Sichere E-Mail? Meine Verbindung ist doch SSL/TLS gesichert. Ja, SSL/TLS schützen zwar den Transportweg zwischen Client (also Ihnen) und Server bzw. zwischen zwei Mailservern. Eine vollständig abgesicherte Kommunikation lassen sie aber nicht zu. Sobald eine E-Mail das Empfängerpostfach erreicht, liegt sie dort umgehend wieder im Klartext vor. Das gleiche gilt für den Ordner mit den gesendeten Nachrichten beim Absender. Abhilfe schafft S/MIME:
Ein Standard zum durchgängigen Verschlüsseln und Signieren von E-Mails heißt S/MIME (Secure / Multipurpose Internet Mail Extensions). Dieses Verfahren baut auf einer PKI (Public Key Infrastructure) auf. Diese Begriffe schrecken eher ab, als Sie ermutigen, den Schritt zu wagen, den eigenen E-Mail-Verkehr sicherer zu gestalten. Das ZIM hilft an dieser Stelle, diesen Schritt zu gehen und so einfach wie möglich zu gestalten. Mail.UP ist konzipiert für das einfache Einbinden von Zertifikaten. Bevor es ins Detail geht, eine kurze Erklärung:
Bei S/MIME kommen Zertifikate zum Einsatz. Das ZIM ist die zuständige Zertifizierungsstelle (CA) für die Universität Potsdam. Mitarbeiter des ZIM prüfen Ihre Personalien, um die Echtheit Ihrer E-Mail-Adresse und Ihrer Person zu gewährleisten. Um den Kommunikationspartnern den öffentlichen Teil des Zertifikats zukommen zu lassen, genügt der Versand einer signierten E-Mail. Der Empfänger speichert diesen Teil in Mail.UP und kann von nun an verschlüsselte Nachrichten mit der Gegenseite austauschen. S/MIME ermöglicht eine vollständig verschlüsselte Kommunikation, Klingt schwierig? Ist es aber nicht.
Im Folgenden werden wir Schritt für Schritt durch den S/MIME-Prozess gehen. Verschlüsselte E-Mails für alle ist keine Magie. Bevor es richtig losgeht, sind einige Dinge zu beachten!
Alles soweit erledigt? Wenn Ja, dann lohnt ein Blick in die Inbox.
Hierbei ist es nun wichtig, dass Sie denselben PC und Browser verwenden, an dem Sie das Zertifikat beantragt haben. In der E-Mail von "pki-ra@uni-potsdam.de" haben Sie Ihr Zertifikat (als Text) und einen Link (unter Punkt 2) erhalten, über den Sie das Zertifikat importieren können. Klicken Sie auf den Link. In der neu geöffneten Seite und dann auf "Zertifikat importieren". Anschließend muss das Zertifikat nur noch auf Ihren PC exportiert werden. Wie geht das?
Bitte lesen Sie sich die Informationen für Zertifikatsinhaber durch. Wenn Sie E-Mails verschlüsseln, können diese nicht mehr vom ZIM geöffnet werden. Es ist ratsam, das Zertifikat nicht nur an einer Stelle zu speichern, sondern z.B. auf einer externen Festplatte. Schreiben Sie sich den Speicherort am besten auf und notieren dazu die Seriennummer, um das Zertifikat bei Missbrauch sperren zu können (in der E-Mail vom PKI enthalten). Vergessen Sie niemals das Passwort! Sie können sonst Ihre verschlüsselten E-Mails nie wieder entschlüsseln.
Für den verschlüsselten E-Mail-Verkehr braucht der Kommunikationspartner Ihren "Public Key". Ein einfaches Versenden einer signierten E-Mail reicht schon. Wir erinnern uns, dass wir den Public und Privat Key in Mail.UP hochgeladen haben. Also schreiben wir jetzt einfach eine signierte E-Mail und importieren das Zertifikat von unserem Kommunikationspartner. Ein kurzer Hinweis: Sie können generell alle Ihre Nachrichten signieren (Mail.UP > Einstellungen > Sichere E-Mail > alle Nachrichten signieren). Das Zertifikat Ihres Kommunikationspartners wird im Adressbuch abgespeichert und ist E-Mail-spezifisch. In den Kontaktkarten sehen Sie dann einen "Haken", wenn das Zertifikat abgespeichert wurde.
Nach dem Austausch einer signierten E-Mail und dem Hinzufügen des Zertifikats Ihres Kommunikationspartners sind Sie jetzt gewappnet, eine verschlüsselte Nachricht zu schreiben. "Verschlüsselt" heißt, dass diese Nachricht nur mit Ihrem Passwort geöffnet werden kann. Schlüsseldienste gibt es in der Welt von S/MIME nicht und das ZIM kann nicht helfen, wenn Sie Ihr Passwort vergessen haben. S/MIME funktioniert nach dem Schlüssel-Schloss-Prinzip. Sie haben den Public-Key von Ihrem Kommunikationspartner in Punkt 2 importiert, Ihre Nachricht wird damit "zugeschlossen" und kann nur mit dem spezifischen Passwort geöffnet werden, welches Ihr Kommunikationspartner selber gewählt hat.
Alle beschriebene Schritte beziehen sich auf das Mail.UP Webmailinterface. Wenn Sie mit einem Mailprogramm verschlüsselt arbeiten möchten, dann müssen Sie Ihr Zertifikat separat importieren:
Um mit den SHA 256 Zertifikaten in Outlook arbeiten zu können, müssen Sie ggf. die Einstellungen ändern:
Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> E-Mail-Sicherheit -> Einstellungen -> im Feld "Hashalgorithmus" dann "SHA 256" auswählen -> OK