KOBIL Smart Key V3.0 Benutzerdokumentation. 15. August 2006 Deutsche Version

KOBIL Smart Key V3.0 Benutzerdokumentation 15. August 2006 Deutsche Version

Inhaltsverzeichnis 1 Was ist KOBIL Smart Key? 3 1.1 Über KOBIL Smart Key................................................ 3 1.2 Vorteile im täglichen Leben.............................................. 3 2 Installation 5 2.1 Systemanforderungen.................................................. 5 2.2 Installation....................................................... 6 2.2.1 Die Chipkarten-Terminal Treiber....................................... 6 2.2.2 CD Setup für Microsoft Windows....................................... 6 2.2.3 CD Setup für Linux und Solaris........................................ 10 3 Erste Schritte 11 3.1 Ihre persönliche Chipkarte............................................... 11 3.2 Festlegung der Karten-PIN.............................................. 12 3.3 Eingabe der Karten-PIN................................................ 13 3.4 Die Zertifikatsspeicher auf Ihrer Karte........................................ 14 3.5 Woher bekomme ich mein Zertifikat?........................................ 15 4 Arbeiten mit KOBIL Smart Key für Microsoft-Anwendungen 16 4.1 Zertifikatsmanagement................................................. 16 4.1.1 Sie besitzen bereits eine personalisierte Smartcard............................. 16 4.1.2 Beantragung eines neuen Zertifikats..................................... 17 4.1.3 Der Windows-Zertifikatsmanager....................................... 20 4.1.4 Import eines neuen Trustcenter-Zertifikates................................. 21 4.1.5 Import von Zertifikaten anderer Benutzer.................................. 22 4.2 Absicherung von Web-Seiten mit dem Internet Explorer.............................. 25 4.3 Absicherung von Emails mit Outlook......................................... 28 4.3.1 Auswahl des Zertifikats............................................ 28 4.3.2 Einrichtung der Buttons unter Outlook................................... 33 4.3.3 Versenden von abgesicherter Email...................................... 34 4.3.4 Empfang von abgesicherter Email....................................... 38 4.4 Datei-Sicherheit..................................................... 41 4.4.1 Additional Decryption Keys.......................................... 41 4.4.2 Verschlüsselung von Dateien und Verzeichnissen.............................. 41 4.4.3 Verschlüsselungs-Empfänger bearbeiten................................... 44 4.4.4 Entschlüsselung von Dateien und Verzeichnissen.............................. 45 4.4.5 Digitale Signaturen über Dateien und Verzeichnisse............................. 46 4.4.6 Mehrfach-Signaturen.............................................. 48 4.4.7 Überprüfung von Digitalen Signaturen über Dateien und Verzeichnisse.................. 48 4.4.8 Gleichzeitige Signatur und Verschlüsselung von Dateien und Verzeichnissen............... 51 4.4.9 Entschlüsselung und Signaturprüfung von Dateien und Verzeichnissen.................. 53 4.5 Das CardManagement Tool.............................................. 55 1

4.5.1 Registrierung von Zertifikaten im Windows-Zertifikatsmanager...................... 56 4.5.2 Löschen von Zertifikaten von Ihrer Smartcard................................ 57 4.5.3 Import von Zertifikaten auf Ihre Smartcard................................. 58 4.5.4 Änderung/Entsperrung der PIN Ihrer Smartcard............................. 59 4.5.5 Voreinstellungen zur Datei-Sicherheit..................................... 61 5 Smartcard-Login für Windows 2000 und XP 64 5.1 Konfiguration...................................................... 64 5.2 Registrierungs-Agent Zertifikate............................................ 65 5.3 Ausstellung von Smartcard Login-Zertifikaten für die Benutzer.......................... 70 5.4 Der Smartcard-Login Vorgang............................................. 73 5.5 Wichtige Hinweise zum Windows 2000 / XP Smartcard Logon.......................... 74 5.6 Smartcard-Login in Terminal Server Umgebungen.................................. 75 6 Arbeiten mit dem KOBIL Smart Key PKCS#11 Modul 77 6.1 Aktivierung der Netscape / Mozilla Unterstützung................................. 77 6.2 Zertifikatsmanagement unter Netscape........................................ 77 6.2.1 Beantragung und Import des Zertifikats................................... 77 6.2.2 Verwaltung der Zertifikate........................................... 81 6.2.3 Import eines neuen Trustcenter-Zertifikates................................. 84 6.2.4 Import von Zertifikaten anderer Benutzer.................................. 84 6.2.5 Import eines Webserver-Zertifikats...................................... 85 6.2.6 Änderung der PIN Ihrer Smartcard unter Netscape............................. 85 6.3 Absicherung von Web-Seiten mit dem Netscape Navigator............................. 89 6.4 Absicherung von Emails mit Netscape Messenger.................................. 90 6.4.1 Auswahl des Zertifikats............................................ 90 6.4.2 Versenden von abgesicherter Email...................................... 92 6.4.3 Empfang von abgesicherter Email....................................... 92 A Probleme und Lösungen 93 A.1 Anschluß des Chipkartenterminals.......................................... 93 A.2 KOBIL Smart Key für Microsoft-Anwendungen................................... 93 A.3 KOBIL Smart Key PKCS#11 Modul für Netscape................................. 94 B Grundlagen der Kryptographie und Standards 95 B.1 Sicherheitsziele..................................................... 95 B.2 Begriffe und Grundlagen................................................ 95 B.3 Standards........................................................ 96 B.3.1 Hash-Algorithmen............................................... 96 B.3.2 Symmetrische Verschlüsselungs-Algorithmen................................. 96 B.3.3 Public Key Algorithmen............................................ 97 B.3.4 Zertifikate.................................................... 101 B.3.5 Zertifizierungsstellen.............................................. 101 B.3.6 Smartcards und Chipkartenterminals..................................... 103 B.3.7 Secure Socket Layer (SSL)........................................... 104 B.3.8 Secure Multipurpose Internet Mail Exchange (S/MIME).......................... 104 C Glossar 106 2

