Zertifikat Ansicht

Sichere Email durch Signatur und Verschlüsselung – S/MIME (Teil 2) 2


Geschützte EmailZur sicheren Email gehört zweifellos die digitale Signatur und die Verschlüsselung. Wie das theoretisch funktioniert, wurde hier auf kostnix-web.de unter ‚Sichere Email durch Signatur und Verschlüsselung‘ beschrieben.

Wie das jedoch ganz praktisch funktioniert, erfährst Du in diesem Artikel anhand des Verfahrens mittels S/MIME und dem Programm Windows Live Mail (Bestandteil von Windows Live Essentials).

Ein besonderer Vorteil dieses Verfahrens ist, dass keine weitere Software installiert werden muss. Als Grundlage dient ein  X.509-basiertes Zertifikat, welches von verschiedenen Anbietern auch kostenlos bezogen werden kann.

Informationen zum PGP-Verfahren bekommst Du hier.


TIPP:

TippBitte lies Dir zunächst den Artikel „Sichere Email durch Signatur und Verschlüsselung“ durch, bevor Du hier weiterliest. Neben den grundsätzlichen Informationen zu den Themen ‚digitale Signatur‘ und ‚Verschlüsselung‚ bekommst Du dort auch weitere Infos zu dem hier behandelten S/MIME-Standard. So bist Du in Sachen digitale Signatur und Verschlüsselung mit den wesentlichen Grundlagen bestens vertraut und kannst die nachfolgenden Handlungen einfacher verstehen!


Inhalt dieses Artikels:

Weiteres:


 

Das Zertifikat (S/MIME)

Die Erstellung und Installation

Dieses Verfahren benötigt ein X.509-basiertes Zertifikat. Diese werden meist ohne weitere Maßnahmen als vertrauenswürdig anerkannt, kosten im Regelfall jedoch auch bares Geld (im zwei- bis dreistelligen Euro-Bereich, je nach Gültigkeitsdauer und Sicherheitsklasse). Aber es gibt auch kostenlose Anbieter, wie beispielsweise CaCert.org oder comodo.com.

In diesem Beispiel nutzen wir ein kostenfreies Zertifikat von comodo.com.

Comodo.com

Dazu rufen wir die Internetseite von comodo.com mit dem Internet Explorer auf (dadurch wird das Zertifikat später direkt an der richtigen Stelle installiert).

Auf der Seite von Comodo.com klickst Du auf „Free Products„.

Comodo.com

Daraufhin werden Dir verschiedene kostenlose Produkte der Firma Comodo angezeigt, auch das für uns interessante „Free Email Certificate„. Dieses wählen wir aus, indem wir auf „Free Download“ klicken.

Comodo.com

Die Internetseite wird nun um Erlaubnis fragen, ob sie in Deinem Auftrag digitale Zertifikatvorgänge ausführen darf. Dies gestatten wir mit einem Klick auf „Ja„.

Comodo.com

Nun erscheint der Dialog, der Dich bei der Erstellung Deines Email-Zertifikates unterstützen wird.

Comodo.com

Zur Vergrößerung bitte anklicken

In diesem Dialog gibst Du folgende Daten ein:

  • Deinen Namen und die Email-Adresse ein, für die das Zertifikat erstellt werden soll, sowie das Land, indem Du wohnst (1),
  • die Einstellungsdaten für das Zertifikat (kann so bleiben, wie vorgegeben) (2)
  • ein Passwort (wird zur zeitlichen Verlängerung Deines Zertifikates benötigt) (3)

Danach liest Du die Vertragsbedingungen und bestätigst diese (4) und klickst danach auf „Next“ (5).

Comodo.com

Es folgt eine weitere Sicherheitsabfrage, welche wir wiederum mit einem Klick auf „Ja“ bestätigen.

Comodo.com

Nun erscheint eine Mitteilung, dass Dein Zertifikat erfolgreich erstellt wurde.

Dir wird nun eine Email mit einem Bestätigungslink an die von Dir angegebene Emailadresse zugeschickt. Damit soll sichergestellt werden, dass Du tatsächlich Zugriff auf dieses Emailkonto hast.

Comodo.com

Diese Email wird Dir zeitnah zugestellt…

Comodo.com

… und enthält – neben einer kurzen Anleitung – auch ein Button mit der Aufschrift „Click & Install Comodo Email Certifikat„. Auf diesen klickst Du…

Comodo.com

… so dass Du wieder auf die Internetseite von Comodo geführt wirst. Dort erscheint erneut eine Sicherheitsabfrage. Wenn Du diese mit „Ja“ beantwortest, wird Dein Zertifikat installiert…

Comodo.com

und Du bekommst eine entsprechende Erfolgsmeldung angezeigt.

Du bist am Ziel!

Dein Zertifikat wurde nun erfolgreich installiert.

