DEUTSCHE PGP ANLEITUNG

PGPnet oder
"Die Konfiguration und Anwendung des VPN PGPnet" 

Dieser Text geht vom Einsatz der PGP Version 6.5.X Personal Privacy aus.

Installation

Bei der Installation von PGP 6.5.X kann die Option PGPnet aktiviert werden.
Ist die Gesamtinstallation abgeschlossen, fragt PGP, welches Netzwerkinterface an PGPnet gebunden werden soll, bzw. zeigt das aktuell zu sichernde Netzwerkinterface an.
Das kann der DFÜ-Adapter (Modem, ISDN-Karte), die Ethernetkarte oder ein RAS-WAN-Adapter sein.

Netzwerk In der Netzwerkkonfiguration der Systemsteuerung sieht man den PGPnet VPN Treiber, an den das TCP/IP Protokoll gebunden ist, während der DFÜ-Adapater an das PGPnet VPN Protokoll gebunden wurde.

Wenn die Netzwerkkonfiguration geändert, ein zusätzliches Netzwerkinterface eingebaut oder das aktuelle Netzwerkinterface ausgetauscht wurde, muss man anschliessend über Set Adapter im PGP Startmenü das Netzwerkinterface bestimmen und einen Neustart durchführen.

Ports

Bei parallelem Einsatz einer Firewall/Proxy müssen folgende Ports geöffnet sein:

  • 500 UDP
  • 51 TCP
  • 50 TCP

Deinstallation

PGPnet sollte nicht manuell über das Löschen einzelner PGPnet Dateien oder der Entfernung von Einträgen in den Netzwerkoptionen durchgeführt werden. Es ist notwendig, PGP insgesamt über die Deinstallierroutinen zu entfernen.

Konfiguration

Aufruf über PGP Systemtray/PGPnet/Options

General

PGPnet generelle Optionen
User Interface

Expert Mode
der Neueintrag eines Rechners wird manuell durchgeführt, der Konfigurationsassistent wird nicht benutzt

Security

Allow communications with unconfigured hosts
die Verbindung zu Rechnern, die nicht in PGPnet eingetragen sind, ist immer möglich
Sollte aktiviert sein, wenn man sich im WWW zu einer Vielzahl von Rechnern verbindet, die wenigen Rechner, zu denen man eine gesicherte PGPnet Verbindung aufbauen möchte, werden dann in die Hostliste eingetragen.

Require secure communications with all hosts
PGPnet versucht automatisch eine sichere Verbindung zum Kontaktrechner aufzubauen.
Ist der Kontaktrechner nicht mit PGPnet ausgestattet, kommt keine Verbindung zustande, es sei denn, er wurde als unsicherer Rechner in die Hostliste eingetragen.
Diese Option ist sinnvoll, wenn sich der eigene Rechner in einer Umgebung befindet, in der die meisten Zielrechner ebenfalls mit PGPnet ausgestattet sind oder wenn sichere PGPnet Verbindungen bevorzugt werden.

Require valid authentication key
PGPnet akzeptiert Keys von anderen Rechnern nur dann, wenn sie im lokalen Keyring als valid (gültig) gekennzeichnet sind.
Auf der Cient Seite (z. B. dem heimischen Rechner) sollte die Option aktiviert werden, dazu müssen dann alle Keys der Rechner und Server, zu denen eine sichere PGPnet Verbindung aufgebaut werden soll, in den Keyring aufgenommen und vom Benutzer verifiziert (d. h. nach den Regeln des Web of Trust überprüft und signiert) werden.
Auf einem Server sollte die Option deaktiv bleiben, da es zu einer Vielzahl von Verbindungen kommt und nicht alle PGP Keys der Anfragenden verwaltet und verifiziert werden können.
Siehe auch Validity

Cache passphrases between logins
Vor der Verwendung von PGPnet muss sich der Benutzer in PGPnet "einloggen". Wird diese Option aktiviert, speichert PGPnet die Passphrase während einer Windows-Session.
Erst bei einem Neustart oder wenn man den Authentifizierungskey löscht, wird der Passphrasespeicher geleert.

