Differences

This shows you the differences between two versions of the page.

--- yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2020-07-01 09:51] – ↷ Page moved from forum_2.0:yubikey4hk:funktionen:openpgp:e-mail_verschluesselung to yubikey4hk:funktionen:openpgp:e-mail_verschluesselung Maximilian Barger
+++ yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2023-09-22 20:40] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
 ====== Email Verschlüsselung ======
-OpenPGP ist ein Standard, der grundsätzlich für das Verschlüsseln der Email Kommunikation geschaffen wurde<sup>[[#Quellen|[1]]]</sup>. In diesem Artikel wird die genaue Vorgehensweise erklärt, wie man unter Verwendung des OpenPGP Standards und des YubiKey, seine Emails sicher verschlüsseln und signieren kann. Um die Email Verschlüsselung wie hier beschrieben aufsetzen zu können, wird vorausgesetzt, dass sich am YubiKey bereits OpenPGP-Schlüssel befinden. Das sichere Generieren von OpenPGP-Schlüsseln und deren Transfer auf den YubiKey ist [[forum_2.0:yubikey4hk:funktionen:openpgp|hier]] erklärt. Eine Liste aller Email Anwendungen die OpenPGP direkt oder mit zusätzlicher Software (z.B. Plugins) unterstützen findet sich online auf [[https://www.openpgp.org/software/|openpgp.org]]. \\
+OpenPGP ist ein Standard, der grundsätzlich für das Verschlüsseln der Email Kommunikation geschaffen wurde<sup>[[#Quellen|[1]]]</sup>. In diesem Artikel wird die genaue Vorgehensweise erklärt, wie man unter Verwendung des OpenPGP Standards und des YubiKey, seine Emails sicher verschlüsseln und signieren kann. Um die Email Verschlüsselung wie hier beschrieben aufsetzen zu können, wird vorausgesetzt, dass sich am YubiKey bereits OpenPGP-Schlüssel befinden. Das sichere Generieren von OpenPGP-Schlüsseln und deren Transfer auf den YubiKey ist [[yubikey4hk:funktionen:openpgp|hier]] erklärt. Eine Liste aller Email Anwendungen die OpenPGP direkt oder mit zusätzlicher Software (z.B. Plugins) unterstützen findet sich online auf [[https://www.openpgp.org/software/|openpgp.org]]. \\
 In diesem Wiki beschreiben wir die Verwendung von:
   * **Thunderbird** für **Windows** und **Linux**
@@ Line 39: / Line 39: @@
 Nach dem Neustart sollte oben in der Menüleiste der Reiter "Enigmail" hinzugekommen sein. Enigmail ist im Grunde nichts anderes als ein grafisches Frontend für GnuPG. Deshalb sieht man, wenn man über die Menüleiste zur Schlüsselverwaltung navigiert (//Enigmail/Key management//) möglicherweise bereits den eigenen Schlüssel aus dem GnuPG Schlüsselbund: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_key_management.png?500|}} \\
+{{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_key_management.png?500|}} \\
 Es empfiehlt sich außerdem, mehr Informationen im //Enigmail Key Management// anzeigen zu lassen. Dann hat man einen viel besseren Überblick über alle Keys und deren jeweilige Stati. Die entsprechende Einstellung findet sich in der rechten oberen Ecke der Schlüsseltabelle: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_keymanagement_index_tab.png?500|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_keymanagement_index_tab.png?500|}} \\
 Um die Informationen von Smartcards (also dem YubiKey) abrufen zu können, muss man im Enigmail noch den "Expertenmodus" aktivieren. Das macht man über die Menüleiste //Enigmail/Preferences// durch einen Druck auf die Taste "Display Expert Settings and Menus": \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_expert_settings.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_expert_settings.png?500|}}\\
 Die Funktionalitäten des //Enigmail Key// Management sind jene von GnuPG, da Enigmail ein grafisches Frontend für GnuPG ist. Enigmail nutzt also das "gpg" Programm um Schlüssel zu verwalten und ruft für die Bearbeitung von Emails die Signatur- und Ver-/Entschlüsselungsfunktionen von GnuPG auf. Alle Schlüssel die im //Enigmail Key Management// angezeigt werden, liegen also im GnuPG Schlüsselbund. Dieser Schlüsselbund ist im jeweiligen Nutzerverzeichnis zu finden: //~/.gnupg// bei Linux und //%appdata%/gnupg// in Windows. Alle Schlüsselmanagementaufgaben können also sowohl in der Kommandozeile mithilfe von //gpg// oder im //Enigmail Key Management// vorgenommen werden. Folgende Einstellungen können im //Enigmail Key Management// vorgenommen werden:
@@ Line 59: / Line 59: @@
   * **Importieren des Schlüssels über die Zwischenablage**: Habe ich den Schlüssel im ASCII-armor Format vorliegen, muss ich ihn nicht extra in eine Datei speichern, sondern kann ihn einfach in die Zwischenablage kopieren und über //Edit/Import Keys from Clipboard// einfügen.
   * **Importieren des Schlüssels über eine URL**: Hat der Empfänger seinen Schlüssel auf einem Server zum Download bereit, kann man über die Eingabe der URL (also den Download-Link) die Datei mit dem öffentlichen Schlüssel herunterladen und importieren. Dafür muss man im //Enigmail Key Management// die Option //Edit/Import Keys from URL// nutzen.