Die Überprüfung

Wenn Du überprüfen möchtest, ob Dein Zertifikat tatsächlich ordnungsgemäß installiert wurde, ist das wie folgt möglich und schnell erledigt:

Du öffnest Deinen Internet Explorer, klickst dort auf „Extras“ und danach auf „Internetoptionen„. Es öffnet sich das entsprechende Einstellungsfenster…

Email überprüfen

… in welchem Du erst auf den Reiter „Inhalte“ (1) und danach auf den Button „Zertifikate“ (2) klickst.

Email überprüfen

Es öffnet sich die Zertifikate-Verwaltung. Wenn die Installation ordnungsgemäß abgeschlossen wurde, kannst Du hier Dein Zertifikat mit allen Details einsehen.

Die Nutzung (mittels Windows Live Mail)

Ein wesentlicher Vorteil des hier beschriebenen S/MIME-Verfahrens ist, dass die Zertifikate von allen gängigen Emailprogrammen als vertrauenswürdig anerkannt werden und das keine weitere Softwareinstallation notwendig ist. Jedoch ist hier – wie bei allen (hybriden) PKI-Verfahren – vor der regelmäßigen Nutzung einmalig ein Austausch der öffentlichen Schlüssel (Schlüsseltausch) durchzuführen.

Der Schlüsseltausch

Jedoch ist auch hier zunächst ein Austausch der öffentlichen Schlüssel / der digitalen Signaturen notwendig. Dies mag auf den ersten Blick ein wenig umständlich erscheinen, tatsächlich sind die entsprechenden ‚Arbeiten‘  ganz einfach und werden von Live Mail (oder auch anderen Emailprogrammen) größtenteils eigenständig übernommen.

Weiterhin ist dieser Schlüsseltausch nur einmal erforderlich!

Beispielhaft zeigt Dir Nixi hier die Handhabung mittels Windows Live Mail (es funktioniert aber auch mit Office Outlook, usw.)

Das Zertifikat hast Du – wie oben beschrieben – bereits erworben und installiert.

Um von Deinem Kontakt verschlüsselte Emails empfangen zu können, benötigt dieser Deinen öffentlichen Schlüssel / Deine digitale ID. Und um verschlüsselte Nachrichten in beide Richtungen versenden zu können, benötigst auch Du den öffentlichen Schlüssel Deines Kontaktes. Es muss also einmalig(!) ein wechselseitiger Schlüsseltausch der öffentlichen Schlüssel vorgenommen werden, wie er hier beispielhaft beschrieben ist.

Um Deinem Email-Kontakt Deinen öffentlichen Schlüssel zu übergeben, schickst Du diesem beispielhaft eine von Dir digital signierte Email, …

Live Mail

indem Du in den Optionen der von Dir gefertigten Email auf den Button „Digital signieren“ (Bezeichnung kann je nach genutztem Emailprogramm unterschiedlich sein) klickst. Dadurch wird Deiner Email automatisch Deine (aus Deinem Zertifikat generierte) digitale Signatur angefügt und beides zusammen an den Empfänger geschickt …

Live Mail

sodass der Empfänger Deiner Email mit dieser einen entsprechenden Hinweis auf die vorhandene Signatur erhält.

Der Empfänger hat dann die Möglichkeit, sich die Einzelheiten der Signatur anzeigen zu lassen. So kann der Empfänger auch feststellen, ob das der Signatur zugrunde liegende Zertifikat vertrauenswürdig ist und ob die Email nachträglich verändert wurde oder auch nicht.

Auch kann sich der Empfänger über einen Klick auf den Button „Zertifikate anzeigen“ weitere Informationen anzeigen lassen …

Live Mail

und den Absender mitsamt dessen Zertifikat den eigenen Kontakten hinzufügen.

Dies ist der einfachste Weg, um die Möglichkeit einzurichten, dass der jetzige Empfänger der Signatur / Dein Emailkontakt dem Absender und Inhaber des Zertifikates (also Dir) eine verschlüsselte Email zusenden kann.

Live Mail

Eine entsprechende Bestätigung zeigt Deinem Emailkontakt an, dass Deine digitale Signatur nun zu dessen Kontakten hinzugefügt wurde und somit jetzt auch verschlüsselte Emails an Dich möglich sind.

Idealerweise schickt Dein Kontakt jetzt auch Dir eine Email zurück, natürlich erweitert mit dessen digitaler Signatur.

Denn nur wenn beide Partner jeweils den öffentlichen Schlüssel / die digitale Signatur des anderen haben, sind verschlüsselte Emails in beide Richtungen möglich.

Live Mail

Also schreibt Dein Kontakt nun auch eine Email an Dich und fügt dabei dessen digitale Signatur an. Da er ja bereits Deinen öffentlichen Schlüssel / Deine digitale Signatur erhalten hat,  kann er diese Email an Dich jetzt weiterhin auch verschlüsseln.