Kapitel 1 Was ist KOBIL Smart Key? 1.1 Über KOBIL Smart Key KOBIL Smart Key sichert Email-Kommunikation und WWW-Zugriffe mit Hilfe von Smartcards. Auf Micorsoft Windows- Systemen stehen zusätzlich Smartcard-basierte Dateiverschlüsselung und -signatur Windows 2000 und Windows XP Login zur Verfügung. Eine leistungsfähige Festplatten-Verschlüsselung rundet das breite Anwendungsspektrum von KOBIL Smart Key ab. KOBIL Smart Key besteht hardwareseitig aus einer Smartcard und einem KOBIL Chipkartenterminal und softwareseitig aus Plug-in-Modulen für die wichtigsten Web-Browser, Email-Programme und den Windows Explorer. Dadurch erweitert KOBIL Smart Key vorhandene Standardsoftware um Smartcard-basierte Sicherheit von Public Key Infrastrukturen (PKI). Eine Public Key Infrastruktur bietet Funktionen für Geheimhaltung (Verschlüsselung), Integritätsschutz (Digitale Signaturen) und Authentifikation. Das zentrale Element einer PKI bilden die Zertifikate, auch Digitale ID s genannt. Jeder Teilnehmer der PKI Benutzer wie Server wird mit einem Zertifikat ausgestattet, das quasi als Ausweis dient. Zusätzlich hat jeder Teilnehmer einen privaten Schlüssel, der zu dem Zertifikat paßt. Wie der Name schon andeutet, müssel die privaten Schlüssel wirklich nur dem Eigentümer selbst zugänglich sein; die gesamte Sicherheit von Public Key Infrastrukturen baut auf dieser Geheimhaltung auf! Deswegen werden die privaten Schlüssel bei KOBIL Smart Key innerhalb Ihrer persönlichen Smartcard abgelegt. Smartcards sind vollständige Computer im Kreditkartenformat. Sie besitzen Mechanismen, die sie gegen physische und logische Angriffe schützen und die enthaltenen Informationen im Notfall zerstören, bevor sie für einen Angreifer zugänglich sind. Nachdem Ihre privaten Schlüssel in die Smartcard geladen wurden, können sie nicht mehr ausgelesen werden. Der Zugriff auf Ihre privaten Schlüssel wird durch eine Geheimzahl ( Personal Identification Number, PIN) geschützt, wie Sie sie von Ihren Bank-Karten kennen. Nach mehrmaliger Falscheingabe wird die Karte endgültig gesperrt und damit unbrauchbar. Smartcards sind einfach zu benutzen, sie passen in jeden Geldbeutel. KOBIL Smart Key kombiniert die Vorteile von Public Key Infrastrukturen mit dem einfachen, mobilen und hochsicheren Einsatz von bewährten Smartcards. Aktuelle Informationen zu KOBIL Smart Key und anderen Sicherheitsprodukten finden Sie im Internet unter www.kobil.com. 1.2 Vorteile im täglichen Leben Sie können KOBIL Smart Key zusammen mit Ihren vertrauten Webbrowsern (Microsoft Internet Explorer und Netscape Communicator), Email-Clients (Microsoft Outlook Express, Outlook und Netscape Messenger) sowie mit dem Microsoft Windows Explorer einsetzen. Diese Anwendungen haben bereits die wichtigen Industriestandards für den praktischen Einsatz 3

