KOBIL Smart Token V1.0 Benutzerdokumentation 27. Januar 2003 Deutsche Version
Inhaltsverzeichnis 1 Installation 3 1.1 Lieferumfang...................................................... 3 1.2 Systemanforderungen.................................................. 3 1.3 Einlegen der SIM-Karte in den KAAN SIM..................................... 4 1.4 Installation....................................................... 5 2 Arbeiten mit KOBIL Smart Token für Microsoft-Anwendungen 9 2.1 Zertifikatsmanagement................................................. 9 2.1.1 Beantragung eines neuen Zertifikats..................................... 9 2.1.2 Der Windows-Zertifikatsmanager....................................... 12 2.1.3 Import eines neuen Trustcenter-Zertifikates................................. 13 2.1.4 Import von Zertifikaten anderer Benutzer.................................. 14 2.2 Absicherung von Web-Seiten mit dem Internet Explorer.............................. 17 2.3 Absicherung von Emails mit Outlook......................................... 20 2.3.1 Auswahl des Zertifikats............................................ 20 2.3.2 Einrichtung der Buttons unter Outlook................................... 25 2.3.3 Versenden von abgesicherter Email...................................... 26 2.3.4 Empfang von abgesicherter Email....................................... 29 2.4 Der Token Manager.................................................. 32 2.4.1 Löschen von Zertifikaten von Ihrer SIM Karte................................ 33 2.4.2 Import von Zertifikaten auf Ihre SIM Karte................................. 33 2.4.3 Änderung der PIN Ihrer SIM Karte..................................... 33 3 Smartcard-Login für Windows 2000 und XP 34 3.1 Konfiguration...................................................... 34 3.2 Registrierungs-Agent Zertifikate............................................ 35 3.3 Ausstellung von Smartcard Login-Zertifikaten für die Benutzer.......................... 40 3.4 Der Smartcard-Login Vorgang............................................. 43 3.5 Smartcard-Login in Citrix Metaframe XP Umgebungen.............................. 44 4 Arbeiten mit dem KOBIL Smart Token PKCS#11 Modul für Netscape 45 4.1 Zertifikatsmanagement unter Netscape........................................ 45 4.1.1 Beantragung eines neuen Zertifikats..................................... 45 4.1.2 Verwaltung der Zertifikate........................................... 47 4.1.3 Import eines neuen Trustcenter-Zertifikates................................. 51 4.1.4 Import von Zertifikaten anderer Benutzer.................................. 52 4.1.5 Import eines Webserver-Zertifikats...................................... 52 4.1.6 Änderung der PIN Ihrer SIM Karte..................................... 52 4.2 Absicherung von Web-Seiten mit dem Netscape Navigator............................. 53 4.3 Absicherung von Emails mit Netscape Messenger.................................. 54 4.3.1 Auswahl des Zertifikats............................................ 54 4.3.2 Versenden von abgesicherter Email...................................... 54 1
4.3.3 Empfang von abgesicherter Email....................................... 56 A Probleme und Lösungen 57 A.1 KOBIL Smart Token für Microsoft-Anwendungen.................................. 57 A.2 KOBIL Smart Token PKCS#11 Modul für Netscape................................ 58 B Grundlagen der Kryptographie und Standards 59 B.1 Sicherheitsziele..................................................... 59 B.2 Begriffe und Grundlagen................................................ 59 B.3 Standards........................................................ 60 B.3.1 Hash-Algorithmen............................................... 60 B.3.2 Symmetrische Verschlüsselungs-Algorithmen................................. 60 B.3.3 Public Key Algorithmen............................................ 61 B.3.4 Zertifikate.................................................... 65 B.3.5 Zertifizierungsstellen.............................................. 65 B.3.6 Smartcards und Chipkartenterminals..................................... 67 B.3.7 Secure Socket Layer (SSL)........................................... 68 B.3.8 Secure Multipurpose Internet Mail Exchange (S/MIME).......................... 68 C Glossar 70 2
