Überblick

PGP kann über einige einstellbare Parameter anwenderspezifisch konfiguriert werden. Diese Parameter stehen in der Textdatei config.txt. Diese Datei muß in demjenigen Verzeichnis stehen, das durch die Umgebungsvariable PGPPATH angegeben wird. Durch die Einstellungen in config.txt kann PGP bequem auf die individuellen Bedürfnisse angepaßt werden, so daß es nicht erforderlich ist, bei jedem Aufruf von PGP mühsam eine größere Anzahl von Parametern in die Kommandozeile einzutippen.

Die einzelnen Konfigurationsparameter können je nach Typ als Wert ganze Zahlen, Zeichenketten (also Text), oder "on/off" haben. Eine Beispielkonfiguration, an der man sich bei der individuellen Einstellung orientieren kann, ist PGP beigelegt.

Leere Zeilen werden in config.txt ignoriert, ebenso alles, was in einer Zeile rechts von einem #, der Kommentarmarkierung, steht.

Beachten Sie, daß in der Beispielkonfiguration die Zeilen für die Einstellung mancher Parameter ebenfalls mit einem # beginnen. Für die Aktivierung dieser Parametereinstellung muß das # am Zeilenanfang gelöscht werden. Die Verwendung eines # ist auch sinnvoll, um mehrere Parametereinstellungen auszuprobieren, ohne die Texte der einzelnen Einstellungen zu löschen.

Beispiel:

# Die folgende Einstellung ist besser, wenn Texte
# zu ver- oder entschlüsseln sind, die
# unter Windows bearbeitet wurden:
# charset = latin1
# Für MS-DOS ist das folgende besser:
charset = cp850

Hier wertet PGP nur die Zeile charset = cp850 aus; die Zeile charset = latin1 wird ignoriert. Durch einfaches Umstellen des # kann die obere Einstellung aktiviert werden.

Bei den Parameternamen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

Ein Ausschnitt aus einer typischen Konfigurationsdatei:

# TMP is the directory for PGP scratch files,
# such as a RAM disk.
TMP = "e:\"
# Can be overridden by environment variable TMP.
Armor = on
# Use -a flag
# for ASCII armor whenever applicable.
# CERT_DEPTH is how deeply
# introducers may introduce introducers.
cert_depth = 3

Wenn bestimmte Parameter nicht in config.txt definiert sind, oder wenn diese Datei nicht existiert, oder wenn PGP die Datei nicht findet, setzt es automatisch sinnvolle Standardwerte ein.

Die Parameter aus config.txt können auch in der Kommandozeile angegeben werden. Dadurch ist es möglich, im Einzelfall mit anderen Parametern zu arbeiten, ohne daß config.txt extra hierfür geändert werden muß. Die beiden Kommandos im nachfolgenden Beispiel liefern dasselbe Ergebnis:

pgp -e +armor=on brief.txt mueller

pgp -ea brief.txt mueller

Die einzelnen Parameter in config.txt

TMP gibt an, welches Verzeichnis PGP für temporäre Dateien verwendet. Ein sinnvoller Platz für temporäre Dateien ist - falls vorhanden - eine RAM-Disk. Bei Verwendung einer RAM-Disk wird PGP etwas schneller, zudem wird die Sicherheit ein wenig gesteigert. Wenn TMP nicht definiert ist, werden temporäre Dateien im aktuellen Verzeichnis gespeichert. Falls eine Umgebungsvariable TMP definiert ist, verwendet PGP deren Wert als Namen des Verzeichnisses für temporäre Dateien.

LANGUAGE - Auswahl der Sprache für Textmeldungen von PGP

PGP gibt eine Reihe von Anfragen, Warnungen und Erläuterungen am Bildschirm aus. Normalerweise erscheinen diese Texte auf englisch. PGP kann so angepaßt werden, daß es diese Meldungen in anderen Sprachen ausgibt, ohne daß die Datei mit dem ausführbaren Programm (also z.B. PGP.EXE für MS-DOS) geändert werden muß.