von Public Key Infrastrukturen integriert: SSLv3/TLS (für sicheren WWW- Zugriff) und S/MIME (für die Absicherung von Emails). Diese Standards garantieren Interoperabilität zwischen verschiedenen Anbietern. Mit KOBIL Smart Key können Sie Ihre privaten Schlüssel und Zertifikate einfach und mobil auf Ihrer Smartcard verwalten und überall benutzen: auf Ihrem PC zu Hause, am Arbeitsplatzrechner oder in Internet-Cafes. Ihre privaten Schlüssel sind stets durch die evaluierten Smartcards gesichert. Selbst wenn Sie Ihre Smartcard verlieren, ist ein Mißbrauch ausgeschlossen, da die Karte nach drei falschen PIN-Eingaben gesperrt wird. Wenn ein bösartiger Angreifer Zugriff auf Ihr Email-Konto hat, kann er Ihre Emails lesen und Emails in Ihrem Namen versenden. Wenn Sie KOBIL Smart Key einsetzen, werden Ihre Emails verschlüsselt und mit einer digitalen Unterschrift versehen. Um diese Sicherheitsfunktionen zu umgehen, muß der Angreifer sowohl Ihre Smartcard besitzen als auch Ihre PIN kennen. Die Absicherung von Web-Zugriffen kann vielfältig eingesetzt werden, wie z.b. bei Homebanking, e-commerce oder in der Verwaltung. Immer, wenn Sie Ihre digitale Identität nachweisen oder sensible Informationen vor den Blicken anderer schützen wollen, ist KOBIL Smart Key die richtige Wahl. Auf Windows-basierten Systemen verschlüsselt KOBIL Smart Key Ihre Dateien wirkungsvoll und versieht sie mit einer digitalen Unterschrift. Die Anmeldeprozedur in Windows 2000 und Windows 2003 Domänen wird durch den Einsatz von Smartcards erheblich sicherer. 4

Kapitel 2 Installation 2.1 Systemanforderungen Unterstützte Betriebssysteme: Microsoft Windows XP (ab Service Pack 1) Microsoft Windows 2000 (ab Service Pack 3) Microsoft Windows 2003 Server Microsoft Windows 98SE / Me Microsoft Windows NT4 (Service Pack 6) (optional) Linux mit glibc-2.1.3 (z.b. SuSE Linux ab Version 7.2) (optional) SUN Solaris ab Version 2.7 Unterstützte Software: Microsoft Office 2003 Microsoft Office xp Microsoft Outlook 2000 SR-1 Microsoft Outlook 98 Microsoft Outlook Express ab Version 5 Microsoft Internet Explorer ab Version 5.5 Netscape Communicator ab Version 4.04 1 Mozilla ab Version 1.4 Firefox ab Version 1.0 Unterstützte Chipkarten: T-Telesec TCOS 2.02 min / 2.03 min / 3.0 Netkey T-Telesec E4 Netkey / Netkey 2000 Siemens CardOS M4.0 / M4.01 / M4.01a / M4.2 / M4.3b GemXPresso JavaCard IBM JCOP JavaCard Hardware: 128 MB Arbeitsspeicher (RAM) 20 MB freier Speicherplatz auf der Festplatte CD-ROM oder DVD-ROM Laufwerk Ein KOBIL Chipkartenterminal 1 Bitte beachten Sie, dass Netscape Communicator starke Kryptographie erst ab Version 4.73 unterstützt 5

2.2 Installation 2.2.1 Die Chipkarten-Terminal Treiber Bitte installieren Sie zunächst die Treiber Ihres KOBIL Chipkartenterminals. Beachten Sie dazu bitte die dem Chipkartenterminal beiliegende Anleitung. KOBIL Smart Key unterstützt Chipkartenterminals nach PC/SC und CT-API Standard. Unter Windows wird jedoch PC/SC ausdrücklich empfohlen, da sonst einige Funktionen wie z.b. Windows Smartcard Logon nicht zur Verfügung stehen. Falls Sie ein Chipkartenterminal eines anderen Herstellers zusammen mit KOBIL Smart Key einsetzen möchten, so wenden Sie sich bitte an Ihren KOBIL Partner oder direkt an KOBIL. 2.2.2 CD Setup für Microsoft Windows 1. Beenden Sie alle laufenden Programme. 2. Legen Sie die KOBIL Smart Key CD-ROM in Ihr CD-ROM Laufwerk ein. Die Installationsroutine sollte automatisch gestartet werden. Wenn dies nicht der Fall ist, so klicken Sie bitte Start - Ausführen und geben D:\Setup.exe ein (ersetzen Sie bitte D durch den Laufwerksbuchstaben Ihres CD-ROM Laufwerks) Abbildung 2.1: CD-ROM Startmenü 3. Wählen Sie nun den Punkt Installation KOBIL Smart Key von der CD-ROM aus. 6