Kapitel 1 Installation 1.1 Lieferumfang KOBIL USB-Minichipkartenterminal KAAN SIM USB-Anschlusskabel Faltblatt Anschluss und Installation KOBIL Smart Token TCOS Chipkarte mit Ausstanzung im SIM-Format CD-ROM mit KOBIL Smart Token Software 1.2 Systemanforderungen Microsoft Windows XP (ab Service Pack 1) oder Microsoft Windows 2000 (ab Service Pack 2) Microsoft Internet Explorer ab Version 5.5 Microsoft Office xp oder Microsoft Outlook 2000 SR-1 oder Microsoft Outlook Express ab Version 5 128 MB Arbeitsspeicher (RAM) 10 MB freier Speicherplatz auf der Festplatte Ein CD-ROM oder DVD-ROM Laufwerk Ein freier USB-1.1 Anschluß 3
1.3 Einlegen der SIM-Karte in den KAAN SIM Brechen Sie die SIM Karte an der dafür vorgesehenen Perforation heraus. Öffnen Sie die obere Abdeckung des KAAN SIM Chipkartenterminals mit leichtem Druck nach hinten. Nun können Sie die SIM Karte, nachdem Sie sie an der dafür vorgesehenen Bruchkante aus dem Kartenkörper herausgelöst haben, in den KAAN SIM einlegen, und zwar mit der Kontaktfläche nach unten und der abgeflachten Ecke nach hinten. Abbildung 1.1 zeigt das Einlegen der SIM Karte. Abbildung 1.1: Einlegen der SIM Karte in KOBIL Smart Token Wichtig: Die SIM Karte kann dauerhaft in Ihrem KAAN SIM Chipkartenterminal verbleiben. Sie brauchen sie nur dann auszuwechseln, wenn sie defekt ist oder wenn Sie eine neue SIM-Karte beschreiben möchten. 4
1.4 Installation Wichtig: Bitte achten Sie darauf, dass vor der Installation Ihr KOBIL Smart Token NICHT eingesteckt ist. Falls Sie es doch eingesteckt haben und der Hardware-Assistent erscheint, so klicken Sie bitte auf Abbrechen und ziehen Sie das Token wieder ab. 1. Beenden Sie alle laufenden Programme. 2. Legen Sie die KOBIL Smart Token CD-ROM in Ihr CD-ROM Laufwerk ein. Die Installationsroutine sollte automatisch gestartet werden. Wenn dies nicht der Fall ist, so klicken Sie bitte Start - Ausführen und geben D:\Setup.exe ein (ersetzen Sie bitte D durch den Laufwerksbuchstaben Ihres CD-ROM Laufwerks) Abbildung 1.2: Startmenü der CD-ROM 3. Wählen Sie den Punkt Installation KOBIL Smart Token aus. 4. Sie werden nun nach der Installations-Sprache gefragt. In der Regel können Sie hier die Voreinstellung Deutsch übernehmen. Abbildung 1.3: Auswahl der Installations-Sprache 5
5. Dem Lizenztext müssen Sie ausdrücklich zustimmen, um mit der Installation fortfahren zu können. Abbildung 1.4: Lizenzvereinbarung 6. Legen Sie das Zielverzeichnis für die KOBIL Smart Token Programmdateien fest. Der vorgegebene Pfad lautet C:\Programme\KOBIL Systems\Smart Token. Klicken Sie den Button Auswählen, um ein anderes Zielverzeichnis anzugeben. Abbildung 1.5: Auswahl des Installations-Pfades 7. Unter Umständen kann es vorkommen, dass eine Warnmeldung bezüglich der Digitalen Signatur der Treiber erscheint. Diese Meldung können Sie jedoch bedenkenlos mit Ja (Windows 2000) bzw. Installation fortsetzen (Windows 6
XP) überspringen. Abbildung 1.6: Digitale Signatur der Treiber 8. Nun werden Sie aufgefordert, Ihr KOBIL Smart Token in einen freien USB-Port Ihres PCs einzustecken. Falls Sie Ihr KOBIL Smart Token an einem USB-Hub betreiben möchten, so achten sie bitte darauf, dass es sich um einen sogenannten Powered Hub handelt, er eine eigene Stromversorgung besitzt. Klicken Sie nach dem Einstecken einfach auf OK. Abbildung 1.7: Einstecken des Tokens 9. Nun ist die KOBIL Smart Token Software vollständig installiert und kann benutzt werden. Klicken Sie im letzten Dialog auf Fertigstellen. 7