Eine Reihe von Menschen aus verschiedenen Ländern haben die Textmeldungen von PGP in ihre Muttersprache übersetzt. Diese übersetzten Texte stehen in einer speziellen Datei namens language.txt, die im PGP-Programmpaket enthalten ist. language.txt kann die Meldungen in mehreren Sprachen enthalten. Zur Zeit existieren neben den originalen englischen Texten Übersetzungen in Spanisch, Holländisch, Deutsch, Französisch, Italienisch, Russisch, Litauisch, Lettisch und Esperanto. Andere Sprachen können problemlos ergänzt werden.

Mit dem Parameter LANGUAGE wird festgelegt, in welcher Sprache die Meldungen angezeigt werden sollen. LANGUAGE kann folgende Werte annehmen:

en  für Englisch
es  für Spanisch
de  für Deutsch
nl  für Holländisch
fr  für Französisch
it  für Italienisch
ru  für Russisch
lt3 für Litauisch
lv  für Lettisch
esp für Esperanto.

Bei der Einstellung

LANGUAGE = fr

würden beispielsweise die Texte auf Französisch erscheinen - vorausgesetzt, language.txt enthält französische Texte.

Wenn PGP eine Meldung am Bildschirm anzeigen muß, sucht es in language.txt nach dem Text in der gewählten Sprache. Falls PGP die Datei nicht findet, oder wenn Texte in der gewählten Sprache in language.txt nicht vorhanden sind, oder wenn eine einzelne Meldung nicht übersetzt ist, wird der englische Text ausgegeben.

Um Festplatten- und Diskettenplatz zu sparen, sind die meisten Übersetzungen nicht im Standard-PGP-Paket vorhanden, sind aber getrennt erhältlich.(*)

Mit MYNAME kann ausgewählt werden, welchen geheimen Schlüssel PGP automatisch für Unterschriften wählt. Wenn MYNAME nicht definiert ist, wird der neueste geheime Schlüssel verwendet. Wenn die Option -u Benutzer-ID beim Aufruf von PGP angegeben wird, hat diese Auswahl Vorrang vor der Auswahl durch MYNAME.

TEXTMODE - Standardmäßig ASCII-Text verschlüsseln

Der Parameter TEXTMODE ist äquivalent zu der Kommandozeilen-Option -t. Wenn TEXTMODE=on gewählt wird, geht PGP davon aus, daß die zu verschlüsselnden Daten keine Binärdaten, sondern ASCII-Text sind. In diesem Fall werden die Daten vor der Verschlüsselung in die kanonische Form konvertiert. Text in kanonischer Form verwendet als Zeichensatz LATIN1 und als Zeilentrennung die Zeichen Wagenrücklauf und Zeilenvorschub.

PGP schaltet die Konvertierung in kanonische Form automatisch aus, wenn es Daten erkennt, die es für Binärdaten hält.

In der gegenwärtigen VAX/VMS-Implementierung ist TEXTMODE=on die Standardeinstellung.

Genaueres zu Fragen der Textkonvertierung steht im Abschnitt Der Austausch von ASCII-Text zwischen unterschiedlichen Computern.

CHARSET - Der Zeichensatz Ihres Computers

PGP kann die Sonderzeichen vieler Sprachen für die Zeichensätze verschiedener Computer konvertieren. Damit dies korrekt funktioniert, müssen Sie den Parameter CHARSET richtig einstellen. Diese Konvertierung erfolgt nur bei der Verschlüsselung von Textdateien. Falls Sie mit PGP ausschließlich Texte verschlüsseln, die nur Buchstaben des "normalen Alphabetes", also keine Umlaute, Buchstaben mit Akzenten oder anderen diakritischen Zeichen enthalten, ist der Parameter CHARSET für Sie unwichtig. CHARSET teilt PGP mit, welchen Zeichensatz Ihr Computer verwendet.