4. Sie werden nun nach der Installations-Sprache gefragt. Abbildung 2.2: Auswahl der Installations-Sprache 5. Dem Lizenztext müssen Sie ausdrücklich zustimmen, um mit der Installation fortfahren zu können. Abbildung 2.3: Lizenzvereinbarung 7

6. Legen Sie das Zielverzeichnis für die KOBIL Smart Key Programmdateien fest. Der vorgegebene Pfad lautet C:\Programme\KOBIL Systems\KOBIL Smart Key. Klicken Sie auf Durchsuchen, um ein anderes Zielverzeichnis auszuwählen. Abbildung 2.4: Auswahl des Installations-Pfades 7. Die Auswahl der Programmgruppe können Sie in den allermeisten Fällen einfach übernehmen. Die Programmgruppe erscheint im Startmenü, die Voreinstellung ist KOBIL Systems. Abbildung 2.5: Auswahl der Programmgruppe 8

8. Sie können nun den Zugriff auf das Chipkartenterminal prüfen. Für Terminal-Server Installationen, bei denen kein Chipkartenterminal direkt am Server angeschlossen wird, kann dieser Punkt übersprungen werden. Abbildung 2.6: Prüfung des Chipkartenterminal-Zugriffs Falls Sie die Funktionen zur Datei-Sicherheit (siehe Abschnitt 4.4) nutzen möchten, aktivieren Sie bitte die Option Module für File Security installieren. Nun ist KOBIL Smart Key auf Ihrem Rechner installiert. 9

2.2.3 CD Setup für Linux und Solaris Hinweis: die PKCS#11 Unterstützung für Linux und Solaris ist nicht in allen Versionen von KOBIL Smart Key enthalten. Auf einem Linux- oder Solaris-System gehen Sie bitte vor wie folgt: 1. Legen Sie die KOBIL Smart Key CD-ROM in Ihr CD-ROM Laufwerk ein. Auf Linux- und Solaris-Systemen müssen Sie die CD-ROM mit Ausführungsrechten mounten. Geben Sie dazu an der Kommandozeile ein. mount -o exec /cdrom 2. Wechseln Sie in das Hauptverzeichnis der CD-ROM und starten Sie das Installationsskript install linux solaris.sh 3. Wählen Sie das von Ihnen verwendete KOBIL Chipkartenterminal aus. Geben Sie anschliessend die (bereits existierenden) Pfade an, in die der CT-API Treiber für das Chipkartenterminal und das PKCS#11 Modul kopiert werden sollen (shared libraries). Bei der Frage nach dem PKCS#11 Pfad können Sie auch einfach Enter drücken, um den gleichen Pfad wie den Treiber zu wählen. Beide Pfade müssen in der Suchliste für shared objects enthalten sein, damit die Bibliotheken gefunden werden. Unter Linux und Solaris sollten die Pfade in LD LIBRARY PATH enthalten sein. Wichtig: Falls Sie ein USB Chipkartenterminal wie z.b. KAAN Base, KAAN Advanced, KAAN SIM III oder KOBIL midentity verwenden möchten, so beachten Sie bitte die Hinweise zur Installation der Chipkartenterminal-Treiber auf der Treiber-CD! 4. Zuletzt müssen Sie das neue PKCS#11 Modul in der Netscape Konfiguration eintragen. Um diesen Schritt zu erleichtern, haben wir die Datei PKCS11Install.html beigefügt. Bitte beachten Sie, dass dazu JavaScript eingeschaltet sein muss. Generell raten wir aus Sicherheitsgründen davon ab, JavaScript zu aktivieren, doch für dieses Installationsskript kann JavaScript ohne Bedenken eingeschaltet werden. Für denjenigen Benutzer, der das Installationsskript ausführt, wird Netscape automatisch mit dieser HTML-Seite gestartet. Alle anderen Benutzer müssen diese Seite von Hand aufrufen, daher sollte diese HTML-Seite für die anderen Benutzer lesbar sein. 10

