Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails

Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails Version 1.04, 30.11.2010

1 2 Vorwort 1.1 Wofür benötige ich ein digitales Zertifikat? 4 1.2 Wie schütze ich mein Zertifikat vor unbefugtem Zugriff? 6 Erste Schritte zum persönlichen Zertifikat 2.1 2.2 3 Exportieren des persönlichen Zertifikates aus dem Browser 'Mozilla Firefox' (Windows) 16 3.1 Import eines persönlichen Zertifikates der Leuphana CA in Apple Mail 21 3.2 Import eines persönlichen Zertifikates der Leuphana CA in MS Outlook 2007 (Windows) 23 Import eines persönlichen Zertifikates der Leuphana CA in Mozilla Thunderbird (Windows) 27 Signieren und Verschlüsseln von E-Mails 4.1 4.2 4.3 5 9 Einbinden des persönlichen Zertifikates in eine E-Mail-Anwendung 3.3 4 Beantragung eines Nutzerzertifikates in der Leuphana CA mit dem Mozilla Firefox Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in Apple Mail 34 Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in MS Outlook 2007 (Windows) 35 Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in Mozilla Thunderbird (Windows) 38 Anhang 5.1 Stichwortverzeichnis 41

Vorwort Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 3

Wofür benötige ich ein digitales Zertifikat? 1.) Sinn und Zweck eines digitales Zertifikates Die Kommunikation mittels E-Mail gehört mittlerweile zum Stand der Technik. Dabei treten im elektronischen Geschäftsverkehr folgende Fragen auf: 1.) Die E-Mail nimmt auf Ihrem Weg vom Sender zum Empfänger einen unbestimmten Weg über Internet-Gateways, E-Mail-Server, Switche u.ä. (im folgenden als Netzknoten bezeichnet). Dabei werden die Nachrichten unverschlüsselt, d.h. im Klartext lesbar versendet. Jeder, der an einem solchen Netzknoten sitzt kann die Nachricht mitlesen oder gar unbemerkt verändern. Wie verhindere ich, dass jemand Nachrichten mitliest, die nicht für Ihn bestimmt sind? Wie erreiche ich, dass ich Manipulationen an Nachrichten erkennen kann? Es geht also um die Frage der Vertraulichkeit, sowie der Integrität von Nachrichten. 2.) Jede Person hat die Möglichkeit nahezu beliebig viele E-Mail Adressen auf Ihren Namen zu registrieren. Dabei können Phantasienamen, Pseudonyme, Namen anderer Personen usw. verwendet werden. Es gibt keine Instanz, die prüft, ob Sie wirklich die angegebene Person hinter der E-Mail Adresse sind. Wie kann ich mir sicher sein, dass die Nachricht, die ich erhalten habe auch wirklich von der angegebenen Person stammt? Es geht also um die Frage der Authentizität. 2.) Was ist ein digitales Zertifikat? Ein digitales Zertifikat weist Sie als Person, Eigentümer des öffentlichen Schlüssels dieser Person, sowie als Mitglied der Leuphana Universität Lüneburg aus. Es ist Teil eines Verschlüsselungs-Verfahrens. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 4

3.) Wie benutze ich ein digitales Zertifikat? Ein digitales Zertifikat wird in einem ersten Schritt von Ihnen beantragt. Dabei werden auf Ihrem Computer der öffentliche und der private Schlüssel des Verschlüsselungs-Verfahrens generiert. Sie müssen sich mit Reisepass oder Personalausweis bei einer Registrierungsstelle der Leuphana Universität ausweisen. Damit wird sichergestellt, dass Sie auch wirklich die Person hinter der angegebenen E-Mail Adresse sind (Authentizität), sowie im Besitz des dazugehörigen Schlüsselpaares (öffentlicher und privater Schlüssel). Die Registrierungsstelle schickt Ihnen eine E-Mail mit Ihren Zertifikatsinformationen. Ihr digitales Zertifikat wird in Ihr E-Mail Programm eingebunden. Dort erscheinen dann Schaltflächen zum Signieren und Verschlüsseln der Nachricht. Indem Sie Ihrer Nachricht Ihr digitales Zertifikat anhängen (d.h. die Nachricht signieren), weiss der Empfänger einmal, dass die Nachricht von der angegebenen Person stammt (Authentizität), ferner kann er an Hand des digitalen Zertifikates (ähnlich eines Briefsiegels) erkennen, ob die Nachricht nach dem Versenden verändert wurde (Integrität). Indem Sie Ihre Nachricht verschlüsselt senden, kann keine Person, außer der Empfänger, die Nachricht mehr im Klartext lesen (Vertraulichkeit). Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 5