CHARSET kann folgende Werte annehmen:

NOCONV    keine Konvertierung
LATIN1    ISO 8859-1 Lateinisches Alphabet 1
KOI8      verwendet auf vielen russischen Unix-Anlagen
ALT_CODES verwendet auf russischen MS-DOS-Computern
ASCII     7-Bit-Zeichensatz ohne Umlaute
CP850     für die meisten westeuropäischen Sprachen unter MS-DOS
LATIN1    verwendet PGP für die interne kanonische
Textdarstellung.

Wenn Sie mit MS-DOS arbeiten und Nachrichten verschicken oder erhalten, die in einer westeuropäischen Sprache geschrieben sind, sollten Sie CHARSET=CP850 einstellen. Wenn Sie eine Nachricht mit der Option -t oder TEXTMODE=on verschlüsseln, konvertiert PGP Ihren CP850-Text vor der Verschlüsselung in den LATIN1-Zeichensatz. Bei der Entschlüsselung wird LATIN1 in CP850 umgewandelt.

Weiteres hierzu steht im Abschnitt Der Austausch von ASCII-Text zwischen unterschiedlichen Computern.

ARMOR - ASCII-Darstellung einer verschlüsselten Datei

Der Parameter ARMOR ist äquivalent zur Kommandozeilenoption -a. Wenn ARMOR=on gewählt wird, stellt PGP die verschlüsselten Daten im Radix-64-Format dar. Dieses Format ist für den Versand über manche E-Mail-Kanäle sinnvoll. Die von PGP erzeugten Dateien im Radix-64-Format haben das Suffix .asc.

Wenn Sie PGP hauptsächlich für E-Mail einsetzen, kann es sinnvoll sein, ARMOR=on zu wählen.

Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt Versand von Nachrichten im Radix-64-Format.

ARMORLINES - maximale Größe von ASCII-dargestellten Dateien

Wenn PGP eine sehr große Datei im Radix-64-Format erzeugen soll, teilt es diese Datei in mehrere Dateien auf, die jeweils klein genug sind, um im Internet versandt zu werden. Normalerweise lassen Mailer-Programme für das Internet keine Nachrichten zu, die mehr als etwa 50000 Byte groß sind. Eine Datei mit 720 Zeilen im Radix-64-Format liegt weit genug unter dieser Grenze, um problemlos versandt werden zu können. Die einzelnen Dateien, die PGP erzeugt, erhalten als Suffix .as1, .as2, .as3 usw.

Der Parameter ARMORLINES gibt an, wieviele Zeilen eine von PGP erzeugte .asc-Datei maximal enthalten darf. Wird ARMORLINES auf Null gesetzt, kann eine .asc-Datei beliebig groß werden.

Im Fido-Netz dürften Nachrichten in der Regel nicht länger als 32 kB sein, so daß ARMORLINES=450 eine sinnvolle Einstellung für Fido ist. Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt Versand von Nachrichten im Radix-64-Format.(*)

Wenn PGP eine .asc-Datei einliest, erkennt es automatisch, daß es eine Datei im Radix-64-Format ist, und konvertiert sie zurück in ihre binäre Form (also eine .pgp Datei), bevor es mit der eigentlichen Entschlüsselung beginnt. Bei der Entschlüsselung erzeugt PGP natürlich auch eine Datei mit dem Klartext.

PGP ermöglicht die Auswahl, ob man die .pgp-Datei behalten möchte, oder ob sie nach der Entschlüsselung gelöscht werden soll. Die .asc-Datei bleibt in jedem Fall erhalten.

Wenn KEEPBINARY=on eingestellt wird, bleibt die .pgp-Datei erhalten; wird KEEPBINARY=off eingestellt, wird die .pgp-Datei nach der Entschlüsselung gelöscht.

Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt Versand von Nachrichten im Radix-64-Format.