Kapitel 3 Erste Schritte 3.1 Ihre persönliche Chipkarte Abbildung 3.1: Ihre persönliche Chipkarte Abbildung 3.1 zeigt Ihre persönliche Chipkarte. In ihr sind die privaten Schlüssel zu Ihren Zertifikaten hoch sicher gespeichert. Der Zugriff auf die Schlüssel wird durch sogenannte PIN s (Geheimzahlen) geschützt, die Sie frei wählen können. Die Karten-PIN gilt für alle fortgeschrittenen Zertifikate, also beispielsweise für Ihre Email-Verschlüsselung/Signatur, den VPN-Zugriff, das Windows Smartcard Logon oder fortgeschrittene Signaturen. Die E4 Netkey Chipkarte für qualifizierte Signaturen besitzt zusätzlich eine Signatur-PIN, die nur die qualifizierte Signatur freischaltet. Dies setzt voraus, dass Ihre Karte mit einem qualifizierten Signatur-Zertifikat ausgestattet ist. Bei Auslieferung befindet sich die Signatur-PIN NULLPIN-Status. Details zur Qualifizierten Signatur und zur Freischaltung der Signatur-PIN finden Sie in der Dokumentation zur Qualifizierten Signatur (hierzu muss der KOBIL Smart Key SigG-CSP installiert sein): Start > Programme > KOBIL Systems > Qualifizierte Signatur > Benutzerhandbuch Je nach Auslieferungsverfahren befinden sich die PIN s entweder im NULLPIN-Status (Karten-Siegel bzw. Signatur-Siegel) oder Sie erhalten einen PIN-Brief mit den korrekten Werten für Karten-PIN und Signatur-PIN. Falls die Karte noch komplett unpersonalisiert ist, können Sie die PIN (und je nach Kartentyp ggf. auch die PUK) selbst festlegen, siehe dazu nächster Abschnitt. 11

3.2 Festlegung der Karten-PIN Falls Sie mit Ihrer Karte keinen PIN-Brief erhalten haben, erscheint bei der ersten Benutzung der Karte eine Aufforderung, die Karten-PIN und je nach Chipkartentyp ggf. auch die PUK festzulegen. Die E4 Netkey Chipkarte befindet sich bei Auslieferung im sogenannten NULLPIN Status, der Ihnen anzeigt, dass die Karte unbenutzt ist, denn nach der Festlegung der Karten-PIN kann die Karte nicht wieder in den NULLPIN Status zurückversetzt werden. Abbildung 3.2: NULLPIN-Status der Karten-PIN bei E4 Netkey Chipkarten Sie müssen die 6-stellige Karten-PIN zweimal zur Bestätigung eingeben. Die Eingabe erfolgt dabei aus technischen Gründen über die PC-Tastatur und nicht über die Tastatur des Chipkartenterminals, auch wenn Sie über ein Chipkartenterminal mit eigener Tastatur zur sicheren PIN Eingabe verfügen. Abbildung 3.3: Festlegung der Karten-PIN 12

Abbildung 3.4: Die NULLPIN wurde aufgebrochen (E4 Netkey Chipkarte) Bei anderen Chipkarten als der E4 Netkey Chipkarte werden Sie aufgefordert, die PUK und die Karten-PIN festzulegen. Mit der PUK können Sie die Karten-PIN wieder zurücksetzen, falls diese gesperrt ist. Lesen Sie dazu bitte Abschnitt 4.5.4. Bei der E4 Netkey Chipkarte können Sie die PUK nicht selbst wählen, denn diese Karte verfügt über eine verschlüsselte PUK, die Sie mit dem CardManagement Tool auslesen können, nachdem Sie die den NULLPIN Status aufgehoben haben. 3.3 Eingabe der Karten-PIN Wenn die Karten-PIN benötigt wird, erscheint die Aufforderung zur Eingabe der PIN abhängig davon, ob Sie ein Chipkartenterminal mit Tastatur zur sicheren PIN-Eingabe haben oder nicht. Im Hinweistext wird angegeben für welches Zertifikat die PIN benötigt wird (also z.b. Verschlüsselung, Authentisierung): Abbildung 3.5: Eingabe der Karten-PIN über die PC-Tastatur 13

Abbildung 3.6: Eingabe der Karten-PIN am Chipkartenterminal Falls Sie die Karten-PIN oder die Signatur-PIN dreimal hintereinander falsch eingeben, so wird die Karte aus Sicherheitsgründen gesperrt. Nach der Eingabe einer falschen PIN überlegen Sie bitte gut, bevor Sie den zweiten oder dritten Versuch machen. Eine gesperrte Karten-PIN kann - ähnlich wie bei Mobiltelefonen - durch die PUK wieder entsperrt werden. Lesen Sie dazu bitte Abschnitt 4.5.4. Falls die Signatur-PIN für die qualifizierte Signature der E4 Netkey Chipkarte gesperrt ist, kann diese jedoch nicht mehr entsperrt werden. 3.4 Die Zertifikatsspeicher auf Ihrer Karte Ihre Chipkarte hat mehrere Zertifikatsspeicher, in denen die verschiedenen Zertifikate abgelegt werden können. Dies sind im einzelnen: Drei Universal-Zertifikate zur Verschlüsselung, Authentifikation und zur fortgeschrittenen Signatur Ein Windows 2000 Logon Zertifikat (Nur bei Netkey E4 Chipkarte:) Ein Signatur-Zertifikat für qualifizierte Signaturen. Weitere Informationen hierzu finden Sie in der Dokumentation zum separaten KOBIL Smart Key SigG-CSP. Die Zertifikatsspeicher bekommen Sie im CardManagement Tool angezeigt, wie in Abbildung 4.41 zu sehen 1. Wenn Sie ein Zertifikat online beantragen, so können Sie auswählen, in welchem Zertifikatsspeicher das Zertifikat abgelegt werden soll (siehe Abschnitt 4.1.2). 1 das Signatur-Zertifikat für qualifizierte und akreditierte Signaturen wird im CardManagment Tool nicht angezeigt 14

