Internet E-Mail Encryption S/Mime Standard

Internet E-Mail Encryption S/Mime Standard Disclaimer: Regelmäßig lässt sich die Verschlüsselungsfunktion störungsfrei in den E-Mail-Programmen einrichten. Wir weisen aber darauf hin, dass in einigen Fällen das Einrichten der Verschlüsselungsfunktion in E-Mail-Programmen durch nicht vorhergesehene Inkompatibilitäten mit anderen Systemeinstellungen zu Fehlern bis hin zum Programmcrash führen kann. Die Einrichtung der Verschlüsselungsfunktion erfolgt daher auf Ihr eigenes Risiko und Bayer Business Services kann hierfür und für etwaige Folgeschäden keine Haftung und keinen Support übernehmen. Bei der Einrichtung gemäß dieser Anleitung erklären Sie sich mit diesem Haftungsausschluss einverstanden. Die Nutzung des Verschlüsselungszertifikats unterliegt den jeweils länderspezifischen rechtlichen Bedingungen, die unbedingt einzuhalten sind. Technologie anwenden eine Fibel für den Alltag Ansprechpartner: Bayer Business Services GmbH ITO ServiceDesk 51368 Leverkusen Telefon: Ihre IT Serviceline oder +49 (0) 2 14/30-9 99 99 E-Mail: ServiceDesk@BayerBBS.com Internet: www.bayerbbs.com

2 I 3 Die Lösung E-Mails werden im Internet offen übertragen. Sie sind mit Postkarten vergleichbar, die von vielen Personen beim Transport gelesen werden können. Das Problem im Internet: Mails werden abgefangen und gelesen. Um vertrauliche Inhalte vor fremden Augen zu schützen, gibt es jedoch eine Lösung: die Verschlüsselung der E-Mails. Dabei werden sie so kodiert, dass sie für Unbefugte nicht lesbar sind. Diese Sicherheitsaspekte sind insbesondere bei der internen und externen Geschäftskommunikation wichtig. Doch hier muss man unterscheiden: Intern ist die Bereitstellung der Verschlüsselungsmöglichkeit durch die Verwendung eines einheitlichen E-Mail-Systems (Lotus Notes) einfach. Der Absender aktiviert die Verschlüsselung über die Zustelloptionen. Die Lösung Ganz anders jedoch in der externen Kommunikation: Die E-Mail-Systeme der Kommunikationspartner sind ausgesprochen vielfältig. Um auch in diesem Umfeld verschlüsselt kommunizieren zu können, bietet Bayer Business Services eine einfache und wirksame Lösung an, die auf dem Internet-Standard S/Mime basiert. S/Mime ist ein Verfahren, das von vielen E-Mail- Programmen unterstützt wird. Das heißt: In der Regel verfügen alle externen Kommunikationspartner über die technischen Möglichkeiten, es einzusetzen. Wie wenig Aufwand es erfordert, verschlüsselt zu kommunizieren, soll die vorliegende Anleitung zeigen: von der Ersteinrichtung bis zum täglichen Gebrauch. Höchst einfach. Höchst effizient.

4 I 5 Das Prinzip Kleiner Aufwand große Wirkung: Für jeden Teilnehmer wird einmalig ein Schlüsselpaar erzeugt. Es besteht aus einem privaten und einem öffentlichen Schlüssel. Nur diese zusammen generierten Schlüssel passen zueinander. Ihre Aufgaben: Der öffentliche Schlüssel ermöglicht das Verschlüsseln von Nachrichten, der private Schlüssel das Entschlüsseln. Der öffentliche Schlüssel wird dem Kommunikationspartner übermittelt. Damit kann er dem Halter des privaten Schlüssels kodierte E-Mails senden. Und der wiederum macht sie mit seinem privaten Schlüssel wieder lesbar. Wichtig ist, dass der private Schlüssel nie weitergegeben werden darf. Denn er garantiert die Sicherheit, dass nur derjenige die E-Mails entschlüsseln kann, an den sie auch gerichtet waren. Das Prinzip Um die Verschlüsselung auf dem eigenen PC zu ermöglichen, ist nur eine Reihe von einfachen Schritten nötig. Die werden auf interner und externer Seite getrennt vorgenommen. Die internen Schritte sind für Lotus Notes ab Version 6.x dargestellt. Bei anderen Versionen muss die Funktion geprüft werden Ihr Ansprechpartner: der ServiceDesk. Interner Kommunikationspartner Externer Kommunikationspartner I 1 Erkundigen, ob externer Kommunikationspartner mit S/Mime vertraut ist I 2 Schlüsselpaar erzeugen I 3 Öffentlichen Schlüssel an externen Partner senden E 1 Schlüssel in Adressbuch integrieren Bayer- Webseite E 2 Bayer-Firmenzertifikat von Webseite laden und in Adressbuch integrieren 22 22 Status Richtung Extern/Intern funktioniert Mit den intern generierten Schlüsseln ist es nun möglich, dass der externe Kommunikationspartner dem internen Partner verschlüsselte E-Mails sendet und dieser die Mails auch lesen kann. Nun muss der externe Kommunikationspartner den Versand von verschlüsselten E-Mails in umgekehrter Richtung einrichten.

