Benutzer:LeonTrav/Kapitel1

In diesem Kapitel werden wir

• Überprüfen, ob gpg richtig installiert ist
• Einen Test-Schlüssel erzeugen
• Den Test-Schlüssel anzeigen lassen
• Den Test-Schlüssel wieder löschen

Im nächsten Kapitel werden wir den richtigen Schlüssel erzeugen.

Wir werden die Schlüsselerzeugung in einem Terminal-Fenster (für Windows: "Eingabeaufforderung") durchführen. Dies hat den großen Vorteil, dass wir genau sehen, was dabei passiert. Die graphischen GPG-Versionen verstecken oft -aus guter Absicht- einige Details, die helfen, das Programm zu verstehen.

Übrigens: gpg hat eine eingebaute Notbremse. Falls irgendetwas nicht funktioniert wie hier beschrieben, oder du irgendwie steckenbleibst, dann bringt dich Control-C wieder zurück. Dazu drücke und halte die Strg -Taste und drücke dann gleichzeitig die Taste c.

Los' gehts!

Im Terminal geben wir ein gpg --version, d.h. "gpg" Leerzeichen, zwei Minuszeichen gefolgt von "version" (ohne Leerzeichen). Praktisch alle Kommandos in diesem Buch werden dieses Format haben: gpg, Leerzeichen, zwei Minuszeichen, gefolgt von einem Kommando und evtl. weiteren Angaben.

Meine Eingaben werden fett dargestellt.

Nach dem Drücken der Eingabetaste sollte der Bildschirm ungefähr so aussehen:

   gpg --version
   gpg (GnuPG) 2.0.22 (Gpg4win 2.2.1)
   libgcrypt 1.5.3
   Copyright (C) 2013 Free Software Foundation, Inc.
   License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
   This is free software: you are free to change and redistribute it.
   There is NO WARRANTY, to the extent permitted by law.
     
   Home: C:/Users/user/AppData/Roaming/gnupg
   Supported algorithms:
   Pubkey: RSA, ELG, DSA, ?, ?
   Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
           CAMELLIA128, CAMELLIA192, CAMELLIA256
   Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
   Compression: Uncompressed, ZIP, ZLIB, BZIP2
  

Die wichtigen Teile der Ausgabe sind gelb hinterlegt. In der ersten Zeile steht der Programmname (gpg) und die Versionsnummer (2.0.22). Dieses Buch ist für Version 2.0 geschrieben. Die letzte Zahl der Versionsnummer ist für unsere Zwecke irrelevant. Wir eine Version kleiner als 2.0 angezeigt, solltest du eine neue Version von gpg installieren. Erscheint stattdessen eine Fehlermeldung, ist gpg nicht oder nicht richtig installiert. In diesem Fall musst du gpg installieren (siehe Anhang), bevor du weiterarbeiten kannst.

Die weiteren Ausgaben des Kommandos sind die Lizenzinformationen, das Verzeichnis, in dem gpg die Schlüsseldaten ablegt (davon sollte regelmäßig ein Backup erstellt werden) und die in gpg eingebauten Verschlüsselungsverfahren.

Um den Ablauf der Schlüsselerzeugung kennenzulernen, erzeugen wir einen Test-Schlüssel, d.h. einen Schlüssel mit Phantasiedaten. Wir brauchen dazu einen Namen, eine E-Mail Adresse und ein Passwort. Ich wähle den Namen "Miki Maus" und die E-Mail "miki@maus.de"; du kannst diese Angaben benutzen oder dir andere ausdenken. Zur Schlüssererzeugung verwenden wir das Kommando --gen-key

   gpg --gen-key
   gpg (GnuPG) 2.0.22; Copyright (C) 2012 Free Software Foundation, Inc.
   This is free software: you are free to change and redistribute it.
   There is NO WARRANTY, to the extent permitted by law.
   
   Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
      (1) RSA und RSA (voreingestellt)
      (2) DSA und Elgamal
      (3) DSA (nur signieren/beglaubigen)
      (4) RSA (nur signieren/beglaubigen)
   Ihre Auswahl? 1

Die sinnvollen Optionen sind in gpg voreingestellt; davon sollte man nur abweichen, wenn man sehr gute Gründe dafür hat. Für unseren Zweck sind die Voreinstellungen ideal, wir geben 1 ein und drücken die Eingabetaste.