-  * **Importieren des Schlüssels über einen Keyserver**: Im Grunde ist hier kein großer Unterschied zum Import von einer URL, da man genauso eine Datei von einem Keyserver herunterlädt. Der große Vorteil ist aber die Suchfunktion. Im //Enigmail Key Management// navigiere ich dafür auf //Keyserver/Search for Keys//. Ich importiere hier beispielhaft den öffentlichen Schlüssel meines fiktiven Testkollegen Troye Finnegan: \\ {{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye.png?500|}} \\ Nachdem ich nach ihm gesucht habe, sehe ich seinen Schlüssel und kann diesen importieren. \\ {{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye_fingerprint.png?500|}} \\ Ich sehe nun den Schlüssel von Troye in meinem Schlüsselbund. Ich kann im //Enigmail Key Management// auf einen Blick sehen ob es sich bei Schlüsseln um private (fette Schrift) oder öffentliche Schlüssel (normale Schrift) handelt: \\ {{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye_done.png?500|}} \\
+  * **Importieren des Schlüssels über einen Keyserver**: Im Grunde ist hier kein großer Unterschied zum Import von einer URL, da man genauso eine Datei von einem Keyserver herunterlädt. Der große Vorteil ist aber die Suchfunktion. Im //Enigmail Key Management// navigiere ich dafür auf //Keyserver/Search for Keys//. Ich importiere hier beispielhaft den öffentlichen Schlüssel meines fiktiven Testkollegen Troye Finnegan: \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye.png?500|}} \\ Nachdem ich nach ihm gesucht habe, sehe ich seinen Schlüssel und kann diesen importieren. \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye_fingerprint.png?500|}} \\ Ich sehe nun den Schlüssel von Troye in meinem Schlüsselbund. Ich kann im //Enigmail Key Management// auf einen Blick sehen ob es sich bei Schlüsseln um private (fette Schrift) oder öffentliche Schlüssel (normale Schrift) handelt: \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_import_troye_done.png?500|}} \\
 **Sicherheitserwägung**: Beim Hinzufügen von öffentlichen Schlüsseln **soll** sichergestellt werden, dass es sich wirklich um den öffentlichen Schlüssel meines gewünschten Kommunikationspartners handelt! Die Überprüfung der Authentizität des importierten Schlüssels hat unbedingt auf einem zweiten Kommunikationskanal zu erfolgen. Denkbar sind ein persönliches Treffen oder ein Telefongespräch,  wenn ich die Stimme meines Gegenüber erkennen kann. Über diesen zweiten Kommunikationskanal muss der **Fingerprint des Schlüssels abgeglichen** werden. Auf dieser initialen Authentifizierung baut die Sicherheit bei der OpenPGP-Kommunikation auf! Überprüft man die Authentizität nicht, so **darf der Schlüssel nicht [[#Schlüssel signieren|signiert]]** werden! Außerdem muss man sich der Tatsache und Konsequenzen der fehlenden Authentizität bewusst sein!
@@ Line 65: / Line 65: @@
 ==== Privaten Schlüssel vom YubiKey verfügbar machen ====
-Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "AAFAE". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\
+Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "59C51". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\
+{{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\
-Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "AAFAE") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[forum_2.0:yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando  möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen:
+Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "59C51") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando  möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen:
 <code bash>
 kali@kali:~$ gpg --edit-card
@@ Line 79: / Line 79: @@
 -----------------------------
 sec#  rsa4096 2020-04-16 [C] [expires: 2025-04-15]
-      A662724593E61256E4ADB82E1E360B1A218AAFAE
+E0F0BA9061396B9302767F860E2EB9A7EF59C51
-uid           [ unknown] Kristoffer Dorfmayr <kristoffer.dorfmayr@gmail.com>
+uid           [ultimate] Kristoffer Dorfmayr <kristoffer.dorfmayr@hagenbergerkreis.at>
-uid           [ unknown] Kristoffer Dorfmayr <S1810239005@students.fh-hagenberg.at>
-uid           [ unknown] Kristoffer Dorfmayr <kristoffer.dorfmayr@hagenbergerkreis.at>
 ssb>  rsa4096 2020-04-16 [E] [expires: 2025-04-15]
 ssb>  rsa4096 2020-04-16 [S] [expires: 2025-04-15]
@@ Line 88: / Line 86: @@
 </code>
 Der Hash ("#") neben "sec" (Privates Schlüsselpaket) sagt mir, dass der Hauptschlüssel nicht verfügbar ist. Das ist auch verständlich, da am YubiKey nur die drei Subschlüssel zum Signieren, Verschlüsseln und zur Authentisierung liegen. Das Größer-Zeichen (">") neben "ssb" (Privates Subschlüsselpaket) zeigt an, dass sich der private Schlüssel auf einer Smartcard (YubiKey) befindet. Jetzt müssen wir die Authentizität des Schlüssels noch bestätigen. Um einen Schlüssel als authentisch zu erklären, muss man diesen mit dem eigenen Zertifizierungsschlüssel Signieren/Zertifizieren. Der Zertifizierungsschlüssel ist in diesem Fall der Hauptschlüssel, dessen Verwendung mit einem [C] für "Certify" ausgestattet ist. Nachdem der eigene Schlüssel (und seine Subschlüssel) immer automatisch bei der Erstellung signiert werden (="self signed"), ist das schon erledigt. Wir müssen aber zusätzlich festlegen, ob wir der Person vertrauen die mit diesem Zertifizierungsschlüssel andere Schlüssel Signiert/Zertifiziert. Dieses "Vertrauen" nennt sich "Owner Trust". Derzeit ist das Benutzervertrauen "[unknown]". Das lässt sich sowohl im Enigmail als auch in der Komandozeile ändern. Da es sich hier um unseren eigenen Schlüssel handelt, vertrauen wir Zertifizierungen die mit diesem Schlüssel gemacht werden ultimativ ("Ultimate"). Ein kleiner Einstieg in das Thema [[#Übersicht Vertrauen und Authentizität|Vertrauen und Authentizität]] gibt es gleich im Anschluss an diesen Abschnitt.
