E-Mails signieren und verschlüsseln – eine kurze Einführung Diese
Transcription
E-Mails signieren und verschlüsseln – eine kurze Einführung Diese
E-Mails signieren und verschlüsseln – eine kurze Einführung Diese Einführung wurde erstellt um einen ersten Einblick in die Problematik von Signieren und Verschlüsseln zu geben und um interessierten E-MailNutzern den Verständnisprozess etwas zu erleichtern und zu verkürzen. Da in diesem Aufsatz nicht alle Eventualitäten erklärt werden können, ist der Text durch Links ergänzt worden. Die Autorin übernimmt keine Gewähr für dennoch entstehende Probleme oder Inkompatibilitäten und kann keine individuellen Fragen beantworten. Informationen zur Internet-Sicherheit finden Sie hier und auf benachbarten Seiten: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/ISi-Reihe/ISiReihe_node.html Theorie Signieren: Um eine Mail signieren zu können, benötigen Sie eine spezielle Software. Die Rede ist hier nicht von „Signatur“ i. S. von Absenderangaben am unteren Rand eines E-Mail-Textes, sondern von „elektronischer Signatur“. Wenn Sie also mit Hilfe dieser Software Ihre Mail vor dem Absenden signiert haben, erhält der Empfänger innerhalb der Mail einen Hinweis darauf, dass die Nachricht tatsächlich von Ihnen stammt, sowie die Gewissheit, dass der Inhalt unverändert bzw. nicht unbemerkt verändert bei ihm angekommen ist. Gleichzeitig mit dem Signieren wird der „öffentliche Schlüssel“ bzw. das „Zertifikat“ des Absenders übermittelt. Der Empfänger kann Ihre Mail genauso lesen wie eine nicht signierte Mail. Falls wider Erwarten nicht, liegt es an der Sicherheitseinstellung seines eigenen E-Mail-Programmes. Verschlüsseln: Bevor Sie eine E-Mail verschlüsseln (die Mail selbst und/oder den Anhang, je nach Einstellung), benötigen Sie nicht nur eine spezielle Software, sondern vor allem den so genannten „öffentlichen Schlüssel“ (public key), bei S/MIME-Signierung auch „Zertifikat“ genannt (siehe unten!) des jeweiligen Empfängers, den Sie natürlich nur dann erhalten können, wenn der Empfänger ebenfalls eine Verschlüsselungssoftware benutzt – im Idealfall die Ihrige oder nach dem Prinzip der Ihrigen. Das Prinzip der Verschlüsselung: Aufgrund eines mathematischen Prinzips (Algorithmen) werden Texte mit einem „öffentlichen Schlüssel“ verändert dargestellt um sie unlesbar zu machen, dann in diesem Zustand verschickt und mit dem „privaten Schlüssel“ des Empfängers von diesem wieder lesbar gemacht, also entschlüsselt. 2 Der „öffentliche Schlüssel“ bzw. das „Zertifikat“ ist nur zum Verschlüsseln geeignet, der „private Schlüssel“ nur zum Entschlüsseln. „Zertifikat“ meint „öffentlicher Schlüssel“ bei S/MIME und X.509Zertifikaten. Bei Open-PGP sagt man „öffentlicher Schlüssel“. Beide Systeme benutzen auch einen „privaten Schlüssel“. Wenn Sie eigene Dateien mit Ihrem eigenen „öffentlichen Schlüssel“ verschlüsseln und auf Ihrem PC speichern, können Sie sie nur mit Ihrem eigenen „privaten Schlüssel“ wieder lesbar machen. Dazu ist OpenPGP geeignet (siehe unten). Wenn Sie Dateien verschlüsseln, die Sie an eine andere Person schicken möchten, müssen Sie den „öffentlichen Schlüssel“ (sozusagen den „Verschlüsselungsschlüssel“) dieser anderen Person besitzen und benutzen. Eine von Ihnen auf diese Weise verschlüsselte Datei kann von Ihnen selbst nicht mehr entschlüsselt werden, da Sie den „privaten Schlüssel“ der anderen Person