6 I 7 Interner Kommunikationspartner Externer Kommunikationspartner I 4 Schlüssel in Adress buch integrieren E 3 Schlüsselpaar generieren, falls nicht vorhanden E 4 Zertifikat in E-Mail-Programm integrieren E 5 Öffentlichen Schlüssel an internen Mitarbeiter senden Das Prinzip 22 22 Status Richtung Intern/ Extern funktioniert Die Schritte I 1 bis I 4 des internen Kommunikationspartners sind im folgenden Abschnitt beschrieben. Die Schritte E 1 bis E 5 des externen Kommunikationspartners sind im Abschnitt Die externen Schritte allgemein beschrieben.

8 I 9 Die internen Schritte im Einzelnen Die Lösung von Bayer Business Services reduziert den notwendigen Aufwand für den internen Anwender auf ein Mindestmaß. Dies wird ermög licht durch die spezifische Kommunikations- und E-Mail-Infrastruktur von Bayer Business Services, beschrieben auf http://by-securemail.bayer-ag.com. Die in diesem Primer dargestellten Schritte beziehen sich auf Lotus Notes ab Version 6.x. Für alle anderen Lotus Notes Versionen muss die Funktion geprüft werden. Ihr Ansprechparter: der ServiceDesk. o I 1: Erkundigen, ob externer Kommunikationspartner mit S/Mime vertraut ist Im ersten Schritt ist es wichtig, herauszufinden, ob der externe Kommunikationspartner S/Mime nutzt und welches Zielsystem (Betriebssystem, E-Mail-Programm) er verwendet. Existiert bereits ein Schlüsselpaar bzw. nutzt er bereits S/Mime- Verschlüsselung (diese Informationen kann der Externe bei seinem Administrator einholen), so muss er nichts mehr tun. Falls er nicht mit S/Mime vertraut ist, sollte ihm diese Fibel zur Verfügung gestellt werden. Sie kann über http://by-securemail.bayer-ag.com bestellt werden. Auch soll sich der externe Kommunikationspartner mit seinem Service- Desk in Verbindung setzen. Die internen Schritte o I 2: Schlüsselpaar erzeugen Jetzt muss überprüft werden, ob im eigenen E-Mail-Programm das Format Mime eingestellt ist. Dies geschieht in Lotus Notes über [Datei] [Vorgaben] [Arbeitsumgebung] im Reiter [Mail]. Falls das Mime-Format nicht eingestellt ist, bitte entsprechend umstellen und den Dialog mit [Speichern und schließen] beenden. Zum Erzeugen des Schlüsselpaars muss von der Person, die das Zertifikat benötigt, eine signierte, unverschlüsselte E-Mail mit dem Thema Get Certificate an die E-Mail-Adresse Internet-Mail-Certificate@BAYERNOTES gesendet werden. Eine Beantragung durch das Sekretariat ist nicht möglich. Signiert wird die Mail unter der Einstellung [Zustelloptionen].

10 I 11 Die internen Schritte Innerhalb eines Tages erhält der Absender eine Antwort-E-Mail von der CA_Engine. Deren Thema lautet S/Mime Internet Mail Certificate. In dieser E-Mail befindet sich ein Button [Import Internet Certificate], mit dem das Zertifikat in Lotus Notes integriert wird. Achtung: Werden mehrere Computersysteme, z. B. Desktop-Rechner und Laptop, zum Arbeiten genutzt, muss das Mime-Format auf jedem Rechner separat eingestellt werden. Dasselbe gilt für die Integration des Zertifikats in Lotus Notes über den Button [Import Internet Certificate]. Das heißt: Beides geschieht einmalig auf jedem genutzten Computer. o I 3: Öffentlichen Schlüssel durch signierte E-Mail an externen Kommunikationspartner übermitteln Um dem externen Kommunikationspartner den öffentlichen Schlüssel zu übermitteln, reicht es, ihm eine signierte, unverschlüsselte E-Mail zu senden. Signiert wird eine Mail, wenn in den [Zustelloptionen] das entsprechende Kästchen markiert ist.