-  * Besitzervertrauen setzen im //Enigmail Key Management//: Mit einem Rechtsklick auf den gewünschten Schlüssel öffnet man das Menü //Key Properties// und setzt das Vertrauen auf "Ultimate" \\ {{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_certify_keys.png?500|}}
+  * Besitzervertrauen setzen im //Enigmail Key Management//: Mit einem Rechtsklick auf den gewünschten Schlüssel öffnet man das Menü //Key Properties// und setzt das Vertrauen auf "Ultimate" \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_certify_keys.png?500|}}
   * Besitzervertrauen setzten in der Kommandozeile: <code>
-kali@kali:~$ gpg --edit-key kristoffer.dorfmayr@gmail.com
+kali@kali:~$ gpg --edit-key kristoffer.dorfmayr@hagenbergerkreis.at
 gpg> trust
 Please decide how far you trust this user to correctly verify other users' keys
@@ Line 120: / Line 118: @@
 ==== Geschützte Email versenden ====
 Jetzt wird es Zeit die erste OpenPGP-geschützte Email zu versenden! Beim Erstellen von Emails kann man auswählen, ob diese verschlüsselt werden sollen (Anklicken des kleinen Schloss Symbols) und ob sie Signiert werden soll (kleines Stiftsymbol). Ich versende eine Email an Troye und wähle sowohl Verschlüsseln als auch Signieren aus. Zusätzlich kann ich noch überprüfen, ob Enigmail auch den Betreff der Email schützen wird. Dafür Schaue ich ins Enigmail Menü und versichere mich, dass der Haken bei "Protect Subject" gesetzt ist. \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_sendmail.png?600|}} \\ \\
+{{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_sendmail.png?600|}} \\ \\
 Wenn ich auf "Send" klicke werden im Hintergrund automatisch die passenden Schlüssel herausgesucht:
   * Enigmail findet einen öffentlichen Schlüssel für "finnegan.troye@gmail.com" und nutzt diesen zur Email-Verschlüsselung.
   * Enigmail nutzt auch meinen öffentlichen Schlüssel zur Email-Verschlüsselung, damit ich sie selbst wieder entschlüsseln und somit lesen kann.
-  * Enigmail erkennt, dass es zum Signieren einen privaten Signaturschlüssel auf einer SmartCard gibt. Bevor der YubiKey die Email signiert, werde ich noch nach dem Pin gefragt, und muss den Signaturvorgang mit einer Berührung am YubiKey bestätigen: \\ {{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_sendmail_pin.png?250|}} \\
+  * Enigmail erkennt, dass es zum Signieren einen privaten Signaturschlüssel auf einer SmartCard gibt. Bevor der YubiKey die Email signiert, werde ich noch nach dem Pin gefragt, und muss den Signaturvorgang mit einer Berührung am YubiKey bestätigen: \\ {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_sendmail_pin.png?250|}} \\
-Falls ihr die Touch Policy und das Pin Setup noch nicht konfiguriert habt findet ihr Informationen dazu [[forum_2.0:yubikey4hk:yubikey_verwaltung#OpenPGP verwalten|hier]]. \\ \\
+Falls ihr die Touch Policy und das Pin Setup noch nicht konfiguriert habt findet ihr Informationen dazu [[yubikey4hk:yubikey_verwaltung#OpenPGP verwalten|hier]]. \\ \\
 ==== Geschützte Email empfangen ====
 Auf meine versandte Email habe ich nun eine Antwort von Troye erhalten. Sofort wenn ich auf die erhaltene Nachricht klicke, versucht Enigmail diese zu entschlüsseln. Natürlich muss ich auch hier wieder meinen Pin eingeben und die Entschlüsselung mit meinem privaten Schlüssel durch eine Berührung des YubiKey autorisieren. \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_enigmail_getmail.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_getmail.png?600|}} \\
 Das Schlosssymbol zeigt uns, dass es sich um eine verschlüsselte Nachricht handelt. Der kleine Brief sagt uns, dass es sich um eine signierte Nachricht handelt. Zusätzlich bekommen wir die Nachricht "Good Signature from Troye..". Das bedeutet, dass die Email, seit Anbringen der Signatur nicht verändert wurde. Beim kleinen Briefsymbol befindet sich aber ein blaues Fragezeichen und die Bannerinformation ist türkis hinterlegt. Das sind Hinweise darauf, dass GnuPG den Schlüssel noch nicht für authentisch befindet. Das kann man ändern, indem man ihn mit dem privaten Zertifizierungsschlüssel (also dem Hauptschlüssel) signiert. Weitere Informationen hierzu im nächsten Abschnitt.\\ \\
@@ Line 139: / Line 137: @@
 Wie im Abschnitt [[#Geschützte Email empfangen]] bereits angesprochen, wird zum Signieren von Schlüsseln, der Zertifizierungsschlüssel (also der private Hauptschlüssel, mit der Eigenschaft [C] für "Certify") benötigt. Der Hauptschlüssel liegt aber nicht am YubiKey, da dieser nur Platz für die drei Unterschlüssel bietet. Dieser soll ausschließlich auf unserem sicheren System liegen, auf dem wir unseren OpenPGP-Schlüssel erstellt haben. Er ist aufgrund seiner Fähigkeiten besonders schützenswert: Mit ihm kann man andere Schlüssel signieren und den eigenen Schlüssel verwalten (Ablaufdatum verändern, (Sub-)Schlüssel widerrufen und neue Subschlüssel hinzufügen). \\ Andere Schlüssel zu Signieren ist uns also nur auf dem einen sicheren System möglich. Öffentliche Schlüssel müssen dort signiert, exportiert und auf alle gewünschten Systeme transferiert werden. Für den Transfer der Schlüssel bietet sich beispielsweise eine Email an, die man an sich selbst versendet. In den Anhang legt man alle exportierten öffentlichen Schlüssel, die man bereits signiert hat, und hat so die Schlüssel mit ihren Signaturen auf allen Email Clients verfügbar. \\ Nun aber zurück zum Signieren von Schlüsseln in Enigmail. Derzeit habe ich den Schlüssel von Troye noch nicht signiert, weshalb die Authentizität des Schlüssel auch noch nicht angegeben ist ("-" Eintrag im Feld "Key Validity"): \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_sign1.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_sign1.png?600|}} \\