nicht besitzen. Diese Vorgehensweise nennt man „hybride“ oder „asymmetrische“ Verschlüsselung. Wer seine E-Mails signiert versenden und diejenigen seiner Korrespondenzpartner verschlüsselt erhalten möchte, hat zwei Möglichkeiten: Entweder das OpenPGP-Prinzip oder das S/MIME-Prinzip. Vorteile OpenPGP: Gratisprogramm „Gpg4win“ Man erstellt das Zertifikat selbst und hat es sofort parat. Es ist etwas einfacher zu handhaben als das S/MIME-Prinzip. Man kann es sehr leicht auch für die Verschlüsselung eigener Dateien auf dem PC benutzen. Das gut damit funktionierende Mail-Programm Thunderbird und das Zusatzprogramm Enigmail sind kostenlos. Thunderbird und Enigmail haben den Vorteil, dass man damit sowohl OpenPGP als auch S/MIME benutzen kann. Nachteile OpenPGP: Es kann nicht für iPhones benutzt werden. Im Windows-Zertifikatspeicher wird es nicht registriert. Wenn die Nachricht HTML-Formatierungen enthält, gehen sie verloren, denn beim Signieren und Verschlüsseln wird die Datei in ein „Nur-Text-Format“ umgewandelt, weswegen auch eingebettete Grafiken verschwinden, die man daher als Anhang senden sollte. 3 Vorteile S/MIME-Prinzip (Secure / Multipurpose Internet Mail Extensions): Auch iPhones verwenden dieses Prinzip. Im Windows-Zertifikatspeicher wird es registriert. Man kann einem Zertifizierungspfad bis zur letzten Zertifizierungsstelle der Hierarchie folgen (z. B. vom eigenen Zertifikat über Zwischenzertifikate bis zum sog. Wurzelzertifikat wie beispielsweise dem Zertifikat von S-Trust [Sparkassenverlag]). Der Support per E-Mail bei S-Trust bezüglich „sichere E-Mail“ ist vorbildlich. Nachteile S/MIME-Prinzip: Es dauert eine Weile, bis man das Zertifikat erhält (Gratiszertifikat der Klasse 1 – zur Klasseneinteilung siehe unten - bei www.trustcenter.de oder einem mit Gpg4win beantragten). Es kann sein, dass es etwas kostet: Zertifikat der Klasse 1, z. B. STrust des Sparkassenverlages (ca. 18,00 EUR pro Jahr). Es muss nach Ablauf der Laufzeit erneuert werden. Es gibt derzeit vier Klassen von Zertifikaten (Klasse 1 die schwächste, Klasse 4 die stärkste). Bei Klasse 1 wird lediglich die Existenz der E-MailAdresse überprüft, und meistens taucht nur diese im Zertifikat auf. Klasse 2 enthält neben der E-Mail-Adresse den Vornamen und Namen sowie die Organisation oder Firma. Die das Zertifikat beantragende Person muss schriftlich bestätigen, dass die gemachten Angaben korrekt sind. Bei Klasse 3 werden Handelsregisterauszug beziehungsweise Personalausweis überprüft (per Post-Ident), und für den Erwerb eines Zertifikats der Klasse 4 hat man sich persönlich bei der Zertifizierungsstelle einzufinden um anhand der Originaldokumente verifiziert werden zu können. Je höher die Klasse, desto teurer ist das Zertifikat meistens. Informationen zu beiden Systemen: http://www.kes.info/archiv/online/01-01-60-SMIMEvsOpenPGP.htm Man kann auf ein und demselben PC sowohl das OpenPGP- als auch das S/MIME-Prinzip benutzen, aber für sich selbst und für jeden anderen Korrespondenzpartner bei einer Aktion jeweils nur entweder das eine oder das andere. Untereinander sind die Signierungs- und Verschlüsselungssysteme nicht kompatibel. Die Zertifikatsdateien kann man nach der Installation bzw. dem sog. „Import“ wie folgt überprüfen: Geben Sie (unten links) bei „Start“ (Microsoft-Logo) „certmgr.msc“ ein. Klicken Sie auf das sich zeigende rote Icon und öffnen Sie dadurch das Programm! Pgp-Zertifikate tauchen hier nicht auf, lediglich S/MIME-Zertifikate. 