Wie schütze ich mein Zertifikat vor unbefugtem Zugriff? Damit niemand Unbefugtes Ihr persönliches Zertifikat benutzen kann, empfehlen wir Ihnen, vor der Beantragung eines Zertifikates, im Browser Mozilla Firefox die Sicherheitsoption Master-Passwort verwenden zu setzen. Ist diese Option im Firefox gesetzt, wird vor jeder Verwendung des Zertifikates nach einem von Ihnen zuvor zu vergebenen Passwort gefragt. Nur wer dieses Passwort kennt (i.d.r. Sie alleine) kann damit Ihr Zertifikat benutzen. 1.) Verwendung eines Master-Passwortes in Mozilla Firefox und Mozilla Thunderbird Starten Sie den Browser Mozilla Firefox und klicken Sie auf Extras/Einstellungen. Im Reiter Sicherheit finden Sie die Option 'Master-Passwort verwenden'. Wenn diese bei Ihnen nicht angehakt ist, machen Sie bitte ein Häkchen und klicken auf den OK-Button. Wenn die Option bei Ihnen schon angehakt ist, brauchen Sie nichts weiter einzustellen und können gleich mit dem Punkt 'Beantragung eines Nutzerzertifikates in der Leuphana CA mit dem Mozilla Firefox' fortfahren. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 6

Hinweis: Im Mozilla Thunderbird finden Sie die Option unter Extras/Einstellungen/'Reiter Sicherheit'/'Unterreiter Passwörter'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 7

Erste Schritte zum persönlichen Zertifikat Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 8

Beantragung eines Nutzerzertifikates in der Leuphana CA mit dem Mozilla Firefox 1.) Wo kann ich ein Nutzerzertifikat beantragen? Starten Sie den Browser 'Mozilla Firefox' und gehen Sie auf die Webseite der Leuphana CA ( http://www.leuphana.de/ca). Klicken Sie auf den Link zu den Antragsformular für Nutzer- und Serverzertifikate. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 9

2.) Die Schnittstelle für Nutzer und Administratoren-Zertifikate Klicken Sie im Reiter 'Zertifikate' auf 'Nutzerzertifikat. 3.) Der Zertifikat-Antrag Sie gelangen zu einem Formular, das Sie bitte nach den folgenden Regeln ausfüllen: 3.1) Tragen Sie als E-Mail-Adresse Ihre Uni-E-Mail-Adresse ein (z.b. max.muster@uni.leuphana.de). Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 10

Wichtig: Nur mit dieser E-Mail Adresse können Sie später E-Mails signieren und/oder verschlüsseln. 3.2) Tragen Sie Ihren Vor- und Nachnamen (wie im Ausweis) ein. Hinweis: Bei mehreren Vornamen sind diese mit einzugeben. - Verwenden Sie für den Namen ausschließlich folgende Zeichen: a-z A-Z 0-9 ( ) +, -. / : =? Leerzeichen - Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln: Ä -> Ae, Ö -> Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss - Sonderzeichen mit Akzenten verlieren diese. Ansonsten wird eine für das Betreffende Zeichen gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z zusammengesetzt, dass der entsprechende Laut entsteht. 3.3) Das Feld Abteilung lassen Sie bitte leer. 3.4) Im Feld PIN geben Sie bitte ein mindestens 8 Zeichen langes Passwort ein. Mit diesem können Sie später Ihr Zertifikat wieder sperren, ferner werden Sie nach diesem gefragt, wenn Sie unter Punkt 3.6) nicht der Veröffentlichung Ihres Zertifikates zugestimmt haben und Ihr Zertifikat vom Server der DFN-PKI herunterladen wollen. (Merken Sie sich diese also unbedingt!). 3.5) Bestätigen Sie mit einem Häkchen, dass Sie der Zertifizierungsrichtlinie zustimmen. 3.6) Setzen Sie ein Häkchen um die Veröffentlichung Ihres Zertifikates zu erlauben. 3.7) Klicken Sie auf die Schaltfläche Weiter. 4.) Bestätigen Sie Ihre Eingaben Nun werden Ihnen Ihre Eingaben noch einmal angezeigt, wenn Sie noch Änderungen machen möchten, klicken Sie auf Ändern, ansonsten, auf das Feld Bestätigen, wenn Sie alles korrekt eingegeben haben. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 11

5.) Das Master-Passwort für den Browser Mozilla Firefox festlegen Wenn Sie unserer Empfehlung im Kapitel ''Wie schütze ich mein Zertifikat vor unbefugtem Zugriff?' gefolgt sind, werden Sie im nächsten Dialog nach einem Master Passwort gefragt, mit dem der Browser den Zugriff zu Ihrem privaten Schlüssel schützt. Dieses Passwort sollte möglichst sicher sein und darf auf keinen Fall verloren werden. Bitte bestätigen Sie mit Ok. Wichtig: Dieses Passwort benötigen Sie später, um Ihr fertiges Zertifikat aus dem Browser zu exportieren. Wurde im Mozilla Firefox nicht die Option 'Master-Passwort verwenden' ausgewählt, erscheint dieses Fenster nicht und Sie können mit Punkt 6.) fortfahren. 6.) Ihr öffentlicher- und privater Sicherheitsschlüssel wird generiert Der Browser startet mit der Erzeugung des Schlüsselpaares. Der private Schlüssel verbleibt im Browser, während Ihre eingegebenen Daten mit dem öffentlichen Schlüssel und dem Zertifikatantrag an die Zertifizierungsstelle gesendet werden. 7.) Ihr Zertifikatantrag Daraufhin werden Sie aufgefordert den Zertifikatantrag auszudrucken, wählen Sie dazu zuerst den Punkt Zertifikatantrag anzeigen. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 12