 Mit einem Rechtsklick auf den Schlüssel "Sign Key" öffnet sich das Fenster zum Signieren des Schlüssels: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\
-Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "AAFAE" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\
+Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "59C51" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\
-Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "AAFAE" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde:
+Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "59C51" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde:
 <code bash [enable_line_numbers="true"]>
-kali@kali:~$ pgpdump "Troye_Finnegan_finnegan.troye@gmail.com_0x2885B7BE8060F8B3_pub.asc"
+kali@kali:~$ pgpdump finnegan.troye_pub.asc
 Old: Public Key Packet(tag 6)(525 bytes)
         Ver 4 - new
@@ Line 155: / Line 153: @@
 Old: User ID Packet(tag 13)(41 bytes)
         User ID - Troye Finnegan <finnegan.troye@gmail.com>
-        - Zeilen gekürzt -
+		- Zeilen gekürzt -
 Old: Signature Packet(tag 2)(563 bytes)
         Ver 4 - new
-        Sig type - Generic certification of a User ID and Public Key packet(0x10).
+        Sig type - Positive certification of a User ID and Public Key packet(0x13).
         Pub alg - RSA Encrypt or Sign(pub 1)
-        Hash alg - SHA512(hash 10)
+        Hash alg - SHA256(hash 8)
         Hashed Sub: issuer fingerprint(sub 33)(21 bytes)
          v4 -   Fingerprint - a6 62 72 45 93 e6 12 56 e4 ad b8 2e 1e 36 0b 1a 21 8a af ae
-        - Zeilen gekürzt -
+		- Zeilen gekürzt -
 </code>
 Durch das Signieren des Schlüssels ist die Autzentizität des Schlüssels (Gültigkeit) auf "trusted" gewechselt: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_sign4.png?600|}} \\ \\
+{{yubikey4hk:funktionen:openpgp:enigmail_sign4.png?600|}} \\ \\
 Weitere Informationen über das Vertrauen gegenüber von Schlüsseln und Schlüsselbesitzern im nächsten Abschnitt. \\ \\
@@ Line 184: / Line 182: @@
 Wie sehr wir dem Besitzer eines Schlüssel vertrauen, dass er andere Schlüssel vor dem Zertifizieren gewissenhaft überprüft, legen wir im jeweiligen //Key Properties// Fenster fest. Zu dem kommen wir über das //Enigmail Key Management// durch //Rechtsklick/Key Properties// auf den Schlüssel, dessen Besitzervertrauen wir festlegen möchten. Dort können wir Fenster zum Ändern des Benutzervertrauens aufrufen: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_trust1.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_trust1.png?600|}} \\
 Hier finden wir nun die Vertrauensstufen wieder, die schon in obigem Algorithmus zur Festlegung des Schlüsselvertrauens vorgekommen sind. Ich setze das Besitzervertrauen für Troye auf "Complete": \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_trust2.png?500|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_trust2.png?500|}} \\
 Das gesetzte Benutzervertrauen sehe ich nun auch im //Enigmail Key Management//: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_trust3.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:enigmail_trust3.png?600|}} \\
 Durch dieses gegenseitige Zertifizieren und Vertrauen kann ein komplexes "Vertrauensgebilde" entstehen, das sich "Web of Trust" nennt. Ein konkretes Beispiel für eine solche Vertrauenskette findet sich im [[https://gnupg.org/gph/de/manual/x420.html#AEN482|GNU Privacy Handbook]]. Hier zur Veranschaulichung nur ein kleines Beispiel:
@@ Line 195: / Line 193: @@
 Angenommen Troye hat den Schlüssel von seinem Freund Tristan signiert und hat ihn mir übermittelt. Wenn ich nun diesen Schlüssel von Tristan importiere, wird er als authentisch angezeigt (die "Key Validity" ist "trusted"), obwohl ich ihn nicht signiert habe und auch das Besitzervertrauen von Tristan nicht gesetzt ist: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:gpg_mail_trust_01.png?700|}} \\
+{{yubikey4hk:funktionen:openpgp:gpg_mail_trust_01.png?700|}} \\
 Beim Schlüssel von Troye handelt es sich nach dem [[#Besitzervertrauen und Schlüsselauthentizität|obigen Algorithmus zur Festlegung der Authentizität]] um einen "Schlüssel vollen Vertrauens". Wir haben nämlich das Besitzervertrauen für Schlüsselsignaturen von Troye auf "trusted" gesetzt. In weiterer Folge werden alle Schlüssel als Authentisch eingestuft, die von ihm signiert wurden. Die Signatur von Troye in Tristans Schlüssel können wir in den Schlüsseldetails sehen: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:gpg_mail_trust_02.png?600|}} \\