Abbildung 1.8: Abschluss der Installation 8
Kapitel 2 Arbeiten mit KOBIL Smart Token für Microsoft-Anwendungen KOBIL Smart Token für Microsoft-Anwendungen besteht aus einem sog. Cryptographic Service Provider (CSP) für die Microsoft CryptoAPI sowie einigen Hilfsprogrammen. Dadurch können alle Anwendungen, welche die Microsoft CryptoAPI unterstützen wie z.b. der Internet Explorer oder Outlook, automatisch mit KOBIL Smart Token zusammenarbeiten. 2.1 Zertifikatsmanagement KOBIL Smart Token integriert sich optimal in die Windows-eigene Zertifikatsverwaltung. Daher wird in diesem Abschnitt auch der Umgang mit der Windows-Zertifikatsverwaltung erklärt. Zunächst muß unterschieden werden, ob Sie bereits ein Zertifikat auf Ihrer SIM Karte besitzen oder nicht: Falls Sie eine bereits personalisierte SIM Karte haben, können Sie Abschnitt 2.1.1 überspringen. Dies ist in der Regel dann der Fall, wenn Sie die SIM Karte von Ihrem Administrator ausgehändigt bekommen. Falls Ihre SIM Karte noch leer ist, lesen Sie bitte direkt in Abschnitt 2.1.1 weiter. 2.1.1 Beantragung eines neuen Zertifikats Diese Schritte müssen Sie nur dann durchführen, wenn Sie noch kein Zertifikat auf Ihrer SIM Karte besitzen oder wenn Sie ein weiteres Zertifikat hinzufügen möchten. 1. Stecken Sie KOBIL Smart Token in Ihren Rechner ein. Die SIM Karte ist bereits eingelegt (siehe Abschnitt 1.3). 2. Starten Sie den Internet Explorer. 3. Geben Sie die URL Ihres Trustcenters ein, zum Beispiel: TeleSec-Trustcenter (Deutschland): www.telesec.de TC Trustcenter (Deutschland): www.trustcenter.de Verisign (USA): www.verisign.com 4. Die meisten Trustcenter bieten kostenloste Testzertifikate an, auch Digital ID s genannt. Beachten Sie jedoch, daß solche Testzertifikate kein hohes Sicherheitsniveau bieten. 9
5. Nun müssen Sie einige Daten eingeben, die später in Ihr Zertifikat aufgenommen werden (die Angaben können je nach Trustcenter unterschiedlich sein). Meist sind es einige persönliche Daten wie Ihr Name und Ihre Email-Adresse. Es ist extrem wichtig, daß die angegebene Email-Adresse exakt mit der Ihres Email-Kontos übereinstimmt (auch Groß- und Kleinschreibung!), da Sie das Zertifikat ansonsten nicht verwenden können! 6. Als Name des CSP s, der die Schlüssel erzeugen soll müssen Sie KOBIL Smart Token CSP v1.0 auswählen. 7. Schicken Sie Ihren Zertifikatsantrag an das Trustcenter ab. In der Regel müssen Sie dazu auf nur den Abschicken- bzw. Submit-Button klicken. Falls Sie bisher noch keine PIN und PUK für Ihr KOBIL Smart Token vergeben haben, können Sie diese nun festlegen. Ansonsten müssen Sie Ihre PIN einfach eingeben. Abbildung 2.1: Dialog zur PIN-Eingabe 8. Folgen Sie nun den Instruktionen des Trustcenters, um Ihr neues Zertifikat zu istallieren. Dabei wird das Zertifikat sowohl auf Ihre SIM Karte geschrieben als auch automatisch bei der Windows-Zertifikatsverwaltung angemeldet. 9. Schauen Sie sich Ihr neues Zertifikat im Windows-Zertifikatsmanager an wie in Abschnitt 2.1.2 beschrieben. Falls das Zertifikat nicht gültig ist, weil das Zertifikat aufgrund mangelnder Informationen nicht bestätigt werden kann, müssen Sie noch das Root-Zertifikat Ihres Trustcenters importieren, da es noch nicht im Windows- Zertifikatsmanager vorhanden ist. Lesen Sie hierzu bitte Abschnitt 2.1.3. 10
Abbildung 2.2: Der Zertifikatsantrag auf den Web-Seiten von Verisign 11