Expiration

Hier wird festgelegt, wie lange die Keys, die zum Aushandeln der Schlüsselaustauschmodalitäten (IKE-Keys) und die Keys, die zur Verschlüsselung und Authentifizierung (IPsec-Keys) und damit der Secure Associations, gültig sind.
Dabei wird die restriktivere Einstellung einer der Kommunikationspartner vorrangig gültig, d. h. hat man selbst die Dauer auf einen Tag festgelegt, der Kommunikationspartner aber auf 30 Minuten, sind die Keys auch nur 30 Minuten gültig. Erreichen die Keys, bzw. eine SA ihren Verfallszeitpunkt, baut PGPnet automatisch eine neue SA auf.
Der Gültigkeits-Status ist aus dem Statusfenster von PGPnet ersichtlich.

Duration
Zeitdauer der Gültigkeit in X d (Tagen) Y h (Stunden) Z m (Minuten)

Megabytes
Zeitdauer (eher gesagt Mengendauer) der Gültigkeit in Megabytes an Daten, die während einer SA übertragen wurden,
d. h. wenn bei einem Wert von 5 MB während einer SA, die nach Zeit 5 Tage gültig ist, nach 2 Tagen 5 MB übertragen wurden, verfällt die SA.


Authentication


PGPnet Keyring Files

Über diesen Dialog kann eine spezielle Public und Secret Keyringdatei für PGPnet bestimmt werden, die den Public und Secret Key enthalten, der PGPnet zur Authentifizierung des eigenen Rechners gegenüber dem Kontaktrechner dient.
Über den Button Use My PGP Keyring Files wird der bestehende PGP Public und Secret Keyring in PGPnet Keyring Files eingetragen.

PGP Authentication

Will man PGP Keys zur Authentifizierung einsetzen, wird über den Button Select Key der PGP aus den PGPnet Keyringfiles bestimmt, der zur Authentifizierung dienen soll. Nach Auswahl des Keys muss die entsprechende Passphrase des Keys eingegeben werden. Die gleiche Passphrase wird jedesmal beim Login in PGPnet angefragt.
Wichtig: Beide Kommunikationspartner müssen hier den gleichen Schlüsseltyp angeben und verwenden, also RSA oder DH.

Sollte sich das Problem einstellen, dass man zwar die schon vorhandenen Keyringdateien in PGPnet angegeben hat, aber daraus den vorhanden Public PGP Key nicht zum Authentifizierungs-Key bestimmen kann, bietet sich folgende Lösung an:

  1. mit PGPkeys einen neuen, nur für PGPnet vorgesehenen PGP-Key erzeugen und diesen mit dem schon vorhandenen, eigenen PGP-Key signieren
  2. die Keyringe auf der Festplatte kopieren, bzw. duplizieren und die Pfadangaben in den PGP Optionen auf die neuen PGPnet Keyringe setzen
  3. alle Keys bis auf den neuen PGPnet-Key und den PGP-Key löschen
  4. danach PGP wieder auf die eigentlichen Keyringe setzten und eventuell daraus den PGPnet-Key entfernen
  5. in den Optionen von PGPnet die Pfadangeben zu den Keyringen zuerst auf die ursprünglichen Keyringe setzen und anschliessend auf die neu erstellten PGPnet Keyringe.
    PGPnet benutzt jetzt eigene Keyringe, während PGP die alten Keyringe benutzt.

X.509 Authentication

zur Authentifizierung wird ein X.509 Zertifikat, wie es von der S/MIME Verschlüsselung und Signierung mittels S/MIME kompatiblen Mailsystemen wie Outlook oder dem Netscape Messenger bekannt ist, benutzt.
Zusätzlich zur Passphrase des PGP-Keys wird beim Login in PGPnet die Passphrase des Zertifikats abgefragt.
Wichtig: Beide Kommunikationspartner müssen die gleiche Root CA verwenden und das gleiche, von ihnen signierte und mit grösstem Trustlevel versehene Root CA Zertifikat in ihrem PGPnet Pubring haben(siehe unten).