Wenn der Adobe Reader installiert ist, wird Ihr Zertifikatantrag angezeigt und Sie können diesen ausdrucken. Auf dem Ausdruck: 7.1 Vervollständigen Sie bitte die Angaben zur Person (Frau/Herr). 7.2 Tragen Sie Ihre Telefonnummer ein. 7.3 Tragen Sie ein, mit welcher Ausweisart Sie sich identifizieren möchten (Personalausweis/Reisepass), Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 13

sowie die letzten 5 Zeichen der Ausweisnummer. 7.4 Tragen Sie Ihre Adresse in die vorgesehenen Felder, sowie Ort und Datum. 7.5 Unterschreiben Sie den Antrag. 8.) Identifizierung in der Registrierungsstelle Vereinbaren Sie einen Termin mit der Registrierungsstelle und bringen Sie den Zertifikatantrag, Personalausweis oder Reisepass mit, damit der öffentliche Schlüssel zweifelsfrei Ihrer Person zugeordnet und das Zertifikat ausgestellt werden kann. Ansprechpartner: Registrierungsstelle Campus Scharnhorststraße, Hr. Michael Riebau, Tel.: -1203 Registrierungsstelle Campus Volgershall, Hr. Christian Wagner, Tel.: -5201 Die Registrierungsstelle wird, sofern kein Hinderungsgrund vorliegt, Ihren Zertifikatantrag genehmigen. Sie erhalten i.d.r. nach kurzer Zeit an die im Zertifikatantrag angegebene E-Mail-Adresse eine Nachricht mit einem Link, unter dem Sie durch einen Klick auf diesen, sowie auf einen weiteren Klick auf den Button 'Zertifikat importieren' im Mozilla Firefox, das fertige Zertifikat in den Mozilla Firefox importieren können. Wichtig: - Benutzen Sie den selben Browser und Computer, mit dem Sie das Zertifikat beantragt haben, da nur auf diesem Ihr privater Sicherheitsschlüssel liegt. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 14

- Sie benötigen u.u. das Master-Passwort des Browsers (s. Punkt 5.). - Sie benötigen Ihre in Punkt 3.) selbst vergebene PIN, wenn Sie bei der Beantragung des Zertifikates der Veröffentlichung nicht zugestimmt haben. - Fertigen Sie ein Backup von Ihrem Schlüsselpaar an, indem Sie Ihr Schlüsselpaar aus dem Mozilla Firefox exportieren! Dieses Backup kann dann in den Mail-Client (z.b. Mozilla Thunderbird, Outlook 2007 oder Apple Mail) importiert werden, um signierte und/oder verschlüsselte E-Mails zu versenden. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 15

Exportieren des persönlichen Zertifikates aus dem Browser 'Mozilla Firefox' (Windows) 1. ) Wo finde ich mein Zertifikat? Starten Sie den Browser 'Mozilla Firefox' mit dem Sie Ihr Zertifikat in der Leuphana CA beantragt haben. (Sie müssen auch schon auf den Ihnen von der Registrierungsstelle per E-Mail zugesandten Link geklickt haben!) Wählen Sie im Mozilla Firefox aus dem Menü Extras' den Punkt Einstellungen' aus. 2.) Der Zertfifikatspeicher des Mozilla Firefox Es erscheint das Fenster Einstellungen'. Im Reiter Erweitert' klicken Sie im Unter-Reiter Verschlüsselung' auf den Button Zertifikate anzeigen'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 16

3.) Ihr persönliches Zertifikat Es öffnet sich ein weiteres Fenster in dem Sie unter dem Reiter Ihre Zertifikate' den Namen des von Ihnen installierten Zertifikates finden. Klicken Sie bitte auf Ihren Zertifikatsnamen, damit dieser ausgewählt ist (blau hinterlegt). Darauf wählen Sie den Punkt Sichern...'. 4.) Festlegen des Speicherortes Im Dialogfenster 'Dateiname für Backup' wählen Sie einen Speicherort auf Ihrer Festplatte, wo Mozilla Firefox Ihr Zertifikat abspeichern soll. In unserem Fall speichern wir unser Zertifikat auf den Desktop unter dem Namen my_cert_backup' ab. Wählen Sie Speichern'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 17