4 Praxis 1. OpenPGP mit dem Programm „Gpg4win“ und Thunderbird Systemvoraussetzung: Windows XP, Windows Vista oder Windows 7, 32 oder 64bit System. Ungeachtet der Behauptung der Entwickler von Gpg4win, ihr Programm funktioniere mit dem Zusatzprogramm „GpgOL“ auch bei Microsoft Outlook 2003, sollten Sie auf Zeit raubende und frustrierende Experimente damit besser verzichten. Der Grund für die Inkompatibilität liegt z. B. darin, dass Microsoft Outlook 2003 auf den Zertifikatspeicher von Windows 7 zurückgreifen muss und dort aber nur Zertifikate für S/MIME verzeichnet werden, während Thunderbird einen eigenen Zertifikatsspeicher hat und durch einen eigenen Reiter im Menü bereits vom Verschlüsseln mit OpenPGP ausgeht, wohingegen man für die Arbeit mit Microsoft Outlook 2003 das Zusatzprogramm von „Gpg4win“ „GpgOL“ installieren muss, das u. U. Microsoft Outlook 2003 komplett lahmlegen kann. Auch bei Microsoft Outlook 2003 direkt sein Zertifikat einzugeben (Extras/Optionen/Sicherheit/Digitale Signaturen/...), ist nur mit einem S/MIME-Zertifikat möglich, nicht mit einem OpenPGP-Zertifikat. Herunterladen, installieren und einrichten Thunderbird: http://www.mozilla.org/de/thunderbird/ Laden Sie Thunderbird herunter und installieren Sie das Programm (alle EMail-Provider erklären auf ihren Serviceseiten genau, wie Sie auf Thunderbird bereits vorhandene E-Mail-Konten einrichten und neue erstellen können). Erforderliches Zusatzprogramm (Add-on) zu Thunderbird: Enigmail: https://www.enigmail.net/download/ Laden Sie Enigmail herunter. Installieren Sie Enigmail; ein Tutorial dazu finden Sie hier: http://www.youtube.com/watch?v=zUa7DKVaA64). Gpg4win: http://www.gpg4win.de/ Laden Sie Gpg4win herunter (setzen Sie ein Häkchen bei „Kleopatra“, „GPA“ und „Gpg4win-Dokumentation“ – „GnuPG“ wird ohnehin installiert, die übrigen Programme benötigen Sie nicht; falls doch, können sie später immer noch nachinstalliert werden) und installieren Sie das Programm nach den Angaben, die während des Installationsvorganges auf dem Bildschirm zu sehen sind. 5 Öffnen Sie „Kleopatra“. Klicken Sie auf „Datei“, Neues Zertifikat“, „Persönliches OpenPGP-Schlüsselpaar erzeugen“ und folgen Sie weiter den Anweisungen auf dem Bildschirm. Die erzeugten Dateien sollten folgende Dateierweiterungen haben: .asc, .gpg, oder .pgp. „Öffentliche PGP-Schlüssel“ Ihrer Korrespondenzpartner in „Kleopatra“ importieren Speichern Sie einen öffentlichen Schlüssel, den Sie von Ihrem Korrespondenzpartner als Dateianhang oder als Textdatei innerhalb einer EMail erhalten oder heruntergeladen haben, zunächst in einer Datei ab, die sinnvollerweise den Namen des Korrespondenzpartners trägt. Am besten, Sie richten für die Verschlüsselung und damit zusammenhängende Dateien (Programme, Hilfsvideos, öffentliche Schlüssel anderer Personen etc.) einen eigenen Ordner mit Unterordnern ein. 6 Als Dateierweiterung sollten Sie beim Abspeichern von OpenPGPSchlüsseln .asc, .gpg oder .pgp wählen. Öffnen Sie „Kleopatra“ und klicken Sie auf „Zertifikate importieren“. Wählen Sie den zu importierenden Schlüssel aus. In der oben stehenden Grafik steht „Importiert: 0“, weil der Schlüssel schon vorhanden war. Dies wird auch durch die Angabe „Unverändert: 1“ bestätigt. Wenn Sie einen Schlüssel zum ersten Mal importieren, sehen Sie auf Ihrem Bildschirm natürlich „Importiert: 1“. Da der Schlüssel immer mit einer E-Mail-Adresse verbunden ist, brauchen Sie bei Thunderbird nichts anderes zu tun als diese Adresse im Adressbuch zu vermerken. Starten Sie Thunderbird. Klicken Sie auf das Konto, mit dem Sie signierte und verschlüsselte E-Mails versenden möchten. Klicken Sie auf „KontoEinstellungen bearbeiten“. Sie sehen nun links „OpenPGP-Sicherheit“, klicken Sie darauf. Rechts erscheint nun das Eingabefenster für zu verwendende Schlüssel. 