+{{yubikey4hk:funktionen:openpgp:gpg_mail_trust_02.png?600|}} \\
 Bekommen wir nun eine signierte Email von Tristan, wird diese Email als authentisch eingestuft. Das erkennen wir am grünen Banner und dem Kuvert mit dem roten Siegel:
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:gpg_mail_trust_03.png?500|}} \\ \\
+{{yubikey4hk:funktionen:openpgp:gpg_mail_trust_03.png?500|}} \\ \\
@@ Line 218: / Line 216: @@
 Für den Fall, dass der private Schlüssel kompromittiert wird, gibt es die Möglichkeit diesen zu widerrufen. Ein Widerruf soll auch durchgeführt werden, wenn man den eigenen Schlüssel verliert oder ihn einfach nicht mehr nutzen möchte. Es gibt zwei Wege einen Schlüssel zu widerrufen:
-  * Über ein zuvor erstelltes Widerrufszertifikat, welches in einer Datei abgespeichert wird. Die Datei kann in Enigmail ganz einfach im //Enigmail Key Management// über //File/Import keys from file// importiert werden. Es ist daher empfohlen für den Fall des Schlüsselverlustes bereits beim Erstellen des eigenen OpenPGP-Schlüssels ein Widerrufszertifikat zu erstellen. Das wurde aber bereits in unserem Hauptartikel [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]] beschrieben.
+  * Über ein zuvor erstelltes Widerrufszertifikat, welches in einer Datei abgespeichert wird. Die Datei kann in Enigmail ganz einfach im //Enigmail Key Management// über //File/Import keys from file// importiert werden. Es ist daher empfohlen für den Fall des Schlüsselverlustes bereits beim Erstellen des eigenen OpenPGP-Schlüssels ein Widerrufszertifikat zu erstellen. Das wurde aber bereits in unserem Hauptartikel [[yubikey4hk:funktionen:openpgp|OpenPGP]] beschrieben.
   * Wenn man den Hauptschlüssel noch besitzt, kann man ihn zum Widerrufen nutzen. Dafür navigiert man im //Enigmail Key Management// über den gewünschten Schlüssel und wählt nach einem Rechtsklick die //Revoke Key// Option.
 Mit den oben genannten Methoden kann aber nur der gesamte Schlüssel widerrufen werden! Fremde Signaturen beziehen sich immer nur auf den Hauptschlüssel. Es ist somit möglich Unterschlüssel auszutauschen, ohne dass meine Kommunikationspartner sie neu signieren muss. Um einen Unterschlüssel einzeln zu widerrufen muss man das GnuPG Kommandozeilenprogramm nutzen. Mit der nachfolgenden Befehlssequenz widerruft Troye seinen Authentifizierungs-Unterschlüssel:
@@ Line 238: / Line 236: @@
 save
 </code>
-Ich erstelle auch gleich einen neuen Authentifizierungs-Unterschlüssel. Wie man Schlüssel erstellt und auf den YubiKey transferiert erklären wir in unserem [[forum_2.0:yubikey4hk:funktionen:openpgp|OpenPGP]] Artikel. Das Ergebnis kann ich gleich in den //Key Properties// von Enigmail unter dem Tab //Structure// einsehen: \\
+Ich erstelle auch gleich einen neuen Authentifizierungs-Unterschlüssel. Wie man Schlüssel erstellt und auf den YubiKey transferiert erklären wir in unserem [[yubikey4hk:funktionen:openpgp|OpenPGP]] Artikel. Das Ergebnis kann ich gleich in den //Key Properties// von Enigmail unter dem Tab //Structure// einsehen: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_revoc1_new.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:enigmail_revoc1_new.png?500|}}\\
 Sobald ich einen Schlüssel widerrufen habe, muss ich diese Änderung sofort an alle Kommunikationspartner weiterleiten! Dafür kann ich entweder den öffentlichen Schlüssel exportieren und selbst verteilen, oder ich lade den Schlüssel erneut auf den Schlüsselserver hoch und informiere meine Kommunikationspartner, dass sich der Schlüssel geändert hat. Diese müssen dann im //Enigmail Key Management// unter //Keyserver/Refresh All Public Keys// ihren lokalen Schlüsselbund aktualisieren und Änderungen vom Schlüsselserver herunterladen. Seit Enigmail 2.0 geschieht das in unregelmäßigen Intervallen automatisch<sup>[[#Quellen|[11]]]</sup>. \\ Beim Hochladen der Schlüssel auf den Schlüsselserver [[https://keys.openpgp.org/|keys.openpgp.org]] gilt es jedoch zu beachten, dass derzeit jeweils nur ein Schlüssel pro Email Adresse gespeichert werden kann! Lädt man also einen neuen Schlüssel hoch (bei dem sich der Hauptschlüssel geändert hat), wird der Alte gelöscht! Für eine Änderung der Unterschlüssel stellt das aber kein Problem dar. \\
@@ Line 274: / Line 272: @@
 Enigmail bietet auch ein Interface zum Verwalten von Smartcards. Ernsthafte Konfigurationseinstellungen kann man damit allerdings nicht vornehmen, weshalb unbedingt das GnuPG Kommandozeilentool verwendet werden soll. In Enigmail ist es nicht möglich, selbst erstellte Schlüssel auf den YubiKey zu transferieren. Die Generierung von Schlüsseln auf dem YubiKey ist überdies voreingestellt nur für 2048-Bit RSA Schlüssel möglich. Für einen schnellen Blick auf die Einstellungen des YubiKey und das Ändern der PINs ist Enigmail aber ausreichend. Über die Menüleiste //Enigmail/Manage SmartCard ...// öffnet sich das //OpenPGP SmartCard Details// Fenster. Hier werden OpenPGP bezogene Informationen über den YubiKey angezeigt: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:enigmail_smartcard1.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:enigmail_smartcard1.png?500|}}\\