2.1.2 Der Windows-Zertifikatsmanager Der Windows-Zertifikatsmanager kann auf drei Arten gestartet werden: 1. Aus der Systemsteuerung über das Panel Internetoptionen > Inhalt > Zertifikate 2. Aus dem Internet Explorer über das Menü Extras > Internetoptionen > Inhalt > Zertifikate 3. Aus Outlook heraus über das Menü Extras > Optionen > Sicherheit > Digitale ID s Abbildung 2.3: Der Windows-Zertifikatsmanager In allen drei Fällen erscheint der Windows-Zertifikatsmanager (siehe Abbildung 2.3). Hier sind alle Zertifikate zentral abgespeichert, sowohl die eigenen, zu denen Sie den passenden privaten Schlüssel besitzen, als auch die Zertifikate anderer Personen. Außerdem sind hier die Wurzelzertifikate der Zertifizierungsstellen registriert. Alle Zertifikate können hier betrachtet werden, indem man das betreffende Zertifikat auswählt und auf den Button Eigenschaften klickt (siehe Abbildung 2.4). Wichtig ist hier der sogenannte Zertifizierungspfad, der anzeigt, von welchem Trustcenter das Zertifikat ausgestellt worden ist. Wenn ein Zertifikat als ungültig angezeigt wird, kann man hier meist den Grund dafür erkennen. 12
Abbildung 2.4: Detailansicht eines Zertifikats Wichtig: Ihr KOBIL Smart Token Zertifikat wird nur dann im Windows Zertifikatsmanager angezeigt, wenn es eingesteckt ist. Der Windows Zertifikatsmanager kann auch Zertifikate löschen und in Dateien exportieren. Beim Export in eine Datei wird der private Schlüssel natürlich nicht mit exportiert. Wenn Sie hier ein Zertifikat löschen, wird es auch auf der SIM Karte gelöscht! Wichtig: Wenn Sie ein Zertifikat endgültig von Ihrer SIM Karte löschen wollen, seien Sie sehr vorsichtig, denn danach können Sie keine Dateien mehr entschlüsseln, die an dieses Zertifikat verschlüsselt worden sind! 2.1.3 Import eines neuen Trustcenter-Zertifikates Wenn Sie ein neues Trustcenter kennenlernen, um sichere Kommunikation mit den Benutzern dieses Trustcenters zu betreiben, müssen Sie das Trustcenter-Zertifikat (auch Wurzelzertifikat oder Rootzertifikat genannt) dieses Trustcenters importieren. Wenn das Trustcenter ein neues Wurzelzertifikat herausgibt, weil das alte abgelaufen ist, müssen Sie dieses ebenfalls importieren. 1. Surfen Sie mit Ihrem Browser auf die Web-Seiten Ihres Trustcenters. 2. Laden Sie das neue CA-Zertifikat herunter, indem Sie auf den entsprechenden Link klicken. 13
3. Das Zertifikat wird angezeigt mit dem Hinweis, daß es sich noch nicht in der Liste der vertrauenswürdigen Stammzertifizierungsstellen befindet. 4. Klicken Sie auf Zertifikat installieren. 5. Die folgenden Dialoge können Sie einfach mit weiter bestätigen. 6. Am Ende des Vorgangs wird eine Dialogbox angezeigt, die Sie dazu auffordert, den Fingerabdruck des neuen Zertifikats zu überprüfen. Diesen Fingerabdruck sollten Sie auf einem unabhängigen Weg besorgen, z.b. auf dem Briefpapier des Trustcenters oder auf den Webseiten (was natürlich weniger sicher ist). Beachten Sie bitte, daß Sie durch den Import eines Trustcenter-Zertifikates automatisch ein Vertrauensverhältnis zu allen Benutzern dieses Trustcenters eingehen! Informieren Sie sich daher vorher über die Zertifizierungspolitik dieses Trustcenters. Nach dem erfolgreichen Import eines Trustcenter-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager entweder unter Zwischenzertifizierungsstellen oder unter vertrauenswürdige Stammzertifizierungsstellen (siehe Abschnitt 2.1.2). 2.1.4 Import von Zertifikaten anderer Benutzer Bevor Sie eine verschlüsselte Email an einen anderen Benutzer versenden können, benötigen Sie dessen Zertifikat. Das kann auf zwei Wegen geschehen: Sie erhalten eine signierte Email von diesem Benutzer. Darin enthalten ist dessen Zertifikat. Sie können das Zertifikat des Benutzers auch über einen sogenannten Verzeichnisdienst abrufen: Outlook Express In Outlook Express wählen Sie dazu das Menü Bearbeiten > Suchen > Personen Outlook 98 / 2000 / xp In Outlook klicken Sie Personen suchen unter Extras > Adreßbuch Abbildung 2.5 zeigt den entsprechenden Dialog für alle Outlook-Versionen. Sie können als Suchkriterien den Namen oder die Emailadresse des Empfängers angeben. Nach dem erfolgreichen Import eines Benutzer-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager unter Andere Personen (siehe Abschnitt 2.1.2). 14