7 Setzen Sie bei „OpenPGP-Unterstützung für diese Identität verwenden“ ein Häkchen. Darunter können Sie „Spezielle Open-PGP-Schlüssel-ID verwenden“ auswählen. Thunderbird – Adressbuch Öffnen Sie das Adressbuch unter Thunderbird. Klicken Sie mit der rechten Maustaste auf den Namen Ihres Korrespondenzpartners, dessen öffentlichen Schlüssel Sie übermittelt bekommen oder heruntergeladen haben. Wählen Sie „OpenPGP-Empfängerregel erstellen“ aus. Sie erkennen, dass die E-Mail-Adresse schon eingetragen ist. Wählen Sie unter „Aktion“ „Verwende folgende Open-PGP-Schlüssel“. Klicken Sie auf „Auswählen“; daraufhin sehen Sie, dass das Häkchen bereits die betreffende E-Mail-Adresse anzeigt. Mehr brauchen Sie nicht zu tun. 8 Anwenden Sobald Sie Gpg4win korrekt installiert und eingerichtet haben, können Sie im Windows-Explorer durch Anklicken von Dateien mit der rechten Maustaste diese prüfen, signieren, entschlüsseln oder diese Aktionen kombinieren. Sie können Dateien für Ihre eigenen Zwecke verschlüsseln. Dann müssen Sie sie mit Ihrem „privaten Schlüssel“ entschlüsseln. Möchten Sie eine verschlüsselte Datei als Anhang einer E-Mail verschicken, müssen Sie diese Datei mit dem „öffentlichen Schlüssel“ Ihres Korrespondenzpartners verschlüsseln. Nach Erhalt kann er sie mit Hilfe seines „privaten Schlüssels“ öffnen. In der Menüleiste sehen Sie in Hellgrau „OpenPGP“ und darunter in Schwarz noch einmal „OpenPGP“. Hier können Sie auswählen, ob Sie 9 signieren, verschlüsseln oder beides möchten. Für das Verschlüsseln benötigen Sie jedoch – wie bereits erwähnt – den „öffentlichen Schlüssel“ des Adressaten, in diesem Falle von „[email protected]“. 10 Sobald Sie nun an einen Korrespondenzpartner, dessen öffentlichen Schlüssel Sie in „Kleopatra“ importiert haben, mit Thunderbird eine EMailschreiben und die Adresse aus dem Adressbuch wählen, können Sie in der Menüleiste von Thunderbird „OpenPGP“ anklicken und Ihre Wahl treffen. Schlüsselverwaltung Die Schlüsselverwaltung wird mit Hilfe des Programmes GPA sehr einfach: Weitere Informationen über Gpg4win: http://www.gpg4win.de/doc/de/gpg4win-compendium.html https://www.bsi.bund.de/DE/Themen/ProdukteTools/Gpg4win/Gpg4win.ht ml;jsessionid=29D5D31B337C481CD3BA00FF129F1DE1.2cid359 11 2. S/MIME-Prinzip mit Outlook 2003 – am Beispiel von S-TRUST Sign-it und REINER SCT cyber Jack e-com plus Systemvoraussetzung: Windows 2000, Windows XP, Windows Vista oder Windows 7, 32 oder 64bit System. Herunterladen, installieren, einrichten S-Trust E-Mail-Zertifikat: https://www.s-trust.de/index.htm Preis: derzeit ca. 18,00 EUR pro Jahr, muss alle 2-3 Jahre erneuert werden. REINER SCT cyber Jack e-com plus: http://www.reiner-sct.com/produkte/chipkartenleser/cyberJackecomplus.html?pEl=5 Preis: derzeit ca. 120,00 EUR, einmalige Anschaffung. Es kann z. B. auch für die Registrierung auf der Website für elektronische Steuerentrichtung www.elsteronline.de