<?xml version='1.0' encoding='ISO-8859-1'?>
<!DOCTYPE chapter PUBLIC "-//OASIS//DTD DocBook XML V4.4//EN"
  "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<!-- $Id: pgp.xml,v 1.3 2006/08/16 14:31:28 cs Exp $ -->

<chapter id='configure-pgp'>
<title>PGP</title>

<para>
In OTRS knnen ausgehende Emails mit Hilfe von PGP signiert oder
verschlsselt werden. Ebenfalls ist es mglich verschlsselte Nachrichten zu
entschlsseln. Die Ver- und Entschlsselung mit PGP wird mit Hilfe des
GPL-Werkzeugs <application>GnuPG</application>  vorgenommen. Zur Einrichtung
sind die folgenden Schritte notwendig:
</para>

<para>
<orderedlist numeration="arabic">
    <listitem>
    <para>
    Erste Aufgabe ist es, das entsprechende GnuPG-Software-Paket zu
    installieren, welches bei den meisten Linux-Distributionen
    mitgeliefert wird. Dies sollte mit Hilfe des jeweiligen Paketmanagers
    leicht durchgefhrt werden knnen.
    </para>
    </listitem>
    <listitem>
    <para>
    Im zweiten Schritt muss das soeben installierte GnuPG zur
    Benutzung fr OTRS konfiguriert werden. Dies geschieht auf der
    Kommandozeilenebene durch einen Aufruf von GnuPG, der die notwendigen
    Verzeichnisse anlegt und den privaten Schlssel erzeugt. Der Aufruf
    muss als otrs-Benutzer (bzw. als der Benutzer, mit dessen Rechten das
    Ticket-System luft) durchgefhrt werden.
    </para>

    <para>
    <screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --gen-key
gpg (GnuPG) 1.4.2; Copyright (C) 2005 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

gpg: directory `/opt/otrs/.gnupg' created
gpg: new configuration file `/opt/otrs/.gnupg/gpg.conf' created
gpg: WARNING: options in `/opt/otrs/.gnupg/gpg.conf' are not yet active during t
his run
gpg: keyring `/opt/otrs/.gnupg/secring.gpg' created
gpg: keyring `/opt/otrs/.gnupg/pubring.gpg' created
Please select what kind of key you want:
   (1) DSA and Elgamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
     0 = key does not expire
  &lt;n&gt;  = key expires in n days
  &lt;n&gt;w = key expires in n weeks
  &lt;n&gt;m = key expires in n months
  &lt;n&gt;y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) &lt;heinrichh@duesseldorf.de&gt;"

Real name: Ticket System
Email address: support@example.com
Comment: Private PGP Key for the ticket system with address support@example.com
You selected this USER-ID:
"Ticket System (Private PGP Key for the ticket system with address support@examp
le.com) &lt;support@example.com&gt;"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.

Passphrase: secret
Repeat passphrase: secret

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
++++++++++.+++++++++++++++++++++++++....+++++.+++++...+++++++++++++++++++++++++.
+++++++++++++++++++++++++.+++++.+++++.+++++++++++++++++++++++++&gt;++++++++++&gt;+++++
.......&gt;+++++&lt;+++++................................+++++

Not enough random bytes available.  Please do some other work to give
the OS a chance to collect more entropy! (Need 280 more bytes)

++++++++++.+++++..++++++++++..+++++....++++++++++++++++++++.+++++++++++++++.++++
++++++++++++++++++++++++++.++++++++++.+++++++++++++++.++++++++++.+++++++++++++++
..+++++&gt;.+++++....&gt;+++++........................................................
...........................................................&gt;+++++&lt;+++++.........
.............+++++^^^
gpg: /opt/otrs/.gnupg/trustdb.gpg: trustdb created
gpg: key 7245A970 marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub   1024D/7245A970 2006-02-03
      Key fingerprint = 2ED5 BC36 D2B6 B055 7EE1  5833 1D7B F967 7245 A970
uid                  Ticket System (Private pgp key for ticket system with addre
ss support@example.com) &lt;support@example.com&gt;
sub   2048g/52B97069 2006-02-03

linux:~$
</screen>
    </para>

    <para>
    Wie man sehen kann, gengt es bei den meisten Fragen die Vorgabe
    mit &lt;EINGABE&gt; zu besttigen. Lediglich die Angabe zur ``Person''
    des Schlsselbesitzers ist zu vervollstndigen bzw. zum Ende hin ist
    an der mit (passphrase) gekennzeichneten Stelle die Passphrase fr
    den zu generierenden Schlssel einzugeben. Hier ist zu beachten,
    dass die Passphrase den blichen Anforderungen fr ein hinreichend
    sicheres Passwort gengt.
    </para>
    </listitem>
    <listitem>
    <para>
    Im nchsten Schritt muss OTRS auf die Verwendung von PGP vorbereitet
    werden. Suchen Sie in SysConfig nach ``PGP'' und when Sie danach dan
    die Untergruppe Crypt::PGP aus.
    </para>

