Nutzung von E-Mail-Verschlüsselung
Nutzung von E-Mail-Verschlüsselung
Nutzung von E-Mail-Verschlüsselung
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Net at Work GmbH<br />
<strong>Nutzung</strong> <strong>von</strong> E-<strong>Mail</strong>-<br />
<strong>Verschlüsselung</strong><br />
S/MIME mit Mozilla Thunderbird
Inhalt<br />
Überblick ................................................................................................................................................. 3<br />
Beschreibung des Vorgangs .................................................................................................................... 3<br />
Vorteile .................................................................................................................................................... 3<br />
Einsparpotenzial .................................................................................................................................. 4<br />
Nachteile ................................................................................................................................................. 4<br />
Kosten .................................................................................................................................................. 4<br />
Beantragung eines Zertifikats .................................................................................................................. 4<br />
Zertifikate <strong>von</strong> TC TrustCenter ............................................................................................................ 4<br />
Sicherung des Zertifikats ....................................................................................................................... 14<br />
<strong>Nutzung</strong> des Zertifikats .......................................................................................................................... 22<br />
Konfiguration in Mozilla Thunderbird ............................................................................................... 22<br />
Verwendung in Mozilla Thunderbird................................................................................................. 27<br />
Zusammenfassung ................................................................................................................................. 29
Überblick<br />
E-<strong>Mail</strong>-Kommunikation in einem Unternehmen ist heute nicht nur der Lebensnerv für das<br />
Tagesgeschäft, sondern beinhaltet auch unternehmenskritische Vorgänge. Doch die herkömmliche E-<br />
<strong>Mail</strong>-Kommunikation verdient alles andere als hohes Vertrauen, denn Sie ist vergleichbar mit dem<br />
Transport einer Postkarte durch unbekannte Personen. E-<strong>Mail</strong>-Inhalte sind für Fremde lesbar und<br />
veränderbar. Der Empfänger der E-<strong>Mail</strong> kann solche Änderungen nicht erkennen.<br />
Der erste Schritt zur vertrauenswürdigen E-<strong>Mail</strong>-Kommunikation ist die elektronische Signatur <strong>von</strong> E-<br />
<strong>Mail</strong>s mit Benutzerzertifikaten. Mit dem standardisierten S/MIME Verfahren wird sichergestellt, dass<br />
E-<strong>Mail</strong>s unverändert beim Empfänger ankommen. Falls nicht, meldet dies jede moderne E-<strong>Mail</strong>-<br />
Software dem Empfänger.<br />
Der nächste Schritt zu vertrauenswürdiger E-<strong>Mail</strong>-Kommunikation ist die <strong>Verschlüsselung</strong> <strong>von</strong> E-<br />
<strong>Mail</strong>s. Damit wird aus der Postkarte sogar mehr als ein verschlossener Briefumschlag. Denn nur der<br />
vorgesehene Empfänger kann die E-<strong>Mail</strong> lesen.<br />
Beschreibung des Vorgangs<br />
Für das Verschlüsseln einer E-<strong>Mail</strong> benötigen Sie ein Zertifikat für E-<strong>Mail</strong>-<strong>Verschlüsselung</strong>. Dieses<br />
Zertifikat besitzt einen Schlüssel mit zwei Teilen: Den privaten Teil besitzen nur Sie, den öffentlichen<br />
Teil kann jeder nutzen, der Ihnen eine verschlüsselte Nachricht senden möchte.<br />
Mit Hilfe des Zertifikats können Sie eine E-<strong>Mail</strong> signieren. Das E-<strong>Mail</strong>-Programm des Empfängers<br />
erkennt anhand der Signatur, ob die E-<strong>Mail</strong> während der Übertragung verändert wurde und ob sie<br />
<strong>von</strong> der im Zertifikat angegebenen Absenderadresse stammt. Wenn Sie eine E-<strong>Mail</strong> signieren erhält<br />
