьber Firefox und einen Proxy-Server mьssen die Proxy-Einstellungen in Internet Explorer konfiguriert werden. Wenn die Einstellungen in Internet Explorer nicht konfiguriert werden, ist die Web Reputation-Funktion auch dann nicht verfьgbar, wenn die Einstellungen in Firefox konfiguriert wurden. Bei aktivierter Option Einschrдnkung des Zugriffs auf OfficeScan Agent im Fenster "Berechtigungen und andere Einstellungen"in der OfficeScan Server-Webkonsole schlдgt die automatische Proxy-Erkennung von Web Reputation in Internet Explorer auf dem OfficeScan Agent-Endpunkt fehl.
Nach dem Upgrade sind die Web Reputation-Dienste nicht verfьgbar, bis die Websperrliste vollstдndig aktualisiert wird. Um dieses Problem zu lцsen, wechseln Sie zu Smart Proctection > Smart Protection Quellen und wдhlen Sie einen sekundдren Smart Protection Server fьr Agents aus, der bis zur vollstдndigen Aktualisierung der Websperrliste verwendet wird.
Hinweis: OfficeScan beginnt sofort nach den Server-Upgrades mit der Aktualisierung der Websperrliste.
Nach dem Upgrade auf OfficeScan XG mьssen Kunden, die zuvor Hotfix 5727 installiert haben, die Einstellung EnableWrsStatusRealtimeUpdate erneut auf die Datei "Ofcscan.ini" anwenden. Der Hotfix 5272 hat ein Problem behoben, bei dem der Status der Web Reputation-Dienste des OfficeScan-Agents nicht sofort einen Status "Nicht verfьgbar" an den Bildschirm fьr Agent-Verwaltung weitergemeldet hat, sobald der Dienst offline gegangen ist.
So erreichen Sie, dass OfficeScan-Agents den Status der Web Reputation-Dienste eines OfficeScan-Agents sofort an den OfficeScan-Server weitermelden, sobald der Serverstatus von Web Reputations-Diensten auf dem Agent zu offline wechselt:
Цffnen Sie die Datei "Ofcscan.ini" im Ordner "\PCCSRV\" im Installationsverzeichnis des OfficeScan-Servers.
Fьgen Sie folgenden Schlьssel im Abschnitt "Global Setting" hinzu und setzen Sie den Wert auf "1".
Hinweis: Um die Lцsung zu deaktivieren, setzen Sie den Schlьssel "EnableWrsStatusRealtimeUpdate" zurьck auf die Standardkonfiguration Null zurьck.
Цffnen Sie die die Webkonsole des OfficeScan-Servers und wechseln Sie zur Seite Agents > Globale Agent-Einstellungen .
Klicken Sie auf Speichern , um die Einstellung auf Agents zu verteilen.
Das OfficeScan Agent-Programm installiert den folgenden Registrierungsschlьssel automatisch:
Liste der verdдchtigen Objekte.
Wenn der OfficeScan Agent keine Verbindung zur Quelle des integrierten Smart Protection Servers auf Windows Vista und Windows Server 2003/2008 herstellen kann, kann der Agent verdдchtige URL-Objekte nicht sperren. Erkennungen verdдchtiger URL-Objekte werden in der Spalte "Benutzer" in C&C-Erkennungsprotokollen nicht angegeben.
Nach dem Upgrade von einem OfficeScan Server mit einem aktiven Abonnement auf einen Deep Discovery Server:
Die Abonnementeinstellungen fьr die Liste der verdдchtigen Objekte wurde aus dem Fenster "Integrierter Smart Protection Server" (Smart Protection > Integrierter Server) in das Fenster mit den Einstellungen fьr die Liste der verdдchtigen Objekte (Administration > Einstellungen > Liste der verdдchtigen Objekte) verschoben.
Um diese Probleme zu beheben, kьndigen Sie das Abonnement des verbundenen Deep Discovery Servers und abonnieren Sie stattdessen einen Control Manager Server:
Konfigurieren Sie einen Trend Micro Control Manager Server, der ьber einen registrierten Deep Discovery Server verfьgt. Navigieren Sie auf der OfficeScan XG-Webkonsole zu Administration > Einstellungen > Liste der verdдchtigen Objekte und klicken Sie auf den Link ?Abonnement kьndigen . Registrieren Sie OfficeScan XG beim Control Manager. Navigieren Sie zu Administration > Einstellungen > Control Manager . Navigieren Sie zu Administration > Einstellungen > Liste der verdдchtigen Objekte und klicken Sie auf Abonnieren . Wдhlen Sie aus, welche Listen Sie aktivieren mцchten.
OfficeScan-Agents kцnnen keine verdдchtigen Dateimuster auf OfficeScan-Server hochladen, wenn IIS 7.0 (oder hцher) verwendet wird, bei dem zwar WebDAV Publishing installiert, aber nicht von einem Programm eines Drittanbieters aktiviert wurde. Um dieses Problem zu beheben, deinstallieren Sie die WebDAV Publishing-Funktion ьber Server Manager von den gдngigen HTTP-Funktionen des Webservers. Weitere Anweisungen dazu finden Sie in Ihrer Server Manager-Dokumentation.
Das angemeldete "Benutzerkonto" zeigt mцglicherweise falsche Daten an. Wenn sich ein anderer Benutzer bei einem Endpunkt anmeldet, bevor die Abfrageergebnisse fьr vorrausschaunde Maschinenlernen abgeschlossen sind, protokolliert OfficeScan den neu angemeldeten Benutzer als den Ereignisinhaber, sobald die Abfrage zurьckgegeben wird.
Integration des Control Managers.
Das Protokoll zur integrierten Windows Authentifizierung wird beim Registrieren von OfficeScan in Control Manager und beim Angeben der Anmeldedaten zur Webserver-Authentifizierung fьr den IIS-Server nicht unterstьtzt. Es wird nur die allgemeine Zugriffsauthentifizierung unterstьtzt.
Beim Zugriff auf den OfficeScan Server mit Hilfe der Single-Sign-On-Funktion in Control Manager:
Benutzer werden manchmal darauf aufmerksam gemacht, dass das OfficeScan Fenster nicht sichere Elemente enthдlt. Die Warnung "Aktion abgebrochen" wird mцglicherweise manchmal angezeigt.
Aktualisieren Sie die Seite, wenn eine dieser Bedingungen auftritt.
Wenn das Online-Hilfesystem auf Internet Explorer 8.0 und frьher ausgefьhrt wird, kommt es zu Skriptfehlern. Wenden Sie den folgenden Windows Hotfix an, um das Problem zu lцsen: http://support.microsoft.com/kb/175500/en-us.
Virtual Desktop Infrastructure (VDI)
Virtuelle Windows 2003-Plattformen kцnnen keine SSL-Verbindungen zu vCenter 5.x oder hцher herstellen (Port 443 mit HTTPS). Virtuelle Windows 2012-Plattformen kцnnen keine SSL-Verbindungen zu XenServer 5.x herstellen (Port 443 mit HTTPS).
In dieser Version stehen unterschiedliche Dienstprogramme zur Verfьgung. Hinweise zur Verwendung finden Sie in der Hilfe zum OfficeScan Server. Die Ordner fьr diese Dienstprogramme finden Sie im Verzeichnis \PCCSRV\Admin\Utility.
Fьr die OfficeScan Ordner gibt es folgende Berechtigungen:
RW (Spezieller Zugriff)
Eine Lizenz fьr die Trend Micro Software enthдlt ьblicherweise das Recht auf Produkt- und Pattern-Datei-Updates und grundlegenden technischen Support fьr ein (1) Jahr ab Kaufdatum. Nach Ablauf dieser Frist muss der Wartungsvertrag jдhrlich zu den jeweils aktuellen Wartungsgebьhren von Trend Micro verlдngert werden.
Sie erreichen Trend Micro im Internet unter http://www.trendmicro.com.
Auf der Trend Micro Homepage finden Sie Testversionen unserer Produkte zum Download.
Weltweite Kontaktadressen fьr den asiatisch-pazifischen Raum, Australien und Neuseeland, Europa, Lateinamerika und Kanada finden Sie unter der Adresse http://www.trendmicro.de/ueber-uns/index.html.
Das Trend Micro Fenster "Ьber uns" wird angezeigt. Klicken Sie im Fensterbereich "Kontakt" auf den entsprechenden Link.
Hinweis: Diese Informationen kцnnen sich ohne vorherige Ankьndigung дndern.
9. Info ьber Trend Micro.
Trend Micro Incorporated, weltweit fьhrend in der Internet-Content-Security und der Bewдltigung von Bedrohungen, hat sich als Ziel gesetzt, den globalen Austausch von digitalen Informationen fьr Unternehmen und Endverbraucher sicher zu machen. Als Pionier beim servergestьtzten Virenschutz mit einer Erfahrung von ьber 20 Jahren bieten wir Sicherheitsprodukte der Spitzenklasse an, die sich nach den Anforderungen unserer Kunden richten, die neue Bedrohungen schneller unterbinden und die Daten in physischen, virtuellen und Cloud-Umgebungen schьtzen. Mit der Unterstьtzung des Trend Micro™ Smart Protection Network™ stoppen unsere branchenfьhrende Cloud-Sicherheitstechnologie und unsere Produkte Bedrohungen dort, wo sie auftauchen – im Internet. Dabei werden sie von weltweit mehr als 1.000 Spezialisten fьr die Bedrohungsabwehr unterstьtzt. Weitere Informationen finden Sie unter http://www.trendmicro.com.
Copyright 2016, Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro, das T-Ball-Logo und OfficeScan sind in einigen Rechtsgebieten eingetragene Marken von Trend Micro Incorporated. Alle anderen Produkt- oder Firmennamen kцnnen Marken oder eingetragene Marken ihrer Eigentьmer sein.
Informationen ьber Ihre Lizenzvereinbarung mit Trend Micro finden Sie unter http://www.trendmicro.de/ueber-uns/rechtliche-hinweise/index.html.
Lizenzen anderer Hersteller kцnnen ьber die OfficeScan Webkonsole angezeigt werden.
Cmd konsole als admin starten
Trend Micro, Inc.
Trend Micro™ OfficeScan™
Version 11.0 Service Pack 1.
Diese Readme-Datei war zum oben genannten Zeitpunkt aktuell. Es wird jedoch allen Kunden empfohlen, sich auf der Trend Micro Website unter http://docs.trendmicro.com/de-de/enterprise/officescan.aspx ьber Updates zu informieren.
Registrieren Sie sich innerhalb von 30 Tagen nach der Installation online bei Trend Micro, damit Sie auch weiterhin neue Pattern-Dateien und Produkt-Updates von der Trend Micro Website beziehen kцnnen. Registrieren Sie sich wдhrend der Installation oder online unter https://olr.trendmicro.com.
Das Trend Micro Team ist stets bemьht, die Dokumentation zu verbessern. Ihre Meinung ist uns wichtig. Bitte bewerten Sie diese Dokumentation auf der folgenden Website: http://docsstg.trendmicro.com/en-us/survey.aspx.
1. Info ьber OfficeScan.
Trend Micro™ OfficeScan™ schьtzt Unternehmensnetzwerke vor Malware, Netzwerkviren, webbasierten Bedrohungen, Spyware und kombinierten Bedrohungen. Als integrierte Lцsung besteht OfficeScan aus einem Agent-Programm, das sich auf dem Endpunkt befindet, und einem Serverprogramm, das alle Agents verwaltet. Der Agent ьberwacht den Endpunkt und sendet dessen Sicherheitsstatus an den Server. Ьber die webbasierte Management-Konsole vereinfacht der Server das Festlegen koordinierter Sicherheitsrichtlinien und verteilt Updates an alle Agents.
OfficeScan wird vom Trend Micro™ Smart Protection Network™ unterstьtzt, einer Sicherheitsinfrastruktur mit webbasiertem Client der nдchsten Generation, die intelligentere Sicherheit als herkцmmliche Ansдtze liefert. Die einzigartige In-the-Cloud-Technologie und ein leichtgewichtiger Agent verringern die Abhдngigkeit von konventionellen Pattern-Downloads und sorgen dafьr, dass im Zusammenhang mit Desktop-Updates keine Verzцgerungen mehr auftreten. Unternehmen profitieren von der grцЯeren Netzwerkbandbreite, dem reduzierten Verarbeitungsaufwand und den damit verbundenen Kostenersparnissen. Benutzer erhalten standortunabhдngig direkten Zugriff auf die neuesten Sicherheitsfunktionen – innerhalb des Unternehmensnetzwerks, von zu Hause oder von unterwegs.
OfficeScan umfasst die folgenden neuen Funktionen und Erweiterungen:
Was ist neu in OfficeScan 11.0 Service Pack 1.
Ransomware-Schutz fьr Dokumente.
Mit verbesserten Suchfunktionen kцnnen Ransomware-Programme gefunden und blockiert werden, die auf Dokumente abzielen, die auf Endpunkten ausgefьhrt werden. Bei diesem Verfahren werden allgemeine Verhaltensweisen identifiziert und Prozesse blockiert, die normalerweise mit Ransomware-Programmen verknьpft sind.
Erweiterte Verschlьsselung der Kommunikation zwischen Server und Agent.
OfficeScan bietet die erweiterte Verschlьsselung der Kommunikation zwischen dem Server und den Agents unter Verwendung des Advanced Encryption Standard (AES) 256, um Sicherheitsrichtlinien einzuhalten.
Konfigurieren Sie OfficeScan, um die Liste der verdдchtigen Objekte auf dem Control Manager-Server zu abonnieren. Unter Verwendung der Control Manager-Konsole kцnnen Sie benutzerdefinierte Aktionen fьr die mit Hilfe der Liste der verdдchtigen Objekte erkannten Objekte ausfьhren, um eine benutzerdefinierte Verteidigung gegen Bedrohungen auf Endpunkten sicherzustellen, die von spezifischen auf Ihre Umgebung abgestimmten Trend Micro Produkten geschьtzt werden.
Ьberwachung bei der Suche.
OfficeScan bietet mehr Transparenz und Kontrolle ьber Suchfunktionen anhand:
Zur Wiederaufnahme von unterbrochenen zeitgesteuerten Suchvorgдngen: Konfigurieren Sie OfficeScan, um die unterbrochene zeitgesteuerte Suche basierend auf einem konfigurierten Zeitplan fortzusetzen. Protokolle zu Suchvorgдngen: Ьberwachen Sie die Uhrzeit, den Status und die Ergebnisse der Suche unter Verwendung der Webkonsole.
Verschlьsselung von vertraulichen Daten.
Prдvention vor Datenverlust lдsst sich in Trend Micro™ Endpoint Encryption™ integrieren, wodurch die Verschlьsselung von vertraulichen Daten ьber Wechselspeicher- und Cloud-Speicherkanдle automatisiert wird.
Erweitere Eigenschutzfunktionen des OfficeScan Agents.
Dank der erweiterten Ьberwachung der Dateiintegritдt und dem Schutz vor DLL-Hijacking kann die Gьltigkeit und Verfьgbarkeit von OfficeScan Agent Programmdateien sichergestellt werden. Schutz vor der Sperrung von OfficeScan Agent Prozessen.
Mehrsprachige Unterstьtzung von OfficeScan Agent.
Administratoren kцnnen die OfficeScan Agent Programmsprache ьber die Webkonsole konfigurieren. Wдhlen Sie die Anzeige der OfficeScan Agent Konsole basierend auf den Spracheinstellungen oder den OfficeScan Server-Spracheinstellungen des angemeldeten Benutzers aus.
Erweiterte Richtlinienverwaltung durch Control Manager™
Mit der Control Manager™ Richtlinienverwaltung des OfficeScan Servers kцnnen Administratoren jetzt untergeordnete Richtlinien erstellen, die auf die globalen Control Manager-Einstellungen ьbertragen werden. Ьber die Control Manager-Konsole kцnnen lokale OfficeScan Administratoren diese untergeordneten Richtlinien дndern, um verbesserten Schutz fьr regionale, Abteilungs- oder Satellitenserver zu gewдhrleisten, fьr die spezifischere Einstellungen erforderlich sind. Neben den vom Control Manager-Administrator konfigurierten Sicherheitseinstellungen kцnnen lokale OfficeScan Administratoren Zeiten fьr die zeitgesteuerte Suche дndern und Ausnahmelisten durchsuchen, um ihre lokalen Umgebungen besser zu schьtzen. Control Manager™ Administratoren kцnnen bestimmte OfficeScan Agent-Endpunkte aus dem Netzwerk unter Quarantдne stellen, um die Verbreitung von Sicherheitsbedrohungen zu verhindern.
Administratoren kцnnen OfficeScan konfigurieren, um von vertrauenswьrdigen Unternehmen signierte Dateien und Prozesse von der Suche auszuschlieЯen und um die konfigurierte Ausschlussliste auf die Echtzeitsuche und die Verhaltensьberwachung anzuwenden bzw. um bestimmte Listen fьr beide Funktionen zu erstellen.
Was ist neu in OfficeScan 11.0.
Verbesserungen beim Server.
SQL Database Migration Tool.
Administratoren kцnnen die vorhandene CodeBase®-Serverdatenbank zu einer SQL Server-Datenbank migrieren.
Verbesserungen bei Smart Protection Server.
In dieser Version von OfficeScan wird die aktualisierte Version Smart Protection Server 3.0 unterstьtzt. Der aktualisierte Smart Protection Server weist Verbesserungen der Pattern-Dateien fьr die File-Reputation-Dienste auf. Die Pattern-Dateien wurden optimiert und bieten folgende Vorteile:
Inkrementelle Pattern-Updates und verbesserte Erkennung der Pattern fьr File-Reputation-Dienste, wodurch die Bandbreitenauslastung erheblich reduziert wird.
Optimierte Serverauthentifizierungsschlьssel sorgen dafьr, dass die gesamte Kommunikation zum und vom Server sicher und vertrauenswьrdig ist.
Verbesserungen bei der rollenbasierten Administration.
Die Verbesserungen bei der rollenbasierten Administration vereinfachen die Konfiguration von Rollen und Konten fьr Administratoren sowie die Integration in Trend Micro Control Manager™.
Diese Version von OfficeScan kann in den Apache 2.2.25 Webserver integriert werden.
Umgestaltung der OfficeScan Server-Schnittstelle.
Die OfficeScan-Schnittstelle wurde umgestaltet und ist nun einfacher, besser und moderner. Alle Funktionen aus der Vorgдngerversion von OfficeScan Server sind in der aktualisierten Version weiterhin verfьgbar.
Ьbergeordnete Menьelemente schaffen Platz auf dem Bildschirm.
Das Menь "Favoriten" vereinfacht das Auffinden hдufig verwendeter Bildschirme.
Mithilfe einer Bildschirmprдsentation der Dashboard-Registerkarten kцnnen Sie Widget-Daten anzeigen, ohne dass Sie die Konsole manuell bedienen mьssen.
Webbasierte kontextsensitive Online-Hilfe.
Auf Grund der webbasierten kontextsensitiven Online-Hilfe haben Administratoren stets Zugriff auf die aktuellsten Informationen im Hilfesystem. Falls keine Internet-Verbindung verfьgbar ist, wechselt OfficeScan automatisch zum lokalen Online-Hilfesystem, das im Lieferumfang des Produkts enthalten ist.
Plattform- und Browser-Unterstьtzung.
OfficeScan unterstьtzt die folgenden Betriebssysteme:
Windows Server™ 2012 R2 (Server und Agent)
Windows 8.1 (nur Agent)
OfficeScan unterstьtzt den folgenden Browser:
Internet Explorer™ 11.
Verbesserungen bei Agents.
Wiederherstellung verdдchtiger Dateien.
OfficeScan bietet Administratoren die Mцglichkeit, zuvor als "verdдchtig" eingestufte Dateien wiederherzustellen und Dateien zu "Zugelassen"-Listen auf Domдnenebene hinzuzufьgen, um weitere MaЯnahmen fьr die Dateien zu verhindern.
Falls ein Programm oder eine Datei erkannt wurde und unter Quarantдne gestellt wurde, kцnnen Administratoren die Datei global oder individuell auf Agents wiederherstellen. Administratoren kцnnen mithilfe zusдtzlicher SHA1-Ьberprьfungen sicherstellen, dass die wiederherzustellenden Dateien nicht auf irgendeine Weise geдndert wurden. Nach der Wiederherstellung der Dateien kann OfficeScan die Dateien automatisch zu Ausschlusslisten auf Domдnenebene hinzufьgen, um sie von weiteren Suchen auszuschlieЯen.
Der erweiterte Schutzdienst weist die folgenden neuen Suchfunktionen auf.
Die Verhinderung von Browser-Schwachstellen verwendet Sandbox-Technologie, um das Verhalten von Webseiten in Echtzeit zu testen und bцsartige Skripts oder Programme zu erkennen, bevor der OfficeScan Agent Bedrohungen ausgesetzt wird.
Die verbesserte Arbeitsspeichersuche wird in Kombination mit der Verhaltensьberwachung verwendet, um Malware-Varianten wдhrend der Echtzeitsuche zu erkennen und QuarantдnemaЯnahmen gegen Bedrohungen zu ergreifen.
Verbesserungen beim Datenschutz.
OfficeScan Datenschutz wurde optimiert und bietet folgende Vorteile:
Datenerkennung durch Integration in Control Manager™: Administratoren kцnnen Richtlinien fьr die Prдvention vor Datenverlust in Control Manager konfigurieren, um Ordner auf OfficeScan Agents nach sensiblen Dateien zu durchsuchen. Wenn vertrauliche Daten in einer Datei gefunden wurden, kann Control Manager den Speicherort der Datei protokollieren oder aber ьber die Integration in Trend Micro Endpoint Encryption die Datei auf dem OfficeScan Agent automatisch verschlьsseln.
Unterstьtzung von Benutzerrechtfertigungen: Administratoren kцnnen Benutzern erlauben, Grьnde fьr die Ьbertragung vertraulicher Daten anzugeben, oder die Ьbertragungen selbst sperren. OfficeScan protokolliert alle Ьbertragungsversuche und die vom Benutzer angegebenen Grьnde.
Unterstьtzung von Smartphones und Tablets: Die Prдvention vor Datenverlust und die Gerдtesteuerung kцnnen nun vertrauliche Daten, die an Smartphones und Tablets gesendet werden, ьberwachen und entsprechende MaЯnahmen ergreifen oder aber den Zugriff auf solche Gerдte vollstдndig sperren.
Aktualisierte Datenbezeichner- und Vorlagebibliotheken: Die Bibliotheken fьr die Prдvention vor Datenverlust wurden um 2 neue Schlьsselwortlisten und 93 neue Vorlagen erweitert.
Integration der Gerдtesteuerungsprotokolle in Control Manager™
Verbesserungen bei den Einstellungen fьr verdдchtige Verbindungen.
Command & Control (C&C)-Kontaktalarmdienste wurden aktualisiert und enthalten nun Folgendes:
Globale benutzerdefinierte Liste mit zulдssigen und gesperrten IP-Adressen.
Malware-Fingerabdruck fьr Netzwerk zur Erkennung von C&C-Callbacks.
Detaillierte Konfiguration von Aktionen, wenn verdдchtige Verbindungen erkannt werden.
C&C-Server- und Agent-Protokolle zeichnen den fьr C&C-Callbacks verantwortlichen Prozess auf.
Verbesserungen bei der Ausbruchsprдvention.
Die Ausbruchsprдvention wurde aktualisiert und bietet nun Schutz vor Folgendem:
Ausfьhrbare komprimierte Dateien.
Verbesserungen bei der Eigenschutzfunktion.
Die in dieser Version verfьgbaren Eigenschutzfunktionen bieten sowohl eine schlanke Sicherheitslцsung als auch eine leistungsfдhige Sicherheitslцsung, um Ihren Server und Ihre OfficeScan Agent-Programme zu schьtzen.
Schlanke Sicherheitslцsung: Diese Lцsung ist fьr Serverplattformen gedacht, um OfficeScan Agent-Prozesse und Registrierungsschlьssel standardmдЯig zu schьtzen, ohne die Leistung des Servers zu beeintrдchtigen.
Leistungsfдhige Sicherheitslцsung: Diese Lцsung erweitert die in Vorgдngerversionen verfьgbare Eigenschutzfunktion des Agents um Folgendes:
Schutz und Ьberprьfung der Pattern-Dateien.
Update-Schutz der Pattern-Dateien.
Schutz des Verhaltensьberwachungsprozesses.
- Verbesserungen bei der Suchleistung und der Erkennung.
Die Echtzeitsuche verwaltet einen permanenten Such-Zwischenspeicher, der bei jedem Start des OfficeScan Agents neu geladen wird. Der OfficeScan Agent verfolgt Дnderungen an Dateien oder Ordnern nach, die seit dem Beenden des OfficeScan Agents erfolgt sind, und entfernt diese Dateien aus dem Zwischenspeicher.
Diese Version von OfficeScan enthдlt allgemein zulдssige Listen fьr Windows-Systemdateien, fьr digital signierte Dateien aus zuverlдssigen Quellen und fьr mit Trend Micro getestete Dateien. Nachdem ьberprьft wurde, dass eine Datei sicher ist, fьhrt OfficeScan keine Aktionen fьr die Datei aus.
Verbesserungen bei Damage Cleanup Services ermцglichen die verbesserte Erkennung von Rootkit-Bedrohungen und eine geringere Anzahl von Fehlalarmen durch die aktualisierte GeneriClean-Suchfunktion.
Die Einstellungen fьr komprimierte Dateien sind in die Echtzeitsuche und die On-Demand-Suche unterteilt, um die Leistung zu verbessern.
Zweischichtige Protokolle ermцglichen eine detailliertere Darstellung von Erkennungen, die Administratoren weiter analysieren mцchten.
Umgestaltung der OfficeScan Agent-Schnittstelle.
Die OfficeScan Agent-Schnittstelle wurde umgestaltet und ist nun einfacher, besser und moderner. Alle Funktionen aus der Vorgдngerversion des OfficeScan Agent-Programms sind in der aktualisierten Version weiterhin verfьgbar.
Mit der aktualisierten Schnittstelle kцnnen Administratoren auЯerdem administrative Funktionen direkt in der OfficeScan Agent-Konsole "entsperren", um Probleme schnell zu beheben, ohne die Webkonsole zu цffnen.
Bekannte Probleme, die behoben wurden.
In OfficeScan 11.0 SP1 wurden die folgenden Softwareprobleme gelцst:
Weitere Informationen ьber Hotfix-Lцsungen und die Verbesserungen, die in OfficeScan 11.0 SP1 vorgenommen wurden, finden Sie unter:
Der Lieferumfang von OfficeScan Server umfasst folgende Dokumentation:
Installations- und Upgrade-Handbuch: Ein PDF-Dokument, in dem Anforderungen und Verfahren zum Installieren des OfficeScan Servers und zum Aktualisieren des Servers und der Agents beschrieben werden Administratorhandbuch: Ein PDF-Dokument mit folgenden Inhalten: Informationen ьber die ersten Schritte, Verfahren zur Agent-Installation, OfficeScan Server- und OfficeScan Agent-Verwaltung Hilfe: Im WebHelp-Format erstellte HTML-Dateien, die Anleitungen, allgemeine Benutzerhinweise und oberflдchenspezifische Informationen enthalten. Auf die Hilfe kann ьber die OfficeScan Server-, Agent- und Policy Server-Konsolen sowie ьber das OfficeScan Master Setup zugegriffen werden. Readme-Datei: Enthдlt eine Liste bekannter Probleme und grundlegende Installationshinweise. Die Datei kann auch neueste Produktinformationen enthalten, die noch nicht in der Hilfe oder in gedruckter Form zur Verfьgung stehen. Knowledge Base: Eine Online-Datenbank mit Informationen zur Problemlцsung und Fehlerbehebung. Sie enthдlt aktuelle Hinweise zu bekannten Softwareproblemen. Die Knowledge Base finden Sie im Internet unter folgender Adresse: http://esupport.trendmicro.com.
Die neuesten Versionen der PDF-Dokumente und der Readme finden Sie unter http://docs.trendmicro.com/de-de/enterprise/officescan.aspx.
Der OfficeScan Server und Agent kann auf Endpunkten unter Microsoft Windows-Plattformen installiert werden. Der OfficeScan Agent ist auch mit verschiedenen Produkten von Drittanbietern kompatibel.
Auf der folgenden Website erhalten Sie eine vollstдndige Liste der Systemvoraussetzungen und kompatibler Produkte von Drittanbietern:
GrцЯe des Verteilungspakets.
Hinweis: Die GrцЯen fьr alle folgenden Verteilungspakete beziehen sich auf Pakete, die keine zusдtzlichen Plug-in-Funktionen enthalten. Die GrцЯe des Verteilungspakets kann variieren, wenn das Paket zusдtzliche Plug-in-Funktionen enthдlt.
GrцЯe des neuen Installationspakets (32/64 Bit) ьber Agent Packager Tool.
Installationspaket (Herkцmmliche Suche) = 113 MB Installationspaket (Intelligente Suche) = 114 MB.
Installationspaket (Herkцmmliche Suche) = 137 MB Installationspaket (Intelligente Suche) = 137 MB.
MSI-Installationspaket (Herkцmmliche Suche) = 192 MB MSI-Installationspaket (Intelligente Suche) = 193 MB.
Weitere Anweisungen zu den nachfolgenden Themen finden Sie im Installations- und Upgrade-Handbuch:
Installation des OfficeScan Servers Upgrade des OfficeScan Servers und der Agents Rollback der Agents auf eine Vorgдngerversion von OfficeScan.
Weitere Informationen zur OfficeScan Agent-Installation finden Sie im Administratorhandbuch .
6. Konfiguration nach der Installation.
Ьberprьfen Sie, ob der OfficeScan Server upgegradet wurde.
Klicken Sie in der Webkonsole auf Hilfe > Info . Es sollten die Versionsinformationen "11.0 SP1, Build 2995" angezeigt werden.
In der Control Manager Konsole sollte als OfficeScan Version 2995 angezeigt werden.
Hinweis: Trend Micro empfiehlt die Installation von Trend Micro Control Manager™ 6.0 SP3, um die Kompatibilitдt mit OfficeScan 11.0 SP1 sicherzustellen.
Falls das Update fehlgeschlagen ist, fьhren Sie umgehend ьber Updates > Server > Manuelles Update ein manuelles Update durch. Weitere Informationen ьber typische Update-Probleme und Lцsungen finden Sie in der Online-Hilfe. Sie kцnnen sich auch an Ihren Support-Anbieter wenden.
Agent-Installation auf den unterstьtzten Plattformen.
Benutzer, die den OfficeScan Agent ьber die Webinstallationsseite auf einem Endpunkt unter Windows 7, Windows XP Home, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 installieren mцchten, sollten vor der Installation folgendermaЯen informiert werden:
Melden Sie sich mit dem integrierten Administratorkennwort beim Endpunkt an. Цffnen Sie den Internet Explorer, und fьgen Sie den Link des OfficeScan Servers (beispielsweise https://computername:4343/officescan) zur Liste der vertrauenswьrdigen Websites hinzu. In Internet Explorer kann auf die Liste zugegriffen werden, indem Sie zu Extras > Internetoptionen > Registerkarte 'Sicherheit' navigieren. Wдhlen Sie das Symbol 'Vertrauenswьrdige Sites' und klicken Sie auf Sites . Дndern Sie die Sicherheitseinstellung des Internet Explorers, um die Option Automatische Eingabeaufforderung fьr ActiveX-Steuerelemente zu aktivieren. Navigieren Sie in Internet Explorer zu Extras > Internetoptionen > Registerkarte 'Sicherheit' und klicken Sie auf Stufe anpassen . Lassen Sie wдhrend der Installation des OfficeScan Agents die Installation des ActiveX-Steuerelements zu.