5.) Authentifizierung gegenüber 'Mozilla Firefox' Wenn Sie unserer Empfehlung im Kapitel ''Wie schütze ich mein Zertifikat vor unbefugtem Zugriff?' gefolgt sind, werden Sie aufgefordert das Master-Passwort für den Browser 'Mozilla Firefox' einzugeben. Dieses Passwort haben Sie u.u. auch schon bei der Beantragung und Generierung Ihres Zertifikatschlüsselpaares eingegeben. Ansonsten fahren Sie mit Punkt 6.) fort. 6.) Eingabe eines Sicherungs-Passwortes Daraufhin werden Sie gebeten ein Zertifikats-Backup Passwort neu zu vergeben. Mit diesem wird verhindert, dass eine fremde Person Ihre Sicherung des Zertifikates verwenden kann. 7.) Die Sicherung Ihres persönlichen Zertifikates in eine Sicherungsdatei war erfolgreich Sie bekommen eine Meldung, dass Ihre Zertifikate an der von Ihnen gewählten Stelle gesichert wurden. Sie können den Browser 'Mozilla Firefox' nun schließen. In unserem Beispiel finden Sie auf dem Desktop die Sicherung Ihres persönlichen Zertifikates in der Datei 'my_cert_backup.p12'. Ihr persönliches Zertifikate kann nun z.b. in einen E-Mail-Client und/oder in einen anderen Browser importiert werden. Hinweise: - Zum Importieren Ihres persönlichen Zertifikates in ein anderes Programm benötigen Sie immer das Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 18

Sicherungs-Passwort aus Punkt 6. - Sie dürfen Ihr Zertifikat auch auf mehreren Computern (z.b. Laptop, Büro-Computer usw.) installieren. Entscheidend ist, dass nur Sie Zugriff auf Ihr Zertifikat haben (s. Pflichten von Zertifikatnehmern (PDF)). Dies können Sie z.b. durch Nutzung des Master-Passwortes in den Programmen Mozilla Firefox und Mozilla Thunderbird erreichen. - Es ist ratsam die Backup-Datei auf einer Diskette/Speicherkarte o.ä. an einem sicheren Ort aufzubewahren, damit sie im Falle eines Computer-Verlustes diese wieder einspielen können. Achtung: Sollten Ihr Zertifikat abhanden kommen, sind Sie nicht mehr in der Lage vorher verschlüsselte Dokumente und E-Mails wieder lesbar zu machen! Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 19

Einbinden des persönlichen Zertifikates in eine E-Mail-Anwendung Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 20

Import eines persönlichen Zertifikates der Leuphana CA in Apple Mail 1.) Persönliche Zertifikate im Apple Betriebssystem Wenn Sie Ihr Zertifikat auf einem Apple Betriebssystem mit dem Browser Safari beantragt haben und den Link in Ihrer Bestätigungsmail mit dem Browser Safari geöffnet haben, wurde Ihr Zertifikat automatisch zu Ihrem Schlüsselbund im Apple Betriebssystem hinzugefügt. Bitte folgen Sie den Erklärungen unter: Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in Apple Mail. Haben Sie Ihren Zertifikatantrag mit dem Browser Mozilla Firefox ausgefüllt und den Link in Ihrer Bestätigungsmail mit dem Browser Mozilla Firefox geöffnet, müssen Sie Ihr Zertifikat erst aus dem Browser Mozilla Firefox exportieren. Hierzu öffnen Sie bitte den Browser Mozilla Firefox und gehen im Menü Firefox auf den Punkt Einstellungen. Im Reiter Erweitert und dem Punkt Verschlüsselung finden Sie unter eigene Zertifikate Ihr Zertifikat der Leuphana CA. Wählen Sie dieses aus und klicken auf sichern. Daraufhin können Sie einen Speicherort, sowie ein Backup-Passwort eingeben. Nach erfolgreicher Sicherung Ihres Zertifikates klicken Sie bitte mit Doppelklick auf Ihre Zertifikatsdatei, an dem von Ihnen gewählten Speicherort. 2.) Ihr persönliches Zertifikat importieren In dem Fenster Zertifikate hinzufügen' klicken Sie auf OK. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 21

3.) Eingabe des Sicherungs-Passwortes Es erscheint ein Dialogfenster in dem Sie das von Ihnen vergebene Backup-Passwort (siehe. Punkt 1.) eingeben müssen. Klicken Sie darauf den OK-Button. 4. Die Schlüsselbundverwaltung des Apple Betriebssystems Wenn Sie in dem nun geöffneten Fenster Schlüsselbundverwaltung' unter Kategorie' auf den Punkt 'Schlüssel' klicken, sollte Ihr privater Schlüssel angezeigt werden. Sie können die Schlüsselbundverwaltung daraufhin schließen. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 22

Import eines persönlichen Zertifikates der Leuphana CA in MS Outlook 2007 (Windows) 1.) Persönliche Zertifikate in Microsoft Outlook 2007 Starten Sie MS Outlook 2007. Wählen Sie in MS Outlook 2007 aus dem Menü '?' den Punkt 'Datenschutzoptionen' aus. 2.) Der Outlook 2007 Vertrauensstellungscenter Es erscheint das Fenster Vertrauensstellungscenter'. Im linken Fenster klicken Sie zuerst auf den Button E-Mail-Sicherheit' und darauf im rechten Fenster unter dem Punkt Digitale IDs (Zertifikate)' auf den Button Importieren/Exportieren'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 23