der Empfänger dadurch Ihren öffentlichen Schlüssel und kann mit diesem in Zukunft E-<strong>Mail</strong>s an Sie<br />
verschlüsseln. Nur Sie können, mit Hilfe ihres privaten Schlüssels, die E-<strong>Mail</strong> entschlüsseln. Deshalb<br />
ist es wichtig den privaten Schlüssel ihres Zertifikats vor Diebstahl zu schützen und niemals anderen<br />
Personen zu Verfügung zu stellen.<br />
Durch Zertifikate bei beiden Kommunikationspartnern können E-<strong>Mail</strong>s mit dem privaten Schlüssel<br />
des Absenders signiert und zugleich mit dem öffentlichen Schlüssel des Empfängers verschlüsselt<br />
werden. Durch die Übermittlung des öffentlichen Schlüssels, bei einer signierten E-<strong>Mail</strong>, sind die<br />
Kommunikationspartner in der Lage, bereits bei einer Antwort auf eine signierte E-<strong>Mail</strong>, diese sowohl<br />
zu signieren als auch zu verschlüsseln.<br />
Vorteile<br />
Die <strong>Verschlüsselung</strong> durch S/MIME bietet zwei Funktionen:<br />
<br />
<br />
Signatur einer zu versendenden E-<strong>Mail</strong> mit dem privaten Schlüssel des Versenders<br />
<strong>Verschlüsselung</strong> einer zu versenden E-<strong>Mail</strong> mit dem öffentlichen Schlüssel eines Empfängers<br />
Durch die Signatur kann sichergestellt werden, dass die E-<strong>Mail</strong> während der Übermittlung nicht<br />
verändert wurde. Die <strong>Verschlüsselung</strong> schützt die E-<strong>Mail</strong> vor der Einsichtnahme unbefugter Dritter.
Einsparpotenzial<br />
Die Anschaffung eines Zertifikats ist genauso sinnvoll, wie die Anschaffung einer<br />
einbruchhemmenden Haustür. Ohne das eine wie das andere gibt es keine Hürde für Diebe Ihres<br />
Eigentums. Eine Haustür ist selbstverständlich aber zur gleichen Zeit werden sensitive Daten für<br />
jeden lesbar um die komplette Welt verschickt. Mit Signatur und <strong>Verschlüsselung</strong> machen Sie E-<strong>Mail</strong><br />
zu einem sicheren Medium und stellen dem Datendiebstahl eine wirksame Barriere entgegen.<br />
Nachteile<br />
Sie können mit dem Zertifikat des Senders alleine belegen, dass die E-<strong>Mail</strong> authentisch ist und auf<br />
ihrem Weg nicht verfälscht wurde. Aber für die erfolgreiche <strong>Verschlüsselung</strong> <strong>von</strong> Nachrichten, in den<br />
meisten E-<strong>Mail</strong>-Programmen, benötigen sowohl der Absender wie auch der Empfänger ein Zertifikat.<br />
Solange diese Vorgabe nicht erfüllt ist, kann keine <strong>Verschlüsselung</strong> stattfinden.<br />
Kosten<br />
Zertifikate für den privaten Einsatzzweck sind <strong>von</strong> vielen Anbietern kostenlos erhältlich. In einem<br />
solchen Fall sollte die Zeit für die Beantragung und Einrichtung des E-<strong>Mail</strong>-Zertifikats als Kostenpunkt<br />
gerechnet werden.<br />
Beantragung eines Zertifikats<br />
Für die <strong>Verschlüsselung</strong> benötigen Sie ein Zertifikat für die E-<strong>Mail</strong>-<strong>Verschlüsselung</strong>. Die Beantragung<br />
eines kostenlosen Zertifikats ist dabei meistens, mit Hilfe eines aktuellen Internet Browsers, direkt<br />
<strong>von</strong> Ihrem Computer durchführbar.<br />
Einige Anbieter für kostenlose E-<strong>Mail</strong>-Zertifikate:<br />
<br />
<br />
<br />
<br />
<br />
TC TrustCenter www.trustcenter.de<br />
mySECUREMAIL http://www.mysecuremail.ch/<br />
COMODO http://www.comodo.com/<br />
secorio https://www.secorio.com/index.php?Order-2<br />
InstantSSL by COMODO http://www.instantssl.com/ssl-certificate-products/free-emailcertificate.html<br />
Das Zertifikat erhalten Sie z.B. <strong>von</strong> einem der oben genannten Anbieter. Im Folgenden wird die<br />
Beantragung am Beispiel des Anbieters TC TrustCenter beschrieben.<br />
Zertifikate <strong>von</strong> TC TrustCenter<br />
Gehen Sie auf die Seite <strong>von</strong> TC TrustCenter http://www.trustcenter.de/ mit Hilfe Ihres Internet<br />
Browsers. Wählen Sie dort „Produkte & Services“, „TC Certificates“, „TC Internet ID“. Sie gelangen<br />
dadurch auf die Seite http://www.trustcenter.de/products/tc_internet_id.htm. Für eine einfache<br />
Beantragung nutzen Sie dazu den Internet Explorer <strong>von</strong> Microsoft. Sie können dabei auch die meisten<br />
anderen Browser verwenden, müssen aber eventuell weitere Schritte durchführen.