12 I 13 o I 4: Schlüssel des externen Kommunikationspartners in eigenes Adressbuch integrieren Die vom externen Kommunikationspartner signierte E-Mail wird beim ersten Empfang dadurch erkannt, dass der externe Kommunikationspartner gegenzertifiziert werden muss. Es erscheint ein Fenster, in dem [Gegenzertifizieren] angeklickt werden muss. Die internen Schritte Danach wird in der Statusleiste die Information Signiert durch angezeigt. Das Zertifikat wird über [Werkzeuge] [Absender ins Adressbuch aufnehmen] integriert. Hierbei ist darauf zu achten, dass die Option [Gegebenenfalls X.509-Zertifikate aufnehmen] markiert ist. Sollte der Kontakt bereits im Adressbuch enthalten sein, erscheint eine entsprechende Meldung. Hier muss nun [Aktualisieren] ausgewählt werden, damit das Zertifikat integriert wird. Mit diesem Schritt ist die Einrichtung abgeschlossen. In der täglichen Arbeit wird die Verschlüsselung mit externen Kommunikationspartnern wie die interne Verschlüsselung genutzt: Vor dem Senden muss [Verschlüsseln] angeklickt werden. Sollte es bei diesem Schritt Schwierigkeiten geben oder eine Fehlermeldung erscheinen, steht der ServiceDesk unter der bekannten Telefonnummer zur Verfügung.

14 I 15 Die externen Schritte im Einzelnen E-Mail-Programme und Systemlandschaften können sehr unterschiedlich sein. Bayer Business Services unterstützt mit dieser Lösung die folgenden Systeme: o Microsoft Outlook (Version XP, 2003 für Windows/Entourage für Mac) o Mozilla 1.7.2 / Netscape 7.1 für Windows, Linux, Mac o Lotus Notes (Version ab 6.x für Windows, Linux, Mac) o K-Mail 3.3.0 für Linux o Apple Mail für Mac OS X ab 10.3 Nachfolgend wird zunächst allgemein geschildert, wie der externe Gesprächspartner vorzugehen hat; die Screenshots der unterstützten Systeme können dem Anhang entnommen werden. Die externen Schritte allgemein o E 1: Schlüssel ins Adressbuch integrieren Wie beim Schritt I 4 ist es notwendig, den öffentlichen Schlüssel in das Adressbuch des eigenen E-Mail-Programms zu integrieren. Die Folge: Neben Name und Adresse befindet sich nun auch der Schlüssel des Kommunikationspartners im Adressbuch. o E 2: Bayer-Firmenzertifikat von Bayer-Webseite laden und integrieren Um bei späteren Mails nicht immer gefragt zu werden, ob der Kommunikationspartner vertrauenswürdig ist, sollte auch das so genannte Firmenzertifikat eingebunden werden. Zertifizierungsstelle des internen Kommunikationspartners ist Bayer Business Services. Das Zertifikat, das aus einer langen Zeichenkette besteht, lässt sich von der Internetseite http://pki.bayer.info herunterladen und automatisch in das Mailprogramm integrieren. o E 3: Schlüsselpaar generieren Falls noch kein Schlüsselpaar existiert, also keine E-Mail-Verschlüsselung genutzt wird, ist auch dieses zu erstellen. Existiert im Unternehmen des externen Kommunikationspartners eine Certification Authority (CA), wird über diese ein Schlüssel generiert. Weitere Informationen hierzu hat Ihr Administrator. Anderenfalls kann das Schlüsselpaar auch im Internet bezogen werden von einer der Firmen, die Zertifizierungsstellen anbieten und denen zu vertrauen ist. Eine Auswahl der Anbieter: http://www.thawte.com/secure-email/personal-email-certificates/index.html https://www.verisign.de/products-services/security-services/pki/pki-security/email-digital-id/index.html Diese Anbieter leiten mit einer Schritt-für-Schritt-Anleitung durch die Erstellung des Schlüsselpaars, so dass hier auf eine weitere Erklärung verzichtet werden kann. Die Generierung des Schlüsselpaares ist im Übrigen unabhängig von E-Mail- Programm und Systemarchitektur. Achtung: Dieser Schritt ist (wie Schritt I 2) nur einmalig durchzuführen! o E 4: Zertifikat in E-Mail-Programm integrieren Das generierte Schlüsselpaar muss jetzt in das E-Mail-Programm integriert werden. Nur so lassen sich codierte E-Mails entschlüsseln. Wie dies in verschiedenen E-Mail-Programmen vonstatten geht, lässt sich dem Folgenden entnehmen. o E 5: Öffentlichen Schlüssel senden Der öffentliche Schlüssel wird an den internen Kommunikationspartner übermittelt, indem ihm eine signierte, unverschlüsselte E-Mail gesendet wird. In der täglichen Nutzung ist es sowohl für den internen als auch den externen Kommunikationspartner ausgesprochen einfach, verschlüsselte E-Mails zu verschicken. Vor dem Senden braucht nur der Button [Verschlüsseln] angeklickt zu werden.