COMPRESS - Datenkompression ein- oder ausschalten

Mit COMPRESS=on/off kann eingestellt werden, ob PGP den Klartext vor der Verschlüsselung komprimiert. Die Einstellung COMPRESS=off ist im Wesentlichen für das Debuggen von PGP interessant. In der Regel sollte COMPRESS=on gewählt werden, damit PGP den Klartext vor der Verschlüsselung komprimiert.(*)

Mit COMPLETES_NEEDED läßt sich einstellen, wieviele voll vertrauenswürdige Unterschriften PGP unter einem Schlüssel verlangt, um diesen Schlüssel als vollständig bestätigt zu betrachten. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen.

Genaueres hierüber finden Sie im Abschnitt Wie überprüft PGP, welche Schlüssel gültig sind?.

MARGINALS_NEEDED - Anzahl der erforderlichen teilweise vertrauenswürdigen Unterschriften

Mit MARGINALS_NEEDED läßt sich einstellen, wieviele teilweise vertrauenswürdige Unterschriften PGP unter einem Schlüssel verlangt, damit dieser Schlüssel als vollständig bestätigt betrachtet wird. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen.

Genaueres hierüber finden Sie im Abschnitt Wie überprüft PGP, welche Schlüssel gültig sind?.

CERT_DEPTH - Schachtelungstiefe von Unterschriften

CERT_DEPTH gibt an, bis zu welcher Tiefe PGP Unterschriften unter öffentliche Schlüssel prüft, d.h. wie "indirekt" die Bestätigung der Echtheit eines Schlüssels sein darf. Wenn Sie beispielsweise CERT_DEPTH=1 wählen, erkennt PGP nur solche Schlüssel als voll bestätigt an, die von einer Person unterschrieben sind, deren öffentlichen Schlüssel Sie persönlich mit Ihrem geheimen Schlüssel unterschrieben haben. Setzen Sie CERT_DEPTH=0, erkennt PGP nur die Unterschriften als voll vertrauenswürdig, die Sie selbst geleistet haben. Wenn Sie CERT_DEPTH=2 setzen, ist für PGP auch der Schlüssel von Carol voll bestätigt, wenn Carols Schlüssel von Bob, Bobs Schlüssel von Alice, und Alices Schlüssel von Ihnen selbst unterschrieben ist. Der kleinste zulässige Wert für CERT_DEPTH ist 0, der größte 8.

Genaueres hierüber finden Sie im Abschnitt Wie überprüft PGP, welche Schlüssel gültig sind?.

BAKRING - Dateiname der Sicherheitskopie des Bundes mit geheimen Schlüsseln

Die Prüfung der Echtheit eines öffentlichen Schlüssels durch Unterschriften basiert letztlich auf der Echtheit Ihres eigenen Schlüssels, den PGP als absolut vertrauenswürdig ansieht. (Sie können auch mehrere eigene Schlüssel haben, die PGP als voll vertrauenswürdig anerkennt.) Um mögliche Fälschungen an Ihrem Bund mit öffentlichen Schlüsseln erkennen zu können, muß PGP kontrollieren, ob auch Ihr eigener Schlüssel nicht gefälscht wurde. Hierfür vergleicht PGP Ihren öffentlichen Schlüssel mit einer Sicherheitskopie Ihres geheimen Schlüssels, die auf einem fälschungssicheren Medium, beispielsweise einer schreibgeschützten Diskette, gespeichert ist. Zusammen mit dem geheimen Schlüssel sind alle Informationen gespeichert, die Ihr öffentlicher Schlüssel hat. Dies bedeutet, daß PGP Ihren öffentlichen Schlüssel mit der Sicherheitskopie Ihres geheimen Schlüssels vergleichen kann.

Mit dem Parameter BAKRING können Sie den Pfadnamen festlegen, unter dem PGP die Sicherheitskopie Ihres geheimen Schlüssels sucht. Für MS-DOS können Sie beispielsweise BAKRING=a:\secring.pgp angeben, so daß PGP die Sicherheitskopie auf einer schreibgeschützten Diskette sucht. Den Vergleich mit der Sicherheitskopie führt PGP nur durch, wenn Sie mit pgp -kc Ihren gesamten Bund mit öffentlichen Schlüsseln prüfen (siehe Abschnitt Prüfen, ob der Bund mit öffentlichen Schlüsseln intakt ist).