Abbildung 2.5: Suchen von Zertifikaten über einen Verzeichnisdienst Einrichten eines neuen Verzeichnisdienstes Ein Verzeichnisdienst dient dazu, Zertifikate anderer Benutzer automatisch zu suchen. Um einen neuen Verzeichnisdienst zu konfigurieren, gehen Sie bitte vor wie folgt: 1. Wählen Sie in Outlook das Menü Extras > Konten und wählen Sie die Karteikarte Verzeichnisdienst wie in Abbildung 2.6 zu sehen. 2. Wählen Sie den Button Hinzufügen > Verzeichnisdienst... Daraufhin wird ein Assistent gestartet, der Sie durch die Installation des neuen Verzeichnisdienstes leitet. Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Sie bitte bei Ihrem System-Administrator: Verzeichnisdienst-Server: Dies ist die Adresse des Servers des neuen Verzeichnisdienstes. Anmeldung erforderlich: Wenn diese Auswahlfläche aktiv ist, müssen Sie im nächsten Schritt einen Benutzernamen und ein Kennwort für die Anmeldung angeben. In der Regel wird diese Option nicht genutzt. 15
Abbildung 2.6: Einrichtung eines Verzeichnisdienstes Überprüfung der Adressen mit diesem Verzeichnisdienst durchführen: Aktivieren Sie diese Schaltfläche, damit über diesen Verzeichnisdienst automatisch nach Zertifikaten von Email-Empfängern gesucht wird. 3. Nun kann es u.u. noch notwenig sein, die Suchbasis dieses Verzeichnisdienstes einzustellen. Wählen Sie dazu nochmals den neu eingerichteten Verzeichnisdienst aus und klicken Sie auf Eigenschaften. Unter der Karteikarte Erweitert können Sie die Suchbasis eintragen. Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Sie bitte bei Ihrem Systemverwalter. Sie können auch einen Verzeichnisdienst für die automatische Suche nach Zertifikaten von Email-Empfängern auswählen, indem Sie für den betreffenden Verzeichnisdienst im Menü Extras > Konten > Verzeichnisdienst > Eingenschaften die Option Empfängernamen mit diesem Verzeichnisdienst überprüfen einschalten. 16
2.2 Absicherung von Web-Seiten mit dem Internet Explorer Man kann SSL-abgesicherte Webserver (erkennbar an der https:// -Adresse) derart konfigurieren, daß sich nicht nur der Webserver gegenüber dem Browser authentifizieren muß, sondern zusätzlich auch der Benutzer gegenüber dem Webserver (Details hierzu finden Sie in Abschnitt B.3.7). Damit kann der Zugriff auf die Web-Seiten auf bestimmte Benutzergruppen eingeschränkt werden. Dieser Vorgang wird Client-Authentifikation genannt und läuft ab wie folgt: 1. Zunächst bekommen Sie eine Dialogbox mit einer Warnmeldung zu sehen, daß Sie im Begriff sind, eine sichere (SSL-) Web-Seite zu besuchen (Abbildung 2.7). Diese Dialogbox kann auch deaktiviert werden. Abbildung 2.7: Warnhinweis auf eine sichere Web-Seite 2. Der Webserver schickt sein Zertifikat, das von Ihrem Browser überprüft wird. Wenn bei der Überprüfung ein Problem auftritt, erscheint ein Sicherheitshinweis wie in Abbildung 2.8 gezeigt. Abbildung 2.8: Sicherheitshinweis 17
3. Wenn der Webserver eine Client-Authentifikation verlangt, erscheint ein Auswahldialog wie in Abbildung 2.9 zu sehen, der alle Zertifikate anzeigt, mit denen Sie sich gegenüber diesem Webserver authentifizieren können. Die Auswahlliste enthält u.u. nicht alle Ihre Zertifikate oder sogar gar keine, dann sind nicht alle bzw. keines Ihrer Zertifikate für die Client-Authentifikation gegenüber diesem Webserver geeignet. Ist genau eines Ihrer Zertifikate geeignet, dann wird dieses automatisch ausgewählt und es erscheint kein Auswahldialog. Wichtig: Sie können Zertifikate auf Ihrem KOBIL Smart Token nur dann auswählen, wenn es zu diesem Zeitpunkt eingesteckt ist! Abbildung 2.9: Auswahl der Zertifikats zur Client-Authentifikation 4. Wenn Sie ein Zertifikat auf Ihrem KOBIL Smart Token auswählen, müssen Sie die PIN Ihrer SIM Karte einzugeben, um den privaten Schlüssel für die Client-Authentifikation freizuschalten. Abbildung 2.10: Dialog zur PIN-Eingabe 5. Wenn Sie die korrekte PIN eingegeben haben und Ihr Zertifikat vom Webserver akzeptiert wurde, wird die SSL- Verbindung aufgebaut. Nun kann man ein gelbes Schloß-Symbol in der Statusleiste des Internet-Explorers sehen, wie in Abbildung 2.11 zu erkennen. 18