16 I 17 Microsoft Outlook o E 1: Schlüssel ins Adressbuch integrieren Der Schlüssel wird automatisch durch das Beantworten einer signierten Mail in das Adressbuch integriert. Das kann sehr leicht überprüft werden: Im Internet Explorer [Extras] [Internetoptionen] klicken. Anhang: Microsoft Outlook In diesem Fenster im Reiter [Inhalte] wird mit einem Klick auf [Zertifikate] der Zertifikatsspeicher geöffnet. Hier sind alle eingebundenen Zertifikate abgelegt. Falls das Zertifikat nicht im Zertifikatsspeicher enthalten sein sollte, kann dieser Schritt auch manuell erfolgen: Es genügt ein Rechtsklick mit der Maus auf den Absender der E-Mail und dann [Ins Adressbuch einfügen] wählen. o E 2: Bayer-Firmenzertifikat von Bayer-Webseite laden und integrieren Dieser Schritt ist bei Tests nicht notwendig gewesen. Dennoch ist es möglich, dass die Meldung nicht vertrauenswürdig angezeigt wird. Dann muss das Firmenzertifikat von http://pki.bayer.info heruntergeladen werden. Ein Doppelklick auf das Zertifikat integriert es automatisch in Microsoft Outlook. Falls dies nicht möglich sein sollte, wird das Zertifikat über das Menü [Zertifikate] und die Funktion [Importieren] eingebunden. In dem sich öffnenden Fenster ist das Zertifikat aus dem Ordner, in dem es gespeichert wurde, einzubinden.

18 I 19 o E 3: Schlüsselpaar generieren Siehe allgemeine Beschreibung auf Seite 15. o E 4: Zertifikat in E-Mail-Programm integrieren Beim Anbieter Thawte wird das Zertifikat durch einen Klick auf [Install your Certificate] in das E-Mail-Programm integriert. Die anschließenden Fragen brauchen nur noch mit [Ja] beantwortet zu werden und die Integration ist abgeschlossen. Die Überprüfung, ob das Zertifikat erfolgreich integriert wurde, erfolgt wie in Schritt E 1 im Internet Explorer über [Tools] [Internetoptionen]. Anhang: Microsoft Outlook In diesem Fenster im Reiter [Inhalte] wird mit einem Klick auf [Zertifikate] der Zertifikatsspeicher geöffnet. Hier sind alle eingebundenen Zertifikate abgelegt. Nun muss das Zertifikat in Outlook zur Nutzung eingebunden werden. Dies erfolgt über [Extras] [Optionen] im Reiter [Sicherheit] durch einen Klick auf [Einstellungen].

20 I 21 In dem angezeigten Fenster, das anfangs leer ist, sind verschiedene Einstellungen vorzunehmen: Die Einstellung wird benannt, das Kryptographieformat mit S/Mime ausgewählt und das Zertifikat über die Buttons [Auswählen] als Signaturzertifikat und Verschlüsselungszertifikat eingebunden. Nach dem Eintragen der Informationen sieht das Fenster wie folgt aus: Anhang: Microsoft Outlook Mit dem Bestätigen auf [ok] ist dieser Schritt abgeschlossen. o E 5: Öffentlichen Schlüssel senden Der öffentliche Schlüssel wird gesendet, indem eine signierte, unverschlüsselte E-Mail an Ihren Kommunikationspartner geschickt wird. Schritt 2 Schritt 1 Nach dem Klick auf [Senden], bitte die folgende Meldung mit [ok] bestätigen.