 Über //SmartCard/Edit Card Data// lassen sich in eben diesem Fenster Name, Sprache, Geschlecht, Link zum öffentlichen Schlüssel, Login-Daten für den Keyserver, und das "Force signature PIN"-Flag ändern. \\ Über das Menü //SmartCard/Change PIN// öffnet sich ein Fenster zum Ändern des //PIN//, //Admin PIN// und des //Unblock PIN//.
@@ Line 317: / Line 315: @@
 Derzeit gibt es schon eine [[https://www.thunderbird.net/en-US/thunderbird/77.0beta/releasenotes/|Betaversion]] die wir getestet haben. Da Menüs von Thunderbird wiederverwendet werden, sehen viele Fenster sehr vertraut aus. Viele Komfort-Funktionen fehlen natürlich noch, am wichtigsten für uns ist aber die fehlende Unterstützung von Schlüsselservern und Smartcards. \\
-Der Reiter //Enigmail// in der Menüleiste ist natürlich nicht mehr zu finden. Die einzige Konfigurationseinstellung findet sich derzeit in den Einstellungen des jeweiligen Mailaccounts (//rechte Maustaste auf Mailaccount/Settings/End-To-End Encryption//). Es handelt sich hier um das ehemalige //S/Mime// Menü, zu dem neben der Namensänderung, auch die OpenPGP Einstellung hinzugekommen ist. Hier kann man den gewünschten Schlüssel für den Mailaccount auswählen und kommt auch ins Schlüsselmanagement: \\{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_menu.png?800|}}\\
+Der Reiter //Enigmail// in der Menüleiste ist natürlich nicht mehr zu finden. Die einzige Konfigurationseinstellung findet sich derzeit in den Einstellungen des jeweiligen Mailaccounts (//rechte Maustaste auf Mailaccount/Settings/End-To-End Encryption//). Es handelt sich hier um das ehemalige //S/Mime// Menü, zu dem neben der Namensänderung, auch die OpenPGP Einstellung hinzugekommen ist. Hier kann man den gewünschten Schlüssel für den Mailaccount auswählen und kommt auch ins Schlüsselmanagement: \\{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_menu.png?800|}}\\
 Das Schlüsselmanagement erreicht man aber auch über die Menüleiste //Tools/OpenPGP Key Management...//. Dieses Fenster ist ganz vertraut, da es sich um das gleiche Layout handelt wie schon bei Enigmail: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keymanagement.png?600|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keymanagement.png?600|}}\\
 Auch die Schlüsseleigenschaften //Rechte Maustaste/Key Properties// sehen ähnlich vertraut aus. Leider können aber noch keine Schlüssel signiert werden! Die Authentizität muss man daher bei jedem Schlüssel einzeln setzen: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keyproperties.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keyproperties.png?500|}}\\
 Möchte man eine Email versenden, gibt es nun den Menüpunkt //Security//, wo man OpenPGP zur Verschlüsselung auswählen kann: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailerstellung.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailerstellung.png?500|}}\\
 Ob die Signatur von einem authentischen Schlüssel durchgeführt wurde, wird nun mit einem Personensymbol angezeigt. Ist der Schlüssel nicht authentisch, so sieht man ein gelbes Warndreieck. Das Briefsymbol zeigt lediglich, dass die Signatur gültig ist. Das kleine Schloss, dass die Nachricht verschlüsselt ist, sieht man im folgenden Bild:\\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailnottrusted.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailnottrusted.png?500|}}\\
 Vertraut man der Signatur hingegen, sieht man einen grünen Haken beim Personensymbol: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailtrusted.png?500|}}\\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_mailtrusted.png?500|}}\\
 Natürlich sind die Funktionalitäten noch nicht ganz ausgereift. Beispielsweise gibt es keine klare Fehlermeldung, wenn man dem Empfängerschlüssel nicht für authentisch befindet. Möchte ich eine Email zu diesem Empfänger senden, bekomme ich nur folgendes Feedback: \\
-{{:forum_2.0:yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keynottrusted.png?300|}}\\ \\
+{{yubikey4hk:funktionen:openpgp:thunderbird_beta_e2e_keynottrusted.png?300|}}\\ \\
 ==== Fazit ====
@@ Line 351: / Line 349: @@
 \\ \\
 ====== FairEmail & OpenKeychain ======
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/0_fairemail_playstore.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/0_fairemail_playstore.jpg?200}}\\
 FairEmail ist ein open-source Email Client für Android-Geräte. Dieser unterstützt unter anderem die Ver- und Entschlüsselung von Emails mittels OpenPGP und S/MIME. Nach der Einrichtungsanleitung der App wird werden wir auch die Verwendung mit dem YubiKey erklären.