X.509 Zertifikate

Zertifikate sind digitale Dokumente, die die Bindung eines Public Keys an eine Person,Organisation oder Firma attestieren, so dass man über das Zertifikat prüfen kann, ob ein Public Key zu dieser Einheit gehört.
Das Zertifikat besteht aus dem Public Key, der Signatur des Inhabers und der Signatur der Zertifizierungsstelle. Darüber hinaus kann ein Zertifikat die X.509 Version (aktuell X.509 v3), eine Seriennummer, Gültigkeitsdauer und weitere Datenfelder enthalten.
Je nach Grad der Überprüfung des Eigentums einer Einheit an einem Public Key kann man verschiedene Zertifikatsklassen unterscheiden.
So wird z. B. bei Class 1 Zertifikaten die Prüfung über die Existenz einer E-mailadresse und verschiedener Rückmeldungen des E-mailadresseninhabers an die CA durchgeführt.
Bei Class 2 Zertifikaten kommt z. B. noch das Post-Ident Verfahren dazu und bei Class 3 Zertifikaten muss der Keyinhaber persönlich bei der CA erscheinen oder zusätzliche Beweise seiner Identität und Eignerschaft beibringen. Das Zertifikat in der obigen Abbildung ist z. B. ein Class 1 Zertifikat.
X.509 Zertifikate sind kompatibel zum Public-Key Cryptography Standard (PKCS) 6, der von den RSA Laboratories in Kooperation mit Apple, Microsoft, DEC, Lotus, Sun und MIT entworfen wurde.
Das bekannteste Zertifikatsformat ist im ITU-T X.509 Standard definiert, daher der Name X.509 Zertifikat. Die X.509 Zertifikate verzichten ganz auf das Web of Trust Modell von PGP und setzen statt dessen auf Authentifizierung über eine hierarchische CA Struktur.

Siehe auch S/MIME, PKCS und X.509

Der Vorgang verkürzt:
Um die X.509 Authentifizierung zu benutzen, muss zunächst das X.509 Zertifikat der Root CA (Root Certification Authority - Wurzel- oder Haupt-Zertifizierungsstelle) über einen Webbrowser heruntergeladen und in den Pubring importiert, die Information zur Root CA in den CA Optionen von PGP eingeben, eine Zertifikatsanfrage für den PGP Key an die Root CA über PGP abgeben, das erhaltene Zertifikat dem PGP-Key zugeordnet und abschliessend in PGPnet das erhaltene Zertifikat zum Authentifizierungs-Zertifikat bestimmt werden.

Der Vorgang in Einzelschritten:
(bei Verwendung eines Net Tools PKI Servers, was immer das auch sein mag)

  1. Das Root CA Zertifikat in den Pubring integrieren
    1. mit einem Webbrowser eine der Zertifizierungsstellen im WWW aufsuchen.
    2. auf der Seite, auf der die CA Zertifikate zum Download stehen, das Root CA Zertifikat anklicken
    3. die Detailinformationen des Zertifikats nach Beendigung des Ladens aufrufen und den Public Keyblock des Root CA Zertifikats kopieren und in PGPkeys über den Keyimportdialog in den Pubring importieren.
    4. das Root CA Zertifikat mit dem eigenen (PGPnet-) PGP-Key signieren und in den Key Properties den Trustlevel auf Maximum stellen.

  2. Die CA Optionen festlegen
    1. PGP Optionen im PGPtray aufrufen und Karteireiter CA auswählen
    2. die URL im Textfeld Certificate Authority eingeben, über die man das Root CA Zertifikat erhalten hat
    3. die URL im Textfeld Revocation URL eingeben, über die man die Certificate Revocation List (CRL) erhält, das sind Listen, in denen die Informationen über zurückgezogene Zertifikate gespeichert werden
    4. in der Type Liste den Namen der CA angeben, die man benutzt:
      • NAI Net Tools PKI Server
      • VeriSign OnSite (60 Tage Probezertifikat, sonst ca. 10 $/Jahr)
      • Entrust (60 Tage Probezertifikate)