   RSA-Schlüssel können zwischen 1024 und 4096 Bit lang sein.
   Welche Schlüssellänge wünschen Sie? (2048)

Auch hier ist die Voreinstellung ideal. Wir drücken die Eingabetaste.

   Die verlangte Schlüssellänge beträgt 2048 Bit
   Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
            0 = Schlüssel verfällt nie
         <n>  = Schlüssel verfällt nach n Tagen
         <n>w = Schlüssel verfällt nach n Wochen
         <n>m = Schlüssel verfällt nach n Monaten
         <n>y = Schlüssel verfällt nach n Jahren
   Wie lange bleibt der Schlüssel gültig? (0) 3y

Wir wählen eine Gültigkeit von drei Jahren, geben also 3y ein und drücken die Eingabetaste. Diese Angabe ist unkritisch, wir können sie später noch ändern.

   Key verfällt am Mo 20 Mär 2017 13:05:16 CET
   Ist dies richtig? (j/N) j
   

Nun bestätigen wir die angegebene Gültigkeit durch Eingabe von j und Druck auf die Eingabetaste.

   GnuPG erstellt eine User-ID um Ihren Schlüssel identifizierbar zu machen.
   Ihr Name ("Vorname Nachname"): Miki Maus

Wir geben den Namen ein, danach fragt gpg nach der Email-Adresse.

   Email-Adresse: miki@maus.de

und zuletzt nach einem Kommentar.

   Kommentar: mit den grossen Ohren

gpg zeigt uns die Daten an und gibt uns die Möglichkeit zur Korrektur. Aus Name, Kommentar und EMail-Adresse bildet GnuPG die Benutzerkennung (User-ID_) welche nach der Schlüsselerzeugung nicht mehr änderbar ist.

   Sie haben diese User-ID gewählt:
   "Miki Maus (mit den grossen Ohren) <miki@maus.de>"
   Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f
   

Ist alles richtig, bestätige bitte mit f. Anschließend fragt gpg nach einem Passwort, bzw einer Passphrase. Bei einigen gpg-Versionen wird die Passphrase im Terminal-Fenster eingegeben, erscheint ein separates Passworteingabe-Fenster. Gib bitte eine Passphrase ein. Zur Bestätigung musst du diese gleich anschließend ein zweites Mal eingeben. Danach startet die Schlüsselerzeugung.

   Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
   unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
   tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
   Wir müssen eine ganze Menge Zufallswerte erzeugen. Sie können dies
   unterstützen, indem Sie z.B. in einem anderen Fenster/Konsole irgendetwas
   tippen, die Maus verwenden oder irgendwelche anderen Programme benutzen.
   gpg: Schlüssel C9C2199D ist als uneingeschränkt vertrauenswürdig gekennzeichnet
   Öffentlichen und geheimen Schlüssel erzeugt und signiert.
   
   gpg: "Trust-DB" wird überprüft
   gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
   gpg: Tiefe: 0  gültig:   2  signiert:   0  Vertrauen: 0-, 0q, 0n, 0m, 0f, 2u
   gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2018-03-19
   pub   2048R/C9C2199D 2014-03-21 [verfällt: 2017-03-20]
     Schl.-Fingerabdruck = F9CD 1270 EA59 C20D 3612  8E9E 8770 8FF6 C9C2 199D
   uid                  Miki Maus (mit den grossen Ohren) <miki@maus.de>
   sub   2048R/C4EA72C2 2014-03-21 [verfällt: 2017-03-20]

Die Schlüsselerzeugung dauert auf üblichen PCs nur wenige Sekunden. Sollte es einmal länger dauern, hilft es, etwas mit dem PC zu arbeiten oder die Maus zu bewegen.