Abbildung 2.11: Das gelbe Schloß-Symbol zeigt eine abgesicherte Web-Seite an 19
2.3 Absicherung von Emails mit Outlook In diesem Abschnitt erfahren Sie, wie Sie Ihre Emails in Outlook mit Hilfe von Zertifikaten verschlüsseln und digital signieren können. Es wird vorausgesetzt, daß Ihr Internet-Zugang und Ihr Email-Konto korrekt konfiguriert sind. Dies ist der Fall, wenn Sie problemlos Emails senden und empfangen können. Im Zweifelsfall wenden Sie sich bitte an Ihren Internet-Provider 2.3.1 Auswahl des Zertifikats Um signierte und verschlüsselte Emails versenden und empfangen zu können, müssen Sie zunächst Ihr Email-Zertifikat auswählen. Wenn Sie das nicht tun, erscheint bei jeder Email ein Dialogbox, in dem Outlook nachfragt, welches Zertifikat verwendet werden soll. Die Vorgehensweise unterscheidet sich ein wenig zwischen Outlook Express und Outlook 98/2000/xp. Outlook Express In Outlook Express sind die Zertifikate grundsätzlich an Email-Konten gebunden. 1. Starten Sie Outlook Express und wählen Sie das Menü Extras > Konten 2. Wählen Sie Ihr Email-Konto aus (in unserem Beispiel heißt das Konto Mein EMail-Konto ) und klicken Sie auf den Button Eigenschaften (Abbildung 2.12). Abbildung 2.12: Dialog Email-Konten 20
3. In dem Eigenschaften-Dialog können Sie getrennt festlegen, welches Zertifikat für digitale Signaturen und welches Zertifikat für Verschlüsselung Ihrer Emails verwendet werden soll (Abbildung 2.13). Wenn Ihre Sicherheitsrichtlinien es erlauben, können Sie das gleiche Zertifikat sowohl für Signaturen als auch für Verschlüsselung auswählen. Beachten Sie bitte, daß Sie nur diejenigen Zertifikate zur Auswahl angezeigt bekommen, die zu der Email-Adresse Ihres Email-Kontos passen (Abbildung 2.14)! Außerdem können Sie in diesem Dialog den Verschlüsselungsalgorithmus auswählen. Die derzeit sichersten Algorithmen sind TripleDES (3DES) und RC2 mit 128 Bit. Abbildung 2.13: Eigenschaften des Email-Kontos bei Outlook Express 21
Abbildung 2.14: Auswahl des Zertifikats für Email-Absicherung Outlook 1. Starten Sie Outlook und wählen Sie das Menü Extras > Optionen 2. Wählen Sie die Karteikarte Sicherheit und klicken Sie auf Einstellungen ändern (siehe Abbildung 2.15). 3. In dem nun erscheinenden Dialog können Sie getrennt festlegen, welches Zertifikat für digitale Signaturen und welches Zertifikat für Verschlüsselung Ihrer Emails verwendet werden soll (Abbildung 2.16). Wenn Ihre Sicherheitsrichtlinien es erlauben, können Sie das gleiche Zertifikat sowohl für Signaturen als auch für Verschlüsselung auswählen. Beachten Sie bitte, daß die Email-Adresse in Ihrem Zertifikat zu der Adresse Ihres Email-Kontos passen muß! Außerdem können Sie in diesem Dialog den Hashalgorithmus für digitale Signaturen sowie den Verschlüsselungsalgorithmus auswählen. Als Hashalgorithmus sollten Sie SHA1 auswählen (Details siehe Abschnitt B.3.1). Die derzeit sichersten Verschlüsselungsalgorithmen sind TripleDES (3DES) und RC2 mit 128 Bit Schlüssellänge. 22
Abbildung 2.15: Sicherheitsoptionen in Outlook 23
Abbildung 2.16: Auswahl der Zertifikate in Outlook 24
2.3.2 Einrichtung der Buttons unter Outlook Um Ihre Emails später komfortabel signieren und verschlüsseln zu können, müssen Sie die entsprechenden Buttons unter Outlook Express bzw. Outlook 98/2000/xp zunächst einrichten. Outlook Express In Outlook Express sind die Buttons für Signatur und Verschlüsselung in der Symbolleiste bereits vorhanden, liegen aber so weit außerhalb, daß sie in der Regel nicht dargestellt werden. Um diese wichtigen Buttons sichtbar zu machen, gehen Sie bitte vor wie folgt: 1. Öffnen Sie eine neue Email über das Menü Datei > Neu > E-Mail-Nachricht Es erscheint das Fenster zur die Erstellung einer neuen Email. 