benutzt werden. Dieses Gerät können Sie außerdem für folgende Anwendungen einsetzen: Onlinebanking via HBCI oder EBICS, Secoder, GeldKarte, Jugendschutzmerkmal, elektronische (Massen-) Signatur, Datenverschlüsselung, Single-Sign-On, eTicketing und elektronische Gesundheitskarte. Folgen Sie bei der Installation jeweils den Angaben auf dem Bildschirm. Im Infocenter von S-Trust gibt es sehr gut verständliche Videos, deren Anleitung man ohne Probleme folgen kann. Zum Betrachten der Videos sollten Sie zunächst den kostenlosen Videoplayer VLC Media Player herunterladen und installieren, falls Sie das nicht schon bei anderer Gelegenheit getan haben. Videoplayer VLC Media Player: http://www.videolan.org/vlc/ Folgen Sie bei der Installation jeweils den Angaben auf dem Bildschirm. Wählen Sie auf der Infoseite von S-Trust das Sie interessierende Video aus: https://www.strust.de/service_support/signatursoftware/infocenter/index.htm 12 Speichern Sie das Video oder die Videos in einem extra Ordner. Klicken Sie nach dem Speichern mit der rechten Maustaste auf das Sie interessierende Video, indem Sie mit der rechten Maustaste auf „Öffnen mit“ klicken und den VLC Media Player auswählen. Das Installieren und Einrichten des S-Trust-Zertifikates und des REINER SCT cyber Jack e-com plus-Gerätes ist mit Hilfe dieser Videos kein Problem mehr. Wenn die Frage nach der Exportierbarkeit des privaten Schlüssels beantwortet werden muss, wählen Sie „privater Schlüssel exportierbar“, denn dann können Sie ihn problemlos auch auf einem iPhone nutzen. Windows 7 unterstützt bei Import- und Exportvorgängen von Zertifikaten leider nur vier Dateiformate. Die Windows-Hilfe empfiehlt: „Wählen Sie das Format aus, das Ihren speziellen Anforderungen entspricht“ und gibt folgende Auswahl: Privater Informationsaustausch (PKCS #12) – Dateierweiterung .p12 Das PFX-Format (Personal Information Exchange, privater Informationsaustausch), das auch als PKCS #12 bezeichnet wird, ermöglicht die sichere Speicherung von Zertifikaten, privaten Schlüsseln und allen Zertifikaten in einem Zertifizierungspfad. 13 Das PKCS #12-Format kann als einziges Dateiformat zum Exportieren eines Zertifikats und dessen privatem Schlüssel verwendet werden, z. B. auf ein iPhone. Syntaxstandard kryptografischer Meldungen (PKCS #7) – Dateierweiterung .p7c Das PKCS #7-Format unterstützt die Speicherung von Zertifikaten und allen Zertifikaten im Zertifizierungspfad. DER-codiert-binär X.509 – Dateierweiterung .cer Das DER-Format (Distinguished Encoding Rules) unterstützt die Speicherung eines einzelnen Zertifikats. Der private Schlüssel oder der Zertifizierungspfad kann mit diesem Format nicht gespeichert werden. Base64-codiertes X.509 – Dateierweiterung .pem Das Base64-Format unterstützt die Speicherung eines einzelnen Zertifikats. Der private Schlüssel oder der Zertifizierungspfad kann mit diesem Format nicht gespeichert werden. [Dateien mit der Dateierweiterung .p10 sind Zertifikatsanträge, die man mit Gpg4win für ein S/MIME-Zertifikat gestellt hat.] Das Zertifikat, das man bei S-Trust erworben hat, wird im ZertifikateSnap-in mit der Dateierweiterung .cer abgelegt. Zum Zertifikate-Snap-in gelangen Sie wie folgt: Klicken Sie links unten auf „Start“ (Microsoftlogo). Schreiben Sie in „Programme/Dateien durchsuchen“ folgende Angabe ein: „certmgr.msc“. Es zeigt sich ein rotes Icon, das einen Koffer darstellen soll. Klicken Sie darauf – das Zertifikate-Snap-in öffnet sich und Sie können alle vorhandenen S/MIME-Zertifikate einsehen. 