Wichtig sind wieder die gelb hinterlegten Zeilen: 'Öffentlichen und geheimen Schlüssel erzeugt und signiert." ist die Erfolgsmeldung von gpg. Das haben wir verlangt und dies hat gpg auch gemacht. Nach dieser Meldung kommen einige Zeilen über 'Trust-DB', dies sind Informationen über das Vertrauensnetzwerk (Web-of-Trust), das in einem späteren Kapitel beschrieben wird. Danach folgen die Daten des erzeugten Schlüsselpaares:

Die erste Zeile beginnt mit der Kennung pub, d.h. sie beschreibt einen öffentlichen Schlüssel (public key). Dieser ist ein 2048-Bit RSA-Schlüssel mit der Schlüsselkennung C9C2199D der am 21.03.2014 erstellt wurde. Diese Schlüsselkennung ist nicht eindeutig, sondern nur ein Kurz-Name für den Schlüssel. Die eindeutige Kennung des Schlüssels, der sogenannte Fingerabdruck, folgt in der nächsten Zeile und lautet F9CD 1270 EA59 C20D 3612 8E9E 8770 8FF6 C9C2 199D.

Die nächste Zeile umfasst die Benutzerkennung (uid = User-ID) Miki Maus (mit den grossen Ohren) <miki@maus.de>.

Die letzte Zeile beschreibt einen Unterschlüssel (subordinate key), welchen GnuPG automatisch generiert hat. Dieser Schlüssel wird nur intern verwendet und erhöht die Sicherheit des RSA-Verfahrens.

Das Kommando zum anzeigen der Schlüssel lautet --list-keys. Wir haben bis jetzt nur einen Schlüssel, die Ausgabe ist ähnlich wie bei der Schlüsselerzeugung, lediglich der Fingerabdruck wird nicht angezeigt.

   gpg --list-keys
   pub   2048R/C9C2199D 2014-03-21 [verfällt: 2017-03-20]
   uid                  Miki Maus (mit den grossen Ohren) <miki@maus.de>
   sub   2048R/C4EA72C2 2014-03-21 [verfällt: 2017-03-20]

Moment! Bisher war immer die rede von einem Schlüsselpaar, bestehend aus öffentlichem und geheimen Schlüssel. GnuPG hat aber in den letzten Beispielen immer nur den öffentlichen Schlüssel (Kennung pub) angezeigt. Wo ist der geheime Schlüssel?

Ja, normalerweise arbeiten die gpg Kommandos immer mit den öffentlichen Schlüsseln. Aber natürlich lassen sich die geheimen Schlüssel auch anzeigen, und zwar mit dem Kommando --list-secret--keys

   gpg  --list-secret-keys
   sec   2048R/C9C2199D 2014-03-21 [verfällt: 2017-03-20]
   uid                  Miki Maus (mit den grossen Ohren) <miki@maus.de>
   ssb   2048R/C4EA72C2 2014-03-21 [verfällt: 2017-03-20]

Die Ausgabe ist fast identisch zu der Anzeige der öffentlichen Schlüssel, statt 'pub' ist die Kennung der ersten Zeile sec (secret key = geheimer Schlüssel) und statt 'sub' steht in der dritten Zeile ssb (secret sub key)

Zu guter Letzt entfernen wir den soeben erzeugten Schlüssel wieder restlos von unserem Computer. Das Kommando hierfür lautet --delete-secret-and-public-key gefolgt von dem Namen des zu entfernenden Schlüssels. Das Kommando ist absichtlich so kompliziert gewählt, um ein versehentliches Löschen eines Schlüssels zu verhindern. GnuPG hat viel bessere Methoden, um einen echten Schlüssel abzuschalten, für unsere Zwecke ist dieses Kommando jedoch genau richtig. Zur Sicherheit müssen wir das Löschkommando dreimal bestätigen

   gpg --delete-secret-and-public-key Miki
   sec   2048R/C9C2199D 2014-03-21 Miki Maus (mit den grossen Ohren) <miki@maus.de>
   Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
   Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N)  j
   pub   2048R/C9C2199D 2014-03-21 Miki Maus (mit den grossen Ohren) <miki@maus.de>
   Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N)   j

Zur Sicherheit können wir überprüfen, ob die Schlüssel wirklich gelöscht sind:

   gpg --list-keys
   gpg: error reading key: Kein öffentlicher Schlüssel

Prima. Damit ist der erste Abschnitt abgeschlossen. Wenn du möchtest, kannst du nochmal einen neues Schlüsselpaar erzeugen und wieder löschen. Im nächsten Kapitel folgen Überlegungen zur Wahl einer guten Benutzerkennung (User-ID).