Wenn BAKRING nicht definiert ist, führt PGP diese Kontrolle Ihres eigenen öffentlichen Schlüssel nicht durch.

Genaueres hierüber finden Sie im Abschnitt Wie überprüft PGP, welche Schlüssel gültig sind.

PUBRING - Dateiname des Bundes mit öffentlichen Schlüsseln

Dies legt den Namen der Datei fest, in der PGP die öffentlichen Schlüssel sucht. $PGPPATH wird von PGP durch die Umgebungsvariable PGPPATH ersetzt.

SECRING - Dateiname des Bundes mit privaten Schlüsseln

Analog zu PUBRING legt SECRING den Namen der Datei mit privaten (geheimen) Schlüsseln fest.

RANDSEED - Dateiname der Datei für die Zufallszahlen

Diese Einstellung bezeichnet die Datei, die PGP als "Pool" für die Zufallszahlen dient. Diese Datei wird von PGP nach Generierung der Zufallszahlen verschlüsselt, um einem möglichen Angriff vorzubeugen.

PAGER - Auswahl eines Programms für die Textanzeige am Bildschirm

Wenn Sie beim Entschlüsseln die Option -m angeben, können Sie den entschlüsselten Text am Bildschirm lesen, ohne daß PGP ihn in eine Datei schreibt. Standardmäßig verwendet PGP hierzu eigene Routinen, die ähnlich dem Programm "more" bei Unix arbeiten.

Falls Sie ein anderes Programm für Textanzeige am Bildschirm bevorzugen, können Sie es unter PAGER eintragen. Unter MS-DOS können Sie beispielsweise das populäre Shareware-Programm LIST von Vernon D. Buerg verwenden. In diesem Fall würde der PAGER-Eintrag so lauten:

PAGER = list

Wenn jedoch die Absenderin einer Nachricht die Option -m (Klartext nach Entschlüsseln nicht in eine Datei schreiben) angegeben hat, verwendet PGP in jedem Fall seine eigene Anzeigefunktion. Weiteres hierzu steht im Abschnitt Anzeige des entschlüsselten Klartextes am Bildschirm.

SHOWPASS - Anzeige des Mantra während der Eingabe

Normalerweise zeigt PGP das Mantra während der Eingabe nicht am Bildschirm an. Dadurch wird es für neugierige Augen schwerer, das Mantra mitzulesen. Es gibt aber Menschen, die Schwierigkeiten haben, ihr Mantra korrekt einzutippen, ohne daß sie es am Bildschirm sehen können. So entstand der Wunsch, PGP für die Anzeige des Mantra konfigurierbar zu machen. In der Abgeschiedenheit einer Wohnung ist es nicht allzu problematisch, das Mantra am Bildschirm anzeigen zu lassen. Wird SHOWPASS=on eingestellt, zeigt PGP das Mantra beim Eintippen am Bildschirm an.

TZFIX - Zeitzonenkorrektur

PGP versieht Schlüssel und Unterschriften mit einer Zeitmarke in Greenwich Mean Time (GMT), oder Coordinated Universal Time (UTC), was für unsere Zwecke dasselbe ist. Wenn PGP das Betriebssystem nach Datum und Zeit fragt, nimmt es an, daß die Zeit als GMT-Zeit zurückgegeben wird. Unter Umständen wird die Zeit aber auf schlecht konfigurierten MS-DOS-Rechnern als US Pacific Standard Time plus acht Stunden zurückgegeben. Seltsam, nicht wahr? Vielleicht liegt es an einer Art US-Westküsten-Chauvinismus, daß MS-DOS davon ausgeht, die lokale Zeit sei die US Pacific Time, und GMT darauf basierend ausrechnet. Dies wirkt sich nachteilig auf das Verhalten der MS-DOS-internen Funktionen aus, die PGP verwendet.