      • Weitere CA´s, die X.509 Zertifikate ausstellen:
      • Thawte (kostenlose Zertifikate mit Angabe von Adresse und Personalausweisnummer (die nicht überprüft wird)
      • TC TrustCenter (kostenlose Class 1,2 und 3 Zertifikate)
    5. über den Button Select Certificate das Root CA Zertifikat auswählen.
      Im Textfeld darunter erscheinen nun nähere Informationen zum Root CA Zertifikat, die von CA zu CA variieren können, da die Angaben abhängig von den Regelungen der CA sind:

      CN Common Name Beschreibung des Zertifikatstyps, z. B. "Root"
      EMAIL   die E-mailadresse des Zertifikatseigentümers
      OU Organizational Unit die Abteilung der Organisation, zu der das Zertifikat gehört
      O Organization name der Name des Unternehmens, zu der das Zertifikat gehört
      L Locality z. B. die Stadt, in der der Zertifikatsinhaber seinen Sitz hat
      C Country der Staat, in dem der Zertifikatsinhaber seinen Sitz hat, z.B. "Germany"
      ST State z. B. der Bundesstaat oder das Bundesland, in dem der Zertifikatsinhaber seinen Sitz hat

  3. das eigene Zertifikat anfordern
    1. in PGPkeys den gewünschten PGP-Key markieren und im Kontextmenü Add/Certificate anwählen
    2. im Dialogfenster Certificate Attributes können nun die Angaben ausgewählt werden, die später im Zertifikat enthalten sein sollen (siehe oben)
    3. im PGP Passphrase Fenster die Passphrase des PGP-Keys eingeben
    4. PGP verbindet sich jetzt mit dem CA Server, der in den CA Optionen unter Punkt 2 angegeben wurde und sendet die Anfrage, nachdem sich der CA Server gegenüber dem eigenen Rechner ausgewiesen hat

  4. das eigene Zertifikat in den Pubring aufnehmen
    1. nach Absendung der Zertifikatsanforderung erhält man eine Nachricht, dass das Zertifikat heruntergeladen werden kann
    2. in PGPkeys den entsprechenden PGP-Key markieren
    3. im Menü Server den Menüpunkt Retrieve Certificate anklicken, worauf sich PGP erneut mit dem CA Server verbindet, das Zertifikat herunterlädt und in den Pubring importiert
    4. die PGPnet Optionen aufrufen und im Karteireiter Authentification unter X.509 Authentification über den Button Select Certificate (siehe Abbildung oben) das erhaltene Zertifikat auswählen

Probleme

Wie aus der Auflistung der CAs ersichtlich, bieten die zwei CAs, die PGP vorschlägt nur 60 Tage Probezertifikate an, deshalb wurden sie von mir nicht getestet.
Bei Thawte und TC TrustCenter kann man nicht den oben beschriebenen Weg gehen, da die beiden CA´s inkompatibel zum PGP System der Zertifikatsanforderung sind.
So muss man auf deren Webseiten zusätzliche Angaben und Passwörter angeben, ohne die ein Antrag erst gar nicht entgegengenommen wird. Die zusätzlichen Prüfverfahren über Rücksendung einer Prüf E-mail oder das Post-Ident Verfahren verhindern einen automatischen Zertifikatsimport, wie PGP ihn vorschlägt.

Was bleibt ?

Man muss zuerst bei Thawte oder TC Trustcenter auf herkömmlichen Wege, d. h. über deren Webseiten ein Zertifikat beantragen und anfordern und anschliessend das Zertifikat manuell in den Pubring "einpflegen"