Wir haben im letzten Kapitel gesehen, wie man ein neues Schlüsselpaar erstellt. GnuPG benötigt dazu folgende Daten: Schlüsseltyp und -länge, Gültigkeit, Passwort, Name, E-Mail-Adresse und evtl. noch einen Kommentar. Welche Werte wählt man für einen echten Schlüssel? Hier die Empfehlung, sortiert von einfach bis komplex:

Schlüsseltyp und -länge

Die Voreinstellungen (RSA/RSA und 2048) sind optimal.

E-Mail

Wir geben die Adresse ohne Klammern oder sonstige Sonderzeichen an, beispielsweise mailname@provider.de

Passwort

Wähle ein gutes Passwort! Das Internet ist voll mit Anleitungen hierzu; ich empfehle die Diceware-Methode. Faustregel: jedes Passwort mit weniger als 10 Zeichen Länge ist unsicher und sollte nicht verwendet werden. Das Passwort kann nachträglich geändert werden.

Gültigkeit

Damit ist keine Selbstzerstörung des Schlüssels gemeint, wie man sie aus schlechten Agentenfilmen kennt. Die Gültigkeit ist nur ein freundlicher Hinweis im Sinne von mindestens haltbar bis. Das soll ausdrücken, dass der Schlüsselbesitzer eventuell nach dem Verfallsdatum einen anderen Schlüssel benutzen möchte. Versucht man, den Schlüssel nach dem Verfallsdatum zu benutzen, wird das E-Mail-Programm eine Warnung ("abgelaufener Schlüssel") anzeigen. Rein technisch gesehen bleibt der Schlüssel unbegrenzt nutzbar. Privatleute wählen eine Gültigkeit von 3 oder 4 Jahren, öffentliche Personen ebenso, es sei denn, andere Werte sind sinnvoller. Ein Politiker könnte die Gültigkeit auf das Ende der Legislaturperiode legen, der Sprecher einer Bürgerinitiative auf einen Zeitpunkt nach dem Aktionsende. Die Entscheidung ist unkritisch; die Gültigkeitsdauer eines Schlüssels lässt sich auch nach der Schlüsselerzeugung noch ändern.

Name

Eigentlich eine einfache Sache, oder? Wenn du eine öffentliche Person bist, dann verwendest du deinen vollständigen Namen in der Schreibweise wie im Personalausweis. Privatleute sollten bedenken, dass die User-ID derjenige Teil des öffentlichen Schlüssels ist, der nicht nachträglich geändert werden kann. Per Definition soll dieser Schlüssel möglichst vielen Personen zugänglich sein. Die Kernfrage lautet: Will ich meinen echten Namen unwiderruflich mit meiner E-Mail-Adresse verbinden? Falls mein Name schon Bestandteil meiner E-Mail-Adresse ist, z.B. bei max.mueller@provider.de, dann kann ich ruhig "Max Müller" als Name im Schlüssel verwenden. Verwende ich bis jetzt eine pseudonyme Adresse, z.B. mm43@provider.de, dann muss ich mich entscheiden, ob ich meinen echten Namen preisgeben will. In der Regel wird man beim Pseudonym bleiben. Hinweis: GnuPG verlangt, dass der Name mindestens 5 Buchstaben umfasst, in diesem Fall könnte man mm-43 als Namen zur E-Mail mm43@provider.de wählen.