Abbildung 1: Die Seite für die Beantragung des „TC Internet ID“ Zertifikats<br />
Wählen Sie auf der Seite der „TC Internet ID“ (Abbildung 1) den orangen Knopf „Zertifikat<br />
beantragen“ im Abschnitt „Anträge“ auf der rechten Seite. Daraufhin erscheint der Antrag für Ihr E-<br />
<strong>Mail</strong>-Zertifikat.
Abbildung 2: Die erste Seite des Zertifikatsantrags mit Ihren persönlichen Daten<br />
Geben Sie im ersten Schritt des Zertifikatsantrags (Abbildung 2) Ihre persönlichen Daten ein. Achten<br />
Sie dabei besonders auf die korrekte Schreibweise Ihrer E-<strong>Mail</strong>-Adresse. Wählen Sie danach<br />
„Weiter“.
Abbildung 3: Die zweite Seite Ihres Zertifikatsantrags<br />
Füllen Sie nun den zweiten Schritt (Abbildung 3) des Antrags, für Ihr E-<strong>Mail</strong>-Zertifikat, aus.
Geben Sie in Feld 1 ein Sperrpasswort ein. Dieses wird benutzt, um das Zertifikat bei Verlust oder<br />
Diebstahl für ungültig zu erklären.<br />
Im zweiten Feld können Sie entscheiden wie Ihnen das Passwort für die Erstellung des Zertifikats<br />
zugesandt wird. Sie können entweder eine E-<strong>Mail</strong>-Adresse oder eine Mobiltelefonnummer angeben.<br />
Das Passwort benötigen Sie, wenn das Zertifikat auf Ihrem Rechner erstellt wird. In diesem Beispiel<br />
wird eine E-<strong>Mail</strong>-Adresse verwandt.<br />
Im dritten Feld müssen Sie die AGBs <strong>von</strong> TC TrustCenter akzeptieren. Wenn Sie hiermit nicht<br />
einverstanden sind können Sie den Vorgang abbrechen.<br />
Mit dem vierten Feld entscheiden Sie, ob der öffentliche Schlüssel des Zertifikats für jeden zugänglich<br />
auf dem Server <strong>von</strong> TC TrustCenter hinterlegt werden soll. Für eine reibungslose Funktion ihres<br />
Zertifikats sollten sie der Veröffentlichung des Zertifikats zustimmen.<br />
Schließen Sie den Schritt mit „Weiter“ ab, damit Sie zur Zusammenfassung Ihrer Eingaben geleitet<br />
werden.
Abbildung 4: Die Zusammfassung Ihres Antrags<br />
Der Antrag wurde jetzt an das TC TrustCenter übermittelt. Es empfiehlt sich, die auf dem Bildschirm<br />
angezeigten Daten (Abbildung 4) abzuspeichern und an einem sicheren Ort zu verwahren.