22 I 23 Netscape / Mozilla o E 1: Schlüssel ins Adressbuch integrieren Der Schlüssel wird automatisch in das Adressbuch integriert. Dazu braucht man nur eine signierte Mail zu beantworten. Die erfolgreiche Integration kann überprüft werden, indem [Bearbeiten] [Einstellungen] geklickt wird. Anhang: Netscape / Mozilla In diesem Fenster werden im Reiter [Datenschutz & Sicherheit] die Informationen zu den Zertifikaten angezeigt. Um es zu öffnen, braucht man nur auf [Zertifikate] zu klicken. Ein weiterer Klick auf [Zertifikate verwalten] öffnet den Zertifikat- Manager. Hier sind alle eingebundenen Zertifikate abgelegt.

24 I 25 Falls das Zertifikat nicht im Zertifikat-Manager enthalten sein sollte, kann dieser Schritt auch manuell vollzogen werden: Einen Rechtsklick mit der Maus auf den Absender der E-Mail ausführen und dann [Ins Adressbuch einfügen]. o E 2: Bayer-Firmenzertifikat von Bayer-Webseite laden und integrieren Dieser Schritt ist bei Tests nicht notwendig gewesen. Dennoch ist es möglich, dass die Fehlermeldung nicht vertrauenswürdig angezeigt wird. Dann muss das Firmenzertifikat von http://pki.bayer.info heruntergeladen werden. Importiert wird es dann über die Funktion [Importieren] im Zertifikat-Manager. Wie Sie zum Zertifikat-Manager gelangen, ist im Schritt E 1 erklärt. Anhang: Netscape / Mozilla o E 3: Schlüsselpaar generieren Siehe allgemeine Beschreibung auf Seite 15. o E 4: Zertifikat in E-Mail-Programm integrieren Beim Anbieter Thawte wird das Zertifikat durch einen Klick auf [Install your Certificate] in das E-Mail-Programm integriert. Hierbei muss das in Schritt E 3 bei der Generierung vergebene Master-Passwort eingegeben werden. Damit ist die Integration abgeschlossen. Die Überprüfung, ob das Zertifikat erfolgreich integriert wurde, erfolgt wie in Schritt E 1 über den Zertifikat-Manager. Nun muss die Verknüpfung zwischen Zertifikat und E-Mail-Konto überprüft werden.

26 I 27 Über das Menü [Bearbeiten] [Mail & Newsgroup-Account-Einstellungen] öffnet sich ein Fenster, in dem das Zertifikat zum Signieren (digitale Unterschrift) und zur Verschlüsselung eingebunden sein muss. Anhang: Netscape / Mozilla Falls nicht, bitte bei beiden über [Auswählen] das Zertifikat einbinden. Damit ist die Integration des Zertifikats in das E-Mail-Programm abgeschlossen. o E 5: Öffentlichen Schlüssel senden Der öffentliche Schlüssel wird gesendet, indem eine signierte, unverschlüsselte E-Mail an den Kommunikationspartner geschickt wird. Nach dem Klick von [Senden] bitte das Master-Passwort eingeben. Das Master-Passwort muss nach jedem Programmstart eingegeben werden und zwar immer beim ersten Senden einer signierten oder verschlüsselten E-Mail.

28 I 29 Lotus Notes o E 1: Schlüssel des externen Kommunikationspartners in eigenes Adressbuch integrieren Die vom externen Kommunikationspartner signierte E-Mail wird beim ersten Empfang dadurch erkannt, dass der externe Kommunikationspartner gegenzertifiziert werden muss. Es erscheint ein Fenster, in dem [Gegenzertifizieren] angeklickt werden muss. Anhang: Lotus Notes Danach wird in der Statusleiste die Information Signiert durch angezeigt. Das Zertifikat wird über [Werkzeuge] [Absender ins Adressbuch aufnehmen] integriert. Hierbei ist darauf zu achten, dass im Reiter [Advanced] die Option [Gegebenenfalls X.509-Zertifikate aufnehmen] markiert ist. Sollte der Kontakt bereits im Adressbuch enthalten sein, wählen Sie bitte nach der entsprechenden Meldung [Update] aus, damit das Zertifikat integriert wird. o E 2: Bayer-Firmenzertifikat von Bayer-Webseite laden und integrieren Dieser Schritt ist bei Tests nicht notwendig gewesen. Falls dies notwendig sein sollte, ist das Zertifikat auf dem Domino- Server einzubinden. Kontaktieren Sie hierzu bitte Ihren Domino-Administrator bzw. Ihren ServiceDesk. o E 3 und E 4: Schlüsselpaar generieren und in Lotus Notes integrieren Das Zertifikat wird wie bei Schritt E 3 in der allg. Beschreibung auf Seite 15 erstellt und aus dem Internet-Explorer-Zertifikatsspeicher über [Tools] [Internetoptionen] exportiert.