Wenn Benutzer den OfficeScan Agent ьber den Agent Packager (EXE-Paket) auf einem Endpunkt unter Windows 7, Windows XP Home, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 installieren, gehen Sie folgendermaЯen vor:
Erstellen Sie das EXE-Paket ьber den OfficeScan Server.
Senden Sie das Paket an die Benutzer, und weisen Sie sie an, es auf ihren Endpunkten zu starten.
Weisen Sie Benutzer von Endpunkten unter Windows 7, Windows Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 an, mit der rechten Maustaste auf die EXE-Datei zu klicken und die Option Als Administrator ausfьhren auszuwдhlen. Auf einem Endpunkt unter Windows XP Home kцnnen die Benutzer die herkцmmliche Methode zum Цffnen von Dateien verwenden, wie z. B. Doppelklicken.
Wenn Benutzer den OfficeScan Agent ьber den Agent Packager (MSI-Paket) auf einem Endpunkt unter Windows 7, Windows XP Home, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 installieren, gehen Sie folgendermaЯen vor:
Erstellen Sie das MSI-Paket ьber den OfficeScan Server. Senden Sie das Paket an die Benutzer, und weisen Sie sie an, es auf ihrem Endpunkt ьber die herkцmmliche Methode zum Цffnen von Dateien, wie z. B. Doppelklicken, zu starten.
Hinweis: Sie kцnnen das MSI-Paket auch (ьber die Eingabeaufforderung) starten und den OfficeScan Agent automatisch auf einem Remote-Endpunkt unter Windows 7, Windows XP Home, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 installieren.
Benutzer, die den OfficeScan Agent ьber das Anmeldeskript-Setup (AutoPcc.exe) auf einem Endpunkt unter Windows 7, Windows XP Home, Vista Home Basic, Vista Home Premium, Server 2008, Windows 8 oder Server 2012 installieren mцchten, sollten angewiesen werden, wie folgt vorzugehen:
Stellen Sie eine Verbindung zum Servercomputer her. Navigieren Sie zu \\ \ofcscan. Klicken Sie mit der rechten Maustaste auf "AutoPcc.exe", und wдhlen Sie Als Administrator ausfьhren aus.
7. Bekannte Probleme.
In dieser Version sind folgende Probleme bekannt:
Serverinstallation, Upgrade und Deinstallation.
Wenn Sie fьr die Installation des OfficeScan Servers den Apache Webserver verwenden und Sie fьr sichere Verbindungen SSL aktiviert haben, kann eine unsichere HTTP-Verbindung zum Anmelden an der Webkonsole verwendet werden.
Es ist kein Zugriff auf die OfficeScan Webkonsole und alle OfficeScan Dienste mцglich, wenn der OfficeScan Server unter Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 installiert wurde, bevor dieser der Domдne beigetreten ist. Problemlцsung:
Fьr Windows Server 2008:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Registerkarte 'Ausnahmen' .
Aktivieren Sie die Ausnahme fьr Datei- und Druckfreigaben.
Fьgen Sie die folgenden Port-Ausnahmen hinzu:
Trend Micro Local Web Classification Server HTTP, TCP-Port 5274 Trend Micro OfficeScan Server HTTP, TCP-Port 8080 Trend Micro OfficeScan Server HTTPS, TCP-Port 4343 Trend Micro Smart Scan Server (integriert) HTTP, TCP-Port 8082 Trend Micro Smart Scan Server (integriert) HTTPS, TCP-Port 4345.
Fьr Windows Server 2008 R2:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Zugelassene Programme .
Wдhlen Sie die folgenden Funktionen aus, und erlauben Sie Zugriff fьr das Domдnen-Profil:
Datei- und Druckfreigaben Trend Micro Local Web Classification Server HTTP Trend Micro OfficeScan Server HTTP Trend Micro OfficeScan Server HTTPS Trend Micro Smart Scan Server (integriert) HTTP Trend Micro Smart Scan Server (integriert) HTTPS.
Fьr Windows Server 2012:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Erweiterte Einstellungen .
Klicken Sie auf Eingehende Regeln . Lassen Sie den Zugriff fьr alle erforderlichen Datei- und Druckerfreigabe -Regeln.
Klicken Sie auf Eingehende Regeln > Neue Regel. > Port .
Fьgen Sie die folgenden Port-Ausnahmen hinzu:
Trend Micro Local Web Classification Server HTTP, TCP-Port 5274 Trend Micro OfficeScan Server HTTP, TCP-Port 8080 Trend Micro OfficeScan Server HTTPS, TCP-Port 4343 Trend Micro Smart Scan Server (integriert) HTTP, TCP-Port 8082 Trend Micro Smart Scan Server (integriert) HTTPS, TCP-Port 4345.
Nach der Remote-Installation des OfficeScan Servers auf einem Computer unter Windows Server 2008 wird die Verknьpfung fьr die Webkonsole nicht sofort auf dem Desktop des Computers angezeigt. Aktualisieren Sie den Desktop durch Drьcken auf F5, damit die Verknьpfung angezeigt wird.
Wenn der OfficeScan Server auf einer Festplatte mit dem FAT32-Dateisystem installiert wird, funktioniert die rollenbasierte Anmeldung bei der OfficeScan Webkonsole nicht.
Das Upgrade bricht mцglicherweise ab, wenn die vorhandene OfficeScan Datenbankdatei (im Verzeichnis "HTTPDB" unter "OfficeScan/PCCSRV") sehr groЯ ist. Trend Micro empfiehlt, vor dem Upgrade folgende Schritte durchzufьhren:
Navigieren Sie zu Systemsteuerung > System und Sicherheit > Windows-Firewall > Registerkarte 'Ausnahmen' . Lцschen Sie die alten Serverprotokolle manuell ьber die OfficeScan Konsole. Navigieren Sie zu Administration > Datenbanksicherung und klicken Sie zum Sichern der Datenbank auf Jetzt sichern . Starten Sie fьr Endpunkte unter Windows Server 2003 das Server-Installationspaket (vollstдndiges Installationspaket oder eigenstдndiges Patch-Paket) mit einem Doppelklick auf die Datei. Installationsprobleme kцnnen auftreten, wenn das Paket gestartet worden ist und die Funktion "Als <Benutzername> ausfьhren" verwendet wird, auch wenn <Benutzername> das gegenwдrtig auf diesem Endpunkt angemeldete Konto ist.
Trend Micro Mobile Security ist nun ein eigenstдndiges Programm und wird nicht mehr als Plug-in-Programm in OfficeScan 11.0 unterstьtzt. Wenn Sie Mobile Security weiterhin verwenden mцchten, empfiehlt Trend Micro ein Upgrade auf die Standalone-Version 9.0. Ausfьhrliche Migrationsanweisungen finden Sie unter http://esupport.trendmicro.com/solution/en-US/1098095.aspx.
Wдhrend der Installation des OfficeScan Servers kann die Prescan-Funktion keine Bedrohungen durch Double-Byte-Malware erkennen.
Das Aktualisieren des OfficeScan Servers in Umgebungen, in denen der Apache Server von Drittanbieteranwendungen verwendet wird, kann zu folgenden Problemen fьhren:
Das Apache Server-Upgrade auf Version 2.2 ist nicht erfolgreich. Die Apache Server-Konsole kann nicht geцffnet werden, da der Apache Server-Dienst nicht gestartet werden kann. Das PHP-Ugrade ist nicht erfolgreich, da vorherige Versionen des Apache Servers PHP 5.3.27 nicht unterstьtzen. Die Webkonsole von OfficeScan zeigt eine Nachricht an, dass Plug-in Manager nicht installiert ist.
Wenden Sie den folgenden OfficeScan Hot Fix an: osce_11_win_all_hfb1066 Aktualisieren Sie manuell den Apache Server auf Version 2.2.25. Aktualisieren Sie Plug-in Manager manuell. Aktualisieren Sie die PHP-Version manuell auf 5.3.27.
Eine schrittweise Anleitung zum Beheben der Probleme, die beim Apache Server-Upgrade auftreten, finden Sie unter http://esupport.trendmicro.com/solution/en-US/1104062.aspx.
Die Installation oder Aktualisierung von OfficeScan auf Version 11.0 SP1 schlдgt mцglicherweise aus den folgenden Grьnden fehl:
Die PHP-Version ist дlter als 5.3.27.
Die folgenden Erweiterungen sind nicht auf dem Webserver verfьgbar:
Fьr Apache Server: PHP 5.3.27 VC9, 32-Bit, sicher vor Bedrohungen, mit den Erweiterungen CURL, GMP, LDAP, PDO_SQLITE, COM_DOTNET Fьr IIS: PHP 5.3.27 VC9, 32-Bit, nicht sicher vor Bedrohungen, mit den Erweiterungen CURL, GMP, LDAP, MBSTRING, OPENSSL, PDO_SQLITE, SOAP, COM_DOTNET.
Entfernen Sie die vorhandene PHP-Version. Navigieren Sie zu Systemsteuerung > Programme hinzufьgen/entfernen. Fьhren Sie das OfficeScan 11.0 Setupprogramm aus.
Nach einem Upgrade auf OfficeScan 11.0 SP1 wird in der Windows Systemsteuerung weiterhin die OfficeScan 11.0 Serverversion angezeigt. Ьberprьfen Sie die tatsдchliche Serverversion in der OfficeScan Webkonsole.
Das Dashboard der Webkonsole zeigt die Fehlermeldung "500 Internal Server Error" (Interner Serverfehler) an, wenn Microsoft Visual C++ 2008 Redistributable Package (x86) nicht installiert ist. Um dieses Problem zu beheben, installieren Sie Microsoft Visual C++ 2008 Redistributable Package (x86) und starten Sie den Apache- oder IIS-Dienst neu.
Wenn der Servercomputer von OfficeScan oder ein Agent-Endpunkt das Stammzertifikat nicht ordnungsgemдЯ aktualisiert hat (wenn der Computer beispielsweise keine Verbindung zum Internet hat), kann OfficeScan die digitalen Signaturen des Computers wдhrend der Kommunikation zwischen Prozessen (IPC) nicht ьberprьfen. Um dieses Problem zu beheben, mьssen Sie das Stammzertifikat manuell aktualisieren oder ein Windows Update durchfьhren.
Bei der Ьbertragung der OfficeScan-Datenbank in eine auf einem Domдnencontroller-Endpunkt installierte SQL-Datenbank mьssen Sie im SQL Migration Tool (SQLTool.exe) die Option "OfficeScan-Datenbank zu einem vorhandenen SQL Server migrieren" auswдhlen.
Wenn Sie eine neue SQL Server 2008 R2 SP2 Express-Instanz auf einem Domдnencontroller-Endpunkt installieren mцchten, mьssen Sie sich an die Informationen in der Microsoft Knowledge Base zur manuellen Installation von SQL Server 2008 R2 SP2 Express halten.
Installation, Upgrade und Deinstallation von Agents.
Der OfficeScan Agent kann die Web Reputation Server nach dem Durchfьhren einer Erstinstallation oder eines Upgrades nicht abfragen. Um das Problem zu beheben, stellen Sie sicher, dass Agents ihre Endpunkte neu starten, wenn eine Aufforderung zum Neustart erscheint.
Bei der Anmeldung als Administrator mit einem in Active Directory erstellten Anmeldeskript auf einem Endpunkt unter Windows Vista Home, Server 2008, 7, 8 oder Server 2012 kann der OfficeScan Agent nicht auf dem Endpunkt installiert werden. Sie erhalten eine Meldung darьber, dass es sich nicht um ein Administratorkonto handelt.
Bei Installation dieser Produktversion auf einem Citrix Presentation Server wird die Verbindung des Citrix-Clients zum Server getrennt. Problemlцsung:
Цffnen Sie auf dem Citrix Server den Registrierungseditor und navigieren Sie zu HKLM\\SOFTWARE\TrendMicro\NSC\TmProxy\WhiteList. Klicken Sie auf Bearbeiten > Neu > Schlьssel und geben Sie fьr den Schlьssel IIS ein. Erstellen Sie unter diesem neuen Schlьssel einen Zeichenfolgenwert ( Bearbeiten > Neu > Zeichenfolgenwert ) mit dem Namen ProcessImageName und verwenden Sie w3wp.exe als seinen Wert. Starten Sie den OfficeScan NT Listener-Dienst neu. Wenn eine Anwendung gestartet wird, die den Windows Service Control Manager (SCM) sperrt, kann der OfficeScan Agent weder installiert noch aktualisiert werden. Stellen Sie vor dem Upgrade oder der Installation von OfficeScan sicher, dass keine Anwendung ausgefьhrt wird, die SCM sperrt. Wenn der Vulnerability Scanner auf einem Endpunkt unter Windows Server 2008, Windows 7, Windows 8 oder Windows Server 2012 ausgefьhrt wird, wird die Registerkarte "DHCP" nicht auf der Konsole des Tools angezeigt.
Das ServerProtect Normal Server Migration Tool ist nicht in der Lage:
ServerProtect fьr Windows 5.8 mit Patch 7 oder hцher zu erkennen Den Zielendpunkt nach der Installation des OfficeScan Agents neu zu starten, selbst wenn die Option "Nach der Installation neu starten" ausgewдhlt ist.
Um diese Probleme zu beheben, цffnen Sie den Registrierungseditor auf dem Normal Server und dem Information Server, und fьgen Sie folgenden Registrierungsschlьssel ein:
Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\ServerProtect\CurrentVersion\RPC Name: AgentFilter Typ: REG_SZ (String-Wert) Wert: IP-Adressen oder Endpunktname des OfficeScan Servers.
Microsoft IIS 7 funktioniert in den folgenden Fдllen nicht:
Bei Ausfьhrung von Setup zum Installieren sowohl des OfficeScan Servers als auch des Agents auf einem Endpunkt unter Windows Server 2008, aber ohne Service Pack 2, und Angabe von IIS 7 als Webserver. Die Webkonsole kann nach der Installation nicht geцffnet werden, und keine der Anwendungen, die IIS verwenden, funktioniert. Bei der Installation des OfficeScan Agents auf einem Endpunkt mit Windows Server 2008 und Microsoft IIS 7. Keine der Anwendungen, die IIS verwenden, funktioniert.
Auf dem Endpunkt mit Windows Server 2008, aber ohne Service Pack 2, wird der Benutzer in einer Meldung aufgefordert, den IIS Dienst neu zu starten, um das Problem zu beheben.
Um auf Endpunkten mit einer 64-Bit-Prozessorarchitektur die webbasierte Agent-Installation durchzufьhren, benцtigen Sie die 32-Bit-Version des Internet Explorers. Die 64-Bit-Version des Internet Explorers wird nicht unterstьtzt. Der OfficeScan Agent kann auf einem Endpunkt, auf dem das Antiviren-Programm Norton SystemWorks™ installiert ist, mцglicherweise nicht ordnungsgemдЯ installiert werden. Dieses Programm muss vor der Installation der OfficeScan Agent-Software deinstalliert werden. Wenn der OfficeScan Agent mit der "Pro-Benutzer"-Methode installiert wird, wird die OfficeScan Agent-Verknьpfung weiterhin im Windows Start-Menь aller Benutzer angezeigt.
Nach dem Upgrade von OfficeScan treten folgende Probleme auf:
Wenn durch Verschieben eines Agents auf einen OfficeScan 11.0 Server ein Upgrade durchgefьhrt wird, lautet die Version des Patterns der allgemeinen Firewall 'n. v.'.
Um diese Probleme zu beheben, fьhren Sie die folgenden Schritte aus:
Stoppen Sie die Kryptografiedienste in der Microsoft Management-Konsole. Wechseln Sie zum Ordner "C:\Windows\system32", und benennen Sie den Ordner "catroot2" in "oldcatroot2" um. Starten Sie die Kryptografiedienste.
Цffnen Sie eine Eingabeaufforderung (cmd.exe), und fьhren Sie die folgenden Befehle aus:
Der Administrator kann den OfficeScan Agent nur dann remote auf Windows 7 x86-Plattformen installieren, wenn das Standard-Administratorkonto aktiviert ist. Problemlцsung:
Hinweis: Aktivieren Sie den Remote-Registrierungsdienst auf dem Windows 7 Computer. StandardmдЯig ist diese Funktion auf Windows 7 Computern deaktiviert.
Option A: Verwenden Sie das Domдnenadministratorkonto, um OfficeScan Clients 10.5 remote auf Computern mit Windows 7 zu installieren.
Option B: Verwenden Sie das Standard-Administratorkonto:
Geben Sie den Befehl "net user administrator /active:yes" in der Befehlskonsole ein, um das Standard-Administratorkonto zu aktivieren Verwenden Sie das Standard-Administratorkonto, um den OfficeScan Agent remote auf dem Windows 7 Computer zu installieren. Die Installation von OfficeScan Agents unter Windows 7 oder Windows Server 2008 R2 mithilfe eines auf VMware Workstation 6.x und дlter ausgefьhrten GAST-Betriebssystems kann dazu fьhren, dass das System nicht mehr reagiert. Die Ursache hierfьr ist auf Kompatibilitдtsprobleme mit dem Intel™ Network Adapter Driver zurьckzufьhren.
Wenn Sie den OfficeScan Agent auf Windows 8- und Windows Server 2012-Plattformen unter Verwendung der browserbasierten Installation installieren, wдhrend der Benutzer sich gerade im Windows-Benutzeroberflдchenmodus befindet, schlдgt die Installation fehl. Grund hierfьr ist, dass Internet Explorer 10 die Ausfьhrung von ActiveX-Steuerelementen nicht zulдsst.
Wechseln Sie zum Ausfьhren der browserbasierten Installation des OfficeScan Agents auf Windows 8- und Windows Server 2012-Plattformen in den Desktopmodus.
Beim Ausfьhren von Internet Explorer oder Microsoft PowerPoint auf Windows Vista-Plattformen werden Benachrichtigungen zum Neustart im Vordergrund angezeigt.
Das Upgrade schlдgt mцglicherweise fehl, wenn ein MSI-Paket fьr das Upgrade eines OfficeScan Agents verwendet wird, der ursprьnglich auch unter Verwendung eines MSI-Pakets installiert wurde. Gehen Sie fьr eine provisorische Lцsung folgendermaЯen vor:
Stellen Sie sicher, dass das neue MSI-Paket den gleichen Dateinamen wie das ursprьngliche Paket aufweist. Wenn Sie den Dateinamen des ursprьnglichen Pakets nicht kennen, starten Sie das neue Paket. Es wird eine Benachrichtigung zum Dateinamen angezeigt. Benennen Sie das neue Paket um und starten Sie es anschlieЯend erneut. Verwenden Sie die Eingabeaufforderung, um das Paket mit dem Parameter '/fvo' auszufьhren. Beispiel: C:\msiexec /fvo package.msi. Wenn Sie das OfficeScan Agent-Programm zur Liste der Richtlinien fьr Softwareeinschrдnkung von Microsoft mithilfe der Benutzeroberflдche hinzufьgen, mьssen Sie mцglicherweise den Endpunkt neu starten, bevor nachtrдgliche Ergдnzungen in der Liste wirksam werden. Nach einem Rollback einer Komponente auf einem OfficeScan Agent zeigt das Fenster Details zum Komponenten-Update unter den Spalten Benachrichtigung versendet und Benachrichtigung empfangen "n. v." an.
Eine virtuelle Maschine von Microsoft Hyper-V wird unter Umstдnden nicht gestartet, wenn auf dem Host-Endpunkt der OfficeScan Agent installiert ist. Der Grund ist, dass der OfficeScan Agent und die virtuelle Maschine von Hyper-V auf dieselbe Hyper-V xml-Datei zugreifen und so eine Dateizugriffsverletzung verursachen. Provisorische Lцsung:
Legen Sie die Ausschlusseinstellung fьr den Ordner der xml-Datei fьr die virtuelle Maschine fest, die sich im Ordner C:\Programme\Microsoft\Virtual Machine Manager\ befindet.
Deaktivieren Sie die Durchsuchung der Dateizuordnungen, indem Sie den Registrierungswert fьr TmFilter/TmxpFilter дndern.
So deaktivieren Sie die Dateizuordnung:
Цffnen Sie auf dem Servercomputer die Datei ofcscan.ini im Ordner \PCCSRV.
Дndern Sie unter [Global Setting] die folgende Einstellung: UseMapping=0 Speichern Sie die Datei.
Navigieren Sie in der Webkonsole zu Agents > Globale Agent-Einstellungen und klicken Sie auf Speichern , um diese Einstellung an alle Agents zu verteilen.
Die folgenden Registrierungsinformationen werden hinzugefьgt, nachdem die Verteilung abgeschlossen ist:
Entdeckt der OfficeScan Agent in einer Citrix-Umgebung ein Sicherheitsrisiko fьr eine bestimmte Benutzersitzung, erhalten alle aktiven Benutzersitzungen eine Benachrichtigung ьber das Sicherheitsrisiko.
Sicherheitsrisiken kцnnen sein:
Viren/Malware Spyware/Grayware VerstoЯ gegen eine Firewall-Richtlinie VerstoЯ gegen eine Web-Reputation-Richtlinie Unbefugter Zugriff auf externe Gerдte Die verzцgerte Suche ist nicht verfьgbar, wenn kein Upgrade der Viren-Scan-Engine (VSAPI) auf Version 9.713 oder hцher durchgefьhrt wurde.
Bei Update von OfficeScan Pattern und Engines von Control Manager werden Administratoren selbst dann nicht ьber den Update-Status informiert, wenn die Benachrichtigungen aktiviert sind. Der Update-Status kann in der Control Manager Konsole angezeigt werden.
OfficeScan Agents mit Einstellungen auf Agent-Ebene kцnnen die Einstellungen nur vom OfficeScan Server herunterladen, nicht von Update-Agents. Ein auf einer 64-Bit-Plattform ausgefьhrter Update-Agent kann keine inkrementellen Pattern generieren. Deshalb lдdt der Update-Agent unabhдngig von der Anzahl bereits zuvor heruntergeladener Pattern immer alle auf dem ActiveUpdate Server verfьgbaren inkrementellen Pattern herunter. Wenn der OfficeScan Server Agents ьber das Update von Komponenten benachrichtigt, kцnnen Agents ihr Update nur von Update-Agents beziehen, die auf Version 10.0 SP1 oder hцher aktualisiert wurden. Jedoch kцnnen diese Agents weiterhin ihre Updates direkt vom OfficeScan Server beziehen. Wenn sich der Server- und der Agent-Endpunkt an Standorten mit unterschiedlichen Zeitzonen befinden, kann der Agent nicht so konfiguriert werden, dass er der Zeitzone des Servers entsprechend aktualisiert wird.
Der Active Directory Bereich wird unter Umstдnden als leer angezeigt oder auf das Fenster fьr die Active Directory-Integration umgeleitet, wenn Sie bei einem groЯen Bereich die Berichte der ausgelagerten Serververwaltung abfragen. Vergewissern Sie sich, dass die erste Task beendet ist, bevor Sie eine weitere Abfrage durchfьhren. Die Rolle "Benutzer" hat auf der Seite "Manuelles Update" des Agents die Berechtigung zum Zugriff und zur Konfiguration, jedoch nur fьr die ausgewдhlten Domдnen. Jedoch erhalten alle Agents die Benachrichtigung, wenn ein Benutzer mit dieser Rolle auf Update starten klickt. Wenn ein Active Directory-Benutzer zu mehreren Active Directory-Gruppen gehцrt, werden fьr Menьelemente fьr verwaltete Domдnen die Domдnenberechtigungen kombiniert, es wird jedoch die hцhere Rolleneinstellung auf alle entsprechenden Domдnen angewendet. Bei einer Дnderung des Datum- und Uhrzeitformats des Endpunkts wird das Datum- und Uhrzeitformat in der OfficeScan Konsole nicht automatisch geдndert. Wenn die Webkonsole im Internet Explorer 9 oder hцher geцffnet wird, wird ein Zertifikatsfehler angezeigt.
Die Benutzer kцnnen die Menьelemente der Agent-Verwaltungshierarchie im Fenster "Schritt 3: Agent-Hierarchiemenь definieren" nicht ausblenden, wenn sie Benutzerkonten unter den Plattformen Windows 8.1 und Windows Server 2012 R2 bei Ausfьhrung von Internet Explorer 11 konfigurieren. Problemlцsung:
Installieren Sie den Hotfix fьr Internet Explorer 11 von der Microsoft Windows-Update-Website: http://support.microsoft.com/kb/2884101/en-us.
Nach dem Erweitern der Menьelemente beim Erstellen oder Verдndern einer Benutzerrolle oder eines Benutzerkontos kцnnen Sie die Menьelemente in Internet Explorer 11 nicht wieder minimieren.
Um dieses Problem bei 32-Bit-Plattformen zu beheben, installieren Sie das folgende Sicherheitsupdate von Internet Explorer:
Um dieses Problem bei 64-Bit-Plattformen zu beheben, installieren Sie das folgende Sicherheitsupdate von Internet Explorer:
Die Agent-Namen in der OfficeScan Agent-Hierarchie unterstьtzen nur 15 Zeichen und schneiden die folgenden Zeichen ab. Die Benachrichtigung ( Administration > Benachrichtigungen > Agents > Registerkarte 'Viren/Malware' ) unterstьtzt bei der Angabe der Viren-/Malware-Infektionsquelle keine Double-Byte-Zeichen (in der Regel in ostasiatischen Sprachen verwendet). Wenn die in der Webkonsole konfigurierte Agent-Sicherheitsstufe auf "Hoch" eingestellt ist, kann ьber den Nortel VPN-Client keine Verbindung hergestellt werden. Wдhlen Sie die Option Symbol und Benachrichtigungen anzeigen , um das OfficeScan Symbol in der Windows 7 und Windows 8 Taskleiste anzuzeigen. Die Standardoption fьr Windows 7 und Windows 8 lautet Nur Benachrichtigung anzeigen . In einigen Fenstern der OfficeScan Agent-Konsole befindet sich eine Hilfe-Schaltflдche, ьber die eine kontextsensitive HTML-Hilfe aufgerufen werden kann. Da Windows Server Core 2008 ьber keinen Browser verfьgt, kann diese Hilfe dort nicht aufgerufen werden. Um die Hilfe anzuzeigen, muss der Benutzer einen Browser installieren.
Im Fenster 'Ьbersicht aktualisieren' der Webkonsole ( Updates > Zusammenfassung ) werden das Konfigurations-Pattern der Verhaltensьberwachung, das Pattern der Richtliniendurchsetzung und das Pattern fьr digitale Signaturen aufgrund von JavaScript-Caching nicht korrekt angezeigt. Problemlцsung:
Leeren Sie den Browser-Cache, um die Komponentennamen zu aktualisieren.
Wird die Gerдtesteuerungsberechtigung fьr USB-Speichergerдte von "Zulassen" in "Blockieren" geдndert, wдhrend Dateien auf dem USB-Speichergerдt bereits auf dem Agent-Endpunkt geцffnet sind, ist der Zugriff auf die geцffneten Dateien weiterhin erlaubt. Die Berechtigung "Blockieren" wird beim nдchsten AnschlieЯen des USB-Gerдts oder beim Neustart des Agent-Endpunkts aktualisiert. Anwendungen fьr die Gerдteverwaltung (z. B. iTunes, HTCSync und SamSung Kies), die fьr Gerдte durch die Gerдtesteuerung gesperrt sind, sind auch fьr den Zugriff durch die Benutzer gesperrt. Die Ausnahmeliste der Gerдtesteuerung wird nicht auf Windows XP-Plattformen unterstьtzt.
Prдvention vor Datenverlust.
Daten in Instant-Messaging-Anwendungen werden nicht entdeckt, wenn die Ьbertragung ьber einen nicht transparenten Proxy-Server erfolgt. Nach dem Upgrade des OfficeScan Agents auf OfficeScan 11.0 von einer OfficeScan Version vor 10.6 SP3 werden bisher vorhandene Agent-seitige Protokolle fьr Prдvention vor Datenverlust gelцscht (es sei denn, es wird ein Upgrade vom OfficeScan 10.6 SP2 DLP Enhancement Patch durchgefьhrt). In den Protokollen fьr 'Prдvention vor Datenverlust' kцnnen in den Spalten Adresse und Ziel wegen eines Pufferьberlauf-Problems mit langen Dateinamen nur die ersten 1000 Byte von Zeichen angezeigt werden.
Die Firewall-Regel fьr den ausgehenden Datenverkehr funktioniert nicht wie erwartet, wenn ein Computer mehrere IP-Adressen mit unterschiedlichen Firewall-Richtlinien hat.
Fьhren Sie bei mittlerer oder hoher Sicherheitsstufe auf einem Citrix-Server die folgenden Schritte aus:
Erstellen Sie auf der OfficeScan Server-Webkonsole eine neue Firewall-Richtlinie. Fьgen Sie die folgenden Portnummern zur Ausschlussliste der Richtlinie hinzu: 1494, 2598 Navigieren Sie zu Agents > Firewall > Profile und klicken Sie auf Den Agents ein Profil zuweisen .
Bei Windows XP- und Windows Server 2003-Plattformen, die VMware-Agents hosten, werden eingehende Pakete an einen VMware-Agent-Endpunkt nicht zugestellt, wenn auf dem Host-Computer der OfficeScan Agent installiert ist.
Provisorische Lцsung (fьr alle Agents):
Цffnen Sie auf dem Servercomputer die Datei ofcscan.ini im Ordner \PCCSRV.
Fьgen Sie unter [Global Setting] die folgende Einstellung hinzu: EnableGlobalPfwBypassRule=1.
Navigieren Sie in der Webkonsole zu Agents > Globale Agent-Einstellungen und klicken Sie auf Speichern , um diese Einstellung an alle Agents zu verteilen.
Provisorische Lцsung (fьr bestimmte Agents):
Цffnen Sie den Registrierungseditor auf dem Agent-Endpunkt.
Fьgen Sie den folgenden Registrierungswert hinzu:
Fьr x64-Endpunkte: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432\TrendMicro\PC-cillinNTCorp\CurrentVersion\PFW.
Name: EnableBypassRule Typ: REG_DWORD Wert: 1 Starten Sie den Agent neu, damit die Einstellungen wirksam werden. Wenn der Agent auf einem Endpunkt mit Windows Server 2003 ohne Microsoft Service Pack ausgefьhrt wird, blockiert die OfficeScan Firewall die Verbindung zum integrierten Smart Protection Server. Wenden Sie das neueste Service Pack an, damit dieses Problem nicht auftritt. OfficeScan Firewall-Dienst und -Treiber kцnnen nicht installiert werden, wenn eine Vorgдngerversion des Firewall-Treibers vorhanden ist und ausgefьhrt wird, aber das Netzwerkprotokoll keine allgemeine Trend Micro Firewall enthдlt. OfficeScan unterstьtzt spezifische Anwendungsausnahmen auf Windows 8 und Windows Server 2012 nicht. Auf Endpunkten mit diesen Plattformen lдsst OfficeScan den gesamten Anwendungsdatenverkehr zu bzw. verweigert ihn. Die Treiber-Version der OfficeScan Firewall wird als 1050 auf dem Dashboard der Webkonsole angezeigt. Dies tritt auf, da Windows XP-Plattformen ihre Microsoft-Signaturen nicht aktualisieren kцnnen und die richtige Treiberversion nicht an den Server melden kцnnen. Um die tatsдchliche Treiberversion fьr die Firewall zu ьberprьfen, ьberprьfen Sie direkt die Agent-Konsole.