Vorgehensweise

  1. das Root CA Zertifikat der Zertifizierungsinstitution in den Web Browser installieren, dazu auf die Zertifikatsangebotsseite der CA gehen und die entsprechenden Links anklicken
  2. die Browser starten daraufhin einen Aufnahmevorgang, in dem man durch die Installationsprozedur geführt wird
  3. das Root CA Zertifikat anhand Fingerprints/Anruf bei der CA überprüfen
  4. über eine 128-bit SSL Verbindung auf der Webseite, auf der Angaben zur Identität und zur Zertifikatsanforderung gemacht werden, das Zertifikat anfordern
  5. nach Durchlaufen der Identitätsfeststellungsverfahren wie Post-Ident oder Rücksendung einer Authentizitätsnachricht per E-mail und dem Erhalt der E-mailbestätigung der CA, dass das Zertifikat zum Download bereitliegt, mit dem Web-Browser die angegebene Webseite aufsuchen und das persönliche Zertifikat in den Browser installieren
  6. das persönliche Zertifikat und das Root CA Zertifikat aus dem Browser als Datei exportieren.
    Dabei muss man beachten, dass das Zertifikat als PKCS-12 Zertifikat (Endung:pfx oder p12) oder als PEM (Internet Privacy-Enhanced Mail Standard, der wie PKCS der gesicherten elektronischen Datenübertragung dient) Zertifikat (Endung: pem) exportiert wird, da PGP nur Zertifikate, die in dieser Form vorliegen, importieren kann.
    Desweiteren, dass sowohl Public als auch Secret Key des persönlichen Zertifikats und alle beteiligten Zertifikate mitexportiert werden
  7. PGPkeys aufrufen und aus dem Explorer mit der Maus die exportierten PEM, PFX oder P12 Zertifikatdateien in das PGPkeys Fenster ziehen oder über das Menü Keys/Import das persönliche Zertifikat nach Eingabe der Passphrase und das Root CA Zertifikat in den Pubring importieren
  8. anschliessend den PGPnet PGP-Key mit dem persönlichen Zertifikat und das persönliche Zertifikat mit dem PGPnet PGP-Key signieren. Danach den Trustparameter des persönlichen Zertifikats und des Root CA Zertifikats auf Maximum stellen
  9. die PGPnet Optionen aufrufen und im Karteireiter Authentification unter X.509 Authentification über den Button Select Certificate (siehe Abbildung oben) das importierte persönliche Zertifikat auswählen

Advanced


Allowed Remote Proposals

hier wird festgelegt, welche Verschlüsselungsalgorithmen, Hashalgorithmen, Datenkompression und Keylänge des Diffie-Hellmann Keys dem Kommunikationspartner zur Benutzung erlaubt sind.
  • Ciphers: CAST oder Triple-DES Algorithmus zur Ver- und Entschlüsselung
    (siehe auch Kurzinfos zu verwendeten Algorithmen )
    None: es wird keine Verschlüsselung eingesetzt
  • Hashes: SHA-1 oder MD5 Hash, der für den Authentifizierungsprozess eingesetzt wird
    (siehe auch Schlüssel)
    None: es wird keine Authentizitätsprüfung eingebunden
  • Diffie-Hellmann: Keylänge des Diffie-Hellmann Keys, der für das Authenticated Diffie-Hellman Key Agreement Protocol (ein Abstimmungsverfahren, über das ein gemeinsamer Secret Key zweier Kommunikationspartner unter Hinzunahme von digitalen Signaturen und Public Key Zertifikaten gebildet wird) eingesetzt wird.
  • Compression: LZS oder Deflate zur Kompression der Daten (sinnvoll bei Modem und ISDN Verbindungen, nicht sinnvoll bei Kabelmodem-, [A]DSL-, T-1- und T-3-Verbindungen)

Proposals

hier werden die eigenen Vorschläge, die man dem Kommunikationspartner zur Verschlüsselung und Authentifizierung der SA anbietet, festgelegt. Dazu kann man verschiedene Kombinationen aus zu verwendendem Verschlüsselungs- und Hashalgorithmus, Datenkompressionsart und Keylänge des Diffie-Hellmann Keys definieren.
Eine Kombination muss mit den Einstellungen, die der Kommunikationspartner in seinen Allowed Remote Proposals festgelegt hat, harmonieren.