30 I 31 In diesem Fenster im Reiter [Inhalte] wird mit einem Klick auf [Zertifikate] der Zertifikatsspeicher geöffnet. Hier sind alle eingebundenen Zertifikate abgelegt. Anhang: Lotus Notes Im Reiter [Eigene Zertifikate] den Export über den Button [Exportieren] beginnen. Das Menü leitet durch den Exportvorgang. Beim Exportdateiformat bitte den privaten Schlüssel exportieren und folgende Einstellungen wählen:

32 I 33 Ein Passwort für den Dateischutz wählen und den Speicherort und Dateinamen prüfen. Den Exportassistenten fertig stellen. Jetzt wird das Zertifikat in Lotus Notes importiert, hierzu im Dateimenü unter [Sicherheit] [Benutzersicherheit] auswählen. Passwort eingeben und im Menü auswählen: [Ihre Identität] [Ihre Zertifikate]. Dort über den Button [Zertifikate abrufen] [Internet Zertifikate importieren] auswählen. Anhang: Lotus Notes Die gespeicherte Zertifikatsdatei mit dem exportierten Zertifikat auswählen und PKCS 12 auswählen. Das beim Export gewählte Passwort zum Import eingeben und [Alle Annehmen] anklicken.

34 I 35 Nach erfolgreichem Import die Fenster mit [ok] beenden. Jetzt muss die Einstellung des E-Mail-Formats Mime-Format über [Datei] [Vorgaben] [Arbeitsumgebung] im Reiter [Mail] überprüft werden. Anhang: Lotus Notes Falls Mime-Format nicht eingestellt ist, bitte hierauf umstellen und mit [Speichern und schließen] beenden. o E 5: Öffentlichen Schlüssel durch signierte E-Mail an internen Kommunikationspartner übermitteln Der öffentliche Schlüssel wird an den internen Kommunikationspartner übermittelt, indem eine signierte, unverschlüsselte E-Mail an ihn gesendet wird. Die Mail wird über die Sicherheitsoption [Signieren] in [Zustelloptionen] signiert.

36 I 37 K-Mail Beim E-Mail-Programm K-Mail wird die Verschlüsselung über zwei Programme realisiert: Zertifikate und Schlüssel werden in der Zertifikatsverwaltung Kleopatra verwaltet und in das Adressbuch von K-Mail verknüpft. o E 1: Schlüssel in Adressbuch integrieren Die vom externen Kommunikationspartner signierte E-Mail wird beim ersten Empfang dadurch erkannt, dass nicht genug Informationen über den Absender vorliegen bzw. dieser als nicht vertrauenswürdig eingestuft wird. Anhang: K-Mail Durch einen Klick mit der rechten Maustaste auf die E-Mail-Adresse und die Auswahl im Menü [Ins Adressbuch hinzufügen] wird die E-Mail Adresse ins Adressbuch aufgenommen. Als nächstes wird durch einen Klick auf [Details] das Zertifikat im Zertifikats-Manager Kleopatra angezeigt. Das Zertifikat wird über die rechte Maustaste und einen Klick auf [Validieren] als vertrauenswürdig eingestuft. Die Identität des Absenders kann über die [Detailinformationen] (Doppelklick) eindeutig festgestellt werden.