Nur Internet Explorer wird zur Konfiguration von Proxy-Einstellungen unterstьtzt, die von Agents zur Verbindungsherstellung mit dem allgemeinen Smart Protection Server verwendet werden. Wenn die Proxy-Einstellungen in anderen Browsern konfiguriert werden, kцnnen die Agents keine Verbindung zum allgemeinen Smart Protection Server herstellen.
Wenn der OfficeScan Server auf einem Dual-Stack-Endpunkt (IPv4/IPv6) ьber einen Apache Webserver installiert wird, kцnnen reine IPv6-Agents keine Web-Reputation-Anfragen an den integrierten Smart Protection Server senden.
Wenn Sie in einer Web-Reputation-Richtlinie die Option HTTPS-URLs prьfen aktivieren:
Wдhlen Sie in Internet Explorer die Option Browsererweiterungen von Drittanbietern aktivieren . Wenn diese Option deaktiviert ist, kцnnen Agents die Reputation auf HTTPS-Websites nicht prьfen. Deaktivieren Sie fьr Agents unter Windows Server 2008 (32 Bit) in Windows Server Manager die verstдrkte Sicherheitskonfiguration fьr Internet Explorer (IE ESC). Wenn die verstдrkte Sicherheitskonfiguration fьr Internet Explorer aktiviert ist, wird die Sperrseite der Web Reputation im Quellcodemodus angezeigt. Der OfficeScan Agent kann die Web-Reputation-Bewertung nicht abrufen. Dies tritt auf, wenn der Agent auf einem Endpunkt unter Windows Server 2008 (32 Bit oder 64 Bit) oder Windows Server 2008 R2 (64 Bit) mit Apache installiert wird, der IPv6 unterstьtzt. Als provisorische Lцsung kцnnen Sie IPv6 auf diesem Endpunkt deaktivieren.
Agents kцnnen bei Verwendung von Juniper Networks VPN und Proxy-Servern fьr den Internetzugang auf blockierte Sites zugreifen. Problemlцsung:
Stellen Sie unter Verwendung von Juniper Networks VPN eine Verbindung zum Netzwerk her. Цffnen Sie Internetoptionen > Verbindung > LAN-Einstellungen . Deaktivieren Sie die automatischen Konfigurationseinstellungen . Aktivieren Sie den Proxy-Server , und geben Sie die IP-Adresse und den Port Ihres Proxy-Servers an. Klicken Sie auf Ok . Fьr den Zugriff auf das Internet ьber Firefox und einen Proxy-Server mьssen die Proxy-Einstellungen in Internet Explorer konfiguriert werden. Wenn die Einstellungen in Internet Explorer nicht konfiguriert werden, ist die Web-Reputation-Funktion auch dann nicht verfьgbar, wenn die Einstellungen in Firefox konfiguriert wurden. Bei aktivierter Option Einschrдnkung des Zugriffs auf OfficeScan Agent im Fenster "Berechtigungen und andere Einstellungen" in der OfficeScan Server-Webkonsole schlдgt die automatische Proxy-Erkennung von Web Reputation in Internet Explorer auf dem OfficeScan Agent-Endpunkt fehl.
Nach dem Upgrade sind die Web-Reputation-Dienste nicht verfьgbar, bis die Websperrliste vollstдndig aktualisiert wird. Um dieses Problem zu lцsen, wechseln Sie zu Smart Proctection > Smart Protection Quellen und wдhlen Sie einen sekundдren Smart Protection Server fьr Agents aus, der bis zur vollstдndigen Aktualisierung der Websperrliste verwendet wird.
Hinweis: OfficeScan beginnt sofort nach den Server-Upgrades mit der Aktualisierung der Websperrliste.
Nach dem Update auf 11.0 SP1 mьssen Kunden, die vorher den Hotfix 5727 installiert haben, die Einstellung EnableWrsStatusRealtimeUpdate erneut auf die Datei Ofcscan.ini anwenden. Der Hotfix 5272 hat ein Problem behoben, bei dem der Status der Web-Reputation-Dienste des OfficeScan-Agents nicht sofort einen Status "Nicht verfьgbar" an den Bildschirm fьr Agent-Verwaltung weitergemeldet hat, sobald der Dienst offline gegangen ist.
So erreichen Sie, dass OfficeScan-Agents den Status der Web-Reputation-Dienste eines OfficeScan-Agents sofort an den OfficeScan-Server weitermelden, sobald der Serverstatus von Web-Reputations-Diensten auf dem Agent zu offline wechselt:
Цffnen Sie die Datei "Ofcscan.ini" im Ordner "\PCCSRV\" im Installationsverzeichnis des OfficeScan-Servers.
Fьgen Sie folgenden Schlьssel im Abschnitt "Global Setting" hinzu und setzen Sie den Wert auf "1".
Hinweis: Um die Lцsung zu deaktivieren, setzen Sie den Schlьssel "EnableWrsStatusRealtimeUpdate" zurьck auf die Standardkonfiguration Null zurьck.
Цffnen Sie die die Webkonsole des OfficeScan-Servers und wechseln Sie zur Seite Agents > Globale Agent-Einstellungen .
Klicken Sie auf Speichern , um die Einstellung auf Agents zu verteilen.
Das OfficeScan-Clientprogramm installiert den folgenden Registrierungsschlьssel automatisch:
Integration des Control Managers.
Das Protokoll zur integrierten Windows Authentifizierung wird beim Registrieren von OfficeScan in Control Manager und beim Angeben der Anmeldedaten zur Webserver-Authentifizierung fьr den IIS-Server nicht unterstьtzt. Es wird nur die allgemeine Zugriffsauthentifizierung unterstьtzt.
Beim Zugriff auf den OfficeScan Server mit Hilfe der Single-Sign-On-Funktion in Control Manager:
Benutzer werden manchmal darauf aufmerksam gemacht, dass das OfficeScan Fenster nicht sichere Elemente enthдlt. Die Warnung "Aktion abgebrochen" wird mцglicherweise manchmal angezeigt.
Aktualisieren Sie die Seite, wenn eine dieser Bedingungen auftritt.
Wenn das Online-Hilfesystem auf Internet Explorer 8.0 und frьher ausgefьhrt wird, kommt es zu Skriptfehlern. Wenden Sie den folgenden Windows Hotfix an, um das Problem zu lцsen: http://support.microsoft.com/kb/175500/en-us.
Virtual Desktop Infrastructure (VDI)
Virtuelle Windows 2003-Plattformen kцnnen keine SSL-Verbindungen zu vCenter 5.x oder hцher herstellen (Port 443 mit HTTPS). Virtuelle Windows 2012-Plattformen kцnnen keine SSL-Verbindungen zu XenServer 5.x herstellen (Port 443 mit HTTPS).
In dieser Version stehen unterschiedliche Dienstprogramme zur Verfьgung. Hinweise zur Verwendung finden Sie in der Hilfe zum OfficeScan Server. Die Ordner fьr diese Dienstprogramme finden Sie im Verzeichnis \PCCSRV\Admin\Utility.
Fьr die OfficeScan Ordner gibt es folgende Berechtigungen:
RW (Spezieller Zugriff)
Eine Lizenz fьr die Trend Micro Software enthдlt ьblicherweise das Recht auf Produkt- und Pattern-Datei-Updates und grundlegenden technischen Support fьr ein (1) Jahr ab Kaufdatum. Nach Ablauf dieser Frist muss der Wartungsvertrag jдhrlich zu den jeweils aktuellen Wartungsgebьhren von Trend Micro verlдngert werden.
Sie erreichen Trend Micro im Internet unter http://www.trendmicro.com.
Auf der Trend Micro Homepage finden Sie Testversionen unserer Produkte zum Download.
Weltweite Kontaktadressen fьr den asiatisch-pazifischen Raum, Australien und Neuseeland, Europa, Lateinamerika und Kanada finden Sie unter der Adresse http://www.trendmicro.de/ueber-uns/index.html.
Das Trend Micro Fenster "Ьber uns" wird angezeigt. Klicken Sie im Fensterbereich "Kontakt" auf den entsprechenden Link.
Hinweis: Diese Informationen kцnnen sich ohne vorherige Ankьndigung дndern.
9. Info ьber Trend Micro.
Trend Micro Incorporated, weltweit fьhrend in der Internet-Content-Security und der Bewдltigung von Bedrohungen, hat sich als Ziel gesetzt, den globalen Austausch von digitalen Informationen fьr Unternehmen und Endverbraucher sicher zu machen. Als Pionier beim servergestьtzten Virenschutz mit einer Erfahrung von ьber 20 Jahren bieten wir Sicherheitsprodukte der Spitzenklasse an, die sich nach den Anforderungen unserer Kunden richten, die neue Bedrohungen schneller unterbinden und die Daten in physischen, virtuellen und Cloud-Umgebungen schьtzen. Mit der Unterstьtzung des Trend Micro™ Smart Protection Network™ stoppen unsere branchenfьhrende Cloud-Sicherheitstechnologie und unsere Produkte Bedrohungen dort, wo sie auftauchen – im Internet. Dabei werden sie von weltweit mehr als 1.000 Spezialisten fьr die Bedrohungsabwehr unterstьtzt. Weitere Informationen finden Sie unter http://www.trendmicro.com.
Copyright 2015, Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro, das T-Ball-Logo und OfficeScan sind in einigen Rechtsgebieten eingetragene Marken von Trend Micro Incorporated. Alle anderen Produkt- oder Firmennamen kцnnen Marken oder eingetragene Marken ihrer Eigentьmer sein.
Informationen ьber Ihre Lizenzvereinbarung mit Trend Micro finden Sie unter http://www.trendmicro.de/ueber-uns/rechtliche-hinweise/index.html.
Lizenzen anderer Hersteller kцnnen ьber die OfficeScan Webkonsole angezeigt werden.
Einführung in die Funktionsweise von OpenPGP / GnuPG (gpg)
Ein GnuPG-Tutorial mit vielen Hintergrundinformationen.
mein Projekt zur Förderung kostenloser OpenPGP-Schulungen:
Für diejenigen, die sich hierher "verlaufen" haben: Was ist OpenPGP / GnuPG? OpenPGP ist ein offener Standard für ein Kryptografiesystem (Verschlüsselung; digitale Unterschriften; Web of Trust), insbesondere für die Verwendung bei E-Mails. GnuPG ( Gnu Privacy Guard ) ist eine freie und quelloffene Software (für viele Betriebssysteme verfügbar), die den OpenPGP-Standard implementiert. Diese Seite versucht zu erklären, was man wissen muss, um sinnvoll verschlüsseln und signieren zu können, und wie das mit Hilfe von (v.a.) GnuPG geht. OpenPGP ist eins von zwei verbreiteten Verfahren zur Verschlüsselung und Signatur von E-Mails, das andere ist S/MIME. Allgemein gilt OpenPGP bei Privatanwendern als deutlich weiter verbreitet, in Unternehmen wird dagegen ganz überwiegend S/MIME verwendet, zumal dieselbe Technik (SSL/TLS) auch für gesicherte Verbindungen im Internet (v.a. zu Webservern: https) verwendet wird, was OpenPGP nicht kann (bzw. was in der Praxis keine Rolle spielt).
Ich biete (privat) auch Schulungen zum Einsatz von OpenPGP / GnuPG an und bemühe mich, das Angebot (und die Nachfrage) kostenloser Schulungen zu erhöhen: www.openpgp-schulungen.de.
Inhalt dieser Seite.
Erläuterung zum Inhalt dieser Seite ← ↑
Ich gebe zu, dass der Titel dieser Seite inzwischen irreführend ist. Bei einem 190-KiB-Dokument (nur der Text. ) kann man kaum von einer Einführung sprechen. Das war es mal, allerdings ist es mit meiner Kenntnis der Thematik immer weiter gewachsen; wenn ich etwas lerne, das mir relevant erscheint, wird dieser Text länger. Inzwischen geht diese Erklärung weit über das hinaus, was auch bei überdurchschnittlich kompetenten Anwendern üblich ist. Ich halte das aber für sinnvoll: Vorhandene Abschnitte kann man überspringen, mit fehlenden kann man sich schlechter arrangieren. Eine überschaubare Einführung in die wichtigsten Aspekte von Kryptografie (Verschlüsselung, Signierung, Hashwerte, Schlüsselauthentifizierung), unabhängig von gpg, bietet diese Seite.
Ich bemühe mich sehr darum, hier nur korrekte Informationen zu verbreiten. Deshalb verlasse ich mich nicht auf Dokumentationen (die manchmal falsch oder missverständlich sind), sondern habe (fast) alles, was ich hier beschreibe, vorher ausprobiert.
Ich habe zu einem erheblichen Teil die Wikipedia-Artikel zu GnuPG, OpenPGP und dem Web of Trust mitgeschrieben.
Feedback erwünscht ← ↑
Insbesondere da dieses Dokument sich mehr oder weniger laufend weiterentwickelt wird, freue ich mich über Feedback. Was fehlt, was ist unverständlich, und – insbesondere – was ist falsch? Anmerkungen an hauke@laging.de.
Im folgenden werden viele Möglichkeiten erläutert, wie man mit gpg arbeiten kann (also direkt mit dem Konsolenprogramm). Wer den Umgang mit gpg beherrscht, wird mit den grafischen Oberflächen dafür keine großen Probleme haben; umgekehrt kann man das wohl nicht behaupten. Der Schwerpunkt dieses Dokuments ist nicht eine Schritt-für-Schritt-Anleitung der einzelnen Kommandos, auch wenn die nötigen Kommandos natürlich in der einen oder anderen Weise genannt werden, sondern ein Gesamtverständnis davon, was zu tun ist bzw. getan werden kann. Das war für mich in der Lernphase (ohne gute Anleitung) das größte Problem. Wie die Kommandos und Optionen heißen, kann man leicht nachlesen. Aber wenn man das Gesamtbild nur unzureichend verstanden hat, ist es nicht leicht, den Sinn der vielen Kommandos und Optionen zu erfassen. Deshalb ist mir an dieser Stelle das Warum wichtiger als das Wie, zumal das allgemeine Verständnis auch für andere OpenPGP-Implementationen, teilweise sogar für andere Kryptosysteme, hilfreich ist. Zur Verbesserung des Wie stelle ich (nach und nach) jedem Abschnitt eine Liste der für ihn relevanten allgemeinen und speziellen Kommandos und Optionen, jeweils mit der offiziellen verlinkt, voran.
Unerfahrene Nutzer sollten sich nicht vom Umfang und dem technischen Tiefgang abschrecken lassen. Man muss diese Seite nicht verstanden haben, um gpg nutzen zu können. Ich halte es aber für einen guten Überblick der Technologie, sich das hier einmal durchzulesen. An vielen Stellen wird man für sich entscheiden, dass man das jeweilige Feature nicht braucht, aber dann hat man mal davon gehört und ist zudem mit einigen wichtigen Aspekten des Umgangs mit Kryptografie konfrontiert worden. Es ist nichts dagegen zu sagen, dass man erst mal irgendwie mit OpenPGP "rumspielt", um damit vertraut zu werden, und sich das wünschenswerte tiefere Verständnis erst später aneignet. Man sollte dann nur nicht den Fehler machen, dem Schutz der Daten und der Vertrauenswürdigkeit von Daten während dieser Spielphase einen großen Umfang zu attestieren!
Und damit klar ist, was Normalsterbliche für den ersten Überblick gerne überspringen dürfen, stehen die weniger wichtigen Details in Absätzen, die so markiert sind wie dieser.
Zu Beginn eines Abschnitts sind die für das jeweilige Thema relevanten Kommandos und Optionen aufgelistet, mit der Original-Dokumentation verlinkt und mit einer Fly-over-Help versehen. Diejenigen Optionen, die sich für einen Eintrag in die Konfigurationsdatei eignen (wenn auch nicht alle gleichzeitig), sind so markiert: --dummy1 (statt --dummy2). Viele Kommandos gibt es auch als Kurzversion, etwa -e statt --encrypt . Die Kurzversionen verwende ich hier nicht. Sie sparen kaum Zeit und wären dem Verständnis hier nicht förderlich.
Referenzimplementierung ← ↑
Die meisten Informationen auf dieser Seite sollten nicht implementierungsspezifisch sein. Die Beispiele und Aussagen (insbesondere, soweit sie die Ergebnisse von Tests betreffen) beziehen sich aber auf GnuPG 2.0.x unter Linux.
Shellprompt in den Beispielen ← ↑
In den Codebeispielen sieht der Prompt anders aus, als man es gewohnt ist. Auf gpg hat das natürlich keinen Einfluss, aber wer sich dafür hinteressiert, mag einen Blick auf meine Seite zur Shellprompt-Konfiguration werfen.
öffentlicher Schlüssel vs. Zertifikat ← ↑
Meist werden die Begriffe öffentlicher Schlüssel und Zertifikat synonym verwendet, auch auf dieser Seite. Der Unterschied spielt im allgemeinen keine Rolle, sei hier der Vollständigkeit halber aber dennoch erwähnt. Ein öffentlicher Schlüssel ist – genau wie ein privater – nur eine Zahl (bzw. eine Kombination mehrerer Zahlen, meist zwei). Nackte Schlüssel, das Zahlenmaterial, kommt bei der Verwendung von OpenPGP / GnuPG nicht vor. Am nächsten dran ist der Fingerprint, der sich nur auf dieses Zahlenmaterial bezieht. Man kann die reinen Schlüssel normalerweise weder importieren noch exportieren (Ausnahmen: (a) auf eine Smartcard; (b) mittelbar über --with-key-data --list-keys ).
Ein Zertifikat ist ein Dokument (eine Datei in einem bestimmten Format), das die Zuordnung eines Schlüssels zu einer Person oder sonstigen Instanz bestätigt (und die öffentlichen Schlüsselkomponenten enthält). Ein OpenPGP-Schlüssel enthält mindestens eine User-ID (UID), die einen Namen und/oder eine E-Mail-Adresse und/oder beliebigen Text enthalten kann. Ein OpenPGP-Zertifikat bindet mit Hilfe von Eigensignaturen einzelne Komponenten an den öffentlichen Hauptschlüssel; mindestens eine UID, möglicherweise weitere UIDs und Unterschlüssel. Zusätzliche Signaturen von Dritten, die UIDs an den Hauptschlüssel binden, können die Verlässlichkeit des Zertifikats erhöhen. Zertifikate sind meist wenige Kilobyte groß, können aber (v.a. durch viele UIDs mit jeweils vielen Signaturen) die Größe eines Megabytes überschreiten, was natürlich auch Nachteile hat.
Ein minimales Zertifikat ist so aufgebaut (siehe /usr/share/doc/packages/gpg2/DETAILS ):
Der erste Block ist das Schlüsselmaterial mit der Angabe von Schlüsseltyp und -länge, seiner long ID, seinem Erzeugungszeitpunkt, seinem Ablaufzeitpunkt (sofern vorhanden), dem zugewiesenen Ownertrust (der hier mit angezeigt wird, aber nicht Bestandteil des Zertifikats ist, sondern von jedem Nutzer individuell festgelegt wird) und den Fähigkeiten (zwingend: Zertifizieren (C); optional: Entschlüsseln (E), Signieren (S) und Authentifizieren (A; für SSH).
Der zweite Block ist die User-ID (mit Gültigkeit, Erzeugungszeitpunkt, dem Text und (davor) dem Hash des Textes).
Der dritte Block ist die Eigenbeglaubigung der UID (mit Signaturtyp, long ID des signierenden Schlüssels, Signierzeitpunkt, der primären UID des signierenden Schlüssels)
Den öffentlichen Schlüssel im engeren Sinn braucht GnuPG, um Daten zu verschlüsseln und Signaturen zu prüfen. Den restlichen Inhalt des Zertifikats braucht es, um den Schlüssel verwalten zu können, also um ihn anders als über seinen Fingerprint bzw. seine ID ansprechen zu können und um seine Gültigkeit bestimmen (und beeinflussen) zu können.
Wenn ein Schlüssel signiert wird, nennt man das Zertifizierung , Schlüsselsignatur , Beglaubigung oder eben Eigenzertifizierung , Eigenbeglaubigung , wenn ein Hauptschlüssel seine eigenen Komponenten signiert. Diese Termini werden von mir synonym verwendet. Beim Unterschreiben von Daten wird dagegen lediglich von Signaturen gesprochen.
historische Entwicklung ← ↑
1991 veröffentlichte der amerikanische Programmierer Phil Zimmermann seine Software Pretty Good Privacy (PGP). Sie wurde von seiner Firma kommerziell vertrieben, war aber für Privatanwender kostenlos nutzbar. Als Alternative wurde 1998 der OpenPGP-Standard verabschiedet und in der FOS-Software GnuPG (Gnu Privacy Guard) implementiert. GnuPG ist die dominante (wenn nicht sogar einzige) Basis für freie und offene OpenPGP-Software.
Installation und Aufruf von gpg macht niemanden zum Experten. Man kann, erst recht per GUI, mit Kryptografiesoftware hantieren, ohne auch nur den blassesten Schimmer davon zu haben, was man gerade macht. Die Software kann Wissensmängel ihres Benutzers nicht ausgleichen und wird das auch nicht zufällig tun.
Es ist auf jeden Fall sinnvoll, sich mit GnuPG zu beschäftigen, aber es ist für ein gutes Ergebnis absolut unerlässlich, dass man sich klar macht, inwieweit man verstanden hat, was man tut. Solange man das nötige Verständnis nicht erworben hat, sollte man sich bewusst machen, dass die in der konkreten Situation gebotene Sicherheit möglicherweise sehr begrenzt ist, und sich nicht darauf verlassen, dass die 4096 Bit Schlüssellänge es schon irgendwie regeln werden. Das tun sie nämlich auf keinen Fall. Auch "kurze" Schlüssel sind für die meisten Angreifer unüberwindbar. Selbstüberschätzung wenig qualifizierter Anwender ist dagegen eine Einladung.
Der IT-Sicherheits-Guru Bruce Schneier hat das mal so formuliert:
Security is a process, not a product.
Er meint damit, dass man Sicherheit nicht kaufen kann wie eine zusätzliche Festplatte. Sicherheit ist in den meisten Fällen keine rein technische Kategorie, sondern auch wesentlich eine des eigenen Verhaltens.
die Kurzfassung ← ↑
Um OpenPGP mit GnuPG (sinnvoll) zu nutzen, sind folgende Schritte erforderlich:
Man entscheidet sich, für welches Sicherheitsniveau oder welche Sicherheitsniveaus jeweils ein Schlüssel erzeugt werden soll.
Man besorgt sich GnuPG und ggf. ergänzende Software (eine grafische Oberfläche dafür; Add-on fürs Mailprogramm) aus einer sicheren Quelle.
Man erzeugt sich (mindestens) einen Schlüssel, der in Länge, Ausgestaltung und der Sicherheit des ihn erzeugenden, des ihn speichernden und des ihn verwendenden Systems dem gewählten Niveau entspricht ( --gen-key ).
Man besorgt sich ( --import ) die öffentlichen Schlüssel (und möglichst auch die zugehörigen Richtlinien) der Kommunikationspartner oder deren Fingerprint aus einer sicheren Quelle und markiert sie (für sich selber oder für die Öffentlichkeit) als vertrauenswürdig ( --edit-key sign ).
Man informiert die Kommunikationspartner über den Fingerprint ( --fingerprint ) und das Sicherheitsniveau des eigenen Schlüssels.
Für alle Schlüssel bzw. von allen Schlüsseln, die man importiert und als vertrauenswürdig markiert hat oder denen man indirekt (über das Web of Trust) vertraut, kann man nun direkt (mit gpg) oder indirekt (z.B. gpg-GUI oder Mailclient) verschlüsseln bzw. Signaturen prüfen.
Damit kann man dann:
eine Datei für einen (eigenen oder fremden) Schlüssel verschlüsseln.
gpg --recipient empfaenger@example.org --encrypt datei.txt.
eine für einen eigenen Schlüssel verschlüsselte Datei entschlüsseln.
gpg --decrypt datei.txt.gpg.
eine Datei erzeugen, die sowohl die signierten Daten als auch die Signatur enthält.
gpg --local-user eigener_schluessel@example.org --sign datei.txt.
eine Datei erzeugen, die nur die Signatur für eine andere (unveränderte) Datei enthält.
gpg --local-user eigener_schluessel@example.org --detach-sign datei.txt.
eine Datei erzeugen, die sowohl die signierten Daten als auch die Signatur enthält und anschließend verschlüsselt wurde.
gpg --local-user eigener_schluessel@example.org --recipient empfaenger@example.org --encrypt --sign datei.txt.
die Signatur eines importierten (oder eines eigenen) Schlüssels überprüfen.
gpg --verify datei.txt.sig.
eine Datei ganz unabhängig von OpenPGP-Schlüsseln einfach mit einem Passwort verschlüsseln.
gpg --symmetric datei.txt.
technische Basis ← ↑
GnuPG bzw. gpg/gpg2 (der technische Programmname) ist ein Konsolen-Programm und deshalb aus Sicht der meisten Anwender nicht benutzerfreundlich. Es gibt allerdings einige Programme, die als grafische Oberfläche für gpg fungieren, so dass man sich meist nicht mit dem Eintippen von Befehlen auseinandersetzen muss, sondern die gewünschten Aktionen intuitiv mit der Maus oder einem Menü vornehmen kann. Viele sehr spezielle Funktionen werden allerdings von den grafischen Programmen nicht angeboten. In solchen Fällen muss man gpg direkt aufrufen (in der Konsole/Shell), um das Gewünschte zu erreichen.
Konfigurationsdateien ← ↑
Man kann über eine gpg-Konfigurationsdatei das Standardverhalten von gpg und Programmen, die es aufrufen, beeinflussen. Unter Linux ist das die Datei.
/.gnupg/gpg.conf-2 (gpg 2.x). Unter Windows C:\Users\[your user name]\AppData\Roaming\GnuPG (ab Vista) bzw. C:\Documents and Settings\[your user name]\Application Data\GnuPG (XP).
In der Konfigurationsdatei können nur die Langversionen der Optionen verwendet werden. Die beiden führenden Bindestriche müssen weggelassen werden. Aus --expert wird also expert . Wie üblich kann man Werte aus der Konfigurationsdatei bei einzelnen Aufrufen von GnuPG überschreiben, indem man den Wert auf der Kommandozeile angibt; der hat Vorrang (siehe aber Zusammenwirken von list options auf der Kommandozeile mit denen in der Konfigurationsdatei für den Spezialfall Parameterlisten). Man kann mittels --no-options dafür sorgen, dass die Konfigurationsdatei komplett ignoriert wird (und das Verzeichnis.
/.gnupg/ nicht erzeugt wird), mit --options kann man eine alternative Konfigurationsdatei angeben (relativ zum aktuellen Verzeichnis, nicht zum Konfigurationsverzeichnis). Mit --homedir (oder, mit geringerer Priorität, der Umgebungsvariable $GNUPGHOME, unter Windows der Registry-Eintrag HKCU\Software\GNU\GnuPG:HomeDir ) kann man das Konfigurationsverzeichnis festlegen; in der Konfigurationsdatei wird diese Option nicht ausgewertet.
Mittels --homedir kann man beispielsweise abweichende Konfigurationen für einzelne Applikationen festlegen. Ich nutze kgpg nur als Krypto-Editor, und das eigentlich auch nur für meine eigenen Schlüssel. Die lange Liste von Schlüsseln bei der Auswahl nervt eigentlich nur. Also habe ich das Verzeichnis.
/.gnupg/apps/kgpg angelegt, darin eine angepasste.
/.gnupg/gpg.conf (den Dateinamen gpg.conf-2 mag kgpg erstaunlicherweise nicht) erzeugt, meine privaten und öffentlichen Schlüssel importiert und random_seed mit der eigentlichen Datei verlinkt. Ich wurde dazu geradezu provoziert, weil man in kgpg explizit ein gpg-Konfigurationsverzeichnis angeben kann. Wäre das nicht möglich (wie in anderen Programmen, etwa Enigmail), hätte sich derselbe Effekt wohl durch Angabe von gpg --homedir /home/hl/.gnupg/apps/kgpg erreichen lassen; habe ich aber bisher nicht ausprobiert. Schlimmstenfalls müsste man das mit einem Wrapperscipt, das den Aufruf von gpg in (bezogen auf bash) exec gpg --homedir /home/hl/.gnupg/apps/kgpg "$@" ändert, lösen können.
Ein Beispiel dafür, was man in eine Konfigurationsdatei schreiben kann (für Erklärungen s.u.):
GnuPG kann inzwischen nicht mehr nur OpenPGP verwenden, sondern auch das zweite relevante Kryptografieverfahren, S/MIME. Es wird auch von dem grafischen Programm Kleopatra unterstützt, das sowohl für Windows als auch für Linux (usw.) zur Verfügung steht.
Installation ← ↑
Man kann gpg direkt von der GnuPG-Webseite herunterladen. Das ist aber zumeist nicht der beste Weg (Ausnahme: frühe Updates unter Windows).
Unter Linux u.Ä. sollte gpg sowieso installiert sein, alleine schon für die Prüfung der Integrität von Updates. Jede relevante Distribution bietet die Installation und Updates für gpg an.
Für Windows-Anwender ist es am einfachsten, das kostenlose Programm Gpg4win zu installieren. Dies ist ein grafisches Installationsprogramm, das gpg und einige (grafische) Zusatzprogramme (Schlüsselverwaltung; Integration in den Windows-Dateimanager) beinhaltet. Außerdem gibt es eine deutsches Onlinehilfe. Dieses Programm wurde im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) erstellt (BSI-Webseite zu Gpg4win).
Für MacOS ist www.gpgtools.org die richtige Anlaufstelle.
Weitere relevante Downloadlinks, u.a. für die Plug-ins für Mailprogramme, finden sich hier.
Kompatibilität ← ↑
Wie so ziemlich jede komplexe Software wird auch GnuPG ständig weiterentwickelt, was alleine schon der Entwicklung der Kryptografie geschuldet ist. Das bringt es mit sich, dass nicht alle Funktionen abwärtskompatibel sind. Wenn man die Möglichkeiten einer neuen Version von GnuPG ausreizt, erzeugt man Daten, die die Nutzer alter Versionen oder anderer PGP-Programme nicht verwenden können. Es gibt eine Reihe von Optionen in GnuPG, um die Kompatibilität zu beeinflussen (z.B. --pgp2 , --pgp6 , --pgp7 , --pgp8 ), aber manche Hürden lassen sich damit nicht umgehen.
In der Praxis ist das kein großes Problem, zumal sowieso die meisten Leute GnuPG einsetzen (und leicht aktualisieren können). Wenn man aus eigenem Antrieb GnuPG benutzt, sollte man eine moderne Konfiguration wählen. Für den seltenen Fall, dass man später mit jemandem korrespondieren will, der engere technische Restriktionen hat, kann man schlimmstenfalls immer noch einen neuen Schlüssel erzeugen. Man tut sich und der Welt aber keinen Gefallen, wenn man sich rein präventiv auf den kleinsten gemeinsamen Nenner beschränkt.