IKE

  • Authentication (Authentifizierung mittels): RSA oder DSS Signatur oder eines Shared Key (gemeinsamer Key)
  • Hash: SHA-1 oder MD5
  • Cipher (Verschlüsselung mit): CAST oder Triple-DES
  • DH (Diffie-Hellmann Keylänge): 1024 oder 1536-bit

IPSEC

  • AH (Authentication Header): IPSec-Unterprotokoll, dass nur die Authentifizierung verschiedener Teile eines IP Headers über SHA-1 oder MD5 Hashes regelt
  • ESP (Encapsulating Security Payload): IPSec-Unterprotokoll, dass die Verschlüsselung per CAST oder Triple-DES Algorithmus und die Authentifizierung per SHA-1 oder MD5 Hash regelt
  • IPPCP (IP Payload Compression Protocol): Datenkompresssion per LZS oder Deflate
  • Perfect Forward Secrecy: Keylänge des Diffie-Hellmann Keys für alle definierten IPSec Proposals

Anwendung über das PGPnet Fenster

Aufruf über PGPnet Systemtray/PGPnet/Status, Log und Hosts

Status Fenster

PGPnet Statusfenster

Im Status Fenster werden alle SA´s mit Angaben zur Gültigkeitsdauer, der Verschlüsselung und dem Ziel aufgelistet.
Das "Verhalten" einer SA wird durch die Optionen bestimmt, die man in den Advanced Optionen von PGPnet festlegt (siehe oben).

Folgende Angaben können aus den Spalten des Statusfensters gewonnen werden:

Destination (Ziel) die IP Adresse des Zielrechners und/oder Gatewayrechners
Protocol (VPN Protokoll) der Typ des miteinander ausgehandelten Protokolls: AH, ESP, IPCOMP
Encryption (Verschlüsselung) der Typ des miteinander ausgehandeltem Verschlüsselungsalgorithmus: CAST oder Triple-DES. Wenn die SA nur der Authentifizierung dient, ist die Spalte leer
Authentication (Authentifizierung) der Typ des miteinander ausgehandelten Authentifizierungsalgorithmus: HMAC MD5 oder SHA. Wenn im Proposal sowohl ESP als auch AH definiert sind, finden sich zwei Einträge
Expires (Ablauf) Datum und Uhrzeit, wann die SA ungültig wird, "Never", wenn die Gültigkeitsdauer allein auf durch die Menge der übertragenden Daten basiert.
Max. Data das Maximum an Daten in MB, das über die SA transportiert wird, bevor sie ihre Gültigkeit verliert.


Log Fenster

PGPnet Log Fenster

Das Log Fenster zeigt eine kurze Beschreibung aller Ereignisse und Fehler an.
Über "Show Events" können Ereignisse die den Service, IPSec, PGP und/oder das System betreffen an- oder ausgeschaltet werden.
Über den Button "Save" kann der Inhalt des Logs als Textdatei abgespeichert und über "Clear" der Inhalt des aktuellen Logs gelöscht werden.

Time (Zeit) Datum und Uhrzeit, wann das Ereignis/der Fehler eintrat
Event (Ereignis) Typ des Ereignisses: Service, IKE, IPSec, PGP, oder System
Address (IP Adresse) IP Adresse des Zielrechners
Message (Nachricht) ein Text, der eine kurze Beschreibung des aufgetretenen Ereignisses oder Fehler liefert


Host Fenster

PGPnet Hosts Fenster

Das Host Fenster zeigt alle Hosts (Einzelrechner), Gateways (Zwischen-, Firewall-, Proxyrechner) und Subnetze (IP Adressenbereich eines Netzes, der mehrere Einzelrechner einschliesst), zu denen auf gesichertem Wege einer SA oder in jedem Fall eine ungesicherte Verbindung aufgenommen werden soll:

Name selbstgewählter Name des Subnetzes, Host- oder Gatewayrechners
Address IP Adresse des Hosts, Subnetzes oder Gateways
Subnet ist das Ziel ein Subnetz, wird hier die Netzmaske des Subnetzes angezeigt
Authentication der Typ der Authentifizierung als Icon
  • ein Schlüssel symbolisiert Authentifizierung über Public Key Kryptografie
  • ein Zertifikat symbolisiert Authentifizierung per X.509 Zertifikat.
  • ein Ohr symbolisiert Authentifizierung über eine gemeinsame Passphrase (shared secret)
  • kein Icon symbolisiert eine ungesicherte Verbindung
SA Anzeige eines grünen Buttons, wenn eine SA zum Zielrechner besteht