38 I 39 Jetzt wird im Adressbuch in den [Detailinformationen] des Eintrags und hier in den [Verschlüsselungseinstellungen] das Verfahren [S/Mime] eingestellt und das Zertifikat kann mit dem Adressbucheintrag verknüpft werden. Anhang: K-Mail Über [Ändern] öffnet sich das Adressbuch, aus dem der Eintrag des Benutzers, dessen Zertifikat genutzt werden soll, auszuwählen ist. Nach der Auswahl mit [ok] bestätigen und die anderen Fenster verlassen. o E 2: Bayer-Firmenzertifikat von Bayer-Website laden und integrieren Das Zertifikat auf der Festplatte speichern und nach Start des KDE-Zertifikats-Managers Kleopatra in diesem über [File] [Import Certificates] einbinden. Im dargestellten Fenster die Zertifikatsdatei auswählen und auf [Öffnen] klicken. Der erfolgreiche Import wird im Ergebnisfenster angezeigt:

40 I 41 Danach wird das Zertifikat im Zertifikatsspeicher Kleopatra angezeigt: o E 3: Schlüsselpaar generieren Siehe allgemeine Beschreibung auf Seite 15. Hierbei wird das Zertifikat aus dem Browser (Opera, Konqueror oder Netscape / Mozilla) heraus in einer Datei gespeichert. Diese Datei ist, wie im Schritt E 2 beschrieben, in den Zertifikats-Manager Kleopatra zu integrieren. Anhang: K-Mail o E 4: Zertifikat in E-Mail-Programm integrieren Über das Menü [Einstellungen] [Einrichten] wird das Menü der Identitäten angezeigt. Hier ist die aktuelle Identität auszuwählen und auf [Ändern] zu klicken. In dem angezeigten Menü im Reiter [Kryptographie] bei S/Mime [Verschlüsselungszertifikat ändern] anwählen. Das Verschlüsselungszertifikat wird über das sich öffnende Fenster in das E-Mail-Programm eingebunden. o E 5: Öffentlichen Schlüssel durch signierte E-Mail an internen Kommunikationspartner übermitteln Der öffentliche Schlüssel wird an den internen Kommunikationspartner übermittelt, indem eine signierte, unverschlüsselte E-Mail an ihn gesendet wird. Die Mail wird über die Sicherheitsoption [Signieren] signiert.

42 I 43 Apple Mail o E 1: Schlüssel ins Adressbuch integrieren Die Übernahme des öffentlichen Schlüssels eines Kommunikationspartners sowie des Bayer-Firmenzertifikats erfolgt unter Mac OS X automatisch nach dem Öffnen einer eingegangenen, signierten E-Mail. Die Signatur einer E-Mail wird an der Kennzeichnung [Signiert] mit dem entsprechenden Symbol im Kopf der Nachricht unter [Sicherheit] erkannt: Anhang: Apple Mail Möglicherweise wird beim ersten Hinzufügen eines Schlüssels darauf hingewiesen, dass die E-Mail-Signatur nicht überprüft werden konnte (siehe Abbildung unten). In diesem Fall auf [Details einblenden] und anschließend [ok] klicken, um zu bestätigen, dass dem Bayer-Kommunikationspartner in Zukunft vertraut wird. Bei erneutem Öffnen sollte sie (wie oben abgebildet) als [Signiert] erscheinen. Unter Mac OS X werden Zertifikate und öffentliche Schlüssel nicht im systemeigenen Adressbuch gespeichert, sondern im Schlüsselbund des angemeldeten Benutzers. Um die korrekte Übernahme eines Zertifikats zu überprüfen, wird das Systemprogramm [Schlüsselbund] im Ordner [Programme/Dienstprogramme] geöffnet. Auch im Apple [Adressbuch] kann kontrolliert werden, für welche E-Mail-Adressen eines dort eingetragenen Kommunikationspartners ein öffentlicher Schlüssel gespeichert ist: In diesem Fall erscheint das [Signiert]-Symbol neben der E-Mail-Adresse im Adressbuch-Eintrag.