Weitere Informationen findet man auf der GnuPG-Webseite zu gpg und den zugehörigen Konsolenprogrammen, insbesondere den gpg-Kommandos und den gpg-Optionen. Außerdem gibt es natürlich auch dort FAQ.
Falls man Probleme hat, die man nicht selber lösen kann, kann man sich an die Anwender-Mailingliste wenden.
meine Angebote ← ↑
Außerdem biete ich unter der XMPP-Adresse gnupg-support@jabber.org Live-Unterstützung an, so ich denn mit diesem Account online bin. XMPP ist ein offenes Chatprotokoll (nach dem ersten Client auch manchmal unpräzise Jabber genannt), für das es eine Vielzahl von Clientprogrammen und Serverbetreibern (u.a. Google) gibt. Man kann dafür z.B. bei jabber.org oder beim Chaos Computer Club kostenlos einen Account registrieren. Ein Client, den ich empfehlen kann (und selber verwende) und der neben XMPP eine Menge weiterer Protokolle versteht (ICQ, MSN usw., quasi alles außer Skype), ist Pidgin. Man kann also innerhalb eines einzigen Programms viele unterschiedliche Accounts und Protokolle nutzen (bei mir aktuell fünf XMPP-Dienste (inklusive Facebook), außerdem ICQ und MSN). Mit Hilfe des Plugins OTR kann Pidgin auch verschlüsseln; OTR gibt es auch für weitere IM-Clients, etwa das KDE-Programm Kopete.
häufige Fehlermeldungen ← ↑
Da Suchmaschinen häufig mit Fehlermeldungen gefüttert werden (die folgenden können Meldungen von gpg oder darauf aufsetzenden oder ähnlichen Programmen sein):
dieser Schlüssel trägt keine vertrauenswürdige Signatur.
Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Damit ein Schlüssel für bestimmte Operationen akzeptiert wird, muss er als vertrauenswürdig markiert sein. Siehe hier.
die Gültigkeit der Signatur kann nicht überprüft werden.
Es gibt ein paar Voraussetzungen dafür, dass die Gültigkeit einer Signatur geprüft werden kann. Siehe hier.
Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist.
Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel.
Spezielle Varianten der vorigen Meldung. Siehe hier und (zur Lösung) hier.
Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsprerren.
Sie versuchen eine Aktion durchzuführen, für die ein geheimer Schlüssel benötigt wird (z.B. Signierung, Entschlüsselung, Bearbeitung eines Schlüssels), der durch eine Passphrase geschützt ist. Siehe hier.
die wichtigsten Aktionen ← ↑
Erzeugung eines Schlüsselpaars und Schlüsselverwaltung ← ↑
Wenn man sich nicht darauf beschränken will, anderer Leute Signaturen zu prüfen und anderen (unsignierte) verschlüsselte Nachrichten zu schicken, sondern auch selber (asymmetrisch, also im üblichen Sinn von OpenPGP verschlüsselte) Daten entschlüsseln oder signieren will, dann benötigt man einen eigenen Schlüssel; mindestens einen, denn es spricht nichts dagegen, sich für unterschiedliche Zwecke unterschiedliche Schlüssel zuzulegen. Wichtig ist: Die Sicherheit des Schlüssels ist nie höher als die des Systems, auf dem er erzeugt wird; das gilt abgeschwächt auch für Systeme, auf denen er (und sei es nur kurzzeitig) gespeichert wird! Diese Maßnahmen sind deshalb sinnvoll, wenn der jeweilige Schlüssel für mehr als nur Rumspielen gedacht ist:
Vor der Erzeugung des Schlüssels eine Schlüsselrichtlinie erstellen. Das hilft einem dabei, sich darüber klar zu werden, was man eigentlich will, und hilft einem hinterher dabei, gemessen an diesen Vorgaben keine Fehler zu machen.
Man sollte den Schlüssel in einem sicheren System erzeugen. Auch wenn man mit dem Schlüssel anfangs keine superwichtigen Dinge tun will, mag man sich später mal darüber freuen, dass der Hauptschlüssel sehr sicher ist und die Unterschlüssel mit begrenzter Gültigkeitsdauer erzeugt wurden.
Den Hauptschlüssel (der eigene und andere UID-Schlüssel-Kombinationen sowie die eigenen Unterschlüssel signiert) von den Unterschlüsseln trennen, siehe den Abschnitt externe Speicherung des Primärschlüssels / Hauptschlüssels . Diese Empfehlung gilt vor allem für Schlüssel, die in einer unsicheren Umgebung (also auf "ganz normalen" PCs) verwendet oder auch nur gespeichert werden.
Unterschiedliche Schlüssel für unterschiedliche Sicherheitsanforderungen erzeugen und diese Unterschiedlichkeit den Kommunikationspartnern auch mitteilen (z.B. durch einen Kommentar in der UID). Also etwa einen für den alltäglichen Einsatz wie das Signieren aller E-Mails und einen anderen für die Signierung und Verschlüsselung von Daten mit hohen Anforderungen an die Integrität oder Vertraulichkeit (z.B. Verträge über hohe Summen).
Es mag am einfachsten sein, erst mal einen Schlüssel zum Rumspielen zu erzeugen und später, mit etwas mehr Erfahrung, die für ernsthafte Zwecke.
Viele grafische OpenPGP-Programme bieten zunächst die Erzeugung eines Schlüsselpaars an, wenn sie beim Start feststellen, dass es noch keins gibt. Die Erzeugung eines Schlüssels ist nichts anderes als die Bestimmung einer geeigneten, sehr großen Zufallszahl. So groß, dass es "unmöglich" ist, sie zu raten oder durch Ausprobieren zu finden, auch wenn man tausende von Computern zusammenschaltet und jahrelang arbeiten lässt.
Darin liegt ein Problem (Sicherheitsrisiko), weil Computer eben nicht dafür geschaffen sind, zufällige Ergebnisse zu produzieren, sondern ganz im Gegenteil deterministisch arbeiten. Computer sind grundsätzlich schlechte Zufallszahlengeneratoren. Nur wenige Computer verfügen über entsprechende Zusatzhardware, die dieses Problem mehr oder weniger beseitigt (wenn man Hardware dafür hat, stellt sich nämlich die Frage, ob sie fehlerfrei funktioniert. :-) ). Deshalb passiert es leicht (vor allem bei langen Schlüsseln), dass man bei der Schlüsselerzeugung aufgefordert wird, irgendwelche Aktivitäten vorzunehmen (Tasten drücken, Maus bewegen), damit der Rechner genügend Entropie ("Zufallsdaten") sammeln kann. Unter Linux kann man sich mit dem Kommando cat /proc/sys/kernel/random/entropy_avail anzeigen lassen, wie groß der Entropiepool des Kernels gerade ist.
Wenn man die wirklich spannenden Sachen mit gpg machen will (auch bei der Erzeugung von Schlüsseln), muss man dem Programm mitteilen, dass man entsprechend furchtlos ist:
Dadurch werden eine Menge Optionen freigeschaltet, die GUIs normalerweise nicht bieten. Beispiel – dasselbe ohne --expert (kann man sich übrigens in die Konfigurationsdatei schreiben):
Ich empfehle für die meisten Schlüssel, einen RSA-Hauptschlüssel zu erzeugen, der signieren und entschlüsseln kann (Auswahl 8), und zusätzlich (in einem zweiten Schritt) jeweils einen RSA-Unterschlüssel für Signaturen und Entschlüsselung (und, falls für SSH benötigt, außerdem einen für Authentisierung) zu erzeugen; der Hauptschlüssel sollte sofort nur offline gespeichert werden.
Primärschlüssel / Hauptschlüssel ← ↑
Sowohl aus technischen als auch organisatorischen Gründen bestehen OpenPGP-Schlüssel normalerweise aus mehr als einem Schlüssel, typischerweise aus zweien. Der Primärschlüssel / Hauptschlüssel ist, man ahnt es schon, der wichtigste. Seine Wichtigkeit resultiert daraus, dass er zwingend in der Lage sein muss und als einziger in der Lage ist, die eigenen Unterschlüssel und außerdem die eigenen Benutzerkennungen (UIDs: meist Name, E-Mail-Adresse, ggf. ein Kommentar) sowie die anderer Schlüssel zu unterschreiben. Wenn ein OpenPGP-Schlüssel in seiner Gesamtheit identifiziert wird (mit dem Fingerprint), bezieht sich dies auf den Primärschlüssel / Hauptschlüssel.
externe Speicherung des Primärschlüssels / Hauptschlüssels und Schlüsselfähigkeiten ← ↑
Es ist sinnvoll, einen Schlüssel so zu erzeugen, dass der Primärschlüssel / Hauptschlüssel zertifizieren, signieren und entschlüsseln kann (damit man auch ohne dedizierten Hochsicherheitsschlüssel im Einzelfall / Notfall auf hohem Sicherheitsniveau signieren und verschlüsselt kommunizieren kann), und diesen nicht auf einem normalen Arbeitsrechner zu speichern (oder ihn zumindest mit einer langen (20 Zufallszeichen bei Groß- und Kleinbuchstaben und Ziffern, so wie ZlpZn5DFYlrULFCh3ywS) Passphrase zu schützen, die (natürlich nicht dieselbe ist wie bei den Unterschlüsseln und) im normalen Betrieb nie eingegeben wird, sondern etwa nur dann, wenn man von einem sicheren Medium bootet). Man kann aber für alle hochsicheren Schlüssel(komponenten) dieselbe kryptografisch harte Passphrase verwenden. Für Motivation und die Vorgehensweise siehe unten.
Schlüsseltypen ← ↑
Die derzeit von GnuPG unterstützten Schlüsseltypen sind RSA, DSA und ElGamal; in naher Zukunft ist die Unterstützung von ECC zu erwarten. Für normale Zwecke bestehen keine relevanten Unterschiede zwischen den beiden Verfahren. Der Primärschlüssel kann nur ein DSA- oder RSA-Schlüssel sein. Ich empfehle die Verwendung von RSA-Schlüsseln , weil die mit der g10-Smartcard verwendet werden können. Außerdem haben DSA- und ECDSA-Schlüssel den Nachteil, dass sie schon dadurch kompromittiert werden, dass sie auf einem System, das schlechte Zufallszahlen liefert (siehe das Debian-Desaster), eine Signatur erzeugen.
Die gängigen Algorithmen für einen Primärschlüssel sind RSA und DSA. RSA-Schlüssel haben den wesentlichen Vorteil, auf die aktuelle Version der g10-Smartcard kopiert werden zu können. Wenn man den Hauptschlüssel aber sowieso nur in einer sicheren Umgebung verwendet (Booten von CD/DVD) und sicher verwahrt (lange Passphrase, die nur auf sicheren Systeme eingegeben wird), ist das weniger wichtig; dann reicht es, die Unterschlüssel auf der Smartcard zu haben. Man kann also einen DSA-Hauptschlüssel mit RSA-Unterschlüsseln auf einer Smartcard kombinieren. Ob es dafür gute Gründe gibt, ist eine andere Frage.
Die gängige Struktur eines OpenPGP-Schlüssels sieht so aus, dass er einen RSA- oder DSA-Primärschlüssel hat, der Daten (S) und andere Schlüssel (C; nur diese Fähigkeit ist ganz allgemein zwingend) signieren kann (bzw. darf) und eventuell auch zur Authentifizierung (A) verwendet werden kann und der einen Elgamal-Unterschlüssel zum Verschlüsseln (E) hat.
DSA hat bei Verwendung von Schlüsseln bis 1024 Bit den Nachteil, dass Hashwerte nur bis 160 Bit Länge erzeugt werden können. 2048-Bit-DSA-Schlüssel sind aber zu alten Implementierungen nicht kompatibel (und müssen in früheren GnuPG-Versionen erst mit -enable-dsa2 freigeschaltet werden).
Es bestehen große Unterschiede in der Performance von RSA-, DSA- und ElGamal-Operationen. Für Leute, die nur im üblichen Umfang Kryptooperationen durchführen, ist das belanglos. Wenn jemand zigtausende von Signaturen erzeugen oder prüfen muss, mag es relevant werden. RSA verschlüsselt mehr als zehnmal so schnell wie ElGamal, ist beim Entschlüsseln aber etwa 15% langsamer. ElGamal-Nachrichten sind länger als dieselbe Nachricht in RSA-Verschlüsselung. Für die Erzeugung einer Signatur braucht RSA etwa fünfmal so lange wie DSA, aber DSA für die Prüfung einer Signatur etwa 30mal so lange wie RSA. Bei großen Datenmengen pro Signatur sollten sich diese Unterschiede verringern.
Schlüssellänge ← ↑
Für alle Schlüssel muss die gewünschte Länge angegeben werden. Meist sind dies 1024, 2048 oder 4096 Bit. 1024 Bit ist inzwischen in den kritischen Bereich gerutscht; ich empfehle 2048 Bit .
Die naheliegende Frage, warum man nicht automatisch immer 4096 nehmen solle, wenn das doch problemlos möglich sei, wurde von einem der Gurus auf der GnuPG-Mailingliste mal wie folgt beantwortet: Damit in den nächsten 10+ Jahren 2048-Bit-Schlüssel geknackt werden können, müssen derart abartige Dinge passieren (in der Technik oder Mathematik), dass man davon ausgehen darf, dass diese Entwicklung dann auch gleich die 4096-Bit-Schlüssel erledigt. (Ende der Widergabe) Die Lebensdauer von Hashfunktionen liegt sowieso weit unter der von 2048-Bit-Schlüsseln. Relevant mögen die 4096 Bit Länge für jemanden sein, der Daten verschlüsselt und auf Jahrzehnte sicher sein will, dass sie nicht entschlüsselt werden können. Wenn einem also nicht egal ist, ob die Daten in 20 oder 35 Jahren gelesen werden können, mag man sich den längeren Schlüsseln zuwenden. Aber mit derart extremen Anforderungen sollte man vielleicht auch nicht mehr auf die Sicherheit von AES vertrauen, sondern die Daten zweimal verschlüsseln, mit unterschiedlichen Algorithmen.
Die Erzeugung eines 2048-Bit-Schlüssels dauert schon merklich lange (ganz abgesehen von dem o.g. Problem, dass normale Rechner gar nicht so viel Entropie besitzen, so dass man am Ende viel scheinbare Sicherheit hat). Bei einem 4096-Bit-Schlüssel dauert nicht nur die Erzeugung ewig, sondern auf langsamen Rechnern auch die Verwendung des Schlüssels lange.
Die g10-Smartcard kann mit aktuellen Versionen von GnuPG auch RSA-Schlüssel mit einer Länge bis 4096 Bit Länge verwenden. Man sollte längere RSA-(Unter-)Schlüssel (und auch Nicht-RSA-Unterschlüssel) deshalb nur dann erzeugen, wenn man genau weiß, was man tut; also speziell, dass man niemals (für diesen Schlüssel) eine Smartcard verwenden wird.
Der Sicherheitsgewinn bei RSA- und DSA-Schlüsseln durch eine größere Länge ist bescheiden. Die Zukunft der Schlüssel liegt deshalb in neuen Verfahren (eliptische Kurven, ECC), die mit sehr viel kürzeren Schlüsseln auskommen. Man darf die Länge eines RSA-Schlüssels nicht mit der eines symmetrischen Schlüssels verwechseln. Ein symmetrischer 128-Bit-Schlüssel ist nach menschlichem Ermessen auch in den nächsten Jahrzehnten nicht zu knacken (2¹²⁸=340282366920938463463374607431768211456.
3,4×10³⁸). Das Restrisiko liegt in der fraglichen Zufälligkeit des Schlüssels und der Sicherheit des Verschlüsselungsverfahrens.
Ein asymmetrischer Schlüssel muss sehr viel länger sein als ein symmetrischer, um dieselbe Sicherheit zu bieten:
Gültigkeitszeitraum ← ↑
Sinnvoll ist eine Beschränkung des Gültigkeitszeitraums sowohl für Hauptschlüssel als auch für Unterschlüssel, denn diese Beschränkung ist nicht in Stein gemeißelt, sondern kann mit Hilfe des Hauptschlüssels beliebig oft geändert werden (indem eine neue self signature erzeugt wird, die dann das neuen Ablaufdatum enthält). Wenn sie ungültig werden, können die Verwender des eigenen Schlüssels sich mit wenig Aufwand eine aktualisierte Version des Schlüssels mit verlängerten Gültigkeitszeiträumen beschaffen. Die bestehenden Zertifizierungen beziehen sich nicht auf das Ablaufdatum, so dass der neue Schlüssel ohne weiteres als gültig erkannt wird. Ob Kommunikationspartner allerdings immer clever genug sind, im Fall eines abgelaufenen Hauptschlüssels nach einer neueren Version des Schlüssels zu suchen, ist eine andere Frage. Bei Sicherheitssoftware sollte man die Kompromisse aber nicht an den Kompetenzmängeln mancher Nutzer ausrichten. Der Schaden ist größer, wenn man auf ein Ablaufdatum verzichtet.
Es gibt allerdings auch ein Argument für Hauptschlüssel mit endlicher Lebensdauer (mal abgesehen davon, dass niemand mehr in 20 Jahren die heutigen Schlüssel verwenden wird: Das nächste Schlüsselformat für OpenPGP steht vor der Tür. Sobald der SHA-3 festgelegt ist, ist damit zu rechnen.): Man kann (mit Hilfe des privaten Hauptschlüssels) die Gültigkeitsdauer von Unterschlüsseln und auch die des Hauptschlüssels verlängern. Wenn man die Gültigkeitsdauer nicht verlängert, heißt das, dass man sie entweder nicht verlängern kann oder will. In beiden Fällen gibt es keinen Grund, warum der Schlüssel weiter benutzt werden sollte.
Das Ablaufdatum eines bestehenden Schlüssels ändert man mit gpg --edit-key 0xeccb5814 – dann wählt man (falls es um einen Unterschlüssel geht) mit z.B. key 1 den gewünschten Unterschlüssel (nur einen zur Zeit, entsprechend der Liste des Kommandos list , die aber schon standardmäßig angezeigt wird) aus und setzt dann über das Kommando expire den neuen Zeitstempel. Wird kein Unterschlüssel ausgewählt, wird nur die Gültigkeit des Hauptschlüssels bearbeitet; die der Unterschlüssel bleibt unverändert. Es ist möglich, das gewünschte Datum direkt zu setzen (als JJJJ-MM-TT ), nicht aber die Uhrzeit. Jedenfalls war das vor Jahren noch so, und ich habe nichts Anderslautendes finden können. Die Uhrzeit übernimmt gpg in dem Fall offenbar vom Hauptschlüssel. Diese Schlüsselbearbeitung ist nicht möglich, wenn der private Hauptschlüssel offline gespeichert wird. Diese Änderung sollte also nur in einem sicheren System vorgenommen werden, in das der private Hauptschlüssel ggf. zuvor importiert wird.
Änderung der Gültigkeit des Hauptschlüssels:
Änderung der Gültigkeit eines Unterschlüssels:
Das ist für alle zu bearbeitenden Unterschlüssel zu wiederholen. Vorher ist durch erneute Angabe von key n oder von key ohne Parameter der gerade bearbeitete Unterschlüssel zu deselektieren.
Direkte Eingabe des Zieldatums (im --edit-key -Menü):
Die Gültigkeit von Unterschlüsseln zu verlängern erscheint am ehesten bei solchen Unterschlüsseln sinnvoll, die mittels einer Smartcard oder nur in einer sicheren Umgebung verwendet werden. Alle anderen können unbemerkt kompromittiert worden sein. Durch den regelmäßigen Austausch der Unterschlüssel reduziert man den Schaden, den ein Angreifer anrichten kann (wenn das fragliche Sicherheitsproblem in der Zwischenzeit abgestellt wurde).
Man kann (mit dem Konsolen-gpg auch getrennt für Primär- und Unterschlüssel) die maximale Gültigkeit des Schlüssels festlegen. Nach dem Verfallsdatum verweigern die Programme normalerweise die Verwendung des Schlüssels. Eine endliche Lebensdauer verhindert, dass versehentlich uralte Schlüssel verwendet werden, die vom Eigentümer gar nicht mehr benutzt werden und vielleicht schon kompromittiert sind. Eine kurze Gültigkeit des Primärschlüssels bringt allerdings das Problem mit sich, dass nach entsprechend kurzer Zeit alle Verwender des Schlüssels den Nachfolge(unter)schlüssel erhalten müssen. Das Problem lässt sich verringern, indem man Schlüssel mit überlappenden Gültigkeitszeiträumen verwendet. Wer den Schlüssel aktualisiert, verwendet automatisch den neueren, die anderen können problemlos noch den alten verwenden.
Das größere Problem als die Schlüsselaktualisierung dürfte, insbesondere bei der Verwendung von E-Mails, die nicht mehr uneingeschränkte Validierung der Signaturen sein. Wenn man die Prüfung mit gpg direkt durchführt, sieht man wenigstens, was los ist:
gpg beendet sich in diesem Fall aber nicht mit einem Fehlercode! (Im Scriptaufruf bekommt man dann (über --status-fd ) den Wert EXPKEYSIG statt GOODSIG .) Was man im GUI sieht, ist Glückssache (GPA macht es richtig.) Aber selbst ein Mailprogramm mit ansonsten hervorragender OpenPGP-Integration wie KMail versagt in diesem Fall total: Die Signatur eines verfallenen Schlüssels wird genau so angezeigt wie eine fehlerhafte Signatur, ohne jeden Hinweis auf das eigentliche Problem. Die Lösung solcher Probleme ist die rechtzeitige Signierung mit einem anderen Schlüssel. Das passiert in der Praxis ständig (wenn auch nicht unbedingt mit OpenPGP): Rechnungen müssen für den Fall einer Steuerprüfung zehn Jahre aufbewahrt werden. Im Fall digitaler Rechnungen mit einer qualifizierten Signatur heißt das natürlich, dass sie zehn Jahre lang eine gültige Signatur haben müssen. Die für Signaturen verwendeten Algorithmen werden vom BSI aber generell nur fünf Jahre im voraus für zulässig erklärt, die Gültigkeit des Unterschrifts-Zertifikats endet meist schon nach viel kürzerer Zeit. Es ist also gar nicht möglich, eine Datei derart mit einer qualifizierten Signatur zu versehen, dass sie in zehn Jahren noch gültig signiert ist. Die Lösung des Problems ist einfach: Man signiert (die Daten und) die Signatur rechtzeitig vor ihrem Verfall mit einem anderen Schlüssel, der entsprechend länger gültig ist. Dieser Vorgang muss dann regelmäßig wiederholt werden. Beispiel: 2010 wurde ein Dokument von einem Schlüssel signiert, dessen Zertifikat 2013 abläuft. Wenn diese Signatur nun 2012 mit einem Schlüssel signiert wird, dessen Zertifikat bis 2015 gültig ist, dann ist 2014 die erste Signatur zwar ungültig, aber mit der späteren kann nachgewiesen werden, dass die erste Signatur bereits zu einem Zeitpunkt existierte, zu dem sie noch gültig war:
Gut zu sehen ist, dass Verlängerungssignaturen immer in dem Zeitraum entstehen müssen, in dem beide Schlüssel (der alte und der neue) gültig sind.
Dieses Verfahren beugt auch den Problemen vor, die entstehen, wenn ein Schlüssel zurückgezogen wird. Das Datum einer Signatur ist trivial fälschbar. Wenn man eine Mail oder Datei hat, die angeblich 2011 signiert wurde, der Schlüssel aber 2012 zurückgezogen (revoke) wird, wie soll man dann 2013 entscheiden, ob diese Daten gültig sind, weil sie signiert wurden, bevor der Schlüssel kompromittiert wurde, oder erst danach? Wenn man die Signatur beim Empfang selber signiert hat, kann man dies sicher entscheiden. Leider bietet meines Wissens kein Mailprogramm so ein Feature.
Man kann (mit Hilfe des Hauptschlüssels) sogar nachträglich die Gültigkeitszeiträume verändern; sowohl für die Unterschlüssel als auch für den Hauptschlüssel selber.
Das häufige Wechseln von Unterschlüsseln kann problematisch sein, wenn man für diese Schlüssel eine Smartcard nutzt, weil man dann nicht mehr alle Schlüssel auf einer Karte hat. die Gültigkeitsbegrenzung bietet sich also in erster Linie für Schlüssel an, die ganz normal auf einem PC gespeichert sind, zumal Schlüssel auf einer Smartcard kaum in Gefahr sind, kompromittiert zu werden.
Unterschlüssel ← ↑
Es können beliebig viele Unterschlüssel angelegt werden, deren Algorithmus (DSA/RSA/Elgamal), Länge und Fähigkeiten (S/A/E) nichts mit dem Primärschlüssel zu tun haben, allerdings begrenzt der Algorithmus des Unterschlüssels eventuell dessen Länge und (von OpenPGP/GnuPG unterstützte) Fähigkeiten; so kann (bzw. darf) beispielsweise Elgamal (in GnuPG) nur verschlüsseln, DSA nur Schlüssel bis 1024 Bit Länge erzeugen und nur Hashwerte bis 160 Bit für Signaturen verwenden (siehe --enable-dsa2 für die Aufhebung dieser Limitationen).
Es kann sinnvoll sein, mehrere Unterschlüssel für dieselbe Aktion zu haben. Auf diese Weise kann man etwa Kompatibilitätsprobleme umgehen. Wenn ein Kommunikationspartner einen neuen Unterschlüssel nicht verwenden kann, weil seine OpenPGP-Implementierung z.B. den Algorithmus noch nicht kennt, dann muss man auf die Vorteile der neuen Technik nicht verzichten: Man erzeugt einfach zwei Schlüssel, einen davon zu Kompatibilitätszwecken in einer älteren Variante. Man sollte aber den Schlüssel, der bevorzugt verwendet werden soll, als letzten erzeugen, damit GnuPG ihn standardmäßig auswählt. Wenn der für jemanden nicht funktioniert, sollte sein System automatisch auf den anderen ausweichen.
Im allgemeinen spielt die Geschwindigkeit von Kryptografieoperationen keine Rolle (Ausnahmen: beispielsweise massenhafte Verschlüsselung / Signierung; lange Schlüssel auf langsamer Hardware); der Vollständigkeit halber: RSA ist beim Verschlüsseln immens schneller als ElGamal; beim Entschlüsseln ist es geringfügig langsamer. Beim Erstellen von Signaturen RSA drastisch langsamer als DSA, beim Überprüfen aber extrem schneller. Sollte man wirklich mal ein Performanceproblem haben oder befürchten, mag es sinnvoll sein, jeweils beide Arten von Unterschlüsseln zu erzeugen und in relevanten Fällen die jeweils geeigneteren zu verwenden.
Ein abschreckendes Beispiel für die Anzeige eines Schlüssels mit vielen Unterschlüsseln:
Angezeigt werden Länge (1024 Bit), Typ (DSA), (short) ID (71FDC5CB), Erzeugungs- und Verfallsdatum des Primärschlüssels sowie von sechs unterschiedlichen Unterschlüsseln sowie die einzige UID dieses Schlüssels. Warum es so viele Unterschlüssel sind, zeigt sich bei einem anderen gpg-Aufruf (siehe die Spalte ganz rechts):
Jeweils zwei Unterschlüssel können Daten signieren (S), verschlüsseln/entschlüsseln (E) oder authentifizieren (A). Der Primärschlüssel kann als einziger beglaubigen (C) und auch nur das. Normalerweise hat man nicht so viele Schlüssel gleichzeitig im Einsatz; das dient hier nur Demonstrationszwecken.
Es folgt die Anzeige der Signaturen:
Man sieht, dass die UID und alle Unterschlüssel vom Primärschlüssel beglaubigt sind und dass andere Schlüssel (hier: 0xECCB5814) nur UIDs beglaubigen. Die 3 hinter sig gibt an, dass die beglaubigende Person die beglaubigte Identität nach eigener Einschätzung (siehe Signatur-Policy, sofern vorhanden) sehr sorgfältig geprüft hat. 2 würde bedeuten, dass er ihn flüchtig geprüft hat, 1, dass er ihn gar nicht geprüft hat, und 0 bzw. keine Anzeige bedeutet, dass die beglaubigende Person keine Angabe dazu macht, wie sorgfältig sie war.
Ein Sicherheitsproblem entsteht dadurch, dass man zwar sicher sein kann, dass ein Unterschlüssel vom Besitzer des Hauptschlüssels signiert wurde, nicht aber sicher sein, dass es sich dabei um einen Unterschlüssel handelt, der dem Hauptschlüsselbesitzer gehört. Jeder kann sich (prinzipiell) einen existierenden Unterschlüssel (von jemand anderem) mit seinem Hauptschlüssel unterschreiben und dadurch den Eindruck erwecken, es sei seiner. Er kann natürlich weder Daten für diesen Unterschlüssel entschlüsseln noch Signaturen mit ihm erzeugen, weil ihm der private Schlüssel fehlt. Aber Verwirrung kann man auf diese Weise stiften. Dieses Problem wurde vor einiger Zeit in OpenPGP behoben, jedenfalls für Signatur-Unterschlüssel (die problematischer sind). Wenn ein Signatur-Unterschlüssel erzeugt wird, dann wird mit diesem der Hauptschlüssel signiert. Diese zusätzliche Signatur garantiert, dass der Unterschlüssel zum Hauptschlüssel gehört. Wenn diese Zusatzsignatur fehlt (weil ein Schlüssel vor langer Zeit erstellt wurde), gibt gpg eine Warnung aus, die auf den entsprechenden Teil die GnuPG-Webseite verweist.
Auswahl der Unterschlüssel ← ↑
gpg wählt automatisch den (bzw. einen) passenden Unterschlüssel aus. Normalerweise gibt man als Benutzer nur an, welcher Hauptschlüssel verwendet werden soll. Wenn mehrere Schlüssel in Frage kommen, wählt gpg denjenigen aus, der zuletzt erzeugt wurde. Man kann aber auch, was selten benötigt werden sollte, den zu verwendenden Unterschlüssel angeben (oder den Hauptschlüssel auf diese Weise, wenn er statt eines Unterschlüssels verwendet werden soll, etwa für besonders sichere Signaturen eines Offline-Hauptschlüssels). Statt des Hauptschlüssels 71FDC5CB.
gpg --encrypt --symmetric --recipient 0x71FDC5CB testdatei.txt.
gibt man dann mit Ausrufezeichen die ID des Unterschlüssels an, etwa 801FDB58:
gpg --encrypt --symmetric --recipient 0x801FDB58! testdatei.txt.
Das funktioniert natürlich nicht, wenn man – wie üblich – gpg nicht direkt verwendet, sondern über eine Anwendung (Mailprogramm). Mir ist auch keine Möglichkeit bekannt, das über die Konfiguration von gpg zu regeln. Man kann natürlich immer – auf die harte Tour – den Empfängerschlüssel sichern (exportieren), alle zu vermeidenden Unterschlüssel löschen, die Aktion durchführen und dann die Unterschlüssel (durch Importieren des vorher exportierten Schlüssels) wiederherstellen.