3.) Ihr persönliches Zertifikat importieren Es öffnet sich ein weiteres Fenster in dem Sie den Punkt Bestehende digitale ID aus einer Datei importieren' ausgewählt lassen und auf den Button Durchsuchen' klicken. 4.) Der Speicherort Ihres persönlichen Zertifikates Im Dialogfenster Sicherheitsprofil suchen' wählen Sie den Speicherort auf Ihrer Festplatte, an dem Mozilla Firefox Ihr Zertifikat abgespeichert hat. In unserem Beispiel war dies auf dem Desktop unter dem Namen my_cert_backup.p12'. Wählen Sie Ihre Zertifikats-Kopie aus und klicken Sie auf Öffnen'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 24

5.) Eingabe des Sicherungs-Passwortes Sie gelangen wieder zum vorherigen Fenster. Hier geben Sie im Feld Kennwort' bitte ihr Zertifikats-Backup Passwort ein, welches Sie bei der Sicherung Ihres Zertifikates aus dem Mozilla Firefox erstellt haben (s.o.). In dem Feld Name der digitalen ID' geben Sie bitte Ihren Namen an, mit dem Sie das Zertifikat bei der Leuphana CA beantragt haben. Klicken Sie auf den Button OK'. Hinweis: Wenn Sie nicht das richtige Kennwort eingegeben haben erscheint ein Dialog-Fenster mit der Meldung Beim Import von Sicherheitsinformationen ist ein Fehler aufgetreten'. 6.) Bestätigen des Imports In dem Dialogfenster Ein neuer privater Austauschschlüssel wird importiert' klicken Sie auf den Button OK'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 25

7.) E-Mails beim Versenden automatisch signieren Sie gelangen wieder zum Fenster Vertrauensstellungscenter'. Wenn Sie unter dem Punkt Verschlüsselte E-Mail-Nachrichten' einen Haken bei Ausgehende Nachrichten digitale Signatur hinzufügen' auswählen, wird von nun an, bei jeder E-Mail, die Sie versenden, automatisch Ihre digitale Signatur angehängt. Schließen Sie nun das Fenster 'Vertrauensstellungscenter'. Hinweis: Durch die vorangegangenen Schritte haben Sie Ihr persönliches Zertifikat in die Schlüsselverwaltung vom Windows-Betriebssystem importiert. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 26

Import eines persönlichen Zertifikates der Leuphana CA in Mozilla Thunderbird (Windows) 1.) Persönliche Zertifikate im Mozilla Thunderbird Starten Sie den Mozilla Thunderbird. Wählen Sie im Mozilla Thunderbird aus dem Menü Extras' den Punkt Einstellungen' aus. 2.) Der Zertfifikatspeicher des Mozilla Thunderbird Es erscheint das Fenster Thunderbird Einstellungen'. Im Reiter Erweitert' klicken Sie im Unter-Reiter Zertifikate' auf den Button Zertifikate'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 27

3.) Ihr persönliches Zertifikat Es öffnet sich ein weiteres Fenster in dem Sie unter dem Reiter Ihre Zertifikate' noch keine installierten Zertifikate finden dürften. Klicken Sie bitte auf den Punkt Importieren...'. 4.) Der Speicherort Ihres persönlichen Zertifikates Im Dialogfenster Dateiname zum Wiederherstellen' wählen Sie den Speicherort auf Ihrer Festplatte, an dem Mozilla Firefox Ihr Zertifikat abgespeichert hat. In unserem Beispiel war dies auf dem Desktop unter dem Namen my_cert_backup.p12'. Wählen Sie Ihre Zertifikats-Kopie aus und klicken Sie auf Öffnen'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 28

5.) Authentifizierung gegenüber 'Mozilla Thunderbird' Wenn Sie unserer Empfehlung im Kapitel ''Wie schütze ich mein Zertifikat vor unbefugtem Zugriff?' gefolgt sind, werden Sie aufgefordert das Master-Passwort für den Mozilla Thunderbird einzugeben. Hinweis: Dabei kann es sich um ein anderes Passwort als im Mozilla Firefox handeln! Ansonsten fahren Sie mit Punkt 6.) fort. 6.) Eingabe des Sicherungs-Passwortes Daraufhin werden Sie gebeten Ihr Zertifikats-Backup Passwort einzugeben, welches Sie bei der Sicherung ihres Zertifikates aus dem Mozilla Firefox erstellt haben (s.o.). 7.) Der Import Ihres persönlichen Zertifikates in Mozilla Thunderbird war erfolgreich Sie bekommen eine Meldung, dass Ihr Zertifikat in den Mozilla Thunderbird übernommen wurde. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 29

