E-Mail Verschlu sselung mit Thunderbird Prof. (emer) R. Bayer, Ph.D., TU München, 2.8.2013, Dr. C. Roth und E.Loibl, Transaction SW GmbH http://www.transaction.de/ Vorbemerkung Die folgende Beschreibung gilt nur für den Browser Firefox und das E-Mail Programm Thunderbird. Sie sollte sich für unterschiedliche Versionen davon nur geringfügig unterscheiden. Wenn dem nicht so ist, informieren Sie uns bitte mit Hinweis auf das Problem und die von Ihnen verwendeten SW Versionen. Beschreibungen für andere Kombinationen von Browsern und E-Mail Clients sind in Vorbereitung und folgen in Kürze. Um E-Mail zu verschlüsseln brauchen Sie zunächst ein Zertifikat: es dient zwei völlig verschiedenen Aufgaben: 1. Eine E-Mail zu signieren, d.h. zu unterschreiben. Die Analogie ist Ihre persönliche Unterschrift per Hand auf einem Brief. 2. Eine E-Mail zu verschlüsseln, damit ein unberechtigter Mitleser ihren Inhalt nicht verstehen kann. Schon Cäsar hat Befehle an seine Generäle verschlüsselt, damit der Feind damit nichts anfangen konnte, wenn er den Boten (heute der E-Mail Provider) abgefangen hat. Auch der Bote k annte deninhalt des Briefes nicht, damit er auch unter Folter schlimmster Folter nicht aussagen kann. Die Informatiker haben diese beiden Aufgaben aus rein praktischen Gründen in ein einziges Zertifikat verpackt, um es Ihnen etwas einfacher zu machen. Um nun E-Mail Verschlüsselung einzurichten braucht man die folgenden Prozesse: Beschaffung eines Zertifikates 1) Starte Firefox Der erste Schritt erfordert leider schon Ihre Kooperation und eine komplexe Entscheidung zwischen einer der folgenden Varianten. Es gibt diverse Zertifizierungsstellen und nur wenige Möglichkeiten, kostenlose Zertifikate zu bekommen. Die Beschaffung ist unterschiedlich kompliziert ist, hier sind vier Möglichkeiten: a) Deutsches Forschungsnetz und nachgeordnete Stellen: Wenn Sie zu einer der in der folgenden Liste https://info.pca.dfn.de/ aufgeführten Hochschulen, Universitäten, Wissenschaftsorganisationen oder öffentlichen Einrichtungen gehören, dann können Sie ziemlich sicher ein kostenloses Zertifikat bekommen. Das Procedere wird unterschiedlich 1
gehandhabt und dauert auch unterschiedlich lang. An meiner Fakultät für Informatik an der TU-München ist zum Beispiel persönliches Vorsprechen und Vorlage des Personalausweises (Dienstausweis reicht nicht) erforderlich. Alle Studierenden und MitarbeiterInnen bekommen automatisch ein Zertifikat. b) Wenn Sie schon ein Zertifikat haben, z.b. als Angehöriger einer Firma (das ist derzeit selten) hängt es davon ab, von wem das Zertifikat ausgestellt wurde. Wenn es von einer anerkannten certification authority CA kommt, funktioniert es, von Firmen direkt ausgestellte Zertifikate werden oft nicht anerkannt. c) Firma StartSSL in Israel: Bei https://cert.startcom.org/?lang=de dauert die Beschaffung nach meiner Erfahrung ca 2 Stunden. Sie müssen aber Ihre Telefonnummer angeben, das ist sehr ungewöhnlich. d) Firma Comodo in Manchester UK, Hauptsitz USA: Hier bekommen Sie Ihr Zertifikat am schnellsten, Sie brauchen nur Ihre E-Mail Adresse anzugeben. Wir beschreiben im folgenden Hauptpunkt, wie das funktioniert. Bei anderen Zertifikatanbietern geht es ähnlich. e) Warnung: Befremdlich ist, daß die beiden einzigen Anbieter für kostenlose Zertifikate, die wir finden konnte, ihren Sitz im Ausland haben. Sie begeben sich damit außerdem in die folgende Falle: die Laufzeit der Zertifikate beträgt ein Jahr, die anschließende Verlängerung ist kostenpflichtig. Sie haben dann aber kaum noch eine Chance, das Zertifikat zu wechseln, denn dann haben Ihre Kommunikations-Partner schon Ihren Schlüssel und Sie müßten den Tauschprozeß (siehe unten) von vorne starten. Das lohnt sich kaum. Verwenden Sie solche Zertifikate also nur für einen kurzfristigen Test und wechseln Sie dann am besten zu einer dem Deutschen Forschungsnetz nachgeordneten Institution. 