Erklärung der Buttons

Edit Aufruf des Konfigurationsmenüs, in dem der Zielrechner näher konfiguriert wird
Remove Entfernung des Ziel Eintrags
Add Aktivierung des Konfigurationsassistenten zur Neuanlage eines Hosts, Subnetzes oder Gateways (im Expertenmodus wird sofort das Konfigurationsmenü gestartet)
Connect/Disconnect über "Connect" wird eine SA aufgebaut, "Disconnect" beendet die SA, wenn zuvor der entsprechende Hosteintrag markiert wurde


das Konfiguration eines einzelnen Hosts (Zielrechner), eines Subnetzes oder Gateways

Hinweise

Zur Vereinfachung sollte der Expertenmodus abgeschaltet sein.
Wird PGPnet in einer Firmenumgebung eingesetzt, sollte die Host-Tabelle schon vom Netzwerkadministrator konfiguriert sein, da er über alle notwendigen Daten verfügt.
Wird zur Authentifizierung eine gemeinsame Passphrase (Shared Secret) genutzt, muss die gleiche Passphrase auf dem Zielrechner konfiguriert sein.

Je nachdem, wieviel Rechner und Subnetze einem TCP/IP Netz zugeordnet sind, werden die IP-Adressen in die Klassen A bis D unterteilt. Jeder Netzklasse ist eine Netzmaske zugeordnet.
So bildet ein Klasse-C-Netz 254 Rechner ab und hat die Netzmaske 255.255.255.0, die Netzwerk-ID (das ist die erste Zahl einer IP-Adresse) liegt zwischen 128 und 191, ein Klasse-B-Netz bildet schon 65354 Rechner ab und hat die Netzmaske 255.255.0.0, die Netzwerk-ID liegt zwischen 192 und 223.
Ein Netz kann wiederum in mehrere Unter-, bzw. Subnetze aufgeteilt werden.
In der Hostabbildung aus dem PGP Manual hätte das Klasse-C-Netz die IP-Adresse 123.123.0.0 mit der Netzmaske 255.255.255.0 , ein Subnetz trägt die IP-Adresse 123.123.123.0, ein Rechner in diesem Subnetz hätte z. B. die IP-Adresse 123.123.123.1
Mehrere verschiedene Netze können durch Gateway-Rechner miteinander verbunden werden, die die Aufgabe haben, die Informationen, bzw. die Datenpackete eines Netzes in ein anderes zu transportieren. Der Gateway kann auch mit Funktionen zur Filterung und Regelung der Zugangsbefugnisse für Daten aus anderen Netzen oder von anderen Rechnern ausgestattet sein, dann spricht man von einem Firewall-Rechner.
Daraus folgt für die Anwendung und Benutzung von PGPnet dass man, je nachdem, ob alle Rechner eines Subnetzes, ein einzelner Rechner, oder ein Rechner hinter einem Gateway erreicht werden soll,

  • die IP-Adresse oder den Namen des Hosts (Zielrechner)
  • die IP-Adresse und die Subnetz Netzmaske des Ziel-Subnetzes
  • die IP-Adresse oder den Namen des Gatewayrechners
bekannt sein muss

Eintrag eines Hosts oder Subnetzes

  1. Button "Add"
  2. Button "Weiter"
  3. Checkbox "Host"
    oder
    Checkbox "Subnet"
    aktivieren
  4. "Enforce secure communications" - wenn gesicherte Verbindungen (SA) verwendet werden
    "Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden
  5. im Textfeld eine Bezeichnung für den Host (Zielrechner) oder das Subnetz eingeben
  6. den Host Domain Namen oder die IP-Adresse des Hosts (Zielrechners)
    oder
    die IP-Adresse und die Netzmaske des Subnetzes
    eingeben
  7. bei einer ungesicherten Verbindung:
    • Fertig stellen
    bei einer gesicherten Verbindung:
    1. "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
    2. Fertig stellen

    1. "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
    2. Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
    3. die Angaben festlegen, wie sich der eigene Rechner gegenüber dem Zielrechner identifiziert:
      IP address - mit der eigenen IP Adresse (000.000.000.000)
      Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
      User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
      Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz")
    4. Fertig stellen