3.5 Woher bekomme ich mein Zertifikat? Falls auf Ihrer Chipkarte bei der Auslieferung noch keine Zertifikate enthalten sind (d.h. alle Zertifikatsspeicher sind noch leer), müssen Sie Ihr(e) Zertifikat(e) noch beantragen. Dies ist notwendig, da Sie sich bei dem von Ihnen gewählten Trustcenter identifizieren müssen, um ein qualitativ hochwertiges Zertifikat zu erhalten. Sie haben die folgenden Möglichkeiten, ein Zertifikat zu bekommen: Ihre Chipkarte enthält bereits Zertifikate: siehe Abschnitt 4.1.1 Betrieb eines eigenen Trustcenters (wie z.b. KOBIL midentity Manager Basic/Professional oder Windows 2000/2003 CA) Zertifikate anderer Anbieter im Internet: siehe Abschnitt 4.1.2 (Nur bei Netkey E4 Chipkarte:) Ein Signatur-Zertifikat für die qualifizierte Signatur: Siehe Dokumentation zum KOBIL Smart Key SigG-CSP. 15

Kapitel 4 Arbeiten mit KOBIL Smart Key für Microsoft-Anwendungen KOBIL Smart Key für Microsoft-Anwendungen besteht aus einem sog. Cryptographic Service Provider (CSP) für die Microsoft CryptoAPI sowie einigen Hilfsprogrammen. Dadurch können alle Anwendungen, welche die Microsoft CryptoAPI unterstützen wie z.b. der Internet Explorer oder Outlook, automatisch mit KOBIL Smart Key zusammenarbeiten. 4.1 Zertifikatsmanagement KOBIL Smart Key integriert sich optimal in die Windows-eigene Zertifikatsverwaltung. Daher wird in diesem Abschnitt auch der Umgang mit der Windows-Zertifikatsverwaltung erklärt. Zunächst muß unterschieden werden, ob Sie bereits ein Zertifikat auf Ihrer Smartcard besitzen oder nicht: Falls Sie eine bereits personalisierte Smartcard haben, lesen Sie bitte in Abschnitt 4.1.1 weiter und überspringen Sie Abschnitt 4.1.2. Dies ist dann der Fall, wenn Sie die Smartcard von Ihrem Administrator ausgehändigt bekommen oder wenn Sie Ihre Smartcard auf einem weiteren Rechner benutzen möchten. Falls Ihre Smartcard noch leer ist, lesen Sie bitte direkt in Abschnitt 4.1.2 weiter. 4.1.1 Sie besitzen bereits eine personalisierte Smartcard In diesem Fall haben Sie von Ihrem Administrator bereits eine fertig personalisierte Smartcard erhalten, die Ihr Zertifikat enthält. In diesem Fall brauchen Sie kein Zertifikat mehr zu beantragen. Stattdessen müssen Sie Ihre fertig personalisierte Smartcard nur noch beim Windows-Zertifikatsmanager zu registrieren. Rufen Sie dazu einmalig das Programm Start > Programme > KOBIL Systems > KOBIL Smart Key > Registrierung der Zertifikate auf. Sie werden dann aufgefordert, Ihre Smartcard einzulegen. Anschließend werden die Zertifikate auf Ihrer Smartcard automatisch registriert. Details hierzu finden Sie in Abschnitt 4.5. Diesen Vorgang müssen Sie einmalig auf jedem Rechner durchführen, auf dem Sie Ihre Smartcard benutzen möchten. Falls hierbei Fehler auftreten, kann es sein, daß Ihre Smartcard doch noch keine Zertifikate enthält. In solch einem Fall lesen Sie bitte in Abschnitt 4.1.2 nach. 16