44 I 45 o E 2: Bayer-Firmenzertifikat von Bayer-Webseite laden und integrieren Dieser Schritt ist im Allgemeinen unter Mac OS X nicht notwendig, da das Firmenzertifikat gemäß den Informationen im öffentlichen Schlüssel des Kommunikationspartners automatisch geladen und Ihrem Schlüsselbund hinzugefügt wird. Dies kann über das Programm [Schlüsselbund] im Ordner [Programme/Dienstprogramme] dort unter [Kategorie] (links) und [Zertifikate] überprüft werden: Anhang: Apple Mail Hier sollten nun ggf. neben weiteren Zertifikaten das Bayer-Firmenzertifikat (als Root-Zertifizierungs-Instanz Secure Mail CA) sowie alle Zertifikate der Kommunikationspartner angezeigt werden. Sollte das Firmenzertifikat fehlen, so kann es von http://pki.bayer.info heruntergeladen und die Datei einfach auf die Liste der Zertifikate im Schlüsselbund gezogen werden. o E 3: Schlüsselpaar generieren Siehe allgemeine Beschreibung auf Seite 15. o E 4: Zertifikat in E-Mail-Programm integrieren Nutzer von Mac OS X ab Version 10.4 (Tiger) können unter (b) weiterlesen. (a) Unter älteren Versionen von Mac OS X 10.3 kann es vorkommen, dass der Download von Zertifikaten mit Safari fehlschlägt. In diesem Falle ist der Vorgang mit einem anderen Internet-Browser (z. B. Firefox) zu wiederholen und nach dem Download das erhaltene Zertifikat über den Menüpunkt Firefox [Einstellungen] zu exportieren. Über die Schaltfläche [Erweitert] und dann weiter unten unter [Zertifikate] auf [Zertifikate verwalten]. Nun kann das erhaltene eigene Zertifikat ausgewählt und über den Button [Backup] z. B. auf dem Schreibtisch gesichert werden:

46 I 47 Hierbei als Backup-Format [PKCS 12-Datei] auswählen und die erforderlichen Passworte für den Export eingeben. Zunächst wird das Firefox- Master-Passwort abgefragt, das bei der ersten Nutzung von Sicherheitsfunktionen mit Firefox definiert wurde; anschließend wird nach einem Passwort für die Backup-Datei gefragt, um zu verhindern, dass Unbefugte das Zertifikat nutzen können. Bitte bei (a/b) weiterlesen. (b) Ab Mac OS X 10.4 (Tiger) sollte zum Beantragen und zum Download eines Zertifikats nach Möglichkeit Apples Browser Safari genutzt werden, da andere Browser wie z. B. Firefox das erhaltene Zertifikat zunächst nur im programmeigenen Zertifikats-Manager integrieren, aber nicht im Schlüsselbund. Möglicherweise wird beim Herunterladen des vom Anbieter herausgegebenen Zertifikats eine Warnung angezeigt, dass es sich hierbei um ein Programm handelt (z. B. ist dies bei Thawte eine Datei [deliver.exe]). Diese Warnung bitte mit [Laden] bestätigen. (a/b) Doppelklicken auf die erhaltene Zertifikatsdatei aus (b) bzw. die Backup-Datei von Firefox aus (a). Im Normalfall öffnet sich das Systemprogramm [Schlüsselbund] und importiert das neue Zertifikat automatisch. Sollte eine Backup-Datei z. B. mit Firefox exportiert worden sein, so wird nun noch einmal nach dem Passwort für die Backup-Datei gefragt. Das Zertifikat sollte anschließend im Schlüsselbund mit Ihrer E-Mail-Adresse oder Ihrem vollen Namen zu finden sein: Anhang: Apple Mail Ist dies nicht der Fall, so kann der [Schlüsselbund] auch manuell geöffnet werden (unter [Programme/Dienstprogramme]) und die erhaltene Zertifikatsdatei einfach in die Liste der Zertifikate gezogen werden. o E 5: Öffentlichen Schlüssel senden Wurden die Schritte E 1 bis E 4 erfolgreich durchgeführt, so erscheinen nun zwei neue Schaltflächen rechts oben im Kopfbereich einer neuen Mail; die Schaltfläche mit dem [Signiert]-Symbol (Haken bzw. Kreuz im Zahnrad) legt fest, ob die Mail mit dem öffentlichen Schlüssel digital signiert werden soll; die andere Schaltfläche (offenes oder geschlossenes Vorhängeschloss) legt fest, ob die Mail zusätzlich verschlüsselt werden soll. Der öffentliche Schlüssel wird an Ihren Kommunikationspartner gesendet, indem Sie z. B. dessen signierte E-Mail (aus E 1) beantworten oder eine neue Mail an ihn schreiben und dabei die Signatur-Schaltfläche aktivieren (siehe Abbildung). Bei dieser ersten signierten Mail darf die Verschlüsselung noch nicht aktiviert sein (Vorhängeschloss-Symbol), da der Empfänger die E-Mail nicht entschlüsseln kann, bevor er die Signatur (also den öffentlichen Schlüssel) erhalten hat. Anschließend können neue Mails an den Kommunikationspartner einfach durch Aktivieren des Schloss-Symbols (geschlossenes Vorhängeschloss) verschlüsselt werden.