Wenn jedoch die MS-DOS Umgebungsvariable TZ für Ihre Zeitzone korrekt definiert ist, korrigiert dies auch die irrtümliche Annahme von MS-DOS, die ganze Welt lebe an der Westküste der USA.

TZFIX gibt die Anzahl der Stunden an, die PGP zur "Betriebssystemzeit" addiert, um GMT-Zeitangaben für Unterschriften und Schlüssel zu erhalten. Wenn die MS-DOS Umgebungsvariable TZ korrekt definiert ist, kann TZFIX auf dem Standardwert 0 bleiben. Unter Unix ist TZFIX in der Regel auch nicht notwendig. TZFIX kann aber für irgendwelche obskuren Betriebssysteme sinnvoll sein, die nie etwas von GMT gehört haben.

Für MS-DOS Systeme, bei denen TZ nicht definiert ist, sollten Sie TZFIX auf 0 in Kalifornien setzen, auf -1 in Colorado, -2 in Chicago, -3 in New York, -8 in London und -9 in Amsterdam. Während der Zeitumstellung im Sommer müssen Sie diese Werte um eins verringern. Was für ein Durcheinander.

Die Definition der MS-DOS Umgebungsvariablen TZ in der autoexec.bat ist eine wesentlich sauberere Lösung. In diesem Fall liefert MS-DOS die korrekte GMT-Zeit und berücksichtigt auch die Sommerzeit, abhängig von der jeweiligen Zeitzone:

In Los Angeles:   SET TZ=PST8PDT
In Denver:        SET TZ=MST7MDT
In Arizona(*):    SET TZ=MST7
In Chicago:       SET TZ=CST6CDT
In New York:      SET TZ=EST5EDT
In London:        SET TZ=GMT0BST
In Amsterdam(**): SET TZ=MET-1DST
In Moskau:        SET TZ=MSK-3MSD
In Auckland:      SET TZ=NZT-13

Bei der Frage, wer an dem Durcheinander mit den Zeitangaben und Zeitzonen schuld ist, bin ich anderer Meinung als Philip Zimmermann: Dies kann man ausnahmsweise mal nicht nur Microsoft in die Schuhe schieben - MS-DOS gehört zu den "obskuren Betriebssystemen", die nichts von GMT wissen -, sondern auch Borland. Die MS-DOS-Version von PGP ist mit Borland C übersetzt worden. Die Funktion gmtime() der Laufzeitbibliothek gibt die Zeit als GMT zurück, und benötigt hierfür eine Angabe, um wieviel Stunden lokale Zeit und GMT-Zeit differieren. Diese Angabe bezieht gmtime() aus der Umgebungsvariablen TZ. Der oben erwähnte "US-Westküsten-Chauvinismus" ist also meiner Meinung nach Borland anzulasten.

Die ersten drei Zeichen des Wertes von TZ müssen Buchstaben sein, danach muß eine ein- oder zweistellige Zahl, ggf. mit einem Minuszeichen davor, stehen. Stehen hinter der Zahl noch Buchstaben, wertet gmtime() dies als Signal, daß es eine Sommerzeit gibt. Welche Buchstaben vor und ggf. hinter der Zahl stehen, wertet gmtime() nicht weiter aus.

Bei der Sommerzeit-Option ist zu beachten, daß gmtime() als Beginn und Ende der Sommerzeit die in den USA zutreffenden Tage verwendet, die von den in Europa üblichen etwas abweichen. Wie es mit der Sommerzeit in anderen Weltgegenden aussieht, weiß ich nicht.

Falls Ihnen jetzt von dem ganzen Durcheinander um Zeitzonen der Kopf raucht: Geben Sie einfach den MS-DOS-Befehl

SET TZ=MET-1

und prüfen Sie mit dem Befehl

pgp

die GMT-Zeitangabe, die PGP dann liefert. Falls die GMT-Zeit falsch ist, wählen Sie solange einen anderen Wert für TZ, bis die GMT-Zeit richtig ist. Es kommen ja nur 24 Werte in Frage. Sollten Sie in einer der Zeitzonen mit halbstündlicher Verschiebung leben: Tja, schade für Sie.

