Nutzung von E-Mail-Verschlüsselung

Net at Work GmbH
Nutzung von E-Mail-
Verschlüsselung
S/MIME mit Mozilla Thunderbird

Inhalt
Überblick ................................................................................................................................................. 3
Beschreibung des Vorgangs .................................................................................................................... 3
Vorteile .................................................................................................................................................... 3
Einsparpotenzial .................................................................................................................................. 4
Nachteile ................................................................................................................................................. 4
Kosten .................................................................................................................................................. 4
Beantragung eines Zertifikats .................................................................................................................. 4
Zertifikate von TC TrustCenter ............................................................................................................ 4
Sicherung des Zertifikats ....................................................................................................................... 14
Nutzung des Zertifikats .......................................................................................................................... 22
Konfiguration in Mozilla Thunderbird ............................................................................................... 22
Verwendung in Mozilla Thunderbird................................................................................................. 27
Zusammenfassung ................................................................................................................................. 29

Überblick
E-Mail-Kommunikation in einem Unternehmen ist heute nicht nur der Lebensnerv für das
Tagesgeschäft, sondern beinhaltet auch unternehmenskritische Vorgänge. Doch die herkömmliche E-
Mail-Kommunikation verdient alles andere als hohes Vertrauen, denn Sie ist vergleichbar mit dem
Transport einer Postkarte durch unbekannte Personen. E-Mail-Inhalte sind für Fremde lesbar und
veränderbar. Der Empfänger der E-Mail kann solche Änderungen nicht erkennen.
Der erste Schritt zur vertrauenswürdigen E-Mail-Kommunikation ist die elektronische Signatur von E-
Mails mit Benutzerzertifikaten. Mit dem standardisierten S/MIME Verfahren wird sichergestellt, dass
E-Mails unverändert beim Empfänger ankommen. Falls nicht, meldet dies jede moderne E-Mail-
Software dem Empfänger.
Der nächste Schritt zu vertrauenswürdiger E-Mail-Kommunikation ist die Verschlüsselung von E-
Mails. Damit wird aus der Postkarte sogar mehr als ein verschlossener Briefumschlag. Denn nur der
vorgesehene Empfänger kann die E-Mail lesen.
Beschreibung des Vorgangs
Für das Verschlüsseln einer E-Mail benötigen Sie ein Zertifikat für E-Mail-Verschlüsselung. Dieses
Zertifikat besitzt einen Schlüssel mit zwei Teilen: Den privaten Teil besitzen nur Sie, den öffentlichen
Teil kann jeder nutzen, der Ihnen eine verschlüsselte Nachricht senden möchte.
Mit Hilfe des Zertifikats können Sie eine E-Mail signieren. Das E-Mail-Programm des Empfängers
erkennt anhand der Signatur, ob die E-Mail während der Übertragung verändert wurde und ob sie
von der im Zertifikat angegebenen Absenderadresse stammt. Wenn Sie eine E-Mail signieren erhält
der Empfänger dadurch Ihren öffentlichen Schlüssel und kann mit diesem in Zukunft E-Mails an Sie
verschlüsseln. Nur Sie können, mit Hilfe ihres privaten Schlüssels, die E-Mail entschlüsseln. Deshalb
ist es wichtig den privaten Schlüssel ihres Zertifikats vor Diebstahl zu schützen und niemals anderen
Personen zu Verfügung zu stellen.
Durch Zertifikate bei beiden Kommunikationspartnern können E-Mails mit dem privaten Schlüssel
des Absenders signiert und zugleich mit dem öffentlichen Schlüssel des Empfängers verschlüsselt
werden. Durch die Übermittlung des öffentlichen Schlüssels, bei einer signierten E-Mail, sind die
Kommunikationspartner in der Lage, bereits bei einer Antwort auf eine signierte E-Mail, diese sowohl
zu signieren als auch zu verschlüsseln.
Vorteile
Die Verschlüsselung durch S/MIME bietet zwei Funktionen:
Signatur einer zu versendenden E-Mail mit dem privaten Schlüssel des Versenders
Verschlüsselung einer zu versenden E-Mail mit dem öffentlichen Schlüssel eines Empfängers
Durch die Signatur kann sichergestellt werden, dass die E-Mail während der Übermittlung nicht
verändert wurde. Die Verschlüsselung schützt die E-Mail vor der Einsichtnahme unbefugter Dritter.