Eintrag eines Gateways

  1. Button "Add"
  2. Button "Weiter"
  3. Checkbox "Gateway" aktivieren
  4. "Enforce secure communications" - wenn gesicherte Verbindungen (SA) verwendet werden
    "Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden
  5. den Host Domain Namen oder die IP-Adresse des Gateways eingeben
    1. "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
    2. Fertig stellen

    1. "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
    2. Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
    3. die Angaben festlegen, wie sich der eigene Rechner gegenüber dem Zielrechner identifiziert:
      IP address - mit der eigenen IP Adresse (000.000.000.000)
      Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
      User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
      Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz")
    4. die Abfrage, ob jetzt ein Host oder Subnet, die hinter dem Gateway liegen, mit dem Gatewayeintrag verbunden werden soll, bejahen oder verneinen.
      Bei der Bejahung der Abfrage startet der gleiche Dialog wie unter Eintrag eines Hosts oder Subnetzes,
      bei Verneinung der Abfrage wird der Gateway sofort eingetragen und Host oder Subnet können später (siehe unten) hinzugefügt werden.
    5. Fertig stellen

Eintrag eines Hosts oder Subnetzes, die sich hinter einem Gateway befinden

  1. das Gateway ist schon konfiguriert im Hosts Fenster vorhanden
  2. den Gatewayeintrag im Hosts Fenster markieren
  3. Button "Add"
  4. Button "Weiter"
  5. Checkbox "Yes (Create a new host entry which is behind the gateway XY)" aktivieren
  6. Checkbox "Host" oder "Subnet" aktivieren
  7. "Enforce secure communications" - wenn gesicherte Verbindungen (SA) verwendet werden
    "Allow insecure communications" - wenn ungesicherte Verbindungen verwendet werden
  8. im Textfeld eine Bezeichnung für den Host (Zielrechner) oder das Subnetz eingeben
  9. den Host Domain Namen oder die IP-Adresse des Hosts (Zielrechners)
    oder
    die IP-Adresse und die Netzmaske des Subnetzes
    eingeben
    1. "Use public-key cryptography only" - wenn die Authentifizierung nur über Public Keys durchgeführt werden soll
    2. Fertig stellen

    1. "First attempt shared secret security, then fall back to public-key cryptography" - wenn zuerst eine Authentifizierung über eine gemeinsame Passphrase versucht und danach erst auf Public Keys zurückgegangen werden soll
    2. Eingabe der gemeinsamen Passphrase in die Textfelder (die Passphrase wird im Klartext auf der Festplatte gespeichert)
    3. die Angaben festlegen, wie sich der eigene Rechner gegenüber dem Zielrechner identifiziert:
      IP address - mit der eigenen IP Adresse (000.000.000.000)
      Host Domain Name - mit dem Namen des Rechners (host.domain.netz)
      User Domain Name - mit der E-mail Adresse (user@host.domain.netz)
      Distinguished Name - mit einem selbstdefinierten Textstrang, der sich an den Angaben eines Zertifikats anlehnt ("CN="user",_C=DE,_EMAIL=user@host.domain.netz")
    4. Fertig stellen

Wenn zu einem späteren Zeitpunkt die Angaben zu einem Host, Subnetz oder gatewayeintrag verändert werden müssen, kann man entweder den entsprechenden Eintrag im Hosts Fenster doppelt anklicken oder man klickt den "Edit" Button an.
Daraufhin öffnet sich das Editorfenster:

PGPnet Editor

Hier kann ein DNS Lookup durchgeführt, der Status des Eintrags und die Authentifizierungsmethode abgeändert werden.
Im Abschnitt Remote Authentication kann für einen Eintrag zwingend vorgeschrieben werden, welchen PGP-Key oder welches X.509 Zertifikat der Rechner verwenden muss, um eine SA zum eigenen Rechner aufbauen zu können.
Präsentiert der andere Rechner einen falschen Key oder ein falsches Zertifikat, wird eine SA dem Partner verweigert.
Wurde als Option die Erfordernis von validen Keys angegeben, muss der Key nach Überprüfung und Signierung als valid im Public Keyring gekennzeichnet sein, andernfalls kommt auch keine SA zustande.