2. Wählen Sie das Menü Ansicht > Symbolleisten > Anpassen 3. In dem nun erscheinenden Dialog sehen Sie in der Auswahlbox Aktuelle Schaltflächen die Punkte Signieren und Verschlüsseln. Markieren Sie diese einzeln mit der Maus und klicken Sie so oft auf den Button Nach oben, bis die Buttons in der Symbolleiste an einer geeigneten Stelle erscheinen. Outlook 98 / 2000 / xp In Outlook sind die Buttons für Signatur und Verschlüsselung in der Grundeinstellung deaktiviert. Um sie zu aktivieren, gehen Sie bitte vor wie folgt: 1. Öffnen Sie eine neue Email über das Menü Datei > Neu > Nachricht Es erscheint das Fenster zur die Erstellung einer neuen Email. 2. Wählen Sie das Menü Ansicht > Symbolleisten > Anpassen 3. Wählen Sie die Karteikarte Befehle und wählen Sie die Kategorie Standard auf der linken Seite. 4. Im Auswahlfeld Befehle: finden Sie in der Kategorie Standard ganz am Ende die Punkte Nachrichteninhalt und Anlagen verschlüsseln sowie Nachricht digital signieren, wie in Abbildung 2.17 zu sehen. Ziehen Sie diese beiden Optionen mit der gedrückten linken Maustaste auf die Menüleiste von Outlook und lassen Sie diese an der von Ihnen gewünschten Stelle fallen. Nun sind die Buttons für Verschlüsselung und Signatur immer vorhanden, wenn Sie eine neue Email schreiben. 25
Abbildung 2.17: Einrichtung der Signatur- und Verschlüsselungsbuttons in der Symbolleiste von Outlook 98/2000/xp 2.3.3 Versenden von abgesicherter Email Um eine signierte und/oder verschlüsselte Email zu versenden, muß ein Zertifikat für Ihr Email-Konto eingerichtet sein, wie in Abschnitt 2.3.1 beschrieben. Um eine abgesicherte Email zu versenden, gehen Sie bitte vor wie folgt: 1. Schreiben Sie Ihre Email wie gewohnt. Wenn Sie Dateien zusammen mit der Email verschicken (Attachments), so werden diese mit dem Text der Email zusammen signiert bzw. verschlüsselt. 2. Wenn Sie die neue Email digital signieren möchten, aktivieren Sie bitte den Button Nachricht digital signieren, wie in Abbildung 2.18 (Outlook Express) bzw. Abbildung 2.20 (Outlook 98/2000/xp) zu sehen. Falls dieser Button nicht sichtbar ist, schauen Sie bitte in Abschnitt 2.3.2 nach, ob Sie die Buttons korrekt eingerichtet haben. 3. Wenn Sie die neue Email verschlüsseln möchten, aktivieren Sie bitte den Button Nachrichten und Anhänge verschlüsseln, wie in Abbildung 2.19 (Outlook Express) bzw. Abbildung 2.21 (Outlook 98/2000/xp) zu sehen. Falls dieser Button nicht sichtbar ist, schauen Sie bitte in Abschnitt 2.3.2 nach, ob Sie die Buttons korrekt eingerichtet haben. 4. Sie können jede Kombination aus Verschlüsselung und Signatur auf Ihre Emails anwenden. 5. Schicken Sie die neue Email wie gewohnt mit dem Button Senden ab. Stecken Sie vorher das KOBIL Smart Token ein, falls die Email signiert werden soll. 6. Falls die Email signiert werden soll, werden Sie nun aufgefordert, die PIN einzugeben, um die SIM Karte für die digitale Signatur freizuschalten. 26
Falls die Email nur verschlüsselt, aber nicht signiert werden soll, entfällt die Eingabe der PIN (Schritt 6). Für eine verschlüsselte Email benötigen Sie das Zertifikat des Absenders. Dieses erhalten Sie über einen Verzeichnisdienst. Bitte vergewissern Sie sich, daß Sie den Verzeichnisdienst wie in Abschnitt 2.1.4 beschrieben korrekt eingerichtet haben. Sie können die Grundeinstellung, ob jede neue Email signiert und/oder verschlüsselt werden soll, im Menü Extras > Optionen > Sicherheit einstellen, indem Sie die Checkboxen Ausgehenden Nachrichten digitale Signatur hinzufügen bzw. Inhalte und Anhang für ausgehende Nachrichten verschlüsseln aktivieren. Davon abweichend können Sie die Einstellungen für jede neue Email einzeln festlegen. Abbildung 2.18: Digitale Signatur einer Email bei Outlook Express Abbildung 2.19: Verschlüsselte und Signierte Nachricht bei Outlook Express 27
Abbildung 2.20: Digitale Signatur einer Email bei Outlook Abbildung 2.21: Verschlüsselung einer Email bei Outlook 28