Im Fenster Zertifikate-Manager' erscheint nun im Reiter Ihre Zertifikate der Name des von Ihnen importierten Zertifikates. 8.) E-Mails beim Versenden automatisch signieren Um Ihren gesendeten E-Mails automatisch ihre digitale Sigantur anzuhängen, müssen noch einige Einstellungen gemacht werden. Schließen Sie die offenen Fenster und wählen Sie im Mozilla Thunderbird Menü Extras' den Punkt Konten-Einstellungen' aus. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 30

Unter Ihrer Kontenbezeichnung klicken Sie auf den Punkt 'S/MIME-Sicherheit' und dann im Feld Digitale Unterschrift' auf den Button Auswählen'. Im darauf folgenden Dialog wird Ihnen Ihr Zertifikat bereits angeboten. Klicken Sie bitte auf den Button OK'. Es folgt eine Abfrage, ob Sie das gewählte Zertifikat auch zum ver- und entschlüsseln von Nachrichten verwenden möchten. Klicken Sie bitte auf Ja'. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 31

Setzen Sie nun noch ein Häkchen bei dem Punkt Nachrichten digital unterschreiben (als Standard)' und überprüfen Sie, ob unter Standard-Verschlüsselungseinstellung beim Senden von Nahrichten' Nie (keine Verschlüsselung verwenden)' ausgewählt ist. Nach Klick auf den OK'-Button ist Ihr Mozilla Thunderbird mit Ihrem persönlichen Zertifikat eingerichtet. Es wird nun bei jeder versendeten Nachricht Ihre digitale Signatur automatisch angehängt. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 32

Signieren und Verschlüsseln von E-Mails Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 33

Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in Apple Mail 1.) E-Mail verfassen Öffnen sie Apple Mail und verfassen Sie eine neue E-Mail. Rechts unter der Betreffzeile sollten Ihnen nun zwei neue Buttons zur Verfügung stehen. Der linke Button (s. Abb.) bewirkt eine Verschlüsselung der gesamten E-Mail, während der rechte Button ihre digitale Signatur an die E-Mail anhängt. Wenn Sie den Senden-Button drücken, erscheint bei Auswahl von Signatur und/oder Verschlüssellung ein Dialogfenster, in dem Sie Erlauben' drücken. Hinweise: Sollten die Buttons für Verschlüsselung und Signieren in Apple Mail noch nicht angezeigt werden, starten Sie bitte Ihr Apple Betriebssystem neu. Um einem Empfänger eine verschlüsselte E-Mail zu schicken, benötigen Sie den öffentlichen Schlüssel des Empfängers. Diesen erhalten Sie automatisch, indem der Empfänger ihnen vorher eine signierte E-Mail zusendet. Signierte E-Mails können Sie immer versenden. Dadurch erhält der Empfänger auch gleichzeitig Ihren öffentlichen Schlüssel und kann Ihnen, sofern er über ein eigenes Zertifikat verfügt, verschlüsselt antworten. Die E-Mail Adresse des Empfängers muß identisch mit der seiner digitalen Signatur sein. Es kann leicht zu Fehlermeldungen führen, wenn ein Empfänger verschiedene E-Mail-Adressen verwendet (z.b. c.wagner@leuphana.de, c.wagner@uni.leuphana.de). Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 34

Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in MS Outlook 2007 (Windows) 1.) E-Mail verfassen Starten Sie MS Outlook 2007 und verfassen Sie wie gewohnt eine E-Mail. Sie haben nach dem Import des persönlichen Zertifikates die Möglichkeit über den Button Signieren' der E-Mail Ihre digitale Signatur anzuhängen, sowie über den Button Verschlüsseln' die Nachricht automatisch verschlüsseln zu lassen. Hinweis: Je nach Fenstergröße kann die Darstellung der o.g. Buttons variieren (siehe Abbildungen). Sollten die Buttons noch nicht vorhanden sein, so klicken Sie auf 'Optionen' und im erscheinenden Fenster 'Nachrichtenoptionen' auf 'Sicherheitseinstellungen'. Im Fenster 'Sicherheitseigenschaften' können Sie prüfen, ob die Punkte 'Nachrichten und Anlagen verschlüsseln' und/oder 'Diese Nachricht digital signieren' angehakt sind. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 35