Ansonsten der Hinweis: "Zu Risiken und Nebenwirkungen lesen Sie das Borland Referenzhandbuch und den ,run time source code` und fragen Sie Ihre Borland-Hotline und Ihren Borland-Händler". d.Ü.

CLEARSIG - Nachrichten im Klartext mit ASCII-Unterschrift

Normalerweise liegen mit PGP unterschriebene Nachrichten in Binärform vor, auch dann, wenn sie nicht verschlüsselt werden. Auch die Unterschrift wird in Binärform an die unterschriebenen Daten angehängt. Um eine solche unterschriebene Nachricht über einen 7-Bit-E-Mail-Kanal zu versenden, kann die ASCII-Darstellung im Radix-64-Format verwendet werden (vgl. den ARMOR-Parameter). Die Daten bestehen dann zwar aus druckbaren ASCII-Zeichen, der originale Text ist aber mit bloßem Auge trotzdem nicht mehr zu erkennen, obwohl die Nachricht nicht verschlüsselt ist. Die Empfängerin einer solchen Nachricht muß die "ASCII-Transportverpackung" mit Hilfe von PGP wieder "entfernen", bevor sie die Nachricht lesen kann.

Wenn die originale Nachricht nicht eine Binärdatei, sondern ASCII-Text ist, besteht die Möglichkeit, eine Unterschrift so an den Text anzufügen, daß er nicht in seiner Darstellung geändert wird. In diesem Fall wird nur die Unterschrift im Radix-64-Format dargestellt. Der Text bleibt also auch ohne Hilfe von PGP für die Empfängerin lesbar. Für die Prüfung der Unterschrift ist PGP natürlich trotzdem erforderlich.

Diese Option wird so eingeschaltet: CLEARSIG=on, ARMOR=on (ersatzweise die Option -a), TEXTMODE=on (ersatzweise die Option -t). Beispiel:

pgp -sta +clearsig=on message.txt

Eine so unterschriebene Nachricht ähnelt einer "MIC-CLEAR"-Nachricht, die mit Privacy Enhanced Mail (PEM) erzeugt wurde.

Wichtiger Hinweis: Eine solche Nachricht wird als Textnachricht versandt und unterliegt dadurch möglichen Änderungen auf dem Versandweg. So können Zeichensatzkonvertierungen vorkommen, es können Leerzeichen eingefügt oder gelöscht werden. Wenn dies passiert, wird PGP die Nachricht als verändert erkennen, was zu einem in diesem Fall unberechtigten Verdacht einer echten, inhaltlichen Fälschung führt. Weil auch PEM dieses Problem hat, schien es sinnvoll, diese Möglichkeit des unterschriebenen Klartextes trotz ihrer Störanfälligkeit in PGP aufzunehmen. Die im ZCONNECT(r)-Bereich üblichen Zeichensatzkonvertierungen stören bei korrekter Konfiguration nicht.

Seit PGP Version 2.2 werden Blanks am Ende einer Zeile bei der Berechnung einer Unterschrift nicht mehr berücksichtigt, wenn CLEARSIG=on gesetzt ist. In der CLEARSIG-Routine vor den Versionen 2.6.i und 2.6.2 (siehe Abschnitt Die vielen PGP-Versionen) gab es einen Konzeptfehler, der es erlaubte, Nachrichten in gewisser Weise zu verändern, ohne daß dies von PGP gemeldet wurde. Die mit diesem Buch ausgelieferte Version 2.6.i hat diesen Fehler nicht mehr.

Konkret war folgendes der Fall: Wenn PGP eine CLEARSIG-Unterschrift überprüfen wollte, wurde Text, der nach der Zeile

-----BEGIN PGP SIGNATURE-----

folgte, nicht beachtet, bis eine Leerzeile gefunden wurde. Grund dafür war, daß hier dieselbe Routine wie für das Einlesen der Unterschrift verwendet wurde. Dort muß die Zeile

Version x.y

übersprungen werden. Da es auch möglich war, Zeilen, die PGP nicht als Leerzeile ansah, aber für den Anwender wie Leerzeilen aussehen, einzufügen, ließen sich Klartext-Unterschriften bei flüchtiger Kontrolle fälschen.