Einsparpotenzial
Die Anschaffung eines Zertifikats ist genauso sinnvoll, wie die Anschaffung einer
einbruchhemmenden Haustür. Ohne das eine wie das andere gibt es keine Hürde für Diebe Ihres
Eigentums. Eine Haustür ist selbstverständlich aber zur gleichen Zeit werden sensitive Daten für
jeden lesbar um die komplette Welt verschickt. Mit Signatur und Verschlüsselung machen Sie E-Mail
zu einem sicheren Medium und stellen dem Datendiebstahl eine wirksame Barriere entgegen.
Nachteile
Sie können mit dem Zertifikat des Senders alleine belegen, dass die E-Mail authentisch ist und auf
ihrem Weg nicht verfälscht wurde. Aber für die erfolgreiche Verschlüsselung von Nachrichten, in den
meisten E-Mail-Programmen, benötigen sowohl der Absender wie auch der Empfänger ein Zertifikat.
Solange diese Vorgabe nicht erfüllt ist, kann keine Verschlüsselung stattfinden.
Kosten
Zertifikate für den privaten Einsatzzweck sind von vielen Anbietern kostenlos erhältlich. In einem
solchen Fall sollte die Zeit für die Beantragung und Einrichtung des E-Mail-Zertifikats als Kostenpunkt
gerechnet werden.
Beantragung eines Zertifikats
Für die Verschlüsselung benötigen Sie ein Zertifikat für die E-Mail-Verschlüsselung. Die Beantragung
eines kostenlosen Zertifikats ist dabei meistens, mit Hilfe eines aktuellen Internet Browsers, direkt
von Ihrem Computer durchführbar.
Einige Anbieter für kostenlose E-Mail-Zertifikate:
TC TrustCenter www.trustcenter.de
mySECUREMAIL http://www.mysecuremail.ch/
COMODO http://www.comodo.com/
secorio https://www.secorio.com/index.php?Order-2
InstantSSL by COMODO http://www.instantssl.com/ssl-certificate-products/free-emailcertificate.html
Das Zertifikat erhalten Sie z.B. von einem der oben genannten Anbieter. Im Folgenden wird die
Beantragung am Beispiel des Anbieters TC TrustCenter beschrieben.
Zertifikate von TC TrustCenter
Gehen Sie auf die Seite von TC TrustCenter http://www.trustcenter.de/ mit Hilfe Ihres Internet
Browsers. Wählen Sie dort „Produkte & Services“, „TC Certificates“, „TC Internet ID“. Sie gelangen
dadurch auf die Seite http://www.trustcenter.de/products/tc_internet_id.htm. Für eine einfache
Beantragung nutzen Sie dazu den Internet Explorer von Microsoft. Sie können dabei auch die meisten
anderen Browser verwenden, müssen aber eventuell weitere Schritte durchführen.

Abbildung 1: Die Seite für die Beantragung des „TC Internet ID“ Zertifikats
Wählen Sie auf der Seite der „TC Internet ID“ (Abbildung 1) den orangen Knopf „Zertifikat
beantragen“ im Abschnitt „Anträge“ auf der rechten Seite. Daraufhin erscheint der Antrag für Ihr E-
Mail-Zertifikat.

Abbildung 2: Die erste Seite des Zertifikatsantrags mit Ihren persönlichen Daten
Geben Sie im ersten Schritt des Zertifikatsantrags (Abbildung 2) Ihre persönlichen Daten ein. Achten
Sie dabei besonders auf die korrekte Schreibweise Ihrer E-Mail-Adresse. Wählen Sie danach
„Weiter“.

Abbildung 3: Die zweite Seite Ihres Zertifikatsantrags
Füllen Sie nun den zweiten Schritt (Abbildung 3) des Antrags, für Ihr E-Mail-Zertifikat, aus.