@@ Line 358: / Line 356: @@
 Der FairEmail-Client kann gratis über denn Google Playstore bezogen werden. Die Einrichtung ist sehr simpel und wird hier in wenigen Schritten gezeigt.\\
 Beim ersten Start wird man mit einer Einrichtungsseite begrüßt.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/1_fairemail_schnelleinrichtung.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/1_fairemail_schnelleinrichtung.jpg?200}}\\
 Hier empfielt es sich die Schnelleinrichtung zu verwenden. Im Optimalfall hat man dadurch in nur einem Schritt ein Email-Konto hinzugefügt:\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/2_fairemail_einrichtung.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/2_fairemail_einrichtung.jpg?200}}\\
 Hier müssen ein Name, die Email Adresse und das zugehörige Passwort eingegeben werden. Die Servereinstellungen versucht die App eigenständig zu abzuleiten. Sie werden dann zur Kontrolle im unteren Bereich angezeigt.\\
 Es können noch viele weitere Einstellungen getroffen werden. Interessant ist für dieses Kapitel nur der //Verschlüsselung//-Tab. Hier kann die gewünschte Verschlüsselungsmethode gewählt werden. Außerdem kann festgelegt werden, ob jede Email standardmäßig signiert und verschlüsselt werden soll. Abgesehen davon sind hier keine weiteren Einstellungen zu tätigen.\\
@@ Line 367: / Line 365: @@
 Doch bevor man mit dem Verschlüsseln loslegen kann, benötigt man noch eine weitere App: //OpenKeychain//.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/4_openkeychain_playstore.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/4_openkeychain_playstore.jpg?200}}\\
 Diese übernimmt die Kommunikation mit dem YubiKey und ermöglicht das Verschlüsseln von Dateien und der Email-Kommunikation. Nach der Installation von OpenKeychain trägt FairEmail automatisch im Abschnitt //OpenPGP-Anbieter// den Schlüsselbund von OpenKeychain ein. Die Option //Autocrypt verwenden// sollte auf alle Fälle deaktiviert werden! Infos dazu sieheauch in den Thunderbird [[#Konfigurationsempfehlungen|Konfigurationsempfehlungen]]\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/3_fairemail_pgp_einstellungen.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/3_fairemail_pgp_einstellungen.jpg?200}}\\
 Die App kann man natürlich wieder über dem Playstore beziehen. Beim Start der App wird gleich ein Setup Bildschirm angezeigt. Natürlich müssen sich erst OpenPGP Schlüssel auf dem Gerät befinden, bevor man mit ihnen arbeiten kann. Man kann Schlüssel am Smartphone erzeugen, aus einer Datei importieren oder die Schlüssel auf einem Security Token nutzen. Letzteres wird für den YubiKey benötigt.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/5_openkeychain_start.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/5_openkeychain_start.jpg?200}}\\
 Im nächsten Schritt wird man aufgefordert, den YubiKey an das Smartphone zu halten, da die App die NFC-Funktion verwendet.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/6_openkeychain_karte_anhalten.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/6_openkeychain_karte_anhalten.jpg?200}}\\
-Wenn der YubiKey erkannt wird, wird anhand der [[forum_2.0:yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegten URL]] der zugehörige öffentlichen Schlüssel importiert. Dies muss noch mit dem grünen Button //Import// bestätigt werden.\\
+Wenn der YubiKey erkannt wird, wird anhand der [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegten URL]] der zugehörige öffentlichen Schlüssel importiert. Dies muss noch mit dem grünen Button //Import// bestätigt werden.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/7_openkeychain_key_hinzufuegen.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/7_openkeychain_key_hinzufuegen.jpg?200}}\\
 Der Schlüssel wird nun importiert:\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/8_openkeychain_key_hinzugefuegt.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/8_openkeychain_key_hinzugefuegt.jpg?200}}\\
 Wenn man nun auf //Schlüssel ansehen// klickt, kann man den Schlüsselstatus überprüfen. Hier sollte stehen, das der Schlüssel //stripped// ist und zum Signieren und Verschlüsseln geeignet ist. //Stripped// heißt, dass der Hauptschlüssel fehlt. Dieser befindet sich nicht am YubiKey, sondern nur die drei Unterschlüssel. Das hat den Nachteil, dass man fremde öffentliche Schlüssel nicht signieren kann.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/9_openkeychain_keystatus.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/9_openkeychain_keystatus.jpg?200}}\\
 Die generelle Einrichtung der App ist nun abgeschlossen. Nun müssen noch die öffentlichen Schlüssel der Kommunikationspartner hinzugefügt werden.