2) Beschaffung eines Zertifikats am Beispiel von Comodo: a) Auf der Internetseite http://www.comodo.com/products/free-products.php nach Free Email Certificate suchen, das ist ziemlich weit unten b) Klick Free Download c) Maske ausfüllen, Passwort muß man sich gut merken, braucht man immer wieder, z.b. VornameName Großmutter d) Commodo Newsletter Opt out e) Terms akzeptieren, die hatte ich in einem früheren Versuch schon gelesen, es sind 12 Seiten unerträgliches Juristenenglisch, das macht wohl sonst niemand Next f) Nach ca 1 Sekunde kommt eine Seite mit Überschrift Application for Secure Email Certificate. Jetzt das Formular ausfüllen, hier wird nur nötige Information verlangt, andere Provider z.b. StartSSL verlangen auch die Tel Nr. g) Nach dem Absenden kommt schnell folgende Antwort: i) Application is successful! Details on how to collect your free Secure Email Certificate will be sent to <Ihre angegebene E-Mail Adresse> ii) Congratulations on choosing Secure Email Certificates to keep your email confidential. iii) Der Link und der Freischaltcode, um das Zertifikat abzurufen, die werden also per email zugeschickt, wie sicher ist das eigentlich? Kann der Freischaltcode mehrfach verwendet wereden? h) Jetzt Thunderbird starten weil man ja eine E-Mail erwartet i) Die E-Mail von Comodo: Your Certificate is ready for collection wird vom Thunderbird als Junk eingestuft!!! Wenn Ihr E-Mail Programm entsprechend eingestellt ist, wird diese E-Mail also direct in den Junk Ordner verschoben und Sie müssen Sie dort suchen, das ist leider nicht sehr vertrauenserweckend 2
j) In der E-Mail ist ein Button: Click and Install Comodo Email Certificate k) Bestätigung kommt sofort mit Hinweis: Ihr Zertifikat wurde installiert, Sie sollten sich eine Sicherungskopie aufheben. (Es wird nicht beschrieben, wo man das Zertifikat findet, und wie man es speichert, siehe unten). l) Jetzt steht man also erst mal auf dem Schlauch, man findet das Zertifikat nirgends. Da man im Thunderbird war und das Zertifikat explizit als E-Mail Zertifikat angepriesen war, denkt man natürlich, das Zertifikat sei im Thunderbird gelandet, das ist nicht so. m) Über FAQ findet man sich dann durch (das habe wir für Sie erledigt, diesen Schritt können Sie also überspringen), das Zertifikat ist nicht im Thunderbird gelandet sondern im Browser Firefox, siehe nächster Prozeß Installation des Zertifikats von Firefox in den Thunderbird 1) Firefox starten 2) Roter Firefox button oben links (bei manchen Firefox Versionen steht er auch unten rechts) Einstellungen Erweitert Verschlüsselung Ihre Zertifikate oder alternativer Weg: Unter dem Reiter Extras Einstellungen Erweitert Zertifikate anzeigen Ihre Zertifikate müßten Sie Ihr Zertifikat sehen 3) Zertifikat auswählen und Sichern in einem Directory X/Y/ und Datei Z (Am besten als Word-Datei speichern, dann Dateityp auf P12 setzen). Dafür braucht man das vorher angegebene Passwort, siehe oben Schritt 2)c). Man muß also vom Firefox über eine Datei als Zwischenablage zum Thunderbird gehen, eine direkte Importmöglichkeit haben wir nicht gefunden 4) Jetzt muß man das Zertifikat noch im Thunderbird importieren, also zurück zum Thunderbird E- Mail Programm wechseln, das ist vom Lesen der E-Mail noch gestartet, siehe Schritt 2)h). 5) Konto Konto-Einstellungen bearbeiten S/MIME Sicherheit Zertifikate verwalten Ihre Zertifikate Importieren 6) vorher gesicherte Datei X/Y/Z auswählen, also X/Y/Z Öffnen 7) Jetzt muß man das vorherige Passwort eingeben 8) Komische Meldung, daß das Zertifikat wieder hergestellt wurde, aber nicht irritieren lassen, es wurde in den Thunderbird importiert 9) OK 10) Jetzt wird das Zertifikat unter Ihre Zertifikate sichtbar, siehe Schritt 12, vorher aber 3
11) Mehrmals OK, um diverse Fenster zu schließen 12) Ihr importiertes Zertifikat sehen Sie unter Konto Konto-Einstellungen bearbeiten S/MIME Sicherheit Zertifikate verwalten Ihre Zertifikate 13) Jetzt kann man emails noch lange nicht verschlüsseln, weil man Zertifikate von Empfängern braucht, aber man kann ausgehende E-Mails schon signieren. Signatur und Verschlüsselung 1. Posteingang Extras Konten-Einstellungen S/MIME-Sicherheit 2. Jetzt kommt das S/MIME-Sicherheit Fenster, da muß man für Unterschrift und Verschlüsselung Zertifikate auswählen, die Auswahl kommt aus den vorher installierten persönlichen Zertifikaten. 