VERBOSE kann auf 0, 1 oder 2 gesetzt werden, je nachdem, wie detailliert die Meldungen von PGP sein sollen:

0 Meldungen werden nur ausgegeben, wenn es Probleme gibt. Das richtige für Unix-Fans.

1 Die Standardeinstellung. PGP zeigt in sinnvollem Umfang diagnostische Meldungen und Bedienungshinweise.

2 Ausführliche Meldungen. Diese Option ist hauptsächlich für die Fehlersuche gedacht. Normalerweise ist sie nicht sinnvoll. Ach so, PGP macht doch keinerlei Probleme, oder?

INTERACTIVE - Bestätigungsabfrage beim Hinzufügen von öffentlichen Schlüsseln

Wenn INTERACTIVE=on gesetzt wird, fragt PGP beim Bearbeiten einer Datei, die mehrere öffentliche Schlüssel enthält, für jeden Schlüssel einzeln nach, ob er in pubring.pgp aufgenommen werden soll.

NOMANUAL - Erzeugung von Schlüsseln zulassen, ohne daß ein Handbuch auf der Festplatte vorhanden ist

Es ist wichtig, daß die Freeware-Version von PGP nur zusammen mit den Handbuchdateien, die zum normalen PGP-Distributionspaket gehören, vertrieben wird. Das Handbuch enthält wichtige Informationen zur Bedienung von PGP, sowie wichtige rechtliche Hinweise. Manche Leute haben aber ältere Versionen von PGP ohne das Handbuch vertrieben, was bei den Leuten, die dieses "Vertriebspaket" bekamen, zu einer Reihe von Problemen führte. (Bitte beachten Sie hierzu auch den Abschnitt Lizensierung und Vertrieb). Um die Weitergabe von PGP ohne Dokumentation zu unterbinden, wurde PGP so modifiziert, daß es prüft, ob die Handbuchdateien irgendwo auf dem Computer vorhanden sind (z.B. im PGP-Verzeichnis), bevor es die Erzeugung eines Schlüsselpaares zuläßt. Manche Menschen verwenden PGP aber auf winzigen Palmtop-Rechnern mit sehr beschränkter Speicherkapazität. Hier kann es sinnvoll sein, die Handbuchdateien von der Festplatte zu löschen. Um diesen Anwenderinnen gerecht zu werden, kann PGP mit Hilfe der NOMANUAL-Option so eingstellt werden, daß es Schlüsselgenerierung auch dann zuläßt, wenn es die Handbuchdateien nicht findet. Dies geschieht mit der NOMANUAL-Option beim Kommando für die Schlüsselerzeugung:

pgp -kg +nomanual

Die NOMANUAL-Option kann nur in der Kommandozeile angegeben werden. Folglich müssen Sie schon das Handbuch lesen, um herauszufinden, wie diese Option funktioniert. Ich hoffe, dies reicht aus, um die Distribution von PGP ohne Handbuch zu verhindern.

COMMENT - Kommentar für Radix64-codierte Daten

Mit COMMENT läßt sich ein beliebiger Text festlegen, der bei Verwendung von Radix-64 als "Comment:" oder eine entsprechende Übersetzung in die zweite Zeile geschrieben wird (im Klartext). (Die Option ARMOR_VERSION existiert nur in der Version 2.6ui, allerdings läßt sich in der Datei language.txt eine beliebige "Versionsnummer" einstellen, die in der Transportverpackung angegeben wird.)

LEGAL_KLUDGE - nicht von 2.3a lesbare Dateien erzeugen

Mit dieser Option (der Version 2.6.2i) läßt sich PGP dazu bewegen, Dateien zu erzeugen, die von PGP-Versionen <2.6 gelesen werden können.