Geben Sie in Feld 1 ein Sperrpasswort ein. Dieses wird benutzt, um das Zertifikat bei Verlust oder
Diebstahl für ungültig zu erklären.
Im zweiten Feld können Sie entscheiden wie Ihnen das Passwort für die Erstellung des Zertifikats
zugesandt wird. Sie können entweder eine E-Mail-Adresse oder eine Mobiltelefonnummer angeben.
Das Passwort benötigen Sie, wenn das Zertifikat auf Ihrem Rechner erstellt wird. In diesem Beispiel
wird eine E-Mail-Adresse verwandt.
Im dritten Feld müssen Sie die AGBs von TC TrustCenter akzeptieren. Wenn Sie hiermit nicht
einverstanden sind können Sie den Vorgang abbrechen.
Mit dem vierten Feld entscheiden Sie, ob der öffentliche Schlüssel des Zertifikats für jeden zugänglich
auf dem Server von TC TrustCenter hinterlegt werden soll. Für eine reibungslose Funktion ihres
Zertifikats sollten sie der Veröffentlichung des Zertifikats zustimmen.
Schließen Sie den Schritt mit „Weiter“ ab, damit Sie zur Zusammenfassung Ihrer Eingaben geleitet
werden.

Abbildung 4: Die Zusammfassung Ihres Antrags
Der Antrag wurde jetzt an das TC TrustCenter übermittelt. Es empfiehlt sich, die auf dem Bildschirm
angezeigten Daten (Abbildung 4) abzuspeichern und an einem sicheren Ort zu verwahren.

Nach einigen Minuten sollten Sie nun den Zugang, zur Seite für die Zertifikatserstellung, per E-Mail
erhalten (Abbildung 5) und das Passwort für die Erstellung in der von Ihnen gewählten
Kommunikationsform (Abbildung 6).
Abbildung 5: Der Zugang zur Zertifikatserstellung

Abbildung 6: Ein durch E-Mail zugesandtes Passwort
Rufen Sie den Link aus der E-Mail-Bestätigung für Ihren Zertifikatsantrag auf. Es erscheint der
Anmeldebildschirm für Webseite zur Zertifikatserstellung.

Abbildung 7: Der Anmeldebildschirm für die Webseite zur Zertifikatserstellung
Geben Sie hier (Abbildung 7)Abbildung 7 Ihr von TC TrustCenter zugesandtes Passwort, aus der
zweiten E-Mail oder der SMS, ein.

Abbildung 8: Die Parameter für die Zertifikatserstellung

In der Webseite für die Zertifikatserstellung (Abbildung 8) sollten Sie die Voreinstellungen
beibehalten und dann die Funktion „Erzeuge Schlüssel“ wählen. Bestätigen Sie ebenfalls die
Warnmeldung (Abbildung 9) über die Ausführung eines Zertifikatsvorgangs auf Ihrem Rechner.
Abbildung 9: Die Sicherheitsabfrage über einen, von einer Webseite initierten, Zertifikatsvorgang
Es erscheint ein Windows Dialog für die Erstellung des Zertifikats auf Ihrem Computer (Abbildung 10).
Bestätigen Sie diesen mit „OK“
Abbildung 10: Der Windows Dialog für die Zertifikatserstellung
Sie haben nun erfolgreich Ihr persönliches Zertifikat, für die E-Mail-Verschlüsselung, im
Zertifikatsmanager Ihres Computers erstellt.
Sicherung des Zertifikats
Das Zertifikat wird bei der Erstellung, mit Hilfe Ihres Internet Browsers, auf Ihrem Computer
gespeichert. Das heißt, dass nur Sie den privaten Teil des Zertifikats besitzen. Deshalb sollten Sie
sofort eine Sicherungskopie des Zertifikats anfertigen.