Nach einigen Minuten sollten Sie nun den Zugang, zur Seite für die Zertifikatserstellung, per E-<strong>Mail</strong><br />
erhalten (Abbildung 5) und das Passwort für die Erstellung in der <strong>von</strong> Ihnen gewählten<br />
Kommunikationsform (Abbildung 6).<br />
Abbildung 5: Der Zugang zur Zertifikatserstellung
Abbildung 6: Ein durch E-<strong>Mail</strong> zugesandtes Passwort<br />
Rufen Sie den Link aus der E-<strong>Mail</strong>-Bestätigung für Ihren Zertifikatsantrag auf. Es erscheint der<br />
Anmeldebildschirm für Webseite zur Zertifikatserstellung.
Abbildung 7: Der Anmeldebildschirm für die Webseite zur Zertifikatserstellung<br />
Geben Sie hier (Abbildung 7)Abbildung 7 Ihr <strong>von</strong> TC TrustCenter zugesandtes Passwort, aus der<br />
zweiten E-<strong>Mail</strong> oder der SMS, ein.
Abbildung 8: Die Parameter für die Zertifikatserstellung
In der Webseite für die Zertifikatserstellung (Abbildung 8) sollten Sie die Voreinstellungen<br />
beibehalten und dann die Funktion „Erzeuge Schlüssel“ wählen. Bestätigen Sie ebenfalls die<br />
Warnmeldung (Abbildung 9) über die Ausführung eines Zertifikatsvorgangs auf Ihrem Rechner.<br />
Abbildung 9: Die Sicherheitsabfrage über einen, <strong>von</strong> einer Webseite initierten, Zertifikatsvorgang<br />
Es erscheint ein Windows Dialog für die Erstellung des Zertifikats auf Ihrem Computer (Abbildung 10).<br />
Bestätigen Sie diesen mit „OK“<br />
Abbildung 10: Der Windows Dialog für die Zertifikatserstellung<br />
Sie haben nun erfolgreich Ihr persönliches Zertifikat, für die E-<strong>Mail</strong>-<strong>Verschlüsselung</strong>, im<br />
Zertifikatsmanager Ihres Computers erstellt.<br />
Sicherung des Zertifikats<br />
Das Zertifikat wird bei der Erstellung, mit Hilfe Ihres Internet Browsers, auf Ihrem Computer<br />
gespeichert. Das heißt, dass nur Sie den privaten Teil des Zertifikats besitzen. Deshalb sollten Sie<br />
sofort eine Sicherungskopie des Zertifikats anfertigen.
Tippen Sie deshalb unter Windows Vista oder Windows 7 im Startmenu certmgr.msc ein. Es<br />
öffnet sich der Zertifikatsmanager (Abbildung 11).<br />
Abbildung 11: Der Zertifikatsmanager mit allen Zertifikaten Ihres Computers<br />
Öffnen Sie im Zertifikatsmanager den Knoten „Eigene Zertifikate“ / „Zertifikate“. Dort ist ein Zertifikat<br />
aufgelistet, das in der Spalte „Ausgestellt für“ Ihren Namen beinhaltet und in „Beabsichtigte Zwecke“<br />
die Angaben „Clientauthentifizierung“, „Sichere E-<strong>Mail</strong>“, „IP Sicherheitsbenutzer“, „Smart-Card-<br />
Anmeldung“ besitzt. Führen Sie auf der Zeile mit diesem Zertifikat einen Rechtsklick aus. Wählen Sie<br />
dann unter „Alle Aufgaben“ die Option „Exportieren“. Es erscheint der Assistent für den<br />
Zertifikatsexport.
Abbildung 12: Der Begrüßungsbildschirm des Export-Assistenten<br />
Gehen Sie im Startbildschirm (Abbildung 12) des Assistenten mit „Weiter“ zum nächsten Schritt um<br />
mit dem Export zu beginnen.
Abbildung 13: Die Nachfrage ob der private Schlüssel Ihres Zertifikats exportiert werden soll<br />
Stimmen Sie dem Export des privaten Schlüssels zu (Abbildung 13) und gehen Sie danach mit<br />
„Weiter“ zum nächsten Schritt.
Abbildung 14: Das Format und die Optionen für den Export des Zertifikats<br />
Das zu exportierende Zertifikat wird als „PFX“-Datei abgespeichert (Abbildung 14). Entscheiden Sie<br />
sich sowohl für den Export aller Zertifikate im Zertifikatspfad wie auch für die erweiterten<br />
Eigenschaften.