Die entsprechenden Einstellungen wählt er in den Optionen seiner Email aus und schickt die Email dann an Dich ab. Alle erforderlichen Maßnahmen werden jetzt automatisch von seinem Emailprogramm übernommen.

Live Mail

Wenn Du diese Email Deines Kontaktes erhalten und geöffnet hast, wirst Du darauf hingewiesen, dass …

  • diese Email digital signiert ist und diese Signatur bereits überprüft wurde (somit kannst Du sicher sein, dass diese Email von Deinem Kontakt stammt und nachträglich nicht verändert wurde).
  • diese Email verschlüsselt verschickt wurde (und Dein Emailprogramm bereits die Entschlüsselung vorgenommen hat, damit diese Email von Dir gelesen werden kann).

Soweit alles gut. Jetzt musst Du nur noch den öffentlichen Schlüssel Deines Kontaktes, also dessen digitale Signatur in Dein System integrieren, wie das Dein Kontakt vorher ja auch mit Deiner Signatur gemacht hat…

Live Mail

Hier siehst Du die dafür erforderlichen Schritte noch einmal auf einem Blick (da sie oben ja bereits schon einmal ausführlich beschrieben wurden).

TIPP:

TippWenn Du verschlüsselte Emails von mehreren Personen erhalten möchtest, kannst Du Deine digitale Signatur beispielsweise auch als Download von Deiner Internetseite etc. veröffentlichen. Damit Deine Kontakte sicher sein können, dass es sich hierbei tatsächlich um Deine Signatur handelt, kannst Du ebenfalls den digitalen Fingerabdruck (eine Prüfsumme) veröffentlichen. Stimmt diese mit der Prüfsumme in dem Zertifikat überein, ist die digitale Signatur echt und kann von Deinen Kontakten bedenkenlos in das jeweilige Computersystem importiert werden.

Die regelmäßige Nutzung

Die regelmäßige Nutzung der Signatur und Verschlüsselung gestaltet sich absolut einfach und völlig unkompliziert, da alles von den Emailprogrammen erledigt wird.

Live Mail

Nach diesem Schlüsseltausch kannst auch Du Deinem Kontakt jederzeit eine digital signierte und verschlüsselte Email zukommen lassen.

Da Du alle Vorbereitungen ja bereits schon abgeschlossen hast, genügt es völlig, die entsprechenden Funktionen in den Optionen Deiner Emails (oder in den Optionen Deines Emailprogramms einmalig) mit einem Klick zu aktivieren.

Live Mail

Wenn sich der Empfänger Deiner signierten und verschlüsselten Email die Signatur anzeigen lässt, kann er nochmals in alle für die Sicherheit relevanten Daten Einsicht nehmen.

Warnungen

Was passiert eigentlich, wenn ich sensible Daten verschlüsselt versenden möchte und fälschlicher Weise davon ausgehe, eine gültige digitale Signatur meines Kontaktes zu besitzen?

Live Mail Fehler

Live Mail Fehler

Das sollte kein Problem sein. Dein Emailprogramm gibt entsprechende Warnungen aus. Somit sollte es ausgeschlossen sein, dass persönliche Daten unbeabsichtigt unverschlüsselt verschickt werden.

Das Zertifikat / die digitale Signatur im Detail

Das Zertifikat enthält verschiedenste Informationen, beispielsweise zum Inhaber, zum Verwendungszweck, zur Gültigkeitsdauer, zum Aussteller ….

Diese sind über die verschiedenen Reiter abrufbar, die hier beispielhaft abgebildet sind:

Allgemein

Ansicht Zertifikat

Hier ist der Verwendungszweck, der Aussteller comodo.com, der Inhaber pgp@kostnix – web.de und der Gültigkeitszeitraum vermerkt.

Details

Zertifikat Ansicht

In den Details geht es tatsächlich um die Details des Zertifikates. Unter anderem findest Du hier auch den öffentlichen Schlüssel, den Du an Deine Kontakte weitergeben oder – zusammen mit der Prüfsumme – veröffentlichen kannst.

Zertifizierungspfad

Zertifikat Ansicht

Die Gültigkeit des Zertifikates beruht auf der Gültigkeit der übergeordneten Zertifikate bis hin zum ‚Ur-Zertifikat‘. Diesen Zertifizierungspfad kannst Du hier einsehen und kontrollieren.

Vertrauensstellung

Zertifikat Ansicht

Unter dem Reiter Vertrauensstellung kannst Du angeben, ob Du diesem Zertifikat tatsächlich vertraust oder nicht (wichtig, wenn Du das Zertifikat beispielsweise irgendwo heruntergeladen und mittels Prüfsumme überprüft hast).

Im Allgemeinen sind hier keine weiteren Einstellung erforderlich.


Du bist am Ziel!



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

2 Gedanken zu “Sichere Email durch Signatur und Verschlüsselung – S/MIME (Teil 2)