Tippen Sie deshalb unter Windows Vista oder Windows 7 im Startmenu certmgr.msc ein. Es
öffnet sich der Zertifikatsmanager (Abbildung 11).
Abbildung 11: Der Zertifikatsmanager mit allen Zertifikaten Ihres Computers
Öffnen Sie im Zertifikatsmanager den Knoten „Eigene Zertifikate“ / „Zertifikate“. Dort ist ein Zertifikat
aufgelistet, das in der Spalte „Ausgestellt für“ Ihren Namen beinhaltet und in „Beabsichtigte Zwecke“
die Angaben „Clientauthentifizierung“, „Sichere E-Mail“, „IP Sicherheitsbenutzer“, „Smart-Card-
Anmeldung“ besitzt. Führen Sie auf der Zeile mit diesem Zertifikat einen Rechtsklick aus. Wählen Sie
dann unter „Alle Aufgaben“ die Option „Exportieren“. Es erscheint der Assistent für den
Zertifikatsexport.

Abbildung 12: Der Begrüßungsbildschirm des Export-Assistenten
Gehen Sie im Startbildschirm (Abbildung 12) des Assistenten mit „Weiter“ zum nächsten Schritt um
mit dem Export zu beginnen.

Abbildung 13: Die Nachfrage ob der private Schlüssel Ihres Zertifikats exportiert werden soll
Stimmen Sie dem Export des privaten Schlüssels zu (Abbildung 13) und gehen Sie danach mit
„Weiter“ zum nächsten Schritt.

Abbildung 14: Das Format und die Optionen für den Export des Zertifikats
Das zu exportierende Zertifikat wird als „PFX“-Datei abgespeichert (Abbildung 14). Entscheiden Sie
sich sowohl für den Export aller Zertifikate im Zertifikatspfad wie auch für die erweiterten
Eigenschaften.

Abbildung 15: Das Passwort für die zu exportierende PFX-Datei
Legen Sie das Passwort für den Zugriff auf die PFX-Datei fest (Abbildung 15). Merken Sie sich dieses,
um auf die exportierte Datei an einem späteren Zeitpunkt zuzugreifen.

Abbildung 16: Der Pfad für die zu exportierende Zertifkatsdatei
Geben Sie den Pfad und Dateinamen ein (Abbildung 16), an dem die Datei mit Ihrem exportierten
Zertifikat abgelegt werden soll.

Abbildung 17: Die Zusammenfassung Ihrer vorgenommenen Einstellungen
Kontrollieren Sie alle vorgenommenen Einstellungen (Abbildung 17) und schließen Sie danach den
Assistenten mit „Fertig stellen“ ab.
Abbildung 18: Die Sicherheitsabfrage für den Zugriff auf ein Zertifikat im Zertifikatsspeicher
Sie müssen den Zugriff auf den privaten Schlüssel des Zertifikats für den Exportvorgang mit „OK“
erlauben (Abbildung 18).

Abbildung 19: Die Bestätigung für den Export des Zertifikats
Es erscheint die Bestätigung (Abbildung 19), dass der Exportvorgang erfolgreich war. Speichern Sie
jetzt Ihr exportiertes Zertifikat an einem sicheren Ort.
Nutzung des Zertifikats
In den letzten Kapiteln wurde die Beantragung eines Zertifikats und die Erstellung einer
Sicherheitskopie beschrieben. In diesem Kapitel wird nun die Verwendung von Zertifikaten für E-
Mail-Signatur und Verschlüsselung in unterschiedlichen E-Mail-Programmen erläutert.
Konfiguration in Mozilla Thunderbird
Für die Nutzung Ihres E-Mail-Zertifikats im Thunderbird E-Mail-Client, öffnen Sie das Menü „Extras“
und wählen dann „Konten-Einstellungen“. Es öffnet sich der Dialog für alle Einstellungen Ihres E-Mail-
Kontos.

Abbildung 20: Die S/MIME Verschlüsselungseinstellungen Ihres E-Mail-Kontos
Importieren Sie nun Ihr Zertifikat in der Seite für die „S/MIME-Sicherheit“ (Abbildung 20) mit dem
Knopf „Zertifikate verwalten“. Es erscheint der „Zertifikat-Manager“ des Thunderbird Programms
(Abbildung 21).