    <para>
    In der nun angezeigten Maske sollte zum einen

    <link linkend="Framework:Crypt::PGP:PGP">"
    PGP aktiviert
    </link>

    werden (die erste Option). Danach sollte berprft werden, ob der
    voreingestellte

    <link linkend="Framework:Crypt::PGP:PGP::Bin">
    Pfad zum Programm gpg
    </link>

    der tatschlichen Installation entspricht.
    </para>

    <para>
    Die nchste Einstellung (

    <link linkend="Framework:Crypt::PGP:PGP::Options">
    PGP::Options
    </link>

    ) muss ggf. modifiziert werden.
    Es handelt sich um die Parameter, mit denen OTRS das
    Programm gpg aufruft. Hier ist insbesondere die Option fr die
    Lage des GnuPG-Konfigurationsverzeichnisses des OTRS-Benutzers
    otrs wichtig. Im Beispiel ist dies: /opt/otrs/.gnupg). Dieses
    Verzeichnis wurde im Schritt 1 automatisch von GnuPG angelegt.
    </para>

    <para>
    ber die letzte Option knnen die

    <link linkend="Framework:Crypt::PGP:PGP::Key::Password">
    Schlssel-Werte-Paare fr die ID(s) und Passphrase(n)
    </link>

    der eigenen PGP-Schlssel dem Ticket System bekannt gemacht werden.
    Noch einmal genauer: da andere Kommunikationspartner an das
    Ticket-System (oder besser: an den Mail-Eingang des Systems Emails mit
    dessen ffentlichen Schlssel verschlsselt schicken, kann OTRSmit
    dem/n in dieser Option angegebenen privaten Schlssel(n) solchermaen
    verschlsselte Mails entschlsseln.
    </para>

    <para>
    Woher bekommt man die ID des eigenen Schlssels? Die ID steckt
    schon in der Ausgabe der Schlsselgenerierung (siehe Schritt 1).
    Man kann die ID aber auch als Benutzer otrs jederzeit ber die
    Kommandozeile ermitteln:
    </para>

    <para>
    <screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --list-keys
/opt/otrs/.gnupg/pubring.gpg
----------------------------
pub   1024D/7245A970 2006-02-03
uid                  Ticket System (Private pgp key for ticket system with
address support@example.com) &lt;support@example.com&gt;
sub   2048g/52B97069 2006-02-03

linux:~$
    </screen>
    </para>

    <para>
    Die ID des Schlssels befindet sich in der Zeile, die mit sub
    beginnt und ist eine 8-stellige hexadezimale Kennung (im Beispiel
    lautet sie "52B97069". Die fr die Option geforderte Passphrase ist
    dieselbe, die beim Schlsselgenerieren in Schritt 1 verwendet wurde.
    </para>

    <para>
    Nach Eingabe all dieser Angaben knnen sie mit dem
    Aktualisieren-Button gespeichert werden. OTRS ist
    jetzt fr das Empfangen mit PGP verschlsselter Emails
    konfiguriert.
    </para>
    </listitem>
    <listitem>
    <para>
    Der letzte Schritt ist der Import des ffentlichen PGP-Schlssels eines
    Kunden. Dadurch wird sicher gestellt, dass aus OTRS heraus
    verschlsselte Mails an den jeweiligen Kunden gesendet werden knnen.
    Es bestehen zwei Mglichkeiten fr den Import.
    </para>

    <para>
    Zum einem knnen ber das

    <link linkend="adminarea-customeruser">
    Modul zur Verwaltung der Kunden
    </link>

    die ffentlichen PGP-Schlssel beim anlegen/bearbeiten des jeweiligen
    Kunden im System hinterlegt werden.
    </para>

    <para>
    Die zweite Mglichkeit bietet das System in den

    <link linkend="adminarea-pgp">
    PGP-Einstellungen
    </link>

    innerhalb des Admin-Bereiches. In dieser Konfigurationsmaske ist im
    rechten Teil eine Liste der bereits dem System zur Verfgung stehenden
    ffentlichen Schlssel zu sehen. Im Regelfall sollte nach der obigen
    Einrichtung hier schon der ffentliche Schlssel des Ticket-Systems
    selbst zu sehen sein. Im linken Teil besteht neben der Suche die
    Mglichkeit, neue Schlssel als Schlsseldatei ins System zu laden.
    Nach dem Laden eines neuen Schlssels wird dieser in der Liste auf
    der rechten Seite angezeigt, und gleichzeitig erhlt man oberhalb
    der Maske eine Statusmeldung, die ber das Laden des Schlssels
    informiert.
    </para>

    <para>
    Sowohl fr das Hinzufgen eines Schlssels ber die Kunden-
    als auch ber die PGP-Verwaltung gilt, dass die Dateien mit den
    Schlsseln PGP/GnuPG-konforme Schlssel sein mssen. I.d.R. wird
    der Schlssel als ``ASCII armored key''-Datei vorliegen, welches
    problemlos von OTRS verarbeitet werden kann.
    </para>
    </listitem>
</orderedlist>
</para>
</chapter>