2.3.4 Empfang von abgesicherter Email Um eine verschlüsselte Email nach dem Empfang entschlüsseln zu können, muß ein Zertifikat für Ihr Email-Konto eingerichtet sein, wie in Abschnitt 2.3.1 beschrieben. Signierte Emails können Sie auch ohne spezielle Einstellungen empfangen. Wenn Sie eine signierte Email empfangen haben, wird diese mit einem roten Schleifensymbol gekennzeichnet (siehe Abbildung 2.25 bzw. Abbildung 2.22). Klicken Sie auf dieses Schleifensymbol, um die Signatur zu überprüfen und das Absender-Zertifikat zu betrachten. Wenn Sie eine verschlüsselte Email empfangen haben und diese öffnen, werden Sie aufgefordert, Ihre PIN einzugeben, damit die Email entschlüsselt werden kann. Verschlüsselte Emails werden mit einem blauen Schloßsymbol gekennzeichnet (siehe Abbildung 2.24 bzw. Abbildung 2.23). Klicken Sie auf dieses Schloßsymbol, um sich die Verschlüsselungsstärke und das Verschlüsselungszertifikat anzeigen zu lassen. Abbildung 2.22: Empfang einer signierten Email bei Outlook Express 29
Abbildung 2.23: Empfang einer verschlüsselten Email bei Outlook Express Abbildung 2.24: Empfang einer verschlüsselten Email bei Outlook 30
Abbildung 2.25: Empfang einer signierten Email bei Outlook 31
2.4 Der Token Manager Der Token Manager Tool enthält die folgenden Funktionen zur Verwaltung Ihrer SIM Karte und den darauf befindlichen Zertifikaten. 1. Löschen von Zertifikaten auf Ihrer SIM Karte Wenn Sie ein Zertifikat nicht mehr benötigen, können Sie es mit dem Token Manager von Ihrer SIM Karte löschen. 2. Import von Zertifikaten auf Ihre SIM Karte Vorhandene Zertifikate inklusive privater Schlüssel können auf Ihre SIM Karte geladen werden. Dies kann im Zuge eines Umstiegs von Software-Zertifikaten auf Smartcards sinnvoll sein, birgt jedoch gewisse Sicherheitsrisiken, da der private Schlüssel nicht ununterbrochen in der Sicherheitsumgebung Ihrer SIM Karte gespeichert war. 3. Änderung der PIN Ihrer SIM Karte 4. Entsperren der PIN Ihrer SIM Karte mit Hilfe der PUK. Dies ist notwendig, falls Sie dreimal hintereinander die falsche PIN eingegeben haben. Gestartet wird der Token Manager über Startmenü > Programme > KOBIL Systems > KOBIL Smart Token > Token Manager Abbildung 2.26 zeigt die Oberfläche des Token Managers. Abbildung 2.26: Der Token Manager 32
2.4.1 Löschen von Zertifikaten von Ihrer SIM Karte Seien Sie sehr vorsichtig beim Löschen von Zertifikaten, da Sie Daten, die mit diesem Zertifikat verschlüsselt wurden, danach nicht mehr entschlüsseln können! Wählen Sie das betreffende Zertifikat aus und klicken Sie auf ID löschen. Möchten Sie die gesamte SIM Karte löschen, so wählen Sie bitte die Option Token löschen. 2.4.2 Import von Zertifikaten auf Ihre SIM Karte KOBIL Smart Token kann Software-Zertifikate 1 aus dem Windows-Zertifikatsmanager auf Ihre SIM Karte importieren, falls dieses dort als exportierbar registriert wurde. Klicken Sie hierzu auf ID importieren. Falls Ihr Software-Zertifikat nur als PKCS#12-Datei (mit der Endung.p12 ) vorliegt, importieren Sie diese bitte zuerst in den Windows- Zertifikatsmanager durch einen Doppelklick. Befolgen Sie dann die Anweisungen des Windows-Zertifikatsmanagers zum Import und wählen Sie die Option als exportierbar markieren. Aus Sicherheitsgründen wird das Software-Zertifikat nach dem Import auf Ihre SIM Karte aus dem Windows- Zertifikatsmanager gelöscht. Je nach Ihrer Konfiguration ist diese Funktion unter Umständen deaktiviert, dies ist abhängig von der eingesetzten SIM Karte. 2.4.3 Änderung der PIN Ihrer SIM Karte Klicken Sie zur Änderung der PIN auf PIN ändern und geben Sie anschließend die alte sowie zweimal die neue PIN ein. Sie können über den Button PIN freischalten die PIN mit Hilfe der PUK zurücksetzen, wie sie es von Mobiltelefonen her kennen. Abbildung 2.27: Dialog zur Eingabe der neuen PIN 1 als Software-Zertifikat bezeichnet man ein Zertifikat, das nicht auf einer SIM Karte gespeichert wird und daher eine geringere Sicherheits-Stufe besitzt. 33