Abbildung 21: Der Zertifikatsmanager des Thunderbirds
Importieren Sie Ihr zuvor als PFX-Datei gesichertes Zertifikat über den Knopf „Importieren“ in den
„Zertifikat-Manager“. Wählen Sie dazu die Datei aus und bestätigen Sie den Import mit dem Knopf
„Öffnen“.
Abbildung 22: Die Passworteingabe für den Zugriff auf die PFX-Zertifikatsdatei
Geben Sie in den „Passworteingabe-Dialog“ (Abbildung 22), dass beim Export ihres erstellten
Zertifikats festgelegte Passwort ein.

Abbildung 23: Der "Zertifikat-Manager" mit ihrem Zertifikat
Nach der Bestätigung des Passworts mit „OK“ wird das importierte Zertifikat im „Zertifikat-Manager“
angezeigt (Abbildung 23). Schließen Sie nun den Dialog und kehren Sie zur Seite für die „S/MIME-
Sicherheit“ zurück. Wählen Sie dort im Abschnitt „Digitale Unterschrift“ Ihr importiertes Zertifikat aus
(Abbildung 24).
Abbildung 24: Die Auswahl eines Zertifikats aus dem Zertifikatsspeicher
Bestätigen Sie Ihr Zertifikat mit „OK“. Es erscheint die Nachfrage für ein Ver- und
Entschlüsselungszertifikat (Abbildung 25).

Abbildung 25: Die Nachfrage über das Verschlüsselungszertifikat
Wählen Sie „Ja“ damit Ihr Zertifikat auch für die Ver- und Entschlüsselung benutzt wird. Kontrollieren
Sie danach in der Seite für die „S/MIME-Sicherheit“ (Abbildung 26) Ihre durchgeführten Einstellungen
und schließen Sie dann die Einstellungen mit „OK“.
Abbildung 26: Die "S/MIME" Sicherheit mit eingepflegten Zertifikaten
Sie können nun mit der E-Mail-Signatur und Verschlüsselung beginnen.

Verwendung in Mozilla Thunderbird
Beim Verfassen einer neuen E-Mail im Mozilla Thunderbird (Abbildung 27) ist jetzt die Funktion
„S/MIME“, für Signatur und Verschlüsselung, verfügbar.
Abbildung 27: Der Dialog für das Verfassen einer E-Mail
Durch Auswählen des Pfeil-Bilds am rechten Rand des „S/MIME“-Knopfs können Sie „Nachricht
unterschreiben“ und „Nachricht verschlüsseln“ wählen. Beim Erstellen einer neuen E-Mail wählen Sie
zunächst „Nachricht unterschreiben“ damit ihre Signatur an die E-Mail hinzugefügt wird. Die Signatur
der E-Mail wird durch das Bild des versiegelten Briefumschlags am rechten unteren Rand des E-Mail-
Fensters visualisiert.
Der Empfänger erhält nun, durch die signierte E-Mail, den öffentlichen Teil Ihres Zertifikats. Er ist
dadurch in der Lage seine künftigen E-Mails an Sie zu verschlüsseln. Signierte oder verschlüsselte
Antworten (Abbildung 28) von ihm, beinhalten wiederum den öffentlichen Teil seines Zertifikats.
Dadurch werden auch Sie, nach diesem anfänglichen E-Mail-Austausch, in der Lage sein, zukünftige
E-Mails an diesen Empfänger zu verschlüsseln.

Abbildung 28: Die verschlüsselte und signierte Antwort auf Ihre signierte E-Mail
Den Status von Signatur und Verschlüsselung einer neuen E-Mail in Bezug auf alle Empfänger
erhalten Sie durch Auswahl des „S/MIME“-Knopfes (Abbildung 29).

Abbildung 29: Die Übersicht über Nachrichten-Sicherheit für alle Empfänger
Sie können in der Übersicht sofort sehen, ob alle E-Mail-Empfänger Ihrer Anforderungen an die
Verschlüsselung erfüllen.
Zusammenfassung
Zertifikate für die E-Mail Verschlüsselung sind das Mittel der Wahl um Ihre E-Mail-Kommunikation
abzusichern und vor unberechtigten Veränderungen durch Dritte zu schützen. Niedrige
Einstiegskosten und gute Unterstützung in allen Standard-E-Mail-Programmen helfen, sichere E-Mail-
Kommunikation bei der täglichen Arbeit zu verwenden.