Abbildung 15: Das Passwort für die zu exportierende PFX-Datei<br />
Legen Sie das Passwort für den Zugriff auf die PFX-Datei fest (Abbildung 15). Merken Sie sich dieses,<br />
um auf die exportierte Datei an einem späteren Zeitpunkt zuzugreifen.
Abbildung 16: Der Pfad für die zu exportierende Zertifkatsdatei<br />
Geben Sie den Pfad und Dateinamen ein (Abbildung 16), an dem die Datei mit Ihrem exportierten<br />
Zertifikat abgelegt werden soll.
Abbildung 17: Die Zusammenfassung Ihrer vorgenommenen Einstellungen<br />
Kontrollieren Sie alle vorgenommenen Einstellungen (Abbildung 17) und schließen Sie danach den<br />
Assistenten mit „Fertig stellen“ ab.<br />
Abbildung 18: Die Sicherheitsabfrage für den Zugriff auf ein Zertifikat im Zertifikatsspeicher<br />
Sie müssen den Zugriff auf den privaten Schlüssel des Zertifikats für den Exportvorgang mit „OK“<br />
erlauben (Abbildung 18).
Abbildung 19: Die Bestätigung für den Export des Zertifikats<br />
Es erscheint die Bestätigung (Abbildung 19), dass der Exportvorgang erfolgreich war. Speichern Sie<br />
jetzt Ihr exportiertes Zertifikat an einem sicheren Ort.<br />
<strong>Nutzung</strong> des Zertifikats<br />
In den letzten Kapiteln wurde die Beantragung eines Zertifikats und die Erstellung einer<br />
Sicherheitskopie beschrieben. In diesem Kapitel wird nun die Verwendung <strong>von</strong> Zertifikaten für E-<br />
<strong>Mail</strong>-Signatur und <strong>Verschlüsselung</strong> in unterschiedlichen E-<strong>Mail</strong>-Programmen erläutert.<br />
Konfiguration in Mozilla Thunderbird<br />
Für die <strong>Nutzung</strong> Ihres E-<strong>Mail</strong>-Zertifikats im Thunderbird E-<strong>Mail</strong>-Client, öffnen Sie das Menü „Extras“<br />
und wählen dann „Konten-Einstellungen“. Es öffnet sich der Dialog für alle Einstellungen Ihres E-<strong>Mail</strong>-<br />
Kontos.
Abbildung 20: Die S/MIME <strong>Verschlüsselung</strong>seinstellungen Ihres E-<strong>Mail</strong>-Kontos<br />
Importieren Sie nun Ihr Zertifikat in der Seite für die „S/MIME-Sicherheit“ (Abbildung 20) mit dem<br />
Knopf „Zertifikate verwalten“. Es erscheint der „Zertifikat-Manager“ des Thunderbird Programms<br />
(Abbildung 21).
Abbildung 21: Der Zertifikatsmanager des Thunderbirds<br />
Importieren Sie Ihr zuvor als PFX-Datei gesichertes Zertifikat über den Knopf „Importieren“ in den<br />
„Zertifikat-Manager“. Wählen Sie dazu die Datei aus und bestätigen Sie den Import mit dem Knopf<br />
„Öffnen“.<br />
Abbildung 22: Die Passworteingabe für den Zugriff auf die PFX-Zertifikatsdatei<br />
Geben Sie in den „Passworteingabe-Dialog“ (Abbildung 22), dass beim Export ihres erstellten<br />
Zertifikats festgelegte Passwort ein.
Abbildung 23: Der "Zertifikat-Manager" mit ihrem Zertifikat<br />
Nach der Bestätigung des Passworts mit „OK“ wird das importierte Zertifikat im „Zertifikat-Manager“<br />
angezeigt (Abbildung 23). Schließen Sie nun den Dialog und kehren Sie zur Seite für die „S/MIME-<br />
Sicherheit“ zurück. Wählen Sie dort im Abschnitt „Digitale Unterschrift“ Ihr importiertes Zertifikat aus<br />
(Abbildung 24).<br />
Abbildung 24: Die Auswahl eines Zertifikats aus dem Zertifikatsspeicher<br />
Bestätigen Sie Ihr Zertifikat mit „OK“. Es erscheint die Nachfrage für ein Ver- und<br />
Entschlüsselungszertifikat (Abbildung 25).