14 Öffnen Sie Microsoft Outlook 2003. Klicken Sie auf Extras/Optionen/Sicherheit. Setzen Sie bei „Verschlüsselte Nachrichten“ die Häkchen nach Wunsch. Darunter sehen Sie bei „Einstellungen“ die Angabe „S-Trust“. 15 Zum Überprüfen der Zertifikatseinstellungen können Sie auf „Einstellungen“ klicken. Dann erscheint ein der unten stehenden Grafik ähnliches Bild. 16 Anwenden Wenn Sie nun mit Outlook 2003 eine E-Mail verschicken, können Sie das Icon für Signieren (links, rote Schleife) oder das für Verschlüsseln (rechts davon, blaues Vorhängeschloss) anklicken. 17 Wenn Sie das Zertifikat Ihres Adressaten haben, überprüfen Sie dieses im Adressbuch von Outlook 2003, indem Sie auf den Reiter „Zertifikate“ klicken. Wenn das Zertifikat dort noch nicht erscheint, müssen Sie es importieren. Klicken Sie dazu auf den Button „Importieren“ (Sie finden ihn rechts) und wählen die entsprechende Datei aus. Die Dateierweiterung sollte .cer lauten. Ein S-Trust-Zertifikat auf ein iPhone übertragen: Gehen Sie mit dem Cursor auf der Taskleiste des Bildschirms unten links auf „Start“. Tragen Sie bei „Programme/Dateien durchsuchen“ folgendes ein: certmgr.msc 18 Klicken Sie auf das rote Icon. Suchen Sie bei „Eigene Zertifikate“ das Zertifikat aus, das Sie auf das iPhone übertragen möchten. Klicken Sie es an! Mit der rechten Maustaste wählen Sie „Alle Aufgaben“, „Exportieren“, „Weiter“, wählen Sie „Ja, privaten Schlüssel exportieren“. Geben Sie einen Ordner und einen Dateinamen zum Speichern an. Die Dateieerweiterung muss .p12 sein. Schicken Sie vom PC aus eine E-Mail an Ihre eigene E-Mail-Adresse, die Sie auf dem iPhone bedienen und hängen Sie die exportierte Zertifikatsdatei als Anhang an (Achtung: Dateierweiterung .p12). Wenn diese E-Mail mit Anhang auf Ihrem iPhone eingetroffen ist, öffnen Sie sie, klicken auf den Anhang und wählen zwei Mal „Installieren“. Wenn Sie nach dem Kennwort gefragt werden, benutzen Sie bitte dasselbe, das Sie auf Ihrem PC benutzen. Klicken Sie auf „Weiter“ und dann auf „Fertig“. Schließen Sie das E-Mail-Programm des iPhones. Öffnen Sie den Browser (Safari) auf dem iPhone und geben Sie als Domain-Adresse „s-trust.de“ ein. Öffnen Sie unten links „Zertifikatsmanagement“. In der Auswahl links (hellblau) klicken Sie ganz unten auf „Download Wurzel- Zwischenzertifikate“. Auf der Mitte der sich öffnenden Seite klicken Sie ganz unten auf „Zertifikate für iPhone und iPad“. Klicken Sie auf der sich danach öffnenden Seite auf „Class 1 Sub CA“, danach zwei Mal auf „Installieren“, schließlich auf „Class 1 CA“ und ebenfalls zwei Mal auf „Installieren“. Klicken Sie auf Ihrem iPhone auf „Einstellungen“, „Mail“, „Account“, „Erweitert“, „S/MIME“ aktivieren, „Signieren“ und „Verschlüsseln“ ebenfalls aktivieren. Gehen Sie in der Ordnerhierarchie zurück und drücken Sie auf „Fertig“ um die Einstellungen zu speichern. Wenn Sie nun eine E-Mail verschicken, ist sie automatisch signiert. Sollten Sie von einem Korrespondenzpartner eine signierte E-Mail mit seiner Zertifikatsdatei im Anhang erhalten, klicken Sie auf den Absender und ein einziges Mal auf „Vertrauen“. Klicken Sie auf „Zertifikat anzeigen“, „Installieren“ und „Fertig“. Video zu diesem Installationsprozess: http://news.s-trust.de/lp/videos/default.aspx?file=iPhone