Ob eine Signatur mit dem Haupt- oder einem Unterschlüssel erzeugt wurde, kann man leicht sehen:
Die erste abgetrennte Signatur ( hauke__0x1a571df5.asc.asc ) wurde mit dem Hauptschlüssel erzeugt, die zweite ( hauke__0x1a571df5.asc.sig ) mit dem Unterschlüssel. Bei einem normalen Aufruf wird nur die ID ausgegeben; die muss man dann schon erkennen, um zu wissen, woran man ist. Wenn man aber gpg mittels --verbose (das zur Steigerung des Effekts auch mehrfach angegeben werden kann) auf gesprächig schaltet, bekommt man (u.a.) den Hinweis explizit: der Unterschlüssel 0x3F96AD8E wird anstelle des Hauptschlüssels 0x1A571DF5 verwendet.
Benutzerkennung ← ↑
Zu einem Primärschlüssel gehört mindestens eine Benutzerkennung. Diese besteht typischerweise aus dem Namen, der E-Mail-Adresse und eventuell einem Kommentar (z.B., dass es sich vorbildlicherweise um einen Offline-Hauptschlüssel handelt):
Man kann nach belieben UIDs hinzufügen und löschen, allerdings muss immer eine erhalten bleiben.
So kann man denselben Schlüssel für mehrere E-Mail-Adressen verwenden: Man trägt einfach alle E-Mail-Adressen als UIDs ein. Das ist bequem und nur dann problematisch, wenn nicht jeder wissen soll, dass alle Adressen zu derselben Person gehören (etwa bei beruflichen und privaten oder solchen, die spamfrei bleiben sollen und deshalb nicht auf Keyservern veröffentlicht werden sollen).
Wenn man alle UIDs löscht (bzw. mit --edit-key und dem Kommando revuid zurückzieht), die ein Kommunikationspartner signiert hat (oder über das web of trust verifizieren kann), dann ist der Schlüssel für ihn mehr oder weniger wertlos. Das sollte man sich deshalb gut überlegen. Vor diesem Hintergrund erscheint es sinnvoll, einem Schlüssel gleich bei der Erzeugung eine UID ohne E-Mail-Adresse zu spendieren, also nur mit dem Namen, denn diese wird man nie zurückziehen, und so bleibt immer eine signierte UID erhalten. Es besteht allerdings ein kleines Risiko, dass andere OpenPGP-Implementierungen mit einer UID, die nicht die übliche Form hat, nicht zurechtkommen. Das kann man zur Not durch Löschung der UID auf dem jeweiligen System lösen, aber mit jedem Update vom Keyserver wäre die UID wieder da.
Streng technisch ist die UID nur ein Textfeld, in das man quasi alles reinschreiben kann (nicht etwa drei getrennte Felder für Name, E-Mail und Kommentar). Um ungewöhnliche UIDs zu erzeugen, wird eventuell die Option --allow-freeform-uid benötigt.
Zu der ersten UID Test Key (Demo) <test@key.inv> ist nun die UID Neue UID (nach der Signierung hinzugefügt) <test2@key.inv> hinzugekommen. Da dies nach der Signierung durch den anderen Schlüssel 0xECCB5814 erfolgte, hat nur die alte UID eine Signatur von 0xECCB5814.
Die hier angezeigten Informationen finden sich (fast alle) auch in der Schlüsselübersicht der grafischen Programme. Diese Zusammenhänge muss man verstehen:
Ein Schlüssel wird über seinen öffentlichen Primärschlüssel identifiziert (bzw. über (den letzten Teil von) dessen Fingerabdruck).
Zu einem Primärschlüssel gehören eine oder mehrere UIDs (Name, E-Mail, eventuell Kommentar).
Alle UIDs und alle Unterschlüssel sind von dem Primärschlüssel unterschrieben. Eine UID oder ein Unterschlüssel ohne Signatur (so was kann man regulär gar nicht erzeugen) ist wertlos bzw. sogar ein Hinweis auf Manipulation.
Signaturen von anderen Schlüsseln betreffen (fast) immer nur UIDs (genauer: die Kombination aus Primärschlüssel und UID).
Jeder Primär- und jeder Unterschlüssel besteht aus einem öffentlichen und einem privaten Schlüssel. Mit dieser Unterscheidung hat man aber nur selten zu tun, etwa dann, wenn man seine privaten Schlüssel sichern oder auf einem anderen Rechner verfügbar machen will und sie deshalb exportieren muss. gpg verwendet immer automatisch den richtigen der beiden Schlüssel.
Passphrase ← ↑
Bei der Erzeugung eines Schlüssels wird man nach einer Passphrase gefragt. Diese Bezeichnung anstelle von Passwort soll zum Ausdruck bringen, dass die Eingabe auch Leerzeichen enthalten darf, also aus mehreren Wörtern, etwa einem Satz, bestehen kann. Der Sinn einer Passphrase ist zu verhindern, dass jemand, der die Datei, die den geheimen Schlüssel enthält, in seinen Besitz bringt, den Schlüssel sofort verwenden kann. Die Sicherheit einer Passphrase kann üblicherweise nicht mal im Ansatz mit der Sicherheit von OpenPGP-Schlüsseln mithalten. Eine normale Passphrase ist schnell geknackt. Man sollte also (jedenfalls bei "wertvollen" Schlüsseln und auch bei anderen, wenn sie auf z.B. USB-Sticks transportiert oder archiviert werden, die nicht in geeigneter Weise vor physischem Zugriff geschützt sind) eine lange Zufallsfolge wählen (was man sich eben gerade noch so merken kann; besser: (einen Teil) aufschreiben). Für selten genutzte Schlüssel kann man auch eine lange Passphrase wählen, die man sich aufschreiben muss. Eine gute Kombination ist eine Passphrase, die man häufig verwendet und dementsprechend nicht vergisst, und eine, die man sich aufschreiben muss.
Eine Passphrase ist anders als eine normale Passworteingabe keine "Lasse ich das den User jetzt machen?"-Entscheidung des Computers, sondern ohne sie kann auch der Computer den Schlüssel nicht verwenden, weil der geheime Teil mit der Passphrase verschlüsselt wird, bevor er gespeichert wird. Das heißt auch: Ist die (gute) Passphrase weg, ist der Schlüssel weg. Es heißt außerdem: Wird ein geheimer Schlüssel exportiert, dann wird man nicht nach seiner Passphrase gefragt. In der exportierten Datei ist der Schlüssel genauso verschlüsselt wie im Keyring. Möchte man den geheimen Schlüssel für ein Backup besonders sichern, dann ist eine Möglichkeit, vor dem Export die Passphrase zu ändern (zu einer besseren).
Wenn man nacheinander einen anderen Schlüssel oder eigene Schlüsselkomponenten zertifiziert / signiert, Daten entschlüsselt und Daten signiert, dann kann es (bei guter Schlüsselstruktur) passieren, dass man dreimal nach einer Passphrase gefragt wird, obwohl es immer dieselbe ist und GnuPG auch nur eine einheitliche Passphrase für alle Schlüssel eines Zertifikats setzen kann. Der Grund ist, dass es sich technisch um unterschiedliche Schlüssel handelt, die im Prinzip auch jeweils eine individuelle Passphrase haben könnten. Dass die Schlüssel zusammengehören, interessiert die Passphrase-Verwaltung nicht – eine durchaus verbesserungswürdige Situation. Unterschiedliche Passphrasen zu verwenden, ist bei GnuPG aber mit einiger Fummelei ( gpgsplit ) verbunden, die man wohl nur Experten zumuten möchte. Ausnahme: Die Verwendung einer eigenen Passphrase für den Hauptschlüssel und einer gemeinsamen für alle Unterschlüssel ist relativ leicht zu bewerkstelligen ( --export-secret-subkeys ). Die Passphrasen der unterscheiden Zertifikate hängen nicht zusammen, allerdings erscheint es im allgemeinen wenig sinnvoll, nicht dieselbe Passphrase für alle Schlüssel eines Keyrings zu verwenden.
Wie lang muss eine Passphrase sein? ← ↑
Auch hier gilt das Prinzip des schwächsten Glieds einer Kette. Es hat wenig Sinn, einen superlangen Schlüssel zu erzeugen, wenn die Passphrase leicht zu raten ist – es sei denn, man kann in ausreichendem Maß sicherstellen, dass kein Unberechtigter Zugriff auf die Schlüsseldatei bekommt (etwa wenn die nur auf einem physisch gesicherten USB-Stick gespeichert ist, der nie an unsichere Systeme angeschlossen wird). Die beiden Extreme sind also: keine Passphrase und schlüsseläquivalente Sicherung. Wenn man die Schlüsseldatei auf eine Webseite stellt, dann sollte die Passphrase nicht schwächer sein als die Schlüssellänge. Ein 2048-Bit-RSA-Schlüssel entspricht einem symmetrischen 112-Bit-Schlüssel (und nichts anderes ist eine Passphrase). Das sind etwa 19 Zeichen (Groß- und Kleinbuchstaben ohne Umlaute plus Ziffern), also so etwas: EAVgDCgGynRluorw08v. Allerdings kann man den Wert von --s2k-count (s.u.) aus den 112 Bit noch herausrechnen. Der Standardwert entspricht 16 Bit, so dass man auf 16 Ziffern kommt.
Für Schlüssel, die man nur auf sicheren Systemen (Knoppix o.Ä.) verwendet, sollte man nicht dieselbe Passphrase verwenden wir für einen Schlüssel, den man auf einem normalen Rechner verwendet. Allgemeiner: Man sollte für einen Offline-Schlüssel nichts als Passphrase verwenden, das man auch auf einem normalen Rechner eingibt.
Alle Teile eines von GnuPG eingelesenen Schlüssels haben dieselbe Passphrase (das ist nicht technisch zwingend, aber eine GnuPG-Limitation). Wenn man dennoch etwa für den Hauptschlüssel eine andere Passphrase nehmen will als für die Unterschlüssel, muss man den Schlüssel in zwei Schlüsselbunden speichern und in einem davon den Hauptschlüssel löschen. Je nachdem, mit welchem Schlüsselbund man GnuPG aufruft, wird die eine oder andere Passphrase benötigt.
Gegen das Knacken der Passphrase kann man sich mit einer hohen Anzahl Iterationen beim passphrase mangling schützen. Diese wird über die Option --s2k-count festgelegt. Der zulässige Wertebereich ist 1024 bis 65011712, der Standardwert ist 65536. --s2k-count 655360 verzehnfacht also den Rechenaufwand zum Knacken einer Passphrase gegenüber der Standardeinstellung. Auf langsamen Systemen mag man mit sehr großen Werten allerdings merkliche Verzögerungen auslösen. Diese Option greift auch dann, wenn man nicht asymmetrisch (also für einen öffentlichen Schlüssel), sondern symmetrisch verschlüsselt, also für Ver- und Entschlüsselung dasselbe Passwort angeben muss.
Man setzt den Wert, indem man ihn konfiguriert (in der Konfigurationsdatei oder per Kommandozeile) und dann die Passphrase "ändert" (mit --edit-key → passwd ; kann auch gleich bleiben, muss nur noch mal eingegeben werden). Der Wert wird dann in den Schlüssel geschrieben. Der Schlüssel kann also immer verwendet werden, unabhängig davon, welcher Wert gerade für die gpg-Installation konfiguriert ist, die auf dem Schlüssel zugreift. Es kann aber sein, dass man durch eine Änderung der Passphrase unbeabsichtigt (und unbemerkt) diesen Wert verändert.
Eine starke Passphrase schützt Schlüssel im laufenden Betrieb nur bedingt, weil von den meisten Systemen die Passphrase gecacht wird. Wer es schafft, über Schadsoftware Zugriff auf den Rechner zu bekommen, kann trivial den Schlüssel benutzen (auf dem Rechner) oder sogar die Passphrase bzw. den Klartext-Schlüssel auslesen.
Keyring und Schlüsselinformationen anzeigen ← ↑
Man kann sich auf unterschiedliche Weise anzeigen lassen,
welche öffentlichen oder privaten Schlüssel vorhanden sind.
welche Schlüssel in möglicherweise vorhandenen unterschiedlichen Schlüsselbunden (Keyring) vorhanden sind.
welche Fingerprints die Haupt- und Unterschlüssel haben.
welche Fähigkeiten die Haupt- und Unterschlüssel haben.
wann die Schlüssel erzeugt wurden und bis wann sie gültig sind.
welches Zertifizierungsvertrauen (ownertrust) den Schlüsseln zugewiesen wurde.
welche Schlüssel nach der aktuellen WoT-Konfiguration gültig sind.
welche UIDs welche Signaturen (Zertifikate) haben.
welche UIDs oder Schlüssel zurückgezogen wurden (revocation)
Standardmäßig werden angezeigt:
der Hauptschlüssel (mit Länge, Typ, (short) ID, Erzeugungsdatum und ggf. Ablaufdatum) die User-IDs ggf. die Unterschlüssel (mit Länge, Typ, (short) ID, Erzeugungsdatum und ggf. Ablaufdatum)
Die öffentlichen Schlüssel werden mit --list-keys / --list-public-keys angezeigt, die privaten mit --list-secret-keys . Ohne Argument zeigen diese Kommandos alle aktuell verfügbaren Schlüssel an. Das sind in der Standardeinstellung diejenigen in der Datei pubring.gpg (bzw. secring.gpg ).
Die Auswahl der Schlüsselbund-Dateien kann mit den Optionen --keyring , --secret-keyring , --primary-keyring und --no-default-keyring beeinflusst werden. Sind die Standarddateien (bzw. die (ersten) konfigurierten) bei einem Aufruf von gpg nicht vorhanden, werden sie erzeugt.
Schlüsselauswahl ← ↑
Oftmals will man keine Übersicht aller Schlüssel, sondern will Informationen über einen speziellen. Es gibt mehrere Möglichkeiten, einen Schlüssel auszuwählen. Die einzige eindeutige Methode dafür ist der Fingerprint:
Diese Methode ist offensichtlich im allgemeinen nicht praktikabel und mit Kanonen auf Spatzen geschossen. Sinnvoll ist die Verwendung des Fingerprints als Auswahlkriterium in Scripten. Als Abkürzung des Fingerprints gibt es die short ID (die letzten vier Byte des Fingerprints) und die long ID (acht Byte), also in diesem Fall ECCB5814 bzw. BD7D6D27ECCB5814. In vielen Fällen kann man das direkt so verwenden, in Groß- oder Kleinschreibung. Formal werden IDs aber mit dem Präfix "0x" gekennzeichnet. Da dies in allen Fällen funktioniert, sollte man es sich so angewöhnen: 0xECCB5814 bzw. 0xBD7D6D27ECCB5814 oder 0xeccb5814 bzw. 0xbd7d6d27eccb5814.
Die andere Möglichkeit ist über den Inhalt der UID, die typischerweise so aufgebaut ist:
Vorname Name (Kommentar) <E-Mail-Adresse>
Folgende Varianten sind möglich:
exakte Suche auf die komplette UID.
=Hauke Laging <hauke@laging.de>
In der Shell mit Quotes:
exakte Suche auf die komplette E-Mail-Adresse.
In der Shell mit Quotes:
Mehrere Angaben werden als ODER-Verknüpfung verarbeitet (d.h. die Einzelergebnisse werden addiert). Man kann sogar z.B. eine exakte Suche mit einer Substringsuche verbinden. Die typische Vorgehensweise ist, erst mit einer UID-Suche den passenden Schlüssel zu finden und dann mit dessen ID weiterzumachen:
Anzeige der Signaturen ← ↑
OpenPGP-Schlüssel bestehen aus einzelnen Blöcken: genau einem Hauptschlüssel, mindestens einer User-ID und beliebig vielen (also auch null möglich) Unterschlüsseln. UID-Blöcke und Unterschlüssel werden erst dadurch gültig, dass sie eine korrekte und gültige (d.h. nicht abgelaufene) Signatur des Hauptschlüssels tragen. Es ist durchaus möglich, dass für dasselbe Objekt mehrere Signaturen vorhanden sind; verwendet wird dann die neuste. Signaturen können Zusatzinformationen enthalten.
Schlüssel werden durch Dritte beglaubigt,
list options ← ↑
Welche Informationen GnuPG über einen Schlüssel ausgibt, ist konfigurierbar. Dies geschieht mit der Option --list-options , sinnigerweise in der Konfigurationsdatei. Ich empfehle, sich standardmäßig vieles anzeigen zu lassen, weil man ansonsten wichtige Informationen verpassen kann:
Zusammenwirken von list options auf der Kommandozeile mit denen in der Konfigurationsdatei ← ↑
Normalerweise überschreibt ein Wert auf der Kommandozeile den in der Konfigurationsdatei. --list-options hat allerdings eher eine Liste von Werten als die Gesamtliste als Einzelwert, deshalb wird nicht die eine durch die andere ersetzt, sondern die auf der Kommandozeile freigeschalteten Parameter ergänzen die bereits in der Konfigurationsdatei freigeschalteten. Will man einen Parameter aus der Konfigurationsdatei deaktivieren, ohne gleich per --no-options die ganze Konfigurationsdatei abzuschießen, muss man diesen Parameter explizit deaktivieren, was mit dem Präfix no möglich ist. Steht also in der Konfigurationsdatei beispielsweise.
dann nutzt der Aufruf.
gpg --list-options show-uid-validity,no-show-sig-expire,show-keyserver-urls.
effektiv die Kombination.
gpg --list-options show-policy-urls,show-uid-validity,show-keyserver-urls.
Schlüssel beglaubigen – Gültigkeit festlegen ← ↑
Es ist sehr wichtig zu verstehen, warum Schlüssel signiert werden (also was eine Signatur bedeutet und was nicht). Technik löst zumeist nicht von allein alle Probleme des Anwenders. Sie bietet ihm lediglich die Möglichkeit dazu. Um sein Problem zu lösen (und nicht noch zu vergrößern) muss der Anwender die Technik aber noch richtig einsetzen!
Die Motivation dafür, Verschlüsselung oder Signaturen zu benutzen, ist typischerweise die, dass nur der beabsichtigte Empfänger die Nachricht lesen kann bzw. man wirklich sicher sein kann, dass Daten vom angenommenen Absender sind. Das erreicht man, indem man die Nachricht mit seinem Schlüssel verschlüsselt. Das muss aber auch wirklich der korrekte Schlüssel sein, den sonst wäre ein Dritter in der Lage, die Nachticht zu lesen. Wenn man einen Schlüssel aus einer unsicheren Quelle hat (von einem Schlüsselserver, von einer Webseite, aus einer E-Mail), dann kann der manipuliert sein. Man will etwas an Person A schicken, und Person B ist in der Lage, die Daten zu manipulieren, die man bekommt (durch Manipulation der Verbindung oder der Daten am Ziel). Dann kann B den Schlüssel von A gegen den eigenen austauschen. Man verschlüsselt also unwissentlich an B, der fängt die Nachricht ab, packt sie aus, packt sie für A mit dessen richtigem Schlüssel ein, und weder man selber noch der Empfänger hat eine Chance, die Manipulation zu erkennen. Das nennt man einen Man-in-the-middle-Angriff.
Deshalb ist es ungemein wichtig, dass man die Zuordnung von Schlüsseln zu einer Person oder Organisation gegen Fehler absichert. Das geschieht,
entweder durch eigene Aktivität in zwei Schritten, nämlich.
indem man sich den Schlüssel aus einer sicheren Quelle beschafft (unüblich)
indem man sich den Schlüssel aus einer unsicheren, aber seinen Fingerabdruck aus einer sicheren Quelle (persönlich, telefonisch, Zeitschrift u.Ä.) beschafft und dann den korrekten Fingerabdruck mit dem des importierten Schlüssels vergleicht (Normalfall)
andererseits technisch (Markierung des Schlüssels als gültig)
indem man den Schlüssel signiert (allgemein oder lokal (s.u.); der signierende Schlüssel muss dem System aber dauerhaft als vertrauenswürdig bekannt sein; wird er später gelöscht oder verliert seinen Status, wird die Signatur mehr oder weniger wertlos) oder.
indem man den Zertifizierungsvertrauenswert (ownertrust) des Schlüssels (also eigentlich den in die Zertifizierverlässlichkeit seines Besitzers) auf Maximum ( absolut / ultimate ) setzt (per --edit-key trust oder --trusted-key )
indem man den Schlüssel einfach nur importiert und --trust-model auf always setzt (das möchte man im allgemeinen nicht)
Selbst erzeugte Schlüssel (nicht aber importierte private Schlüssel!) gelten automatisch als vertrauenswürdig (Das ist ein indirekter Effekt: Sie werden als maximal vertrauenswürdig in die trustdb eingetragen. Wird die trustdb (oder der komplette Schlüssel) gelöscht, verliert der Schlüssel seine Vertrauenswürdigkeit.). Wenn man also aus Sicherheitsgründen den privaten Hauptschlüssel nicht im System (das gilt nicht für Smartcards) speichert, muss man den Schlüssel auf einem der genannten Wege autorisieren.
indem man zunächst andere Schlüssel aktiv verifiziert (mindestens einen)
den einzelnen Schlüsseln eine Vertrauensstufe (ownertrust) zuweist.
ggf. die Standardwerte für die Berechnung des Vertrauensstatus ändert und die Vertrauensdatenbank aktualisiert.
Wann ein Schlüssel als gültig betrachtet wird ← ↑
GnuPG behandelt Schlüssel als gültig, wenn eine der folgenden Bedingungen zutrifft:
Sein ownertrust wurde explizit (--edit-key trust; --trusted-key) oder implizit (bei der Schlüsselerzeugung) auf absolut ( ultimate ) gesetzt. Das sind typischerweise die eigenen Schlüssel (privater Schlüssel verfügbar).
Eine seiner User-IDs hat eine gültige (nicht abgelaufene, nicht widerrufene) Beglaubigung von einem Schlüssel mit ownertrust absolut ( ultimate ). Das sind typischerweise diejenigen Schlüssel, die man selber beglaubigt hat.
--trust-model ist auf classic oder pgp gesetzt und der Schlüssel hat entsprechend der aktuellen Konfiguration genügend Beglaubigungen von gültigen Schlüsseln der ownertrust-Werte marginal und complete (oder, seltener Fall, eine trust signature)
--trust-model ist auf always gesetzt.
Wenn ein Schlüssel komplett gelöscht wird ( --delete-secret-and-public-key ), wird auch sein ownertrust gelöscht. Wenn man anschließend den privaten Schlüssel importiert, wird der ownertrust nicht automatisch wieder auf absolut ( ultimate ) gesetzt; das passiert nur bei der Erzeugung des Schlüssels. Werden Schlüssel also in einem sicheren System erzeugt und dann (als Offline-Hauptschlüssel) in einem anderen System importiert, muss (ggf.) ihr ownertrust dort manuell auf absolut ( ultimate ) gesetzt werden.
Die Gültigkeit eines Schlüssels kann man sich auf mehrere Arten anzeigen lassen:
Im ersten Fall wird für jede User-ID die Gültigkeit angezeigt. Die Gültigkeit des Schlüssels ist die höchste der UIDs. Im zweiten Fall wird für den Hauptschlüssel (pub) der resultierende Wert explizit angezeigt: Das u im zweiten Feld steht für ultimate .
Was man sich auf normalem Weg leider nicht anzeigen lassen kann, ist, was den Gültigkeitsstatus eines Schlüssels auslöst. Man kann sich zwar mit --list-sigs anzeigen lassen, welche Signaturen die User-IDs haben, aber welche davon relevant sind, sieht man nicht. Klar ist nur, dass unbekannte Schlüssel (angezeigt als unbekannte UIDs) nicht zur Gültigkeit beitragen (schon aus dem technischen Grund, dass die Signaturen nicht geprüft werden können, wenn der Schlüssel nicht im Keyring ist) und dass der Gültigkeitlevel absolut / ultimate nicht durch Signaturen erreicht werden kann, sondern nur durch direkte Zuweisung in der Vertrauensdatenbank.
direkte Überprüfung – eigene Beglaubigung ← ↑
Die gängigsten Möglichkeiten der Überprüfung sind, dass man den Fingerabdruck schriftlich (nichtelektronisch, am besten persönlich) oder telefonisch erhält. Man vergleicht ihn mit dem Fingerabdruck des Schlüssels, den man importiert hat. Wenn der Fingerabdruck stimmt, stimmt auch der Schlüssel (der Algorithmus des Fingerabdrucks ist so konstruiert, dass man sich darauf verlassen kann). Dass man diese Überprüfung vorgenommen hat, dokumentiert man (entweder nur für sich oder für die Allgemeinheit) dadurch, dass man den Schlüssel signiert (nicht insgesamt, sondern eine oder mehr UIDs).
Das bedeutet aber noch nicht, dass auch alle UIDs korrekt sind (v.a. die E-Mail-Adresse). Wer es besonders gut machen will, prüft deshalb auch, ob die E-Mail-Adresse der UID stimmt. Und das für jede UID (mit anderer E-Mail-Adresse) einzeln. Das kann man leicht händisch machen, indem man eine verschlüsselte Nachricht an die jeweilige Adresse schickt, mit jeweils unterschiedlichem Inhalt. Man signiert dann alle UIDs, von deren E-Mail-Adresse man eine Antwort erhalten hat, die das entschlüsselte Zitat enthält.
Das Programm caff ( CA – fire and forget ) hat eine elegante Lösung dafür: Es erzeugt für jede UID eine einzelne Signaturdatei, verschlüsselt diese für den signierten Schlüssel und mailt die an die jeweilige Adresse. Wenn der Schlüsselbesitzer auch Zugriff auf die E-Mail-Adresse hat, kann er die Signaturdatei entschlüsseln und importieren.
Signaturen bestätigen nur die Zuordnung eines Schlüssels zu einer Person (oder Organisation). Sie sagen nichts über die Person (z.B. ihre Vertrauenswürdigkeit) aus! Es gibt deshalb keinen Grund, Schlüssel nur deshalb nicht zu signieren, weil man den Besitzer nicht mag.
Anzeige des Fingerabdrucks ← ↑
Relevant ist üblicherweise nur der Fingerabdruck des Primärschlüssels. Es handelt sich dabei um einen SHA-1-Hash; die 40 Zeichen entsprechen einer Hashlänge von 160 Bit (10^48). Die letzten acht Zeichen ergeben die short ID des Schlüssels, die letzten 16 die long ID .
Durch doppelte Angabe von --fingerprint werden auch die Fingerprints der Unterschlüssel angezeigt, die aber normalerweise nicht benötigt werden.
Signatur / Zertifikat für einen Schlüssel erzeugen ← ↑
Für das Erzeugen einer Signatur benötigt man den eigenen privaten Schlüssel, wird also nach der Passphrase gefragt.
Man muss in dem Menü, das von --edit-key erzeugt wird, das Kommando sign eingeben, oder man übergibt es beim Aufruf gleich mit:
--local-user 0xECCB5814 gibt an, welcher eigene Schlüssel verwendet werden soll, um die Signatur zu erzeugen (nur relevant, wenn mehrere private Hauptschlüssel vorhanden sind). Man kann in der Konfigurationsdatei allerdings einen Standardschlüssel definieren ( --default-key ).
Für Spezialfälle gibt es Variationen: lsign, tsign, nrsign. Durch die Optionen --ask-cert-level und --ask-cert-expire wird man nach dem Prüfungsablauf und der Gültigkeitsdauer der Signatur gefragt. Wenn man das nicht benötigt, lässt man sie weg. Manche grafischen Oberflächen für gpg fragen das entweder nicht ab oder tragen die Antwort nicht in die Signatur ein. In dem Fall bleibt einem dann womöglich nur der Weg über die Kommandozeile.
Zusatzangaben zur Signatur ← ↑
Man kann allerlei ergänzende Angaben machen, wenn man einen Schlüssel signiert. Die häufigste dürfte sein, wie gründlich man den Schlüssel geprüft hat ( --ask-cert-level ). Möglich sind die Angaben 0 (keine Angabe), 1 (keine Prüfung), 2 (flüchtige Prüfung) und 3 (sehr sorgfältige Prüfung). Das Ergebnis indirekter Prüfungen kann man davon abhängig machen, was die anderen diesbezüglich angegeben haben. Man kann auch die Gültigkeit der Signatur zeitlich begrenzen ( --ask-cert-expire ) und eine URL hinzufügen (mit --cert-policy-url URL , sinnvollerweise in der Konfigurationsdatei), unter der man Angaben dazu macht, wie man Schlüssel prüft, bevor man sie selber signiert, damit Dritte sich ein besseres Bild davon machen können, welchen Wert die eigenen Signaturen haben.
Risiko einer schlampigen Signatur ← ↑
Das Risiko schlampigen Signierens liegt darin, dass man von anderen dafür "haftbar" gemacht werden kann, wenn auch meist nicht im rechtlichen Sinn. Das Web of Trust lebt davon, dass man den Angaben anderer vertrauen kann. Wenn sich herausstellt, dass jemand Informationen signiert, die falsch sind, werden andere demjenigen das Vertrauen entziehen. Technisch hat das für denjenigen erst mal keine Folgen, weil er ja nur auf verlässliche Signaturen anderer angewiesen ist, nicht aber darauf, dass seine Signaturen für andere von Wert sind.
Natürlich kann dieser Vertrauensverlust auch außerhalb der OpenPGP-Welt Folgen haben. Um solchen Ärger zu vermeiden, bietet es sich an, andere nicht im Unklaren darüber zu lassen, was die eigenen Signaturen zu bedeuten haben (policy URL).
keine falsche Sicherheit vortäuschen: lokale Signaturen ← ↑
Es gibt Situationen, in denen man einen Schlüssel zertifizieren will, ohne dass man ihn hinreichend überprüfen konnte. gpg meckert, wenn man nichtzertifizierte Schlüssel für Verschlüsselung verwendet oder deren Signaturen prüft. Das möchte man womöglich vermeiden. Es wäre nun sehr ärgertlich, wenn diese Signatur in die freie Wildbahn käme, weil Dritte nicht wüssten, dass das "keine echte" Signatur ist (auch wenn man --ask-cert-level auf 1 setzen könnte). Außerdem mag es sein, dass (auch bei richtiger Prüfung) Dritte nicht wissen sollen, dass man den Schlüssel signiert hat (und ihn vermutlich benutzt).
In solchen Situationen kann man eine lokale Signatur erzeugen. Solche Signaturen werden nicht exportiert (und auch nicht ohne Verrenkungen importiert). Dies erreicht man mit der Option --lsign-key oder dem Kommando lsign (statt sign ) im Menü von --edit-key .
Tipp: Fingerabdruck immer auf Papier dabei haben ← ↑
Es ist hilfreich, den eigenen Fingerprint immer ausgedruckt auf ein paar kleinen Zetteln dabei zu haben. Papier erlebt in der High-Tech-Welt eine ungeahnte Renaissance. So können Leute, die man getroffen hat, sich später den Schlüssel aus unsicherer Quelle besorgen, aber ihn verifizieren. Wenn man den Fingerprint allerdings auswendig weiß, muss man damit rechnen, von Nicht-Nerds für irgendwie gefährlich gehalten zu werden.
D44C 6A5B 71B0 427C CED3.
025C BD7D 6D27 ECCB 5814.