2.) Probleme beim Senden von verschlüsselten E-Mails Hinweise: Erhalten Sie nach dem Drücken auf den 'Senden'-Button eine Meldung über Verschlüsselungsprobleme, so wurde u.u. der öffentliche Schlüssel des Empfängers von Outlook 2007 nicht gefunden. Ferner muß die E-Mail Adresse des Empfängers identisch mit der seiner digitalen Signatur sein. Es kann leicht zu Fehlermeldungen führen, wenn ein Empfänger verschiedene E-Mail-Adressen verwendet (z.b. c.wagner@leuphana.de, c.wagner@uni.leuphana.de). 3.) Der öffentliche Schlüssel des E-Mail Empfängers zu den Kontaktdaten hinzufügen Der öffentlich Schlüssel des Empfängers wird automatisch Ihrem Windows System zugefügt, wenn Sie auf eine digital signierte E-Mail von diesem eine Antwort-E-Mail verschlüsselt zurückschicken. Ferner können Sie den öffentlichen Schlüssel manuell dem Windows System bekannt geben, indem Sie eine digital signierte E-Mail der Person, der Sie eine E-Mail verschlüsselt schicken möchten, auswählen, auf den Namen des Senders mit der rechten Maustaste klicken, und im darauf erscheinenden Kontextmenü den Punkt Zu Outlook-Kontakten hinzufügen auswählen. (Bitte vergessen Sie nicht den Kontakt zu speichern) Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 36

4.) Überprüfung der digitalen Signatur einer empfangenen E-Mail In MS Outlook 2007 erkennen Sie eine digital signierte E-Mail an dem Siegel-Symbol. Durch einen Klick auf dieses Symbol erhalten Sie Informationen über die Nachrichten-Sicherheit. Die digitale Signatur ist gültig. Hinweis: Sollten Sie Microsoft Office 2010 verwenden und Probleme mit dem Senden und/oder Empfangen von signierten/verschlüsselten E-Mails haben, wenden Sie sich bitte an die Mitarbeiter der Leuphana CA. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 37

Verwendung des persönlichen Zertifikates zum Signieren und Verschlüsseln von E-Mails in Mozilla Thunderbird (Windows) 1.) E-Mail verfassen Starten Sie den Mozilla Thunderbird und verfassen Sie wie gewohnt eine E-Mail. Sie haben nach dem Import des persönlichen Zertifikates die Möglichkeit über den Button S/MIME' auszuwählen, ob die von Ihnen verfasste E-Mail signiert und/oder verschlüsselt versendet werden soll. Ein Symbol in der rechten unteren Ecke des Fensters zeigt Ihnen an, ob Sie 'Nachricht unterschreiben' und/oder 'Nachricht verschlüsseln' ausgewählt haben. 2.) Probleme beim Senden von verschlüsselten E-Mails Möchten Sie eine E-Mail verschlüsselt senden, müssen Sie dieses beim Verfassen der E-Mail im Punkt ' S/MIME' explizit auswählen. Beachten Sie, dass Sie zur Verschlüsselung einer E-Mail immer auch den öffentlichen Schlüssel des Empfängers benötigen (D.h. der Empfänger muss Ihnen mindestens einmal eine digital signierte E-Mail zugesandt haben.). Hinweis: Die E-Mail Adresse des Empfängers muß identisch mit der seiner digitalen Signatur sein. Es kann leicht zu Fehlermeldungen führen, wenn ein Empfänger verschiedene E-Mail-Adressen verwendet (z.b. c.wagner@leuphana.de, c.wagner@uni.leuphana.de). Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 38

3.) Überprüfung der digitalen Signatur einer empfangenen E-Mail In Mozilla Thunderbird erkennen Sie eine digital signierte E-Mail an dem Brief/Siegel-Symbol. Durch einen Klick auf dieses Symbol erhalten Sie Informationen über die Nachrichten-Sicherheit. In dem Beispiel wurde die Nachricht digital unterschrieben und nicht verändert, seit sie gesendet wurde. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 39

Anhang Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 40

Stichwortverzeichnis Authentifizierung Mit der Authentifizierung bestätigen Sie gegenüber dem Programm, dass Sie die berechtigte Person für diesen Vorgang sind. Meistens wird dafür die Eingabe eines Passwortes verlangt. Das Programm geht davon aus, dass nur der berechtigten Person (Ihnen) dieses Passwort bekannt ist. Backup Als Backup bezeichnet man eine Sicherung bzw. Kopie von Daten und/oder Dateien. Sie dient i.d.r. dazu Datenverlusten vorzubeugen. CA Englische Abkürzung für Certificate Authority, auf deutsch Zertifizierungsstelle. Die Zertifizierungsstelle ist berechtigt nach Prüfung Zertifikate an natürliche Personen auszustellen. digitale Signatur Eine digitale Signatur ist ein kryptografisches Verfahren. Hierzu wird zu einer Nachricht eine Zahl errechnet (digitale Signatur), die mitversandt wird und an Hand der der Empfänger der Nachricht überprüfen kann, ob die Nachricht verändert wurde und vom wem die Nachricht stammt. Identifizierung Mit der Identifizierung soll sichergestellt werden, dass der private Schlüssel sich auch wirklich im Besitz des Antragstellers befindet. Zur Identifizierung müssen Sie persönlich mit einem Reisepass oder Personalausweis in einer Registrierungsstelle erscheinen. Mail-Client Als Mail-Client bezeichnet man auch das Programm, mit dem man E-Mails verschickt (z.b. Thunderbird oder Outlook). Master-Passwort In Mozilla Firefox und Mozilla Firefox können Ihre persönlichen Passwörter für Webseiten und E-Mail-Konten im sog. Passwort Manager dauerhaft gespeichert werden. Zum Schutz vor unbefugter Benutzung der gespeicherten Passwörter, vergeben Sie das sog. Master-Passwort. Vorteil ist sie müssen sich nicht mehr alle Ihre verschiedenen Passwörter merken, sondern nur noch das Master-Passwort. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 41