@@ Line 388: / Line 386: @@
   * Schlüssel suchen
   * Aus Datei importieren
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/10_openkeychain_fremden_schluessel_import.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/10_openkeychain_fremden_schluessel_import.jpg?200}}\\
 Den QR-Code eines Schlüssels erhält man, indem man unter //Meine Schlüssel// auf den Schlüsseleintrag klickt. Der QR-Code wird dann am Bildschirm angezeigt und kann mithilfe der //QR-Code einscannen// Option auf einem anderen Gerät hinzugefügt werden.\\
 Die zweite Option //Schlüssel suchen// ermöglicht es Schlüssel von einem Schlüsselserver heruntergeladen. Mithilfe dieser Option können wir beispielsweise den Schlüssel von //finnegan.troye@gmail.com// hinzufügen. Auch hier gilt, wie schon bei Thunderbird: unbedingt den Fingerprint des Schlüssels überprüfen! Der Fingerprint lässt sich nach dem Hinzufügen des Schlüssels anzeigen. Dazu navigiert man auf //Schlüssel auswählen/.../Erweitert/Teilen//. \\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/11_openkeychain_key_suche.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/11_openkeychain_key_suche.jpg?200}}\\
 Bevor man jedoch Schlüssel finden kann, muss ein Schlüsselserver eingestellt werden. Dafür navigiert man in den Einstellungen, die oben rechts mit den drei vertikalen Punkten aufrufbar sind. Hier findet man folgendes Menü vor:\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/12_openkeychain_keyserver_menu.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/12_openkeychain_keyserver_menu.jpg?200}}\\
 Der Keyserver wird nun unter //OpenPGP Schlüsselserver verwalten// eingestellt. Hier findet man ein paar voreingestellte Server. Wir empfehlen, wie bereits bei Thunderbird die Nutzung von Schlüsselservern, welche die Email-Adresse verifizieren. Die von uns empfohlenen Server (siehe [[#Verteilen von Schlüsseln|Verteilen von Schlüsseln]]) haben leider auf unserem Testtelefon (Android 8.0) nicht funktioniert. Immer wieder gibt es deswegen auch Bug-Reports auf github wie auch [[https://github.com/open-keychain/open-keychain/issues/2499|hier]] und [[https://github.com/open-keychain/open-keychain/issues/2469|hier]]. Am besten man importiert die bereits signierten Schlüssel aus einem File, das man auf das Telefon kopiert. Der oberste Schlüsselserver ist grün hinterlegt. Es wird immer dieser Server befragt.\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/13_openkeychain_keyserver_settings.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/13_openkeychain_keyserver_settings.jpg?200}}\\
 Nachdem man den richtigen Server ausgewählt und eventuell auch hinzugefügt hat, kann man nach einen fremden Schlüssel suchen.\\
 \\
@@ Line 405: / Line 403: @@
 Wenn man eine Email in FairEmail senden möchte, muss man nur auf das Stift-Symbol im unteren Bereich des Bildschirms drücken. Nun sieht man diesen Bildschirm:\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/14_fairemail_email_senden.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/14_fairemail_email_senden.jpg?200}}\\
 Wenn man eine durch OpenPGP geschützte Email versenden möchte, muss man im oberen Bereich das Schloss-Symbol antippt, bis es grün wird. Dies ist im vorherigen Screenshot rot umrandet. Das kann auch beim Sende-Symbol kontrolliert werden, indem darunter //Verschlüsseln// steht. Dieses "Verschlüsseln" sagt aber nichts darüber aus, ob verschlüsselt und/oder signiert wird, sondern lediglich, dass OpenPGP zum Einsatz kommt.\\
 Nun muss man noch einen Empfänger eintragen und einen netten Text schreiben und man kann die Email versenden. Vor dem Senden, werden zur Kontrolle noch einmal die Einstellungen ausgegeben::\\
-{{https://intern.hagenbergerkreis.at/wiki/_media/forum_2.0/yubikey4hk/funktionen/openpgp/15_fairemail_email_settings.jpg?200}}\\
+{{yubikey4hk/funktionen/openpgp/15_fairemail_email_settings.jpg?200}}\\
 Hier sieht man, dass unter //Verschlüsselung// //PGP signieren und verschlüsseln// ausgewählt ist. Wenn man möchte kann man hier auch auswählen, dass die Email nur signiert werden soll. Wenn die Einstellungen korrekt sind, drückt man auf //Senden//. Es wird dann automatisch OpenKeyChain gestartet und die Kommunikation mit dem YubiKey initialisiert. Man muss diesen an das Smartphone halten und mit dem PIN entsperren, damit die NFC-Funktion genutzt werden kann. Durch diesen Vorgang wird man visuell begleitet. Bei Erfolg wird die Email automatisch versendet!\\