Signatur aktualisieren ← ↑
Man kann problemlos Signaturen erneuern. Das bietet sich an, wenn man die Zuordnung des Schlüssels zur Person erst nur oberflächlich und später gründlich geprüft hat oder wenn man eine policy URL ergänzen will. Es ist zudem quasi unvermeidbar, wenn man die Gültigkeit der Signatur beschränkt hat. Wenn meine Erinnerung nicht täuscht, ließ GnuPG erneutes Signieren nicht zu, wenn bereits eine besteht. Mit meiner aktuellen Version (2.0.18) ist das aber problemlos möglich. Früher ließ sich das einfach dadurch lösen, dass man vor der Signierung die alte Signatur löscht ( --edit-key , dann delsig ) oder zurückzieht ( --edit-key , dann revsig ). Wenn man die alte Signatur behalten will, kann man vorher den Schlüssel exportieren und hinterher importieren. GnuPG stört sich nicht an mehreren vorhandenen Signaturen; es verwendet immer die neuste.
indirekte Überprüfung – das Web of Trust (WoT) ← ↑
Für das Verständnis des Web of Trust muss man zwei Dinge streng auseinanderhalten:
die Gültigkeit (validity) eines Schlüssels (woraus auch immer die sich ergibt)
das Vertrauen in die Verlässlichkeit der von einem Schlüssel ausgestellten Zertifikate, das aus zwei Komponenten besteht:
das Zertifizierungsverhalten des Schlüsselbesitzers (ownertrust): Wie konsequent und gründlich prüft der Schlüsselbesitzer die Daten, die er zertifiziert (Name (mit Schreibweise, gerade bei fremdsprachlichen Namen), E-Mail-Adressen, Kommentar)?
die Sicherheit des signierenden Schlüssels. Es hilft wenig, wenn jemand diszipliniert Identitäten prüft, sich dann aber unbemerkt seinen Hauptschlüssel klauen lässt. Es ist generell nicht wünschenswert, dass Zertifikate mit unsicheren Schlüsseln erzeugt werden, aber gerade bei Zertifikaten von unsicheren Schlüsseln ist nicht gesichert, dass sie vom Besitzer erzeugt wurden.
Deshalb ist die Bezeichnung ownertrust irreführend, denn es geht nicht nur um den Besitzer, sondern um die Kombination Besitzer–Schlüssel. Schlüssel desselben Besitzers können durchaus unterschiedliche ownertrust-Werte haben.
Diese beiden Eigenschaften hängen nicht zusammen:
Es ist normal, dass man sich von der Gültigkeit eines Schlüssels überzeugt hat, aber dem Zertifizierungsverhalten seines Besitzers nicht traut (und sei es, weil man ihn kaum kennt).
Man kann volles Vertrauen in das Zertifizierungsverhalten von jemandem haben, aber unsicher sein, ob ein bestimmter Schlüssel seiner ist. Einem Schlüssel quasi vorab (also bevor er als gültig akzeptiert wird) einen (hohen) ownertrust zu geben, ist zumindest möglich.
Indirekte Überprüfung funktioniert so: Man nimmt einen Schlüssel als gültig an, wenn er genügend Signaturen von Leuten hat, denen man ausreichend vertraut. Was "genügend" ist, kann man für die beiden Vertrauensstufen ( marginally trusted und completely trusted ) einzeln festlegen; die Standardwerte sind drei und eins.
Beispiel: Man will den Schlüssel von A überprüfen; den von B hat man erfolgreich überprüft. Wenn B den Schlüssel von A signiert hat und man dieser Signatur vertraut (also darauf vertraut, dass einerseits B den Schlüssel ordentlich überprüft hat und andererseits diese Signatur sicher ist), kann der Schlüssel als überprüft gelten.
Alle drei beteiligten Schlüssel sind vollständig gültig (gekennzeichnet durch den grünen Rahmen), haben aber einen unterschiedlichen Vertrauensstatus (ownertrust; gekennzeichnet durch die Hintergrundfarbe). Schlüssel A wird überhaupt nicht für Zertifizierungen vertraut, dennoch ist er gültig.
Wenn man der Überprüfung durch B nur begrenzt vertraut, mag man zufrieden sein, wenn nicht nur B, sondern auch C und D den Schlüssel signiert haben. Das ist keine technische Entscheidung, sondern ein organisatorisches bzw. soziales Problem. Je mehr Signaturen ein Schlüssel hat, desto besser. Bei mehr Signaturen ist die Wahrscheinlichkeit größer, dass ein Benutzer des Schlüssels wenigstens einer davon vertraut, ebenso die, dass er mehrere bekannte Signaturen findet und dem Schlüssel dadurch stärker vertrauen kann.
Die indirekte Überprüfung dient aber nur der Konfiguration der eigenen OpenPGP-Anwendung (damit sie weiß, was sie als Vertrauenswürdig ansehen soll und was nicht). Einen nur indirekt überprüften Schlüssel sollte man nicht signieren, jedenfalls nicht für die Öffentlichkeit (sondern allenfalls lokal).
Normalerweise hat man einige Schlüssel selber zertifiziert (direkt verifiziert) und kann deshalb (eventuell) weitere Schlüssel indirekt verifizieren. Alle Schlüssel, zu denen man über Zertifizierungen eine Verbindung konstruieren kann, kann man sich als in konzentrischen Kreisen um den eigenen Schlüssel angeordnet vorstellen. Jeder weitere Kreis steht für einen weiteren Schlüssel zwischen dem eigenen und dem Zielschlüssel.
Um den eigenen Schlüssel herum gibt es einen (normalerweise) zusammenhängenden Bereich von Schlüsseln, die als gültig angesehen werden (grün), und einen (normalerweise ebenfalls zusammenhängenden) Bereich von Schlüsseln, denen ein Vertrauenswert (ownertrust) zugewiesen wurde (gelb). Diese Bereiche sind weitgehend überlappend. Der Gültigkeitsbereich kann aber nur maximal eine Stufe über den Vertrauensbereich hinausgehen, der Vertrauensbereich theoretisch beliebig über den Gültigkeitsbereich (was aber keine Auswirkungen hat). Es gibt meist auch einen Bereich (hellgrün) von erst teilweise verifizierten Schlüsseln (die mindestens eine relevante Signatur haben, die aber in der jeweiligen Konfiguration nicht ausreicht).
WoT-Verifikation über mehrere Ebenen.
Es folgen Beispiele für die unterschiedlichen Möglichkeiten einer Schlüsselverifikation über drei Ebenen. Die eigenen Schlüssel (für die der private Schlüssel vorhanden ist) haben immer den ownertrust-Wert ultimate .
Bei normaler Konfiguration benötigt man von Schlüsseln mit ownertrust complete nur ein einziges Zertifikat, um einen weiteren Schlüssel gültig zu machen.
Die Schlüssel der zweiten Ebene (mit ownertrust marginal ) werden wir im vorigen Beispiel schon durch ein einziges Zertifikat gültig. Der neue Schlüssel (Ebene drei) ist nur deshalb gültig, weil er drei Zertifikate trägt, da diese von Schlüsseln mit geringerem Zertifizierungsvertrauen sind. Man erkennt hieran auch, dass es nur auf die Anzahl der Zertifikate ankommt, nicht auf die Anzahl der unterschiedlichen Wege dorthin.
In diesem Beispiel ist es umgekehrt: Den Schlüsseln der ersten Ebene wird weniger Zertifizierungsvertrauen entgegengebracht, weswegen für den Schlüssel der zweiten Ebene drei Zertifikate benötigt werden.
Wenn die Schlüssel der ersten Ebene nicht alle denselben Schlüssel in der zweiten Ebene zertifizieren, werden die Schlüssel der zweiten Ebene nicht vollständig gültig, sondern nur marginal gültig. Das bedeutet, dass ihre Zertifikate nicht gewertet werden, so dass der Schlüssel der dritten Ebene komplett ungültig bleibt. Hier kann man auch sehen, dass Schlüssel, die nicht vollständig gültig sind, einen positiven ownertrust haben können.
Wenn die Schlüssel der ersten Ebene jeweils nicht nur einen, sondern alle drei Schlüssel der zweiten Ebene zertifizieren, dann werden (wie in einem vorigen Beispiel) die Schlüssel der zweiten Ebene alle gültig und damit wie gehabt auch der in der dritten.
Die Zertifikate zur Validierung eines Schlüssels können aus unterschiedlichen Ebenen kommen.
WoT-Konfiguration.
Die wichtigsten Kommandos und Optionen für die Konfiguration des WoT sind:
--edit-key 0x12345678 trust.
Eine Statistik über die Verteilung der Schlüsselstatus in den einzelnen Ebenen kann man sich von gpg anzeigen lassen (nach Änderungen der trustdb, etwa beim Setzen der ownertrust-Werte, passiert das automatisch):
Für jede Ebene wird angegeben, wie viele Schlüssel sie enthält (Ebene 0 sind die eigenen Schlüssel, alle mit ultimativem Vertrauen) und wie diese sich auf die möglichen ownertrust-Zustände verteilen:
- : Für diese Schlüssel wurde noch keine Angabe gemacht (das Kommando --update-trustdb würde sie abfragen).
q : Auswahl weiß nicht so recht (quasi dasselbe wie die erste Kategorie, aber keine Abfrage)
n : Diesen Schlüsseln wird explizit nicht vertraut.
m : Diesen Schlüsseln wird marginal vertraut ( --marginals-needed )
f : Diesen Schlüsseln wird vollständig vertraut ( --completes-needed )
u : Diesen Schlüsseln wird ultimativ vertraut, d.h., sie werden wie die eigenen Schlüssel behandelt: Auch einzelne Zertifikate eines solchen Schlüssels machen einen Schlüssel immer gültig (unabhängig vom Wert für --completes-needed ). Außerdem wird so ein Schlüssel immer als gültig betrachtet (siehe --trusted-key ), unabhängig davon, ob sein privater Schlüssel vorhanden ist und unabhängig von seiner Position im WoT (auch wenn er gar keine Signaturen hat).
Zertifizierungspfad – in Anlehnung an das Web of Trust ← ↑
Man kann die öffentlichen Zertifizierungen auch anders nutzen als vollautomatisiert durch das Web of Trust. Der Aufhänger dieses Hinweises ist, dass ein zukünftiger Teilnehmer meiner OpenPGP-Schulung mich fragte, ob die Distribution Talis ein sicheres Bootmedium sei. Ich kannte diese Distribution nicht, war aber positiv davon überrascht, dass sie sich diesem Problem umfangreich widmet; insofern nicht erstaunlich, als Kryptografie einer der Schwerpunkte dieser auf Debian basierenden Distribution ist.
Der Signaturschlüssel der Entwickler hat eine Zertifizierung eines auch in GnuPG-Kreisen bekannten Debian-Entwicklers (Daniel Kahn Gillmor). Ich habe keine Ahnung, wie diszipliniert er Schlüssel signiert; ich kenne ihn nur von der GnuPG-Mailingliste. Aber ich habe vollen Vertrauen darin, dass ein Debian-Entwickler beim Zertifizieren des Signaturschlüssels einer Distribution nicht schlampt. Auch wenn ich (ohne weitere Informationen) seinem Schlüssel nicht grundsätzlich einen hohen ownertrust zuweisen würde, mag ich sein Zertifikat für den Tails-Schlüssel als ausreichend ansehen, um auf die Gültigkeit des Talis-Schlüssels zu vertrauen.
Import und Export von Schlüsseln ← ↑
Die lokal erzeugten und die importierten Schlüssel speichert GnuPG in seinem Konfigurationsverzeichnis (unter Linux.
/.gnupg ) in den beiden Dateien pubring.gpg und secring.gpg . Zusätzliche Schlüssel kann man auf drei Arten verfügbar machen:
Import aus einer Datei (typischerweise *.gpg (im Binärformat) oder *.asc (ASCII-Format, base64)): --import.
expliziter ( --search-keys , --recv-keys ) oder impliziter ( auto-key-retrieve ) Import von einem Keyserver.
Aufruf mit einem anderen / zusätzlichen Keyring (letzteres nur bei öffentlichen Schlüsseln möglich): --keyring --secret-keyring --primary-keyring --no-default-keyring.
Das Aktualisieren eines vorhandenen Schlüssels ist nichts anderes als ein Import. Von einem Keyserver können einzelne oder auch alle Schlüssel mit dem Kommando --refresh-keys aktualisiert werden.
Grundsätzlich nutzt jeder den Keyserver, der ihm aus welchem Grund auch immer am meisten zusagt. Es gibt Gruppen von Keyservern, die unter einem gemeinsamen Namen zusammengeschaltet sind, um die Verfügbarkeit zu erhöhen, z.B. eu.pool.sks-keyservers.net .
Wenn man mittels --search-keys sucht, kann man auswählen, ob man einen der angezeigten Schlüssel importieren will. Der Aufruf --recv-keys importiert direkt, also ohne Rückfrage. Diese Abfragen funktionieren nur mit der Option --keyserver , die hier nicht auftaucht, weil sie bereits in der Konfigurationsdatei steht.
Ein anderer Keyring kann auf diese Weise verwendet werden:
gpg --no-default-keyring --keyring .gnupg/pubring.gpg --list-keys.
Sicherheits-Warnung.
Es reicht nicht aus, einen Schlüssel über seine short ID oder long ID zu importieren. Man muss danach auf jeden Fall noch den Fingerprint prüfen. Das gilt zumeist auch beim Import einer Datei.
gefilterter Import ← ↑
Nicht immer will man alle Komponenten eines Schlüssels haben. Es können sich im Laufe der Zeit Komponenten ansammeln, die man nicht braucht:
Signaturen können veraltet sein (abgelaufen oder durch neuere ersetzt), UIDs können abgelaufen oder zurückgezogen sein.
Signaturen können nutzlos sein, etwa dann, wenn sie von unbekannten Schlüsseln erzeugt wurden.
Außerdem kann es sein, dass man Schlüssel nur aktualisieren möchte, ohne neue Schlüssel zu importieren, was passieren kann, wenn man einfach einen Haufen Schlüsseldateien en bloc importiert.
Die Keyserver löschen keine veralteten Komponenten; die Schlüssel werden immer größer. Und damit auch unübersichtlicher. Man kann deshalb den Schlüsselimport so konfigurieren (mittels --import-options , eignet sich für die Konfigurationsdatei), dass nur die relevanten Komponenten importiert werden:
Der Export von Schlüsseln ist etwas komplizierter, was daran liegt, dass Importieren als Anweisung eindeutig ist, beim Exportieren aber nicht. Es ist zu unterscheiden, ob öffentliche Schlüssel (Zertifikate), private Schlüssel oder nur private Unterschlüssel exportiert werden sollen.
Ohne die Angabe von --output wird der exportierte Schlüssel auf die Standardausgabe geschrieben, von wo man ihn in einer Shell bequem in eine Datei umleiten kann:
gpg --armor --export 0x1a571df5 > 0x1a571df5.asc.
gpg --export 0x1a571df5 > 0x1a571df5.gpg.
Binärdateien haben üblicherweise die Endung gpg , Dateien in ASCII-Armor asc .
Transfer von Schlüsseln auf andere Rechner ← ↑
Wenn nur ein einzelner Schlüssel auf einen anderen Rechner übertragen werden soll, exportiert man ihn in der oben beschriebenen Weise und importiert ihn auf dem anderen Rechner. Wenn dagegen die ganze Installation kopiert oder transferiert werden soll, kopiert man das ganze Verzeichnis, weil die Installation noch mehr Informationen als nur die Schlüssel umfasst. Die Datei random_seed sollte man allerdings nicht mitkopieren bzw. auf dem Zielsystem vor der ersten Verwendung löschen. Beim kompletten Exportieren von Schlüsseln (eigenen wie fremden) ist zu beachten, dass die Exportoptionen so gesetzt werden (--export-options export-local-sigs,export-sensitive-revkeys), dass auch wirklich alles exportiert wird (etwa auch lokale Signaturen und auf "sensitive"Einträge für designated revoker).
eigene Schlüssel.
Bei der Übertragung einzelner eigener Schlüssel muss nur darauf geachtet werden, dass es sich möglicherweise um einen Offline-Hauptschlüssel handelt und man ggf. den Hauptschlüssel in geeigneter Weise ebenfalls transferiert. Wird der Schlüssel für SSH-Authentifizierungen verwendet, sind auf dem Zielsystem entsprechende Anpassungen vorzunehmen.
fremde Schlüssel.
Werden fremde Schlüssel auf ein anderes System transferiert, ist zu bedenken, auf dem Zielsystem ihren ownertrust zu setzen. Außerdem ist es möglich, dass so ein Schlüssel nicht von eigenen Schlüsseln signiert wurde, sondern nur durch das WoT gültig wird. Die dafür erforderlichen fremden Schlüssel sind auf dem Zielsystem möglicherweise nicht vorhanden oder haben dort einen anderen ownertrust-Wert, so dass der Schlüssel auf dem Quellsystem gültig ist, ohne die entsprechenden Anpassungen aber nicht auf dem Zielsystem.
Schlüssel zurückziehen (revoke) ← ↑
Wenn ein Schlüssel (oder ein Teil davon) kompromittiert wurde oder aus anderen Gründen nicht mehr verwendet werden soll, kann man ihn zurückziehen (revoke). Dies erfolgt über ein Sperrzertifikat, das mit einer Signatur des zurückzuziehenden Schlüssels (oder eines anderen, speziell dazu autorisierten, siehe addrevoker) versehen wird, so dass jeder Nutzer des Schlüssels sicher sein kann, dass nur der Besitzer des jeweiligen Schlüssels die Sperrung veranlasst hat. Dies lässt sich für Haupt- und Unterschlüssel nicht rückgängig machen! Wenn ein Sperrzertifikat für einen Schlüssel erst einmal in Umlauf ist, kann man den betroffenen Schlüssel komplett vergessen; für UIDs kann man mit GnuPG ein revocation certificate durch eine später erzeugte, weitere reguläre Signatur quasi überschreiben. Warum das bei Unterschlüsseln nicht genauso machbar ist, obwohl zwischen ihnen und User-IDs diesbezüglich kein struktureller Unterschied besteht, weiß ich nicht (man kann eine neuere Signatur erzeugen, aber die wird ignoriert). Der RfC (Abschnitt 5.2.1) klärt das meines Erachtens nicht sauber. Man sollte sich nicht darauf verlassen, dass man eine widerrufene UID in allen Implementierungen wieder zum Leben erwecken kann.
präventives Sperrzertifikat ← ↑
Man kann – und wird von gpg bei der Schlüsselerzeugung auch dazu ermuntert – sich allerdings bereits im voraus ein Sperrzertifikat für den Hauptschlüssel erzeugen, ohne es in Umlauf zu bringen. Das sollte man dann aber sicher verwahren (z.B. als Ausdruck oder stark symmetrisch verschlüsselt). Die Überlegung dahinter ist, dass man durch irgendeine IT-Panne seinen Hauptschlüssel verlieren (oder die Passphrase vergessen) könnte, so dass man auf regulärem Weg kein Sperrzertifikat mehr erzeugen kann.
Wenn man ein Sperrzertifikat ausdruckt, ist es hilfreich, das Auffinden von Tippfehlern zu erleichtern, denn in so einem Block einen Tippfehler zu finden, macht überhaupt keinen Spaß:
Das kann man z.B. so machen, dass man sich für jede Zeile des eigentlichen Codes einen Hashwert erzeugen lässt:
while read line; do echo "$line" | md5sum; done <inputfile.
Das führt zu einer Datei, die so aussieht:
Das Kommando paste fügt die beiden Dateien zusammen, so dass der Codeblock dann folgendermaßen aussieht:
Nach dem Abtippen kann man dann im Fall von Fehlern für jede Zeile den Hashwert berechnen lassen und mit dem auf dem Ausdruck vergleichen.
Warum man die Aktivierung eines Hauptschlüssel-Sperrzertifikats (gegenüber der Öffentlichkeit) nicht zurücknehmen kann, erkennt man am Aufbau eines Zertifikats, zuerst ein Schlüssel, der komplett zurückgezogen wurde:
In diesem Fall hängt das Widerrufszertifikat direkt am Hauptschlüssel. Der Hauptschlüssel hat außerdem im Gegensatz zu User-IDs und Unterschlüsseln keine Eigenbeglaubigung, die ihn erst gültig macht. Nun das Beispiel mit weiterhin gültigem Hauptschlüssel und widerrufener UID und widerrufenem Unterschlüssel:
Hier hängen die Sperrzertifikate an den jeweiligen Komponenten. Der wesentliche Unterschied ist: Da der Hauptschlüssel weiterhin gültig ist, kann er prinzipiell auch weiterhin unbedenkliche Eigenbeglaubigungen für UIDs und Unterschlüssel erzeugen. Wenn der Hauptschlüssel aber selber widerrufen wurde, dann kann er keine Eigenbeglaubigung mehr erzeugen, die erfolgreich validiert werden könnte. Der sachliche Grund ist, dass jemand, der in den Besitz eines fremden privaten Hauptschlüssels gekommen ist, natürlich auch neue Eigenbeglaubigungen für diesen erzeugen könnte. Wird nur ein Unterschlüssel kompromittiert, kann er das nicht.
Die Vorgehensweise unterscheidet sich je nach Komponente:
Wenn der Hauptschlüssel kompromittiert ist, muss der komplette Schlüssel zurückgezogen werden. Dies erreicht man mit dem Kommando --gen-revoke.
Eine UID kann über die Kommandos --edit-key und revuid zurückgezogen werden. Es ist möglich, dieselbe UID später erneut anzulegen. Da GnuPG sich immer nach der neusten Signatur richtet, blockiert die ältere Zurücknahme die UID nicht. Allerdings muss man sie in GnuPG zunächst löschen, weil sich (unabhängig von der Zurücknahme) dieselbe UID nicht mehrfach anlegen lässt.
Ein Unterschlüssel kann über die Kommandos --edit-key und revkey zurückgezogen werden. Ein Reaktivieren des Unterschlüssels analog zum erneuten Signieren einer UID mag technisch (also vom Schlüsselformat her) grundsätzlich möglich sein, ist aber mit gpg-Bordmitteln nicht möglich. Mir ist kein Ansatz dafür bekannt.
Eine Beglaubigungen kann über die Kommandos --edit-key und revsig zurückgezogen werden. Das betrifft primär die eigenen Signaturen anderer Schlüssel.
designated revoker ← ↑
Ein Grund für das Zurückziehen eines Schlüssels ist, dass einem der private Schlüssel abhanden gekommen ist. Dann kann man aber naturgemäß keine Sperrzertifikate mehr erzeugen. Entweder hat man das also präventiv erledigt, oder man steht dumm da. Zur Lösung dieses Problems gibt es das Konzept des designated revoker . Man kann andere Schlüssel berechtigen, Sperrzertifikate für den jeweiligen Schlüssel auszustellen. Das können weitere eigene Schlüssel, aber auch die von Dritten, denen man entsprechend vertraut, sein. Dieses Verfahren drängt sich dann auf, wenn man einen zentralen Zertifizierungsschlüssel hat, also quasi in OpenPGP eine CA nachbaut, etwa in einem Unternehmen. Jedenfalls dann, wenn man nicht Kopien der privaten Schlüssel verwahrt. Vermerkt werden die designated revoker mit dem Kommando --edit-key und addrevoker . Um mal die gpg-Warnung zu zitieren: Einen Schlüssel als vorgesehenen Widerrufer zu deklarieren, kann nicht rückgangig gemacht werden! (Das gilt strenggenommen aber erst dann, wenn irgendwem eine Version des Schlüssels mit diesem Eintrag zugänglich gemacht wurde.) Für den unwahrscheinlichen Fall, dass man seinen Schlüssel versehentlich mit dieser Berechtigung versehen (oder gleich komplett wiederrufen) hat und an den öffentlichen Schlüssel (in der neusten Version) nicht mehr herankommt, ist hier erklärt, wie man diesen Teil des Schlüssels auf die harte Tour loswird. gpgsplit funktioniert übrigens nicht mit Dateien, die mit der Option --armor erzeugt wurden (kann man notfalls mit --dearmor konvertieren).
Da möglicherweise nicht jeder sehen soll, dass es einen designated revoker gibt, kann man den mit dem erweiterten Kommando addrevoker sensitive anlegen; dann wird dieser Teil des Schlüssels standardmäßig (siehe --export-options export-sensitive-revkeys ) nicht exportiert. Man muss dann aber einmal den öffentlichen Schlüssel mit dieser Berechtigung exportieren und diese entweder selber sicher verwahren (was man dann natürlich auch gleich mit einem Sperrzertifikat machen könnte) oder aber dem Berechtigten zukommen lassen.
Ob es designated revoker für einen Schlüssel gibt, kann man mit einem normalen --list-keys nicht sehen. Dafür benötigt man entweder --edit-key oder --with-colons --list-keys :
Grenzen der Effektivität des Zurückziehens ← ↑
Es reicht natürlich nicht aus, dass man ein Sperrzertifikat erzeugt. Derjenige, der den ungültig gewordenen Schlüssel verwenden will, muss es rechtzeitig erhalten. Leider sind selbst engagierte Verwender von GnuPG oftmals schlampig, was das Aktualisieren ihrer Schlüssel angeht. Anders als bei X.509/SSL (und selbst da ist bzw. war es sehr lange in der Praxis richtig schlecht umgesetzt) ist das Zurückziehen von Schlüsseln in der OpenPGP-Welt nicht so verankert, wie man sich das wünscht. Es ist zudem schwierig, anderen Leuten eine (im kryptografischen Sinn) verlässliche Prüfung zu ermöglichen, ob der eigene Schlüssel noch aktuell ist. Das wäre innerhalb der Infrastruktur nur möglich, wenn man signierte Daten von den Keyservern bekäme, aber die meisten sprechen nicht mal SSL (aus Kostengründen). Als Ausweg bleibt, nur Schlüssel mit noch jungen Selbstsignaturen zu akzeptieren (was einen nicht vor kompromittierten Hauptschlüssel schützt), sei es (seitens des Schlüsselbesitzers) durch sehr kurze Gültigkeitszeiträume des Schlüssels (Tage, Wochen), sei es (seitens der Kommunikationspartner), indem man nur Schlüssel anderer Nutzer mit jungen Selbstsignaturen akzeptiert (mit gpg-Bordmitteln nicht erzwingbar, das muss man sich irgendwie basteln, etwa durch sehr kurze Gültigkeitszeiträume der Zertifizierungen für die Schlüssel anderer Leute ( --ask-cert-expire ), was natürlich nur dann praktikabel ist, wenn die Schlüsselbesitzer entsprechend häufig ihre Selbstsignatur erneuern.
Verschlüsseln / Entschlüsseln ← ↑
Wenn Daten für OpenPGP verschlüsselt werden, wird zuerst ein nur einmal verwendeter symmetrischer Schlüssel erzeugt, der sogenannte session key . Mit diesem Einmalschlüssel und einem konfigurierbaren Verschlüsselungsverfahren (Cipher) werden dann die Daten (eventuell nachdem sie signiert wurden) verschlüsselt. Der session key wird dann für jeden Empfängerschlüssel und / oder mit der Passphrase verschlüsselt; diese Mischung von asymmetrischen und symmetrischen Verfahren nennt man hybride Verschlüsselung . Deshalb wird das OpenPGP-Paket kaum größer, wenn man es an mehr Schlüssel adressiert (je nach Schlüssellänge ca. 128 bis 512 Byte pro Paket mit verschlüsseltem Sessionkey). Der folgende Ablauf entspricht diesem (ungewöhnlich komplizierten) Aufruf:
gpg --recipient empfaenger1 --recipient empfaenger2 --symmetric --sign --encrypt datei.txt.
Daten werden mit gpg --encrypt (asymmetrisch, d.h. für einen öffentlichen Schlüssel) oder gpg --symmetric (symmetrisch, d.h. mit Passphrase, keine OpenPGP-Schlüssel erforderlich) verschlüsselt. Die Empfänger werden jeweils mit --recipient angegeben (zusätzliche Standardempfänger in der Konfigurationsdatei mit --encrypt-to oder --hidden-encrypt-to ); die Möglichkeiten der Identifizierung von Schlüsseln sind im Abschnitt Schlüsselauswahl erläutert. Wenn man häufig (auch) für dieselbe Gruppe von Empfängern verschlüsselt, kann man mit --group (in der Konfigurationsdatei) die Gruppe abkürzen. Man kann Daten nur asymmetrisch, nur mit Passphrase oder (wie im obigen Beispiel) sowohl asymmetrisch als auch mit Passphrase verschlüsseln.
Ohne die Angabe von --output werden die ver- oder entschlüsselten Daten in eine Datei geschrieben, deren Name der Name der Quelldatei ergänzt um .gpg (bzw. .asc bei Angabe von --armor ) ist; kommen die Daten von der Standardeingabe, wird auf die Standardausgabe geschrieben.
Es ist oftmals sinnvoll, eine Nachricht auch für sich selber zu verschlüsseln; vor allem dann, wenn man Daten verschlüsselt, verschickt, aber die verschickten Daten auch archiviert. Ohne einen eigenen Schlüssel als Standardempfänger kann man sich dann hinterher nicht mehr anschauen, was man selber verschickt hat, was oftmals unerwünscht sein dürfte. Das kann man in der Konfigurationsdatei mit den Optionen encrypt-to und hidden-encrypt-to und der Angabe der eigenen Schlüssel-ID einstellen.
Die Entschlüsselung verläuft umgekehrt: GnuPG prüft, ob der private Schlüssel einer der Empfängerschlüssel vorhanden ist und fragt (falls nötig) die Passphrase ab. Erst nach der Entschlüsselung kann die Signatur geprüft werden. Vor der Entschlüsselung kann man nicht einmal wissen, ob die Daten überhaupt signiert sind. Die Entschlüsselung ist vom Aufruf her einfacher als die Verschlüsselung:
gpg --decrypt datei.txt.gpg.
Wenn man kein Kommando angibt, versucht gpg in Abhängigkeit von den übergebenen Daten etwas Sinnvolles zu tun. Bei einer verschlüsselten Datei ist das deren Entschlüsselung. Bemerkenswerterweise verhält sich diese Standardoperation anders als --decrypt : Die Standardoperation schreibt die entschlüsselten Daten in eine Datei, --decrypt dagegen schreibt sie (ohne die Angabe von --output ) auf die Standardausgabe, was nur bei Text und ähnlichen Daten sinnvoll ist. Allerdings kann man die Klartextdaten in der Shell mittels Ausgabeumlenkung bequem in eine Datei umleiten. Ob man das so oder mit --output macht, ist Geschmackssache. Die Standardoperation nimmt als Dateiname denjenigen, der in der verschlüsselten Datei eingetragen ist. Ist dort keiner eingetragen, nimmt es den Dateinamen der Quelldatei, ohne seine Endung. Hat die Quelldatei keine der Standardendungen (Binärdateien gpg , Dateien in ASCII-Armor asc ), dann fragt GnuPG nach dem gewünschten Namen der Zieldatei. Mit gpg --list-packets kann man sich den ggf. enthaltenen Namen anzeigen lassen.
Verschlüsseln von E-Mails ← ↑
Zumeist verschlüsselt man E-Mails; das erledigt dann der Mailclient für einen, mit gpg hat man da nicht zu tun (abgesehen davon, dass sich der Inhalt der Konfigurationsdatei auswirkt). Man wählt ggf. aus, dass diese Mail verschlüsselt werden soll, eventuell noch den zu verwendenden Schlüssel (den der Mailclient typischerweise anhand der Empfängeradresse(n) auswählt, und das war’s auch schon. Bei guten Mailprogrammen (und der Verwendung von PGP/MIME statt Inline-PGP) kann man für den Body der Mail und alle Attachments einzeln angeben, ob der jeweilige Teil verschlüsselt werden soll.