öffentlicher Schlüssel Der öffentliche Schlüssel wird zur Verschlüsselung eines Textes verwendet. Der so kodierte Text kann nur mit dem privaten Schlüssel wieder lesbar gemacht werden. Der öffentliche Schlüssel wird zur Prüfung digitaler Signaturen verwendet und kann frei zugänglich gemacht werden. Wenn Sie eine signierte E-Mail versenden, wird Ihr öffentlicher Schlüssel mit zum Empfänger der Nachricht gesandt. PIN Die PIN ist eine 8 stellige beliebige Zeichenfolge, mit der Sie Ihr Zertifikat jederzeit sperren können, falls es Ihnen abhanden gekommen oder unbefugten Personen zugänglich geworden sein sollte. privater Schlüssel Der private Schlüssel wird zur Entschlüsselung eines kodierten Textes verwendet. Ohne den privaten Schlüssel ist es nicht möglich kodierte Texte wieder lesbar zu machen, oder eine digitale Signatur an eine E-Mail anzuhängen. Der private Schlüssel darf nicht öffentlich gemacht werden. RA Englische Abkürzung für Registration Authority, auf deutsch Registrierungsstelle. Registrierungsstelle Die Registrierungsstelle führt die Identifizierung von natürlichen Personen durch. Schlüsselbund Schlüsselbunde verwendet man im Apple Betriebssystem, um die Anzahl der Passwörter zu verringern, die man sich merken muß. Ein Schlüsselbund kann alle Passwörter für Programme, Zertifikate und Websites speichern. Schlüsselbundverwaltung Die Schlüsselbundveraltung ist das Programm im Apple Betriebssystem, dass Ihre Schlüsselbunde organisiert und speichert. Schlüsselpaar Das Schlüsselpaar beinhaltet Ihren persönlichen öffentlichen Schlüssel, sowie Ihren persönlichen privaten Schlüssel. Diese beiden Schlüssel werden zum Signieren, sowie Ver- und Entschlüsseln von Nachrichten benötigt. Schlüsselverwaltung Siehe Zertifikatspeicher. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 42

Signieren Beim Signieren versehen Sie ihre Nachricht mit einer Art persönlichem Siegel (digitaler Signatur). Diese digitale Sigantur weist Sie, ähnlich einer Unterschrift, als Absender der Nachricht aus. Ferner lassen sich nachträglich Verfälschte Nachrichten erkennen. S/MIME S/MIME (Secure Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung und Signatur von E-Mail-Nachrichten. Verschlüsseln Bei der Verschlüsselung wird eine klar lesbare Nachricht (Klartext) mit Hilfe eines Verschlüsselungsverfahrens in eine unleserliche Zeichenfolge (Geheimtext) umgewandelt. Dafür werden je nach Verschlüsselungsverfahren ein oder mehrere sog. Schlüssel verwendet. Zertifikat Das Zertifikat bescheinigt, dass Ihr öffentlicher Schlüssel zu Ihrer Person gehört. Zertifikats-Backup Passwort Auch Sicherungs-Passwort genannt. Dieses dient dazu den Zugriff auf Ihre Zertifikatsdatei abzusichern. Nur die Person, die das Zertifikats-Backup Passwort kennt, ist in der Lage das digitale Zertifikat in ein Programm (z.b. Mail-Client oder Browser) zu Importieren. Der Computer geht davon aus, dass nur der wirkliche Besitzer des Zertifikates das Zertifikats-Backup Passwort kennt. Zertifikatsdatei In der Zertifikatsdatei können Sie Ihr digitales Zertifikat speichern, um es in ein anderes Programm zu Importieren oder als Zertifikats-Kopie an einem sicheren Ort aufzubewahren. Wenn Sie Ihr digitales Zertifikat verlieren, wären Sie z.b. nicht mehr in der Lage, verschlüsselte Nachrichten wieder leserlich zu machen. Zertifikats-Kopie Siehe Zertifikatsdatei Zertifikatspeicher Der Zertifikatspeicher (in einigen Betriebssystemen auch Schlüsselverwaltung genannt) dient dazu alle Ihre persönlichen Zertifikate, Zertifikate und öffentliche Schlüssel anderer Personen (z.b. anderer Personen, die Ihnen eine signierte Nachricht geschickt haben), sowie Server-Zertifikate (z.b. von Webseiten denen Sie vertrauen) zu verwalten. Persönliche Zertifikate zum Signieren und Verschlüsseln von E-Mails - 43