3. Das Fenster ist so groß, daß der OK button verborgen ist, umständliche Fenster Manipulation 4. Jetzt in einer verfaßten E-Mail unter dem Reiter Optionen Nachricht unterschreiben anhaken 5. Bitte ausprobieren, was passiert, wenn man zusätzlich die Option Nachricht verschlüsseln anhakt, das geht natürlich noch nicht, weil man vom Empfänger noch kein Zertifikat hat, aber signieren kann man schon. Das Signieren von ausgehenden E-Mails ist der Mechanismus, um das eigene Zertifikat zu verteilen und per signierter E-Mail von anderen deren Signatur zu bekommen. Also Haken wieder weg! 6. Nachricht verfassen und senden an irgendjemand, am einfachsten an sich selbst 7. Hurra!!! Diese E-Mail wird signiert verschickt, das sieht man an der empfangenen Nachricht an dem altmodisch mit Lack versiegelten Briefsymbol. 8. An sich selbst können Sie jetzt auch eine verschlüsselte E-Mail schicken, Sie haben ja Ihr eigenes Zertifikat, mit dem Sie ausgehende E-Mails verschlüsseln und eingehende E- Mails wieder entschlüsseln können. An dem Vorhängeschloss-Symbol neben dem Briefsymbol sehen Sie, daß es funktioniert hat. 9. Um eine ausgehende E-Mail zu signieren, müssen Sie unter Optionen Nachricht signieren anhaken. Sie können eine Nachricht immer signieren, sobald Sie Ihr Zertifikat installiert haben, der Empfänger Bob braucht dafür kein eigenes Zertifikat. 10. Um eine ausgehende E-Mail zu verschlüsseln, müssen Sie unter Optionen Nachricht verschlüsseln anhaken. Damit das funktioniert müssen Sie sicher sein, daß der Empfänger sein eigenes Zertifikat hat und Ihnen eine Kopie geschickt hat (siehe nächster Punkt). Ansonsten weigert sich Ihr Thunderbird zu verschlüsseln und gibt Ihnen eine klare Fehlermeldung, in diesem Fall können Sie die E-Mail aber trotzdem unverschlüsselt schicken, also nur unter Optionen Nachricht verschlüsseln den Haken wieder löschen. Signieren Sie aber die Nachricht, denn so sieht der Empfänger, daß Sie ein Zertifikat haben und sollte mit einer kurzen signierten E-Mail antworten., damit Sie auch sein Zertifikat bekommen. 4
Austausch von Zertifikaten Jetzt brauchen Sie nur noch Zertifikate von Empfängern, um verschlüsselt mit ihnen kommunizieren zu können. Ein Zertifikat des Empfängers fordern Sie so an: 1. Signierte E-Mail an Empfänger Bob schicken mit der Bitte um eine signierte oder verschlüsselte Antwort 2. Beim Empfang einer signierten Nachricht oder Antwort wird das Zertifikat des Senders, hier also z.b. Bob manchmal automatisch im Zertifikatspeicher des Thunderbird gespeichert in Konto Konto-Einstellungen bearbeiten S/MIME Sicherheit Zertifikate verwalten Personen. Automatisch gespeichert wird ein Zertifikat nur, wenn es einen Validierungspfad zurück zu einer browser-verankerten CA gibt 3. Wenn das Zertifikat nicht automatisch gespeichert wird, muß man erst dem zugehörigen Root-Zertifikat vertrauen, etc, etc, etc, das funktioniert bisher aber trotzdem nicht (das Problem entsteht hauptsächlich bei Firmen, die für ihre Angestellten selbst Zertifikate ausstellen können). Wir werden diesen Punkt nachtragen, es handelt sich möglicherweise um einen Fehler im Thunderbird. 4. Jetzt können Sie an Bob auch verschlüsselte Nachrichten schicken, das Vertrauen in das Zertifikat wird nicht nochmal nachgeprüft 5. Man muß also mit seinen Kommunikationspartnern explizit Zertifikate austauschen, am einfachsten passiert das, indem man grundsätzlich alle ausgehenden E-Mails signiert, das ist der Weg zur viralen Verbreitung von Zertifikaten. Es gibt noch andere Wege z.b. über öffentliche Zertifikatserver, diesen Punkt werden wir nachtragen. Ich verschicke dieses Dokument über eine signierte E-Mail unverschlüsselt, aber das Dokument selbst ist weder authentifiziert noch signiert, das ist wieder eine ganz andre eigene Story, vielleicht schreibt die jemand anders? An alle Leser dieser Anleitung: Schicken Sie mir doch bitte eine Nachricht, wie lang Sie gebraucht haben, um E-Mail Verschlüsselung anhand dieser Vorlage bei sich einzurichten, oder wo Sie aufgegeben haben. Seien Sie aber bitte ehrlich und teilen Sie mir auch mit, ob es oben noch Fehler oder kürzere Wege gibt. Wo sehen Sie Verbesserungen und wo hatten Sie Probleme oder sind in Sackgassen gelandet, das wird die nächste Version dieses Artikels verbessern helfen und anderen Arbeit und Frustrationen sparen. Schicken Sie die Nachricht an rdlf.bayer@in.tum.de Viel Spaß und vor allem Erfolg beim Verschlüsseln Ihrer zukünftigen E-Mails. Garching am 13.8.2013 R. Bayer 5