Verschlüsseln mit ASCII-Armor ← ↑
Die Option --armor sorgt dafür, dass die verschlüsselte Datei (fast) nur aus alphanumerischen Zeichen besteht. So kann man verschlüsselte Daten auch über Medien transportieren, die dafür nicht gedacht sind, etwa Chatprogramme oder Webseiten:
echo "$kompromittierende_aussage" | gpg --armor --encrypt --sign.
Ganz heikel, aber das sollte außer mir niemand lesen können. ;-)
Sessionkeys ← ↑
Es wird nicht die ganze Nachricht asymmetrisch verschlüsselt; das wäre viel zu aufwendig. Für jede Nachricht wird ein zufälliger Schlüssel ermittelt, mit dem die Nachricht symmetrisch verschlüsselt wird. Nur dieser Einmalschlüssel wird asymmetrisch verschlüsselt. Deshalb kann man eine Nachricht auch mehrfach verschlüsseln: Der Zufallsschlüssel wird für jeden Empfänger verschlüsselt, und alle diese verschlüsselten Varianten werden in die Containerdatei geschrieben.
Hier wurde die Datei test.html mit zwei unterschiedlichen Algorithmen (die unterschiedlich lange Schlüssel verwenden) verschlüsselt. Beim Entschlüsseln mit der Option --show-session-key wird der symmetrische Schlüssel angezeigt. Wegen der unterschiedlichen Algorithmen sind die beiden Zufallsschlüssel unterschiedlich lang. Das --output /dev/null sorgt dafür, dass die zum Testen uninteressanten Ausgabedaten weggeworfen werden (nicht über einen gpg-, sondern einen Linux-Mechanismus).
versteckte Empfänger.
Wenn man nicht möchte, dass ersichtlich ist, für wen (also für welchen Schlüssel) Daten verschlüsselt wurden, kann man sich der Optionen --hidden-recipient (zur Verschleierung einzelner Empfänger) und --throw-keyids (aller Empfänger) bedienen. Der Empfänger muss dann alle seine geheimen Schlüssel ausprobieren (das macht gpg automatisch).
gpg schreibt zwar auch ohne diese Option nur die (long) ID des Empfängerschlüssels (ggf. nur die des Unterschlüssels) in den Header der verschlüsselten Nachricht (also insbesondere keine UID), es ist aber oftmals möglich, (z.B. über Keyserver) herauszufinden, welche E-Mail-Adresse zu dieser ID gehört.
Wie man die verschlüsselten Daten dann so zum Empfänger bekommt, dass nicht schon der Transportweg ihn verrät, ist dann eine andere Frage.
Festlegung des Verschlüsselungsverfahrens (Cipher) ← ↑
GnuPG kann eine Reihe von Verfahren anwenden, um Daten symmetrisch zu verschlüsseln, deutlich mehr, als asymmetrische Verfahren (die Schlüsseltypen RSA, DSA, ElGamal). Welche das sind, kann man sich mit --version anzeigen lassen:
Irgendwie muss nun festgelegt werden, welcher Algorithmus verwendet wird. Einen zu wählen, den die OpenPGP-Software des Empfängers (bzw. aller Empfänger) nicht unterstützt, wäre natürlich nicht im Sinne des Erfinders. RfC 4880 (9.2) schreibt lediglich die Unterstützung von TripleDES zwingend vor und empfiehlt die von AES-128 and CAST5. Bei Kompression ist kein Verfahren vorgeschrieben und ZIP empfohlen.
Ausgewählt wird das Verfahren, indem die Präferenzen des Empfängers (im Zweifelsfall der adressierten UID; mehrere UIDs können unterschiedliche Präferenzen haben, auch wenn das eher selten beabsichtigt sein dürfte) mit denen des Absenders abgeglichen werden. Ich weiß nicht, wie die Präferenzen gegeneinander aufgerechnet werden (habe es nicht ausprobiert, und die Dokumentation geht nicht ins Detail), aber die Dokumentation erweckt den Eindruck, dass die Absenderpräferenzen Vorrang haben. Vermutlich wird also das höchstrangige Verfahren des Absenders gewählt, das der Empfänger akzeptiert (und als Notnagel TripleDES als kleinster gemeinsamer Nenner).
Die Präferenzen eines Schlüssels (bzw. die aller UIDs eines Schlüssels), also der eigenen Position als Empfänger, kann man sich mit --edit-key showpref anzeigen lassen. Ändern kann man sie mittels --edit-key setpref , was durch die Verwendung von --default-preference-list (in der Konfigurationsdatei; üblicherweise dürften die Präferenzen für alle eigenen Schlüssel gleich sein) bequemer ist, weil man setpref dann ohne Parameter aufrufen kann. --default-preference-list setzt außerdem den Standard für neu erzeugte Schlüssel (und neue UIDs in bestehenden Schlüsseln). In beiden Varianten muss man die Werte für Verschlüsselungsverfahren, Hash und Kompression gleichzeitig angeben:
Die eigenen Präferenzen als Absender kann man mit --personal-cipher-preferences und --personal-compress-preferences festlegen; sinnvollerweise in der Konfigurationsdatei.
Signaturen werden mit gpg --sign oder gpg --detach-sign erstellt.
Auch Signaturen betreffen zumeist E-Mails und sind dann komfortabel vom Benutzer abgeschirmt.
Wenn man mit gpg (oder einem GUI) normale Dateien (oder Datenströme) signiert, muss man wissen, dass es unterschiedliche Arten gibt, eine Signatur zu speichern (und natürlich auch unterschiedliche Arten von Signaturen):
integrierte (Daten und Signatur in derselben neu erzeugten Datei) und abgetrennte Signatur.
binäre Signatur, Klartextsignatur, ASCII-Verpackung.
Eine Signatur ist ein Hashwert der zu signierenden Daten, der mit dem privaten Schlüssel so verrechnet wird, dass mit Hilfe des öffentlichen Schlüssels nachgewiesen werden kann, dass der zugehörige private Schlüssel die Signatur erzeugt hat. Eine Signatur ist deshalb nur so sicher wie der verwendete Hash. Wenn für den Hashwert eine Kollision erzeugt werden kann, rettet einen der längste Schlüssel nicht. gpg unterstützt eine Menge Hashfunktionen, allerdings kann es beim Einsatz der OpenPGP-Smartcard zu Problemen kommen. SHA-1 (aktuelle Standardeinstellung) ist derzeit sicher (das gilt nur für Urbildangriffe, aber nicht mehr für Kollisionsangriffe; also mit SHA-1 nur selbsterzeugte (oder in einem inhaltlich irrelevanten Detail veränderte) Daten signieren) und funktioniert mit der Smartcard. Die Hash-Auswahl kann man mit der Option personal-digest-preferences steuern.
Speicherung von Daten und Signatur in einer oder mehreren Dateien ← ↑
Man kann Daten und Signatur in dieselbe Datei schreiben. Das passiert bei Verwendung der Kommandos --sign . Wenn man die zu signierenden Daten als unveränderte Datei behalten will (ohne eine neue vergleichbar große Datei) oder mehrere Dateien auf einmal signieren will, verwendet man --detach-sign (kann mit --encrypt kombiniert werden; aber eine Signatur muss man normalerweise nicht verschlüsseln). Wenn man auf diese Weise mehrere Dateien signiert, dann kann man die Signatur auch nur über alle Dateien gleichzeitig (und in derselben Reihenfolge) prüfen!
Erzeugen einer signierten Datei test.html.gpg , die die Daten von test.html enthält:
Erzeugen einer Datei test.html.sig , die nur die Signatur von test.html enthält (also ohne die Bezugsdatei wertlos ist). Anschließend Überprüfung der Signatur.
Erzeugen einer gemeinsamen Signaturdatei test.html.all.sig für die beiden Dateien test.html und test2.html . Überprüfung scheitert, wenn nicht beide angegeben werden:
Signierte Dateien kann man nur dann verwenden, wenn die Zielapplikation weiß, was das ist (z.B. ein PGP-fähiger Mailclient). Abgetrennte Signaturen lassen sich dagegen immer problemlos verwenden. Auf diese Weise kann man beispielsweise Webseiten signieren. Mit dem Ergebnis von --sign und --clearsign kann ein Browser nichts anfangen, aber man kann eine angetrennte Signatur erzeugen und verlinken. Man speichert dann die Webseite (als z.B. openpgp.html) und die Signatur (als z.B. openpgp.html.sig) und prüft dann die Gültigkeit der Signatur.
Signaturcodierung ← ↑
--sign erzeugt eine "binäre" Signatur, also eine Datei, die sowohl die Nutzdaten als auch die Signatur enthält und die man nicht problemlos mit einem normalen Editor lesen kann (weil sie – jedenfalls im Signaturteil – nichtdruckbare Zeichen enthält). Wenn man die Signatur prüfen will, muss man die gesamten Daten auspacken. --clearsign eignet sich für Textdateien (und Ausschnitte davon). Das Ergebnis kann normal mit einem Editor gelesen werden. Ein "Kompromiss" aus beidem ist die Option --armor . Damit werden Daten (sowohl Verschlüsselung als auch Signatur) in druckbaren ASCII-Zeichen codiert. Damit kann man als Mensch zwar nichts anfangen, aber man kann die Daten dann problemlos in Textmedien unterbringen (z.B. auf Webseiten). Dann sieht alles so aus wie die Signatur im folgenden clearsign-Beispiel:
echo hello world | gpg --clearsign.
oder mit einer Datei, die den Text, also hier "hello world" enthält:
gpg --clearsign hello_world.txt.
Bei dem Kommandoaufruf habe ich --local-user 0xECCB5814 weglassen können, weil diese ID in der Konfigurationsdatei.
/.gnupg/gpg.conf-2 mit der Option default-key als Standard festgelegt ist. Dasselbe gilt für --recipient und encrypt-to .
Die clearsign-Variante hat allerdings ein Problem, das die normale Variante nicht hat: Die Signatur bezieht sich technisch nicht auf einen Text, sondern auf eine Bytefolge. Die Bytedarstellung von Text ist allerdings nicht eindeutig, sondern hängt von Zeichensatz und Codierung ab. Das ist deshalb problematisch, weil der verwendete Zeichensatz nicht in der Signatur vermerkt wird. Dadurch kann es passieren, dass eine Signatur ungültig wird, weil (unbemerkt) eine Konvertierung vorgenommen wurde oder bei E-Mail auf dem Transportweg das Encoding verändert wurde. Die Zeichensatzprobleme treten allerdings normalerweise nur dann auf, wenn Nicht-ASCII-Zeichen (also z.B. Umlaute) verwendet werden.
Es gibt auch Editoren mit GnuPG-Unterstützung. Bei denen erstellt man einfach den zu signierenden (oder zu verschlüsselnden) Text und ruft dann die entsprechende Funktion auf. Man erhält dann das Ergebnis im Editorfenster. gpa (Gnu Privacy Assistant) und kgpg (Linux/kde) haben einen eigenen Editor. Kleopatra bietet die Funktion über den Umweg der Bearbeitung der Zwischenanlage.
Signieren und Verschlüsseln ← ↑
Man kann Daten gleichzeitig (d.h. von einem einzigen gpg-Aufruf) signieren und verschlüsseln lassen. Dafür werden einfach die entsprechenden Kommandos --encrypt , --symmetric und --sign kombiniert. Die Verwendung von --clearsign oder --detach-sign ist in dieser Variante allerdings nicht möglich.
Bei dieser Kombination wird immer zuerst die Signatur erzeugt und dann der signierte Datenblock verschlüsselt. Siehe den Abschnitt Reihenfolge von Verschlüsselung und Signatur.
Mehrfachsignatur ← ↑
Man kann für eine Datei Signaturen mehrerer Schlüssel erzeugen und gemeinsam abspeichern. Das kann man einerseits erreichen, indem --local-user mehrfach angegeben wird, und andererseits, indem mehrere Signaturdateien zusammenkopiert werden (das funktioniert sowohl bei Textsignaturen als auch bei binären). Solche Dateien können aber nicht alle OpenPGP-Implementierungen verarbeiten.
Reihenfolge von Verschlüsselung und Signatur ← ↑
Prinzipiell kann man Daten sowohl erst signieren und dann verschlüsseln als auch erst verschlüsseln und dann signieren. gpg unterstützt aber nur den ersten Weg direkt. Auf diese Weise wird nicht enthüllt, wer die Daten signiert hat. Das mag in speziellen Fällen relevant sein. Für (zentrale) Virenscanner ist es dagegen ein Alptraum. Wenn man verschlüsselte Daten signieren möchte, muss man gpg zweimal aufrufen, erst für die Verschlüsselung (die natürlich selber auch eine Signatur enthalten kann) und dann zur Signierung der verschlüsselten Datei.
gpg --recipient empfaenger1 --recipient empfaenger2 --symmetric --encrypt datei.txt.
gpg --sign datei.txt.gpg.
GnuPG kann beliebige Daten signieren, also natürlich auch eine Datei mit OpenPGP-Daten. Das wird in diesem Fall ausgenutzt. Für die Signatur ist unerheblich, dass die signierten Daten Ciphertext (verschlüsselt) sind, denn sie werden nicht inhaltlich bearbeitet.
technische Details ← ↑
Den folgenden Optionen begegnet man kaum einmal, aber auch sie haben ihren Sinn.
Policy URL.
Eine digitale Signatur ist zunächst mal nur ein technischer Wert, dessen eindeutiger Aussagegehalt sich darauf beschränkt, dass der Signierende im Besitz des privaten Schlüssels und der signierten Daten (ganz genau: zumindest ihres Hashwerts) war. Auch wenn man unterstellt, dass der Signierende der legitime Besitzer des Schlüssels war, weiß man noch nicht, was diese Signatur zu bedeuten hat; vielleicht wollte der Signierer die Datei bloß gegen unerkannte Veränderungen sichern oder (für jemand anderen) bestätigen, dass sie zu einem bestimmten Zeitpunkt existiert hat. Man kann zweierlei tun, um dem Prüfer einer Signatur deren Interpretation zu erleichtern: Man kann die Information in eine zweite Datei packen und dann die Daten und diese Hilfsdatei gemeinsam signieren (die können dann auch nur gemeinsam geprüft werden, siehe die Signaturbeispiele oben). Die andere Möglichkeit, die sich vor allem für allgemein gültige Hinweise (wie bei der Zertifizierung von Schlüsseln) eignet, ist ein (Online-)Dokument, auf dessen URL von der Signatur aus verwiesen wird. Sinnvoll ist das natürlich nur, wenn das Dokument selber signiert ist. Bei Webseiten kann man das mit einem Link auf die abgretrennte Signatur (--detach-sign) der Datei realisieren.
Eine policy URL wird der Signatur mittels der Option --sig-policy-url URL angefügt. Die kann man sich, wenn alle Signaturen so einen Hinweis erhalten sollen, in die Konfigurationsdatei schreiben. Wenn man dieselbe URL für Schlüsselzertifizierungen und Datensignaturen verwendet, kann man statt --cert-policy-url und --sig-policy-url auch --set-policy-url verwenden.
Ablaufdatum (expire)
Man kann, in speziellen Fällen mag das sinnvoll sein, eine Signatur mit einem Ablaufdatum versehen, etwa für eine Art Ausweis (dann muss das Ablaufdatum nicht in den signierten Daten untergebracht werden) oder Signaturen, die regelmäßig erneuert werden sollen. Dies geht mit der Option --ask-sig-expire . Die gewünschte Gültigkeitsdauer wird dann von gpg abgefragt.
eigene Zusatzinformationen.
Man kann über die Option --sig-notation quasi beliebige Zusatzinformationen in einer Signatur unterbringen. Da ich dies bisher nicht gemacht habe, kann ich das nur der Vollständigkeit halber als Hinweis erwähnen, ohne darauf weiter einzugehen.
Signaturen prüfen ← ↑
Signaturen werden mit gpg --verify geprüft.
Beim Prüfen einer Signatur prüft man mehrere Dinge:
Passt die Signatur zu den Daten, das heißt:
Haben die signierten Daten den Hashwert, der in der Signatur verwendet wurde?
Ist die Unterschrift in der Signatur korrekt? Dies kann nur mit Hilfe des zugehörigen öffentlichen Schlüssels überprüft werden. Steht der nicht zur Verfügung, ist eine Signaturprüfung unmöglich.
Ist die Signatur noch gültig? (Eine Signatur kann ein Verfallsdatum haben.)
Ist der signierende Schlüssel noch gültig? (Ein Schlüssel kann ein Verfallsdatum haben und unabhängig davon zurückgezogen werden (revoke).)
Wird dem Schlüssel vertraut? Warnung: Eine korrekte Signatur eines nicht vertrauenswürdigen Schlüssels ist selbstverständlich ebenfalls nicht vertrauenswürdig!
Eine korrekte Signatur eines nicht verifizierten Schlüssels sollte man im allgemeinen als wertlos betrachten.
Die Prüfung einer abgetrennten Signatur ( --detach-sign ) für eine einzelne Datei:
Wenn der Name der abgetrennten Signaturdatei der der signierten Datei plus eine der Standardendungen (.gpg, .sig, .asc) ist, dann reicht es aus, den Namen der signaturdatei anzugeben:
Wenn eine Signatur über mehrere Dateien gleichzeitig gebildet wurde, müssen diese Dateien in derselben Reihenfolge wie beim Signieren angegeben werden:
Es gibt zwei Möglichkeiten für technische Fehler bei der Signaturprüfung:
Die Signatur selber kann beschädigt worden sein. GnuPG erkennt dies:
Die Daten können beschädigt worden sein (bzw. Daten und Signatur falsch kombiniert worden sein):
Bei abgelaufenen Schlüsseln oder Signaturen gibt es keinen Fehler, sondern eine Warnung. Das ist aber applikationsspezifisch (die vorige Aussage bezieht sich auf gpg); es gibt leider durchaus Programme, die bei der Handhabung dieser Umstände versagen.
Es liegt in der Natur von kryptografischen Hashwerten, dass es unmöglich ist zu sagen, ob es sich um eine komplett falsche Datei handelt oder z.B. in einer Textdatei nur ein Leerzeichen ergänzt wurde.
Damit überprüft werden kann, ob eine Signatur korrekt ist, wird der öffentliche Schlüssel benötigt:
Wenn die Signatur korrekt ist, kann immer noch der Schlüssel unverifiziert sein:
Statusmeldungen der Signaturprüfung ← ↑
Mit --status-fd und --status-file kann man sich detailliert ansehen, was gpg so macht:
GnuPG kennt folgende Statusbezeichnungen für Signaturen:
EXPSIG (abgelaufene Signatur)
EXPKEYSIG (abgelaufener Schlüssel)
REVKEYSIG (zurückgezogener Schlüssel)
ERRSIG (nicht unterstützter Hashalgorithmus oder fehlender öffentlicher Schlüssel)
NODATA (Signatur nicht erkannt, vermutlich beschädigt)
Siehe die Datei /usr/share/doc/packages/gpg2/DETAILS .
Zusammenspiel von gpg und gpg-agent ← ↑
Version 1.4.x (seit der Veröffentlichung von 2.1.0 "classic" genannt) von gpg ist ein einzelnes Programm, das die gesamte benötigte Funktionalität enthält. 2.0.x ("stable") erfordert zwingend den (bei 1.4.x optionalen) Hilfsprozess gpg-agent für die Handhabung der Passphrase. Wenn gpg-agent vor gpg gestartet wird, kann man ihm zum Cachen der Passphrase nutzen (Dauer konfigurierbar). Wenn kein Dämon läuft, wird der Prozess von gpg gestartet, aber nach der Aktion automatisch beendet, so dass man dies normalerweise nicht einmal mitbekommt und natürlich auch kein Cachen hat.
Die 2.1.x-Versionen ("modern") lagern nicht nur die Passphrase-Handhabung, sondern auch die sensiblen Operationen in einen Serverprozess ( gpg-agent ) aus. Das hat zwar auch Nachteile, aber die folgenden Vorteile:
Da der Serverprozess die ganze Zeit läuft (anders als gpg oder die Programme, die gpg-Funktionen nutzen), kann er die Passphrasen cachen (das ist konfigurierbar).
Er kann, wiederum weil er die ganze Zeit läuft, ssh-agent ersetzen (und die Anbindung an GnuPG-Smartcards bereitstellen).
Fehler in Clientapplikationen gefährden nicht die Integrität der privaten Schlüssel.
Durch die Begrenzung des Funktionsumfangs der einzelnen Programme und die Verwendung einer Schnittstelle wird die Sicherheitsanalyse (Audit) der Programme einfacher.
Die wichtigsten Aktionen, die gpg (über das Assuan-Protokoll) an gpg-agent auslagert:
PKDECRYPT: Decrypting a session key.
PKSIGN: Signing a Hash.
GENKEY: Generating a Key.
IMPORT: Importing a Secret Key.
EXPORT: Exporting a Secret Key.
GET_PASSPHRASE: Ask for a passphrase.
GET_CONFIRMATION: Ask for confirmation.
HAVEKEY: Check whether a key is available.
LEARN: Register a smartcard.
PASSWD: Change a Passphrase.
Unter Linux sollte gpg-agent aus den Startdateien beim Login gestartet werden. Die Kommunikation mit den Clients wird dabei durch exportierte Umgebungsvariablen ermöglicht (siehe Doku von gpg-agent).
Zu Testzwecken ist es aber möglich, mehrere Instanzen von gpg-agent zu starten. Es ist dann sicherzustellen, dass die nicht versuchen, denselben Socket zu erzeugen ( --no-use-standard-socket ). Den Testclients muss dann natürlich noch der angepasste Wert für $GPG_AGENT_INFO (und/oder $SSH_AUTH_SOCK) übergeben werden.
Bedrohungen der Schlüssel und Gegenmaßnahmen ← ↑
Schlüssel ziehen genauso wie Passwörter ihren Wert daraus, dass sie den bösen Jungs nicht bekannt sind. Dafür, dass sich das nicht ändert, sollte man sorgen. Das große Problem ist, dass wir unseren Rechnern nicht vertrauen können. Für alle relevanten Betriebssysteme und Internet-Anwendungen werden ständig Sicherheitslücken gefunden (und gestopft). Man kann nie sicher sein, dass ein normaler Rechner nicht gerade von Schadsoftware kompromittiert ist. Schadsoftware hat unter normalen Umständen alle Rechte des Benutzers, sie kann also alle Dateien lesen, auf die der Benutzer Zugriff hat. Spätestens wenn es dieser Schadsoftware gelingt, durch Ausnutzen von Sicherheitslücken in privilegierter Software (Kernel, grafische Oberfläche, Systemdämonen) höhere Rechte zu erlangen, dann kann sie im Regelfall auch Tastatureingaben mitlesen. Es kann also jederzeit passieren, dass der eigene Schlüssel samt Passphrase in die Hände eines Angreifers gelangt.
Warum dann überhaupt noch Schlüssel? ← ↑
Auch wenn Schlüssel kompromittiert werden können, sind sie nützlich, denn meistens sind sie nicht kompromittiert. Gehen wir einfach mal davon aus. :-) Das liegt natürlich auch daran, dass Schlüssel bisher wenig verbreitet sind und es sich noch nicht lohnt, gezielt Jagd auf sie zu machen.
Sicherheit schafft man dadurch, dass man den Schutz der Schlüssel ihrer Bedeutung anpasst. Schlüssel, die triviale Absenderfälschungen bei E-Mails verhindern sollen (als Spamschutz), muss man nicht aufwendig schützen. Auch schlecht geschützte Schlüssel stellen für viele Störenfriede eine quasi unüberwindliche Hürde dar.
Schutz der Wichtigkeit anpassen ← ↑
Wirklich wichtige Aktionen sind normalerweise selten; deshalb kann man ihren Aufwand erhöhen und dadurch den Schutz verbessern. Das mag die Signierung wichtiger Verträge oder die Zertifizierung eines Schlüssels (eines eigenen Unterschlüssels oder des Hauptschlüssels von jemand anderem) sein. Dafür kann man dann ein sicheres System booten (etwa Knoppix ohne Hardware für einen Internetzugang, also Netzwerkkabel raus) und nur auf diesem den wertvollen Schlüssel verwenden.
nichtautorisierte Signaturen ← ↑
Den eigenen Schlüssel zu schützen ist nicht das einzige Problem. Man will außerdem, dass keine nichtautorisierten Signaturen erzeugt werden und ebensolche Entschlüsselungen stattfinden. Wie kann das passieren, ohne dass einem der Schlüssel geklaut wird? Auf zweierlei Art:
unbemerkte Nutzung sicherer Schlüssel.
Wenn man eine Smartcard verwendet, kommt der Angreifer zwar nicht an den Schlüssel selber heran, aber er kann ihn benutzen, wenn er die Kontrolle über den Rechner hat. Solange die Smartcard im Leser steckt, entschlüsselt sie (die g10-Smartcard 2.0) munter alles, was man ihr vorwirft. Für Signaturen kann man dies unterbinden.
Unterschieben von Daten.
Man weiß ja bei komplexen dokumenten letztlich nicht, was man signiert. Man hat eine Datei, etwa ein Office-Dokument. Man will wissen, was man signiert und öffnet die Datei deshalb mit der Office-Software. Wenn der Rechner kompromittiert ist (was auch erst durch das Öffnen der Datei passieren kann!), dann hat man nicht mehr die Gewissheit, dass einem auch das angezeigt wird, was in dem Dokument steht. Für Angriffe auf einzelne Opfer kann man Virenscanner leicht überwinden. Ein cleverer Angreifer würde dann noch die Schaddatei gegen eine harmlose mit dem gewünschten Inhalt austauschen, so dass man (jedenfalls mit der erzeugten Signatur) nicht einmal nachweisen kann, dass einem eine manipulierte Datei vorgelegt wurde. Auch gegen so etwas kann man sich schützen: Erst signieren, Signatur vom Rechner entfernen, dann erst die Datei öffnen. Und dann noch mal von der DVD booten und ein anderes Programm zur Anzeige verwenden (rettet einen nicht, wenn beide Programme den angegriffenen Code gemeinsam nutzen, etwa beim Umgang mit Bildern). Und dann auf sichere Weise die Signatur zerstören, wenn einem der angezeigte Dateiinhalt nicht gefällt. Dies mag an den Haaren herbeigezogen erscheinen. Es soll aber auch nur für das Problem sensibilisieren, dass echte Sicherheit auch mit großem Aufwand kaum zu bekommen ist.
Auf einem kompromittierten System muss der Angreifer sich nicht mal die Mühe machen, die komplizierte Office-Software zu manipulieren. Es reicht, dass er andere Daten an die Smartcard schickt, als angezeigt werden. Beim Onlinebanking gibt es als Schutz davor Kartenleser mit Display. Das funktioniert aber nur deshalb, weil sich der Inhalt von Kontotransaktionen mit wenig Text komplett darstellen lässt. Das ist nicht einmal bei längeren Textdateien praktikabel.
Offline-Hauptschlüssel ← ↑
Die einzelnen Teile eines Schlüssels sind zudem nicht gleich wichtig. Den größten Schaden kann man mit den Hauptschlüsseln anrichten, weil man damit neue Schlüssel (sowohl Unterschlüssel als auch Schlüssel anderer) signieren kann. Wenn andere den eigenen Schlüssel verifizieren (Fingerprintvergleich), bezieht sich das nur auf den Hauptschlüssel.
Der Offline-Hauptschlüssel wird im Alltag nicht für Signaturen oder Entschlüsselung genutzt; das machen die Unterschlüssel. Wenn es sich um einen normalen Schlüssel handelt, dann werden die Unterschlüssel zwangsläufig in vergleichsweise unsicheren Umgebungen eingesetzt. Der Offline-Hauptschlüssel kann deswegen ein sehr viel höheres Sicherheitsniveau haben. Man kann auf diese Weise mit demselben Schlüssel Daten sowohl mit hoher als auch mit reduzierter Sicherheit bearbeiten (siehe wie man Schlüssel direkt adressiert). Das bringt natürlich nur dann etwas, wenn die Kommunikationspartner das auch wissen und begreifen (also Haupt- von Unterschlüsselsignaturen unterscheiden können); die Vereinfachung, nur einen Schlüssel zu benötigen, geht mit einem gewissen Potential an Verwirrung einher, was bei sicherheitsrelevanter Software immer heikel ist.
Auf jeden Fall sinnvoll bei einem Schlüssel für normale Arbeitsumgebungen ist ein Offline-Hauptschlüssel mit Signaturfähigkeit. Der kann dann nämlich verwendet werden, um die Richtlinien für den Schlüssel zu signieren (so dass diese sensible Information nicht durch das geringe Sicherheitsniveau der Unterschlüssel kompromittiert wird); und an dieser Stelle kann man die Problematik und die technischen Aspekte erklären. Bei Schlüsseln, die generell nur in einer Hochsicherheitsumgebung eingesetzt werden, bringt eine Differenzierung zwischen Haupt- und Unterschlüssel nichts. Dementsprechend ist in dem Fall nicht wichtig, welche Fähigkeiten der Hauptschlüssel hat. Man kann ihn dann aufs Zertifizieren beschränken.
Aus diesem Umstand empfehle ich jedem dringend, die Hauptschlüssel nicht in derselben Weise wie die Unterschlüssel zu speichern. Das kann, muss aber nicht eine externe Speicherung (USB-Stick) sein; eine sicher verschlüsselte Datei auf einem unsicheren Speichermedium tut es auch. Sicher verschlüsselt heißt in diesem Fall, dass der Schlüssel nur dann verwendet, die sichere Passphrase nur dann eingegeben wird, wenn man ein sicheres System gebootet hat (z.B. von DVD). Auf diese Weise kann man den eigenen Zertifizierungen ein viel höheres Sicherheitsniveau ermöglichen als den eigenen Unterschlüsseln. Insbesondere sollte das Web of Trust idealerweise nur Zertifizierungen von sicheren Hauptschlüsseln verwenden.
Die Erklärung der einzelnen Schritte folgt am Ende des Codeblocks. Normalerweise sollte man nicht mehr die folgende Anleitung zur Erzeugung von Offline-Hauptschlüsseln nutzen, sondern diese Scriptsammlung.
gpg --list-secret-keys 0xeccb5814.
Status quo angucken. Wichtig ist das sec . Es steht kein # dahinter; das bedeutet, dass der geheime Schlüssel wirklich verfügbar ist.
gpg --armor --export-secret-keys 0xeccb5814 > 0xECCB5814.sec.asc.
Alle geheimen Schlüssel (Hauptschlüssel und Unterschlüssel) in eine Datei exportieren. Wenn diese Datei nicht auf einem sicheren Laufwerk (USB-Stick exklusiv für diesen Zweck oder ein sicher verschlüsseltes Laufwerk) liegt, sondern auf dem Rechner, dann sollte sie anschließend sicher gelöscht (idealerweise mit z.B. wipe überschrieben) werden. Es sei denn, der Schlüssel hat vor dem Export eine Passphrase bekommen, die unknackbar ist (was natürlich auch für die Lagerung auf einem USB-Stick keine schlechte Idee ist).
gpg --armor --export-secret-subkeys 0xeccb5814 > 0xECCB5814.ssk.asc.
Nur die Unterschlüssel exportieren. Hinweis: Diese Datei kann nur von neueren gpg-Versionen (ich weiß leider nicht, ab welcher) importiert werden und wohl nicht von anderen OpenPGP-Programmen.
gpg --delete-secret-key 0xeccb5814.