Kommentar

Privatleute lassen dieses Feld am besten frei. Öffentliche Personen tragen hier ergänzende Informationen ein, die weder Teil des Namens noch der E-Mail-Adresse sind. Beispiel:

Für Journalisten

Vorname Name (Politikredaktion) <name@zeitung.de>

Für Bürgerinitiativen

Vorname Name (Pressesprecher der BI) <name@initiative>

Für Politiker

Vorname Name (ABC-Partei, Ortsverband XY) <name@mail>

Vorname Name (MdB, ABC-Partei, Wahlkreis 999) <name@mail>

Der openPGP-Standard erlaubt es, mehrere Benutzerkennungen in einem Schlüssel zu verwenden. Dies ist im Allgemeinen eine schlechte Idee, weil es nicht möglich ist, die zusätzlichen Benutzerkennungen wieder vom Schlüssel zu entfernen. Die Information ist also "für immer" im Internet. In den allermeisten Fällen ist es zweckmäßig, für jede E-Mail-Adresse einen separaten PGP-Schlüssel zu erzeugen statt mit zusätzlichen Benutzerkennungen zu arbeiten. Deshalb werden wir an dieser Stelle nicht darauf eingehen, wie man solche zusätzlichen Benutzerkennungen anlegt. GnuPG-Profis, die diese Funktion wirklich benötigen, finden sie im Referenzteil des Buchs.

Hier eine fiktive Geschichte:

Der Nutzer Jaap Modal besitzt die E-Mail Adresse jaapm@provider.com; für die er auch einen PGP-Schlüssel besitzt. Er engagiert sich auch in einem Verein der osteuropäische Waisenhäuser unterstützt, weshalb er sich die Vereins-E-Mail jaap@waisenhaus-verein.org zulegt und sie als zusätzliche Benutzerkennung seinem PGP-Schlüssel anfügt. Nach einiger Zeit zieht Jaap aus beruflichen Gründen in eine andere Stadt um, er scheidet aus dem Verein aus und deaktiviert die Vereins-E-Mail-Adresse. Später muss Jaap mit Schreck aus der Zeitung erfahren, dass die Staatsanwaltschaft gegen seinen ehemaligen Verein ermittelt. Anscheinend ist die neue Vereinsvorsitzende Chefin eines Menschenhändlerrings und hat minderjährige Mädchen aus den Waisenhäusern in Bordelle vermittelt.

Jaap ist zu Recht entsetzt: zu seiner Zeit hat der Verein 100% sauber gearbeitet; nun taucht der Vereinsname im Internet nur noch im Zusammenhang mit Prostitution auf. Noch schlimmer ist, dass jedermann nachvollziehen kann, dass Jaap einmal mit dem Verein verbunden war, denn es existiert ein PGP-Schlüssel, welcher Jaaps Namen mit der Vereins E-Mail-Adresse verknüpft. Es gibt keine Möglichkeit, diese Information aus dem Internet zu entfernen; insbesondere kann jeder potentielle Arbeitgeber die Verbindung zwischen Jaap und dem Verein feststellen. Falls Jaap überhaupt noch zu Vorstellungsgesprächen eingeladen wird, hat er wohl einiges zu erklären. Auch ein ehrenamtliches Engagement, z.B. im Elternbeirat der Schule seiner Kinder, ist für Jaap nun eher unwahrscheinlich geworden.

So wie im letzten Kapitel geübt, erstellen wir das echte Schlüsselpaar. Ich erstelle einen Schlüssel für Ines Eiffel mit der E-Mail i.eiffel@cuvox.de. Ich erhalte diesen Schlüssel:

   pub   2048R/DA26EF4C 2014-03-25 [verfällt: 2018-03-24]
     Schl.-Fingerabdruck = 9D82 28C3 A8EA 1CCB 1C86  9F82 4E9C 7CA3 DA26 EF4C
   uid                  I.Eiffel <i.eiffel@cuvox.de>
   sub   2048R/7BECD864 2014-03-25 [verfällt: 2018-03-24]

Bist du zufrieden mit deinem Schlüssel? Falls nein, dann lösche ihn wieder und mach es nochmal.

So, wir haben nun ein echtes Schlüsselpaar. Darauf müssen wir gut aufpassen; ginge es nämlich verloren, wäre auch unsere digitale Identität weg, d.h. wir könnten an uns gerichtete verschlüsselte Mails nicht mehr lesen und wir könnten keine signierten Mails mehr senden. Wir könnten also nicht einmal unseren E-Mail-Kontakten glaubwürdig mitteilen, dass wir unseren Schlüssel verloren haben.