4.1.2 Beantragung eines neuen Zertifikats Diese Schritte müssen Sie nur dann durchführen, wenn Sie noch kein Zertifikat auf Ihrer Smartcard besitzen. 1. Installieren Sie KOBIL Smart Key auf Ihrem Rechner (siehe Abschnitt 2.2). 2. Legen Sie Ihre Smartcard in Ihr KOBIL Chipkartenterminal ein. 3. Starten Sie den Internet Explorer. 4. Geben Sie die URL eines Trustcenters Ihres Vertrauens ein, beispielsweise: TeleSec-Trustcenter (Deutschland): www.telesec.de TC Trustcenter (Deutschland): www.trustcenter.de Verisign (USA): www.verisign.com 5. Die meisten Trustcenter bieten kostenloste Testzertifikate an, auch Digital ID s genannt. Beachten Sie jedoch, daß solche Testzertifikate kein hohes Sicherheitsniveau bieten. 6. Nun müssen Sie einige Daten eingeben, die später in Ihr Zertifikat aufgenommen werden (die Angaben können je nach Trustcenter unterschiedlich sein). Meist sind es einige persönliche Daten wie Ihr Name und Ihre Email-Adresse. Es ist extrem wichtig, daß die angegebene Email-Adresse exakt mit der Ihres Email-Kontos übereinstimmt (auch Groß- und Kleinschreibung!), da Sie das Zertifikat ansonsten nicht verwenden können! 7. Als Name des CSP s, der die Schlüssel erzeugen soll, müssen Sie Kobil Smart CSP v1.0 auswählen. 8. Schicken Sie Ihren Zertifikatsantrag an das Trustcenter ab. In der Regel müssen Sie dazu auf nur den Abschicken- bzw. Submit-Button klicken. Je nach dem, ob Ihre Chipkarte bereits eine PIN hat oder nicht, müssen Sie entweder die PIN festlegen (zweimalige Eingabe zur Sicherheit) oder die vorhandene PIN eingeben. Abbildung 4.1: Auswahl des Zertifikatsspeichers auf der Karte 17

Abbildung 4.1 zeigt die Auswahl des Zertifikatsspeichers auf der Karte. Hier können Sie entscheiden, ob das neue Zertifikat auf einen leeren Speicher geschrieben werden soll (es kommt also zu bestehenden Zertifikaten hinzu) oder ob ein bestehendes Zertifikat überschrieben werden soll. Letzteres kann sinnvoll sein, wenn ein abgelaufenes Zertifikat verlängert wird. 9. Das Trustcenter wird Ihnen i.d.r. eine Email mit Informationen zusenden, wie Sie Ihr fertiges Zertifikat abholen können. In manchen Fällen steht das Zertifikat schon auf der nächsten Web-Seite zum Download bereit. 10. Folgen Sie nun den Instruktionen des Trustcenters, um Ihr neues Zertifikat zu istallieren. Dabei wird das Zertifikat sowohl auf Ihre Smartcard geschrieben als auch automatisch bei der Windows-Zertifikatsverwaltung angemeldet (mehr dazu siehe Abschnitt 4.5). 11. Wenn Sie Ihr Zertifikat auch auf anderen Rechnern (wie z.b. auf Ihrem Notebook) einsetzen möchten, müssen sie es dort bei der Windows-Zertifikatsverwaltung anmelden (siehe Abschnitt 4.5). 12. Schauen Sie sich Ihr neues Zertifikat im Windows-Zertifikatsmanager an wie in Abschnitt 4.1.3 beschrieben. Falls das Zertifikat nicht gültig ist, weil das Zertifikat aufgrund mangelnder Informationen nicht bestätigt werden kann, müssen Sie noch das Root-Zertifikat Ihres Trustcenters importieren, da es noch nicht im Windows- Zertifikatsmanager vorhanden ist. Lesen Sie hierzu bitte Abschnitt 4.1.4. 18

Abbildung 4.2: Zertifikatsantrag der T-Telesec CA 19

4.1.3 Der Windows-Zertifikatsmanager Der Windows-Zertifikatsmanager ist die zentrale Anlaufstelle in Windows für alle Zertifikate. Er kann auf drei Arten gestartet werden: 1. Aus der Systemsteuerung über das Panel Internetoptionen > Inhalt > Zertifikate 2. Aus dem Internet Explorer über das Menü Extras > Internetoptionen > Inhalt > Zertifikate 3. Aus Outlook heraus über das Menü Extras > Optionen > Sicherheit > Digitale ID s Abbildung 4.3: Der Windows-Zertifikatsmanager In allen drei Fällen erscheint der Windows-Zertifikatsmanager (siehe Abbildung 4.3). Hier sind alle Zertifikate zentral abgespeichert, sowohl die eigenen, zu denen Sie den passenden privaten Schlüssel besitzen, als auch die Zertifikate anderer Personen. Außerdem sind hier die Wurzelzertifikate der Zertifizierungsstellen registriert. Alle Zertifikate können hier betrachtet werden, indem man das betreffende Zertifikat auswählt und auf den Button Eigenschaften klickt (siehe Abbildung 4.4). Wichtig ist hier der sogenannte Zertifizierungspfad, der anzeigt, von welchem Trustcenter das Zertifikat ausgestellt worden ist. Wenn ein Zertifikat als ungültig angezeigt wird, kann man hier meist den Grund dafür erkennen. 20