Alle geheimen Schlüssel (also den des Hauptschlüssels und die der Unterschlüssel) im normalen keyring löschen.
gpg --list-secret-keys 0xeccb5814.
gpg --list-keys 0xeccb5814.
Öffentliche Schlüssel sind noch da.
gpg --import 0xECCB5814.ssk.asc.
Die geheimen Unterschlüssel (ohne den Hauptschlüssel) in den normalen keyring importieren.
gpg --list-secret-keys 0xeccb5814.
Da sind sie. Das sec# zeigt an, dass der Hauptschlüssel nicht zur Verfügung steht. ssb> würde übrigens anzeigen, dass der Unterschlüssel auf einer Smartcard ist.
Ownertrust-Anpassung.
Wenn man einen Schlüssel generiert, setzt GnuPG den ownertrust dieses Schlüssels automatisch auf absolut ( ultimate ), damit er automatisch als gültig betrachtet wird und auch alle Schlüssel, die von ihm beglaubigt werden, als gültig angesehen werden. Sollte dieser Schlüssel für spezielle Zwecke verwendet werden und deshalb eher unsicher sein, sollte man den Wert auf vollständiges Vertrauen herabsetzen.
Wenn man einen geheimen Schlüssel aber nur importiert, ändert sich der ownertrust nicht! Im Fall eines Offline-Hauptschlüssels muss man also nach dem Importieren den ownertrust selber auf absolut ( ultimate ) setzen (mittels --edit-key trust oder --trusted-key ).
Um Schlüssel zu signieren oder den eigenen Schlüssel zu verändern (z.B. Unterschlüssel oder UIDs hinzuzufügen oder zurückzuziehen), muss die Datei mit dem privaten Hauptschlüssel ( 0xECCB5814.sec.asc ) importiert (oder mittels --no-default-keyring --secret-keyring direkt als Keyring verwendet) werden. Das sollte aber nur von einem sicheren System (DVD) aus geschehen. Und natürlich muss der Hauptschlüssel danach wieder gelöscht werden (wenn man von einer CD/DVD bootet, erledigt sich das von selbst, weil der Schlüssel dann nur im RAM gespeichert wird). Oftmals wird man den Offline-Hauptschlüssel mit einer fiesen Passphrase gesichert haben. Es bietet sich deshalb an, wenn man den Hauptschlüssel für mehrere Operationen genötigt, nach dem Import in einem sicheren System mittels gpg --edit-key 0xeccb5814 passwd die Passphrase auf etwas Gut-Handhabbares zu ändern; sonst ist man schnell genervt.
Was ist ein sicheres System? ← ↑
Es wurde schon mehrfach angesprochen, dass bestimmte Operationen nur innerhalb eines sicheren Systems stattfinden sollen. Aber was ist das überhaupt, ein sicheres System? Diese Frage hat nicht speziell mit GnuPG zu tun, und man kann wahrscheinlich regelrecht eine Wissenschaft daraus machen.
Klar dürfte sein, dass dies eine vertrauenswürdige Softwareinstallation erfordert, die zudem nur so lange als sicher angesehen werden kann, wie sie keinen Angriffsmöglichkeiten ausgesetzt ist. Eine vertrauenswürdige Installation erfordert eine sichere oder überprüfbare Quelle. Ohne Überprüfung als sicher ansehen kann man die von den Herstellern gelieferten CDs/DVDs. Das gilt, was selten genug vorkommt, gleichermaßen für Windows und Linux. Allerdings kann man Windows aus diesen Quellen erst mal nur installieren, und für diesen Zweck wird wohl niemand eine Windows-Lizenz verbraten wollen. Außerdem ist in einer Windows-Installation im Gegensatz zu einer Linux-Installation GnuPG nicht enthalten. Es gibt zwar auch Windows als Live-CD, aber dann hat man gleich wieder das Problem der Vertrauenswürdigkeit der Software.
Praktisch bieten sich diese Möglichkeiten an:
Man nutzt das Live-System oder Rettungssystem auf Hersteller-Medien (bei openSUSE gibt es dafür eine eigene DVD). Vermutlich ist es bei den meisten Distributionen alternativ möglich, die Installationsmedien dafür zu missbrauchen (also ohne eigentliche Installation).
Wenn man einen Rechner über hat, den man nicht für andere Zwecke benötigt (z.B. einen alten Rechner), kann man sich ein Betriebssystem (sinnvollerweise Linux o.Ä.) installieren. Für diesen Rechner gilt dasselbe wie für die Bootmedien: Sicher ist er nur, solange er physikalisch sicher ist, also niemand den Rechner manipulieren oder die Medien austauschen kann. Das heißt auch, dass kein Netzwerkzugriff auf den Rechner möglich sein sollte. Ob das heißt, dass man das Netzwerkkabel zieht, oder nur, dass der Rechner nicht auf Anfragen reagiert, ist eine Frage der persönlichen Paranoia.
Man nutzt eine Download-Distribution, deren Integrität man prüfen kann. Möglich ist das z.B. bei Knoppix, denn in der c’t ist der Fingerprint des Heise-Zertifizierungsschlüssels abgedruckt, der wiederum den Schlüssel zertifiziert hat, mit dem Knoppix signiert wird. Man braucht sich also nur mal eine c’t zu kaufen (oder im Laden den Fingerprint zu prüfen), den Knoppix-Schlüssel in einem sicheren System zu importieren und dort dann das Knoppix-Image oder die gebrannte CD zu prüfen. Wegen des rekursiven Elements ersetzt diese Varianten die vorigen nicht komplett, aber es mag vorteilhaft sein, als Alternative zu den Herstellermedien auch ein verifiziertes Knoppix zu haben. Wenn ich GnuPG-Schulungen halte, verteile ich dort Knoppix-CDs.
Wie man Schritt für Schritt die Authentizität einer Knoppix-CD prüft, habe ich auf einer eigenen Seite auf www.openpgp-schulungen.de erklärt.
Wenn das System dann erst mal läuft, ist es nur so lange sicher, bis man es mit potentiell schädlichen Daten in Kontakt bringt. Das tut man z.B., wenn man komplexe Netzwerksoftware (Browser, Mailclient, Instant-Messenger) nutzt oder von lokalen Speichermedien komplexe Dokumente (PDF, Office-Dateien, HTML-Dokumente, die z.B. Bilder einbinden) lädt. Man kann mit allerlei Tricks dafür sorgen, dass es sehr schwierig für eine Schadsoftware wird, das ganze System (andere Benutzeraccounts, Kernel) in Mitleidenschaft zu ziehen, aber das ist anspruchsvoll und kann hier nicht erklärt werden.
Smartcards ← ↑
Smartcards sind ein weitgehend sicherer Schutz für Schlüssel. Eine Smartcard ist ein kleiner Computer. Man schreibt den Schlüssel rein, aber sie rückt ihn nicht mehr heraus. Man kann den Schlüssel nur noch über die Smartcard verwenden. Entsprechend sicher (sowohl im Sinne von Verfügbarkeit als auch im Sinne von Schutz) sollte man das Backup des Schlüssels verwahren, sofern man eins gemacht hat (ansonsten hat man bei einem Defekt der Smartcard verloren).
Siehe das Smartcard-Howto für Details (insbesondere für die Smartcard-Kommandos und die udev-Konfiguration).
gpg (bzw. gpg-agent/scdaemon) schreibt die zu signierenden (Hash) oder zu entschlüsselnden (Sessionkey) Daten in die Smartcard und sie liefert das Ergebnis zurück. Wenn man an die Schlüssel heranwill, muss man die Smartcard mit einer Art Elektronenmikroskop zerlegen. Das kostet angeblich einen siebenstelligen Betrag.
Smartcards schützen die Schlüssel vor unbefugter Verwendung dadurch, dass man nach jedem "Einschalten" der Smartcard (auch konfigurierbar: bei jeder Signatur) eine PIN eingeben muss. Nach drei Fehlversuchen braucht man die Admin-PIN. Nach drei Fehlversuchen für diese sperrt sich die Karte und kann nur durch einen Reset auf ihre Standardwerte (also ein Löschen der Schlüssel) wieder verwendet werden.
Hohe Sicherheit entsteht nur dann, wenn man die PIN konsequent nur am Kartenleser eingibt und nicht am PC, denn der PC könnte kompromittiert sein, ein Angreifer könnte die PIN mitlesen. Das Setzen der PIN ist leider bisher nicht über einen Kartenleser möglich, sondern nur über den PC. Paranoide sollten deshalb für das Setzen der PIN (und natürlich auch der Admin-PIN) von einem sicheren Medium booten.
Smardcards erlauben den schmerzarmen Einsatz von Schlüsseln in unsicheren Umgebungen. Allerdings muss man sich darüber im Klaren sein, dass nur der Schlüssel selber geschützt wird; sein Missbrauch wird nicht allein durch die Verwendung einer Smartcard unterbunden.
Sobald die Smartcard einmal verwendet wurde, kann ein beliebiges Programm, das mit denselben Rechten (also normalen Benutzerrechten) läuft, beliebige Daten entschlüsseln und signieren lassen. Das bekommt man nicht einmal mit, außer vielleicht durch das Blinken am Kartenleser (und auch das wird schwierig, wenn der Zugriff des Angreifers unmittelbar nach dem eigenen erfolgt). Abschalten lässt sich nur die Signierung ohne Eingabe der PIN. Man kann allerdings nach jeder Verwendung die Karte aus dem Kartenleser ziehen. Zumindest bei einem Kartenleser mit PIN-Pad muss dann auch für Entschlüsselung die PIN erneut eingegeben werden. Das ist aber auch kein sicherer Schutz vor Missbrauch, dafür ist das nicht schnell genug möglich.
Man sollte sich außerdem davor hüten, Smartcards mit privaten Hauptschlüsseln an unsicheren Rechnern zu verwenden, denn damit kann ein Angreifer viel größeren Schaden anrichten: Er kann neue Unterschlüssel erzeugen (deren privaten Teil er dann kennt) und bestehende Zurückziehen (revoke).
Verwendung der Smartcard ← ↑
Damit man eine Smartcard verwenden kann, muss gpg Lese- und Schreibrecht für den Kartenleser haben (das erreicht man per udev). Eine neue Karte muss erst mal mit einem Schlüssel versehen werden. Man kann sowohl einen bestehenden privaten Schlüssel auf eine Smartcard kopieren als auch einen neuen Schlüssel auf der Smartcard generieren lassen (nur bei dieser Gelegenheit ist es möglich, den Schlüssel von der Karte auszulesen, um ein Backup anzulegen). Beides erfolgt über das Kommando --edit-key.
verfügbare Hardware ← ↑
Man kann derzeit mindestens eine Sorte Smartcard mit GnuPG (für OpenPGP-Schlüssel) verwenden, nämlich die g10-Smartcard / OpenPGP card (von der eine spezielle Version an FSFE-Mitglieder ausgegeben wird). Kaufen kann man sie hier (ein dazu passendes Lesegerät). GnuPG unterstützt Kartenleser (mit und ohne PIN-Pad) nach den Standards CCID (Chip Card Interface Description) und PC/SC (Personal computer/Smart Card). Es gibt die Smartcard-Hardware auch mit USB-Anschluss (aber ohne PIN-Pad), so dass man keinen Kartenleser mit sich herumschleppen muss. PKCS11-Karten funktionieren nur mit einer (zumindest in einer früheren Version lizenzrechtlich fragwürdigen) Zusatzsoftware, die nicht von den GnuPG-Entwicklern ist.
Die Karten gibt es für etwa 15 €, einen Kartenleser mit PIN-Pad für etwa 50 €. Auch der Cryptostick kostet etwa 50 €.
Bedeutung von Signaturen: technische und organisatorische Maßnahmen ← ↑
die größte Lücke ist das Missverständnis ← ↑
Die technischen Probleme beim Schutz von Schlüsseln wurden schon erwähnt. In der Praxis mindestens gleichbedeutend ist aber das Verständnisproblem. Man kann Schlüssel zertifizieren und Daten signieren und verschlüsseln. Aber das ist ja nur Technik. Was bedeutet das? Wenn man mit verschlüsselten oder signierten Daten konfrontiert wird, hat man demgegenüber irgendeine Haltung. Auch wenn man selber Daten verschlüsselt oder signiert, verbindet man damit eine Änderung der Haltung ihnen gegenüber. Man muss an dieser Stelle sehr aufpassen, keine falschen Schlüsse zu ziehen.
Was bedeutet eine Signatur? ← ↑
Eine Signatur bedeutet erst mal nur, dass jemand Zugriff auf den zugehörigen geheimen Schlüssel hatte und sich entschieden hat, ihn zu benutzen, sowie dass die signierten Daten nicht verändert wurden.
Die beiden wichtigsten Fragen in diesem Zusammenhang sind:
Wie sicher verwahrt der Besitzer seinen Schlüssel? Dazu gehört auch: Wie sicher ist die Umgebung, in der er ihn einsetzt?
Was will er mit seiner Signatur aussagen?
Es hat wenig Sinn, die eigenen Gewohnheiten auf andere zu übertragen, denn es gibt keinen allgemeinen Konsens über den Einsatz von Schlüsseln. Für rechtsgültige digitale Unterschriften gibt es eine klare Vorgabe (Namen druntersetzen (was immer das heißen mag), qualifizierte Signatur erzeugen), aber für den Einsatz von OpenPGP ist das unerheblich, da damit auf absehbare Zeit keine qualifizierten Signaturen erzeugt werden können.
Wenn man einer Signatur vertraut, dann vertraut man.
dem Willen des Unterzeichners, seinen Schlüssel und seine Signaturen ordentlich zu handhaben.
dem gemeinsamen Verständnis, was in der fraglichen Situation ordentlich ist.
seiner technischen Kompetenz, das zu tun.
seiner Disziplin (und im Moment der Unterschrift vorhandenen Hard- und Software-Ausstattung), das zu tun.
und der technischen Sicherheit des Signatursystems (typischerweise das kleinste Problem).
Signaturhäufigkeit ← ↑
Es gibt Leute (wie den Autor dieses Textes), die fast alles signieren, was sie so verfassen und verschicken. Das hat, nach Meinung erfahrener OpenPGP-Nutzer, aber auch Nachteile. Das Argument ist, dass damit eine Allerwelts-E-Mail eine Bedeutung bekomme, die sie typischerweise nicht habe. Diese Fraktion signiert nur solche Dokumente, deren Bedeutung dadurch herausgehoben werden soll, und das auch nur nach entsprechend sorgfältiger Prüfung. Wenn man sich dieses Problems bewusst ist, kommt man zum nächsten: Woher soll man wissen, in welche Gruppe jemand fällt?
Sicherheit des Schlüssels ← ↑
In engem Zusammenhang mit dem Einsatzzweck eines Schlüssels steht seine Sicherheit. Ein Schlüssel, der sehr oft verwendet wird, ist natürgemäß im allgemeinen weniger sicher als einer, der nur selten und gezielt eingesetzt wird. Wenn ich alle meine E-Mails signiere, dann muss ich den Schlüssel auf dem System verfügbar (oder jedenfalls von diesem System aus zugänglich) haben, auf dem ich Mails schreibe. Das ist üblicherweise das System, auf dem man Mails liest. Das stellt eine relevante obere Grenze für die Sicherheit dar. Selbst die Verwendung einer Smartcard rettet einen dabei nicht, weil die nur verhindert, dass einem der Schlüssel geklaut wird, nicht aber, dass man andere Daten signiert, als man signieren möchte. Das kann einem allerdings immer noch auffallen, wenn man den nötigen Aufwand treibt.
Wenn man Signaturen erzeugen will, die wirklich verlässlich sein sollen, dann sollte man sich mehrere Schlüssel zulegen, damit man einen auf die Erzeugung verlässlicher Signaturen beschränken und entsprechend besser schützen kann. Wie schützt man einen Schlüssel (oder besser, weiter gehend: die Verlässlichkeit einer Signatur)?
Man schützt den Schlüssel selber.
Das heißt, man verwahrt ihn auf Offlinemedien, idealerweise auf einer Smartcard. Man schützt ihn mit einer guten Passphrase (und vielen Iterationen, siehe -s2k-count ).
Man setzt den Schlüssel nur auf einem sicheren System ein.
Also etwa einem von DVD gebooteten System. Dieses Spiel kann man immer weiter treiben: Woher bekommt man ein sicheres Bootmedium? Wie stellt man sicher, dass dieses Medium nicht manipuliert/ausgetauscht wurde? Kann man der Hardware vertrauen? Das größte Risiko diesbezüglich dürfte sein, dass Tastatureingaben mitgelesen (und gespeichert) werden.
Man signiert nur "ungefährliche" Daten.
Wir signieren vom Verständnis her nicht in erster Linie eine Datei. Was interessiert uns eine Datei? Wir signieren das, was uns am Bildschirm angezeigt oder ausgedruckt wird; also das, was wir für den Inhalt der Datei halten . Wenn das System, auf dem die Datei angezeigt wird, kompromittiert ist, haben wir keine Kontrolle darüber, was wir signieren. Selbst ohne Softwareangriffe kann es zu Problemen kommen. Komplexe Dokumente können auf unterschiedliche Art angezeigt werden. Notizen in einer Textverarbeitung werden nicht angezeigt oder nicht beachtet. Makros sind womöglich deaktiviert, verändern aber den Inhalt. Browser stellen komplizierte Webseiten unterschiedlich dar, binden in der Anzeige womöglich externe Inhalte ein (die nicht signiert werden, sondern nur der Verweis auf sie). Außer bei Softwareangriffen sollten diese Probleme allerdings reproduzierbar sein, so dass man sich hinterher immer noch aussichtsreich darüber streiten kann, was man denn nun eigentlich unterschrieben hat.
Wenn man paranoid ist, erzeugt man brisante Signaturen nur auf einem von einem sicheren Medium gebooteten System, das (hardwaremäßig!) keinerlei Netzzugang hat. Wenn es um komplexe Dokumente geht (also um solche, die man sich nicht nur mit einem Editor in der Konsole anschaut), dann erzeugt man als erstes die Signatur, speichert die aber nicht in dem System, sondern auf einem Medium, das man dann von dem System trennt; etwa einem USB-Stick. Diese Signatur kann man für den Fall der Fälle natürlich auch verschlüsseln. ;-) Danach schaut man sich das Dokument an und entscheidet, ob man es signieren will. Diese Sichtung führt man dann am besten mit unterschiedlicher Software auf unterschiedlichen Systemen durch. Natürlich immer nur nach dem Booten von einem sicheren Medium. Möglich ist auch, den Inhalt des Dokuments in ein zweites, nach Möglichkeit technisch einfacheres Dokument zu kopieren (also etwa in eine Textdatei) und nur beides zusammen zu signieren, damit man auf die sichere Variante verweisen kann. Was der Empfänger davon hält, ist natürlich eine andere Frage. Grundsätzlich erscheint es sinnvoll, bedeutsame Dokumente, die signiert werden sollen, in einem einfachen Format zu erstellen (z.B. HTML ohne Code).
Vermeidung von Missverständissen: klare Ansage per Schlüsselrichtlinie (key policy) ← ↑
Man kann Fehleinschätzungen leicht dadurch vermeiden, dass man für jeden erkennbar macht, was der eigene Maßstab ist (für jeden Schlüssel einzeln). Schlüsselrichtlinien können sehr unterschiedlich umfangreich sein. Eine reduzierte ist besser als gar keine. Man sollte deshalb (idealerweise schon vor der Schlüsselerzeugung, das macht es für einen selber einfacher, die Richtlinie durchzuhalten) folgendes aufschreiben:
Den Fingerprint des Schlüssels.
Wofür dient dieser Schlüssel (und wofür nicht)? Anders gesagt: Für welche Aktionen mit diesem Schlüssel ist man bereit, die Haftung zu übernehmen? Werden (das eine Extrem) mit einem Schlüssel, der auf einem von jemand anderen kontrollierten Rechner (z.B. Webmailserver) gespeichert ist, Allerwelts-E-Mails unterschrieben oder (das andere Extrem) z.B. Verträge oder wichtige Schlüssel (CA-Signaturschlüssel)?
mit welchem Aufwand er vor unberechtigtem Zugriff geschützt wird und in welcher Umgebung er eingesetzt wird:
Wurde der Hauptschlüssel auf einem sicheren System erzeugt?
Wurden die Unterschlüssel auf einem sicheren System erzeugt?
handelt es sich um einen Offline-Hauptschlüssel, also um einen Hauptschlüssel, der nur auf einem sicheren System verwendet wird?
Werden auch die Unterschlüssel nur auf einem sicheren System verwendet (extreme Variante, etwa für die Unterzeichnung bedeutender Verträge)?
Befinden sich Haupt- bzw. Unterschlüssel auf einer Smartcard? Wurde die PIN der Smartcard über ein sicheres System gesetzt? Wird die Smartcard, wenn sie an unsicheren Systemen verwendet wird, ausschließlich über einen Kartenleser mit PIN-Pad verwendet?
Welche Art Dokument wird mit diesem Schlüssel signiert? Nur solche, die vor der Signierung mit einer Software betrachtet wird, die nicht anfällig für Angriffe ist (etwa Text- oder HTML-Dateien, die mit einem Textbrowser, Pager oder Editor betrachtet werden)?
Wenn es sich nicht um ein sicheres System handelt, auf dem der Schlüssel gespeichert und eingesetzt wird, wie ist die Sicherheit des Systems einzuschätzen? Administriert man es selber, wird es von anderen mitgenutzt, nutzt man es nur für spezielle Zwecke, oder ist es angreifbar, weil man damit surft, chattet, E-Mails liest, komplexe Dokumente öffnet?
Wie sicher sind der Speicherort bzw. die Passphrase des Schlüssels? Extreme Variante: 20 Zufallszeichen, die nirgendwo aufgeschrieben sind (weil man sie häufig genug verwendet), plus 20 Zufallszeichen (die nur unter den genannten Bedingungen irgendwo eingegeben werden), die man aufgeschrieben hat. Zehn davon auf einem Zettel, den man immer am Körper trägt, die anderen zehn unauffällig in einem von 100 dicken Büchern im Regal. Die Eingabe der Passphrase kann selbstverständlich nicht z.B. durchs Fenster beobachtet werden, auch nicht abgehört werden, und die Tastatur ist so gut geschirmt, dass auch keine elektromagnetische Abstrahlung die Eingabe verrät. Wer Paranoia findet, darf sie behalten.
Informationen über die Handhabung der Schlüsselrichtlinie:
Wird die Richtlinie nie verändert, sondern nur ggf. durch neue Richtlinien ersetzt, was jeweils durch eine Änderung der policy URL kenntlich gemacht wird?
Ermöglicht man eine eindeutige Zuordnung des Dokuments zur policy URL, indem diese ins Dokument übernommen wird?
Lässt man diejenigen, die den eigenen Schlüssel zertifizieren, auch diese Richtlinie signieren?
Verweist man auf frühere Versionen (und eventuelle zusätzliche Signaturen von Dritten für diese Versionen)?
Man kann darauf hinweisen, dass man niemals in einer neueren Version der Richtlinie ein höheres Sicherheitsniveau behaupten wird. Wenn man den Schlüssel sicherer verwendet oder lagert als früher und das in die Richtlinie übernimmt, muss man darauf hinweisen, dass das nicht immer so war.
Signiert man die Richtlinie immer nur mit begrenzter Gültigkeit?
Signiert man die Richtlinie immer nur (oder auch) mit dem Hauptschlüssel, weil der sicherer ist als die Unterschlüssel?
nach welchen Kriterien man andere Schlüssel zertifiziert oder Dokumente vor der Signierung prüft (ggf. Unterschiede für die Zertifizierungslevel ( --ask-cert-level ) 2 und 3); wenn man vorbildlicherweise signature notations ( --set-notation ) verwendet, um präzisere Informationen über die Art der Überprüfung (z.B. Personalausweis; seit langem persönlich bekannt) oder die Sicherheit des zertifizierten Schlüssels (nach Aussage des Besitzers, denn überprüfen kann man das typischerweise nicht) zur Verfügung zu stellen, muss man die sinnvollerweise hier definieren.
die URL des Dokuments (jede Version muss sinnvollerweise unter einer exklusiven URL abgelegt werden, und die muss, um eine sichere Zuordnung zu ermöglichen, auch im Dokument stehen)
Ein Link auf eine Sammeldatei (in ASCII-Codierung), die alle Signaturen für dieses Dokument durch Dritte enthält (die im Paranoiamodus alle nur begrenzt gültig sind). Es bringt nichts, diese Datei selber insgesamt (mit begrenzter Gültigkeit) zu signieren: Die Signaturen Dritter sind für den Fall, dass der eigene Schlüssel kompromittiert wurde. Und dann sind die eigenen Signaturen eh nichts mehr wert.
Man sollte eine Richtlinie möglichst selten ändern, wenn man Signaturen von Dritten hat, weil man die für jede neue Version erneut beschaffen muss, wenn man Dritten nicht den Abgleich unterschiedlicher Versionen zumuten will.
Gibt es Dritte, die diesen Schlüssel zurückziehen können (designated revoker)?
Links auf die alten Versionen des Dokuments (insbesondere dann, wenn dies mehr oder andere Signaturen von Dritten hat).
Links auf die Richtlinien anderer Schlüssel, die man verwendet. Um bei neuen Schlüsseln nicht das Dokument ändern zu müssen, ist es sinnvoll, auf ein anderes Dokument zu verweisen, das ggf. aktualisiert (und dann von allen Schlüsseln neu unterschrieben) wird.
Und zu guter letzt ist es natürlich nett, wenn man anderen die Übernahme der eigenen Schlüsselrichtlinie gestattet, indem man sie unter eine entsprechende Lizenz stellt (z.B. GPL oder Creative Commons), was man natürlich auch in das Dokument hineinschreiben muss.
Diese Richtlinie veröffentlicht man dann im Internet. Das hat natürlich nur dann einen Wert, wenn man sie auch signiert. Man kann die Signatur mit einem Ablaufdatum versehen ( --ask-sig-expire ); das mag hilfreich sein, wenn man irgendwann merkt, dass man in seiner Richtlinie dummes Zeug oder Missverständliches geschrieben hat und diejenigen, die wegen der policy URL auf dieses Dokument stoßen, technisch sicher auf diese Problematik hinweisen will. Auf keinen Fall sollte man die Richtlinie "unbemerkt" ändern. Wenn man anders verfahren will als bisher, sollte man, anstatt die Richtlinie zu ändern, eine neue Richtlinie erstellen, darin die alte referenzieren, ggf. die Unterschiede zur Vorversion explizit benennen, diese unter einer anderen URL (z.B. mit einer höheren Versionsnummer in der URL) verfügbar machen und die policy URL anpassen. Dabei sollte man bedenken, dass sich die Sicherheit eines Schlüssels im Zeitablauf nur verringern kann und dass die Sicherheit des Schlüssels und der Verifizierungsaufwand in einem gesunden Verhältnis stehen sollten. Es bringt wenig, besonders gut zu prüfen, wenn man (nur) mit einem eher unsicheren Schlüssel zertifiziert.
Woher kennt man die Richtlinie eines Schlüssels? Man kann mit den Optionen --cert-policy-url und --sig-policy-url (für deren Anzeige man allerdings --list-options show-policy-urls bzw. --verify-options show-policy-urls benötigt, sinnvollerweise in der Konfigurationsdatei) die URL des Dokuments in die jeweilige Signatur schreiben.
Leider stehen im Normalfall Schlüssel und das Dokument der Richtlinie in einer Kreisbeziehung: Das Dokument behauptet, dass der Schlüssel hochsicher sei, und diese Behauptung wird nun mit der Signatur des Schlüssels abgesichert, der üblicherweise nur so sicher ist, wie das Dokument behauptet? Schwierig. Ein (zu recht) unsicherer Schlüssel könnte geklaut werden; damit könnte dann eine Schlüsselrichtlinie signiert werden, die behauptet, dass der Schlüssel quasi in einem Bankschließfach liege. Wie soll man dieses Problem lösen? Dadurch, dass die Richtlinie immer zusammen mit dem Schlüssel signiert wird. Man lässt sich nicht nur den Fingerprint des Schlüssels bestätigen, sondern auch den des Richtliniendokuments (z.B. mit gpg --print-md SHA1 policy.html , gerne auch mit einem besseren Hash oder gleich mehreren) und signiert es dann selber. Wenn man einen Schlüssel über das web-of-trust verifiziert und ihm mehr als ein minimales Sicherheitsniveau attestieren will, sollte man idealerweise von allen für die Verifizierung dieses Schlüssels benötigten Schlüsseln eine Signatur für die Richtlinie dieses Schlüssels haben. Das ist allerdings gegenwärtig Wunschdenken; kaum jemand hat eine Schlüsselrichtlinie, ganz zu schweigen von Drittsignaturen dafür. Die Drittsignaturen für die Richtlinie wären nicht erforderlich, wenn sie von einem Offline-Hauptschlüssel signiert ist. Die Frage ist dann natürlich: Woher soll man sicher wissen, dass es sich um einen Offline-Hauptschlüssel handelt?
Es gäbe übrigens die viel elegantere Möglichkeit, über standardisierte signature notations ( --sig-notation und --cert-notation im Zusammenspiel mit --list-options show-notations bzw. --verify-options show-notations ) die relevanten Angaben direkt in den Schlüssel bzw. die Signatur zu schreiben. Der Verfasser regt dies ebenso regelmäßig wie erfolglos auf der GnuPG-Mailingliste an. Der Haupteinwand scheint zu sein, dass sich ja auch heute schon niemand um die saubere Verifizierung von Schlüsseln und Signaturen kümmere, deshalb sei es schlecht investierter Aufwand, diesen Teil zu verbessern.
Verwendung von OpenPGP für E-Mail ← ↑
E-Mail dürfte die mit Abstand häufigste (aktive) Verwendung von OpenPGP sein (passiv haben jedenfalls die Linuxer u.Ä. bei der Softwareverteilung (Onlineupdates) damit zu tun). Wie schmerzfrei das ist, hängt sehr davon ab, welches Mailprogramm man verwendet. Webmail kann man dafür mehr oder weniger vergessen.
Das größte Problem im Zusammenhang mit PGP und E-Mail ist der Dreck, den Microsoft unter dem Namen Outlook (in allen Variationen) unters Volk kippt und dreist als Mailprogramm bezeichnet. Aber da Windows grundsätzlich nicht von Privatanwender genutzt wird und auch Outlook nicht für diese Zielgruppe gedacht ist und sinnvolle Lösungen Microsoft sowieso widerstreben, unterstützt dieses tolle Produkt vom Marktführer auch nach inzwischen 13 Jahren immer noch nicht den für Privatanwender maßgeblichen Standard. Aber der ist ja in Open-Source-Software implementiert, damit kommt Microsoft halt nicht klar.
Richtig Glück hat, wer das KDE-Programm (Linux) KMail verwendet, denn dafür hat das BSI mal die GnuPG-Integration bezahlt. Für alle(?) anderen FOSS-Programme gibt es Add-ons, siehe meine Download-Linkliste. Hier gibt es Infos zu Thunderbird.
Das Hauptproblem ist, dass Outlook nicht einmal normale Textmails korrekt anzeigt, wenn sie signiert sind. Outlook hält dann den Text für ein Attachment. Und zeigt die eigentliche Signatur natürlich als zweites Attachment, was den normalen Empfänger verwirrt.
Комментариев нет:
Отправить комментарий