Abbildung 25: Die Nachfrage über das <strong>Verschlüsselung</strong>szertifikat<br />
Wählen Sie „Ja“ damit Ihr Zertifikat auch für die Ver- und Entschlüsselung benutzt wird. Kontrollieren<br />
Sie danach in der Seite für die „S/MIME-Sicherheit“ (Abbildung 26) Ihre durchgeführten Einstellungen<br />
und schließen Sie dann die Einstellungen mit „OK“.<br />
Abbildung 26: Die "S/MIME" Sicherheit mit eingepflegten Zertifikaten<br />
Sie können nun mit der E-<strong>Mail</strong>-Signatur und <strong>Verschlüsselung</strong> beginnen.
Verwendung in Mozilla Thunderbird<br />
Beim Verfassen einer neuen E-<strong>Mail</strong> im Mozilla Thunderbird (Abbildung 27) ist jetzt die Funktion<br />
„S/MIME“, für Signatur und <strong>Verschlüsselung</strong>, verfügbar.<br />
Abbildung 27: Der Dialog für das Verfassen einer E-<strong>Mail</strong><br />
Durch Auswählen des Pfeil-Bilds am rechten Rand des „S/MIME“-Knopfs können Sie „Nachricht<br />
unterschreiben“ und „Nachricht verschlüsseln“ wählen. Beim Erstellen einer neuen E-<strong>Mail</strong> wählen Sie<br />
zunächst „Nachricht unterschreiben“ damit ihre Signatur an die E-<strong>Mail</strong> hinzugefügt wird. Die Signatur<br />
der E-<strong>Mail</strong> wird durch das Bild des versiegelten Briefumschlags am rechten unteren Rand des E-<strong>Mail</strong>-<br />
Fensters visualisiert.<br />
Der Empfänger erhält nun, durch die signierte E-<strong>Mail</strong>, den öffentlichen Teil Ihres Zertifikats. Er ist<br />
dadurch in der Lage seine künftigen E-<strong>Mail</strong>s an Sie zu verschlüsseln. Signierte oder verschlüsselte<br />
Antworten (Abbildung 28) <strong>von</strong> ihm, beinhalten wiederum den öffentlichen Teil seines Zertifikats.<br />
Dadurch werden auch Sie, nach diesem anfänglichen E-<strong>Mail</strong>-Austausch, in der Lage sein, zukünftige<br />
E-<strong>Mail</strong>s an diesen Empfänger zu verschlüsseln.
Abbildung 28: Die verschlüsselte und signierte Antwort auf Ihre signierte E-<strong>Mail</strong><br />
Den Status <strong>von</strong> Signatur und <strong>Verschlüsselung</strong> einer neuen E-<strong>Mail</strong> in Bezug auf alle Empfänger<br />
erhalten Sie durch Auswahl des „S/MIME“-Knopfes (Abbildung 29).
Abbildung 29: Die Übersicht über Nachrichten-Sicherheit für alle Empfänger<br />
Sie können in der Übersicht sofort sehen, ob alle E-<strong>Mail</strong>-Empfänger Ihrer Anforderungen an die<br />
<strong>Verschlüsselung</strong> erfüllen.<br />
Zusammenfassung<br />
Zertifikate für die E-<strong>Mail</strong> <strong>Verschlüsselung</strong> sind das Mittel der Wahl um Ihre E-<strong>Mail</strong>-Kommunikation<br />
abzusichern und vor unberechtigten Veränderungen durch Dritte zu schützen. Niedrige<br />
Einstiegskosten und gute Unterstützung in allen Standard-E-<strong>Mail</strong>-Programmen helfen, sichere E-<strong>Mail</strong>-<br />
Kommunikation bei der täglichen Arbeit zu verwenden.