Abbildung 4.4: Detailansicht eines Zertifikats Außerdem kann der Windows Zertifikatsmanager Zertifikate löschen und in Dateien exportieren. Wenn Sie ein KOBIL Smart Key Zertifikat dort löschen, wird es nur bei Windows abgemeldet, d.h. es kann nicht mehr verwendet werden. Es ist jedoch nicht gelöscht, da es weiterhin auf Ihrer Smartcard existiert. Beim Export eines auf Ihrer Smartcard gespeicherten Zertifikats wird der private Schlüssel natürlich nicht mit exportiert. Wenn Sie ein Zertifikat endgültig von Ihrer Smartcard löschen wollen oder ein versehentlich im Windows- Zertifikatsmanager abgemeldetes Zertifikat wieder anmelden wollen, benutzen Sie bitte das CardManagement Tool (siehe Abschnitt 4.5). 4.1.4 Import eines neuen Trustcenter-Zertifikates Wenn Sie ein neues Trustcenter kennenlernen, um sichere Kommunikation mit den Benutzern dieses Trustcenters zu betreiben, müssen Sie das Trustcenter-Zertifikat (auch Wurzelzertifikat oder Rootzertifikat genannt) dieses Trustcenters importieren. Wenn das Trustcenter ein neues Wurzelzertifikat herausgibt, weil das alte abgelaufen ist, müssen Sie dieses ebenfalls importieren. 1. Surfen Sie mit Ihrem Browser auf die Web-Seiten Ihres Trustcenters. 2. Laden Sie das neue Trustcenter-Zertifikat herunter, auch Wurzelzertifikat oder Root-Zertifikat genannt. 3. Das Zertifikat wird angezeigt mit dem Hinweis, daß es sich noch nicht in der Liste der vertrauenswürdigen Stammzertifizierungsstellen befindet. 21

4. Klicken Sie auf Zertifikat installieren. 5. Die folgenden Dialoge können Sie einfach mit weiter bestätigen. 6. Am Ende des Vorgangs wird eine Dialogbox angezeigt, die Sie dazu auffordert, den Fingerabdruck des neuen Zertifikats zu überprüfen. Diesen Fingerabdruck sollten Sie auf einem unabhängigen Weg besorgen, z.b. auf dem Briefpapier des Trustcenters oder auf den Webseiten. Beachten Sie bitte, daß Sie durch den Import eines Trustcenter-Zertifikates automatisch ein Vertrauensverhältnis zu allen Benutzern dieses Trustcenters eingehen! Informieren Sie sich daher vorher über die Zertifizierungspolitik dieses Trustcenters. Nach dem erfolgreichen Import eines Trustcenter-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager entweder unter Zwischenzertifizierungsstellen oder unter vertrauenswürdige Stammzertifizierungsstellen (siehe Abschnitt 4.1.3). 4.1.5 Import von Zertifikaten anderer Benutzer Bevor Sie eine verschlüsselte Email an einen anderen Benutzer versenden können, benötigen Sie dessen Zertifikat. Das kann auf zwei Wegen geschehen: 1. Sie bitten den anderen Benutzer, Ihnen eine signierte Email zu schicken. Darin enthalten ist dessen Zertifikat. 2. Sie können das Zertifikat des Benutzers auch über einen sogenannten Verzeichnisdienst abrufen: Outlook Express In Outlook Express wählen Sie dazu das Menü Bearbeiten > Suchen > Personen Outlook 98 / 2000 / xp In Outlook klicken Sie Personen suchen unter Extras > Adreßbuch Abbildung 4.5 zeigt den entsprechenden Dialog für alle Outlook-Versionen. Sie können als Suchkriterien den Namen oder die Emailadresse des Empfängers angeben. Um die Suche zu starten, klicken Sie auf Suchen. Sie müssen unter Umständen noch den richtigen Verzeichnisdienst in der Auswahlbox Suchen in auswählen. Falls der von Ihnen gewünschte Verzeichnisdienst nicht auswählbar ist, müssen Sie diesen ggf. noch von Hand einrichten. Lesen Sie dazu bitte in Abschnitt 4.1.5 nach. Nach dem erfolgreichen Import eines Benutzer-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager unter Andere Personen (siehe Abschnitt 4.1.3). 22