Daher ist es wichtig, eine Kopie unseres geheimen Schlüssels zu erstellen und diese sicher aufzubewahren. Die Kopie erstellen wir mit dem Kommando --export-secret-key -a (das -a bewirkt, dass die Ausgabe in einem lesbaren Format erfolgt; fehlt dies, werden Binärdateien geschrieben). Die Ausgabe soll in die Datei geheim.txt erfolgen. Wir geben auch den NAmen des Schlüssels an, den wir exportiren wollen; entweder in Form der ID (DA26EF4C) oder durch Angabe eines Teils der Benutzerkennung

   gpg --export-secret-key -a --output geheim.txt  I.Eiffel 

GnuPG gibt nur dann eine Meldung aus, wenn ein Fehler aufgetreten ist; ansonsten wird nur die angegebene Datei erzeugt, welche etwa diesen Inhalt hat (gekürzt):

   -----BEGIN PGP PRIVATE KEY BLOCK-----
   Version: GnuPG v2.0.22
   
   lQOYBFMiJtABCAC9LmgMgloqslf6MjWywUXgObFs3yXeK3cl11oEcF6bPs8aXwkF
   O/MfL+FUC0b68jeygaGCtEgFk+fHZY34eCBRfDp+mghvM2Q5OouexCwzQslmemWX
   ...
   Bg14uoT6SqfdYaG3oDVHsD9ATZVmdkmWeLQ7p1WlLcQCmj6NaS0fEk4XWSIcmoPY
   9eBdfEk=
   =iVtA
   -----END PGP PRIVATE KEY BLOCK-----

Diese Datei sollte auf einen Datenträger (z.B. CD, USB-Stick) kopiert oder ausgedruckt und sicher verwahrt werden. Auch das zugehörige Passwort sollte man sich notieren und sicher verwahren. Sollte irgendwann der Schlüssel verlorengehen, z.B. durch Blitzschlag, Brand oder Diebstahl des Computers kann man den gesicherten Schlüssel wieder einspielen.

Ich drucke meine geheimen Schlüssel normalerweise aus. Damit ich noch weiß, welcher Ausdruck zu welchem Schlüssel gehört schreibe ich das mit in die Datei. Ich öffne also geheim.txt mit einem Editor und füge eine kurze Erklärung vor der BEGIN PGP-Zeile ein. Beispiel:

   Schlüssel ID DA26EF4C, I.Eiffel <i.eiffel@cuvox.de> vom 25.03.2014
   Passwort: nodalknickameshfpatpiotr
   -----BEGIN PGP PRIVATE KEY BLOCK-----
   Version: GnuPG v2.0.22
   
   lQOYBFMiJtABCAC9LmgMgloqslf6MjWywUXgObFs3yXeK3cl11oEcF6bPs8aXwkF
   O/MfL+FUC0b68jeygaGCtEgFk+fHZY34eCBRfDp+mghvM2Q5OouexCwzQslmemWX
   ...
   Bg14uoT6SqfdYaG3oDVHsD9ATZVmdkmWeLQ7p1WlLcQCmj6NaS0fEk4XWSIcmoPY
   9eBdfEk=
   =iVtA
   -----END PGP PRIVATE KEY BLOCK-----

Falls du den Schlüssel ausgedruckt hast, musst du dann den Text (bzw den Buchstabensalat) wieder eintippen. Darum ist es hilfreich, den Schlüssel in einer leicht lesbaren Schriftart auszudrucken, insbesondere sollten sich die Zeichen Null und Eins deutlich von den Buchstaben "O", "I" und "L" (jeweils klein und groß) unterscheiden, geeignete Schriften sind z.B. Courier oder DejaVuSansMono. GnuPG ignoriert alles vor der BEGIN-Zeile und alles nach der END-Zeile. Du kannst das nutzen, um eine kleine Erklärung zu dem Schlüssel zu schreiben, z.B. "Das ist mein geheimer Schlüssel mit der Benutzerkennung mm43@mail, ID G3E1353, erzeugt am 12.03.2014".