Sichere E-Mails für alle?
S/MIME in der Praxis
Sichere E-Mail? Meine Verbindung ist doch SSL/TLS gesichert. Ja, SSL/TLS schützen zwar den Transportweg zwischen Client (also Ihnen) und Server bzw. zwischen zwei Mailservern. Eine vollständig abgesicherte Kommunikation lassen sie aber nicht zu. Sobald eine E-Mail das Empfängerpostfach erreicht, liegt sie dort umgehend wieder im Klartext vor. Das gleiche gilt für den Ordner mit den gesendeten Nachrichten beim Absender. Abhilfe schafft S/MIME:
Ein Standard zum durchgängigen Verschlüsseln und Signieren von E-Mails heißt S/MIME (Secure / Multipurpose Internet Mail Extensions). Dieses Verfahren baut auf einer PKI (Public Key Infrastructure) auf. Diese Begriffe schrecken eher ab, als Sie ermutigen, den Schritt zu wagen, den eigenen E-Mail-Verkehr sicherer zu gestalten. Das ZIM hilft an dieser Stelle, diesen Schritt zu gehen und so einfach wie möglich zu gestalten. Mail.UP ist konzipiert für das einfache Einbinden von Zertifikaten. Bevor es ins Detail geht, eine kurze Erklärung:
Bei S/MIME kommen Zertifikate zum Einsatz. Das ZIM ist die zuständige Zertifizierungsstelle (CA) für die Universität Potsdam. Mitarbeiter des ZIM prüfen Ihre Personalien, um die Echtheit Ihrer E-Mail-Adresse und Ihrer Person zu gewährleisten. Um den Kommunikationspartnern den öffentlichen Teil des Zertifikats zukommen zu lassen, genügt der Versand einer signierten E-Mail. Der Empfänger speichert diesen Teil in Mail.UP und kann von nun an verschlüsselte Nachrichten mit der Gegenseite austauschen. S/MIME ermöglicht eine vollständig verschlüsselte Kommunikation, Klingt schwierig? Ist es aber nicht.
Schritt für Schritt zur sicheren E-Mail
Im Folgenden werden wir Schritt für Schritt durch den S/MIME-Prozess gehen. Verschlüsselte E-Mails für alle ist keine Magie. Bevor es richtig losgeht, sind einige Dinge zu beachten!
- Für die Beantragung unter Punkt 1 benutzen Sie bitte denselben PC und denselbenBrowser (klingt komisch, ist aber sehr wichtig).
- Ein Besuch im ZIM ist nötig, um die Echtheit Ihrer Angaben zu prüfen. Deshalb halten Sie Ihren Personalausweis bereit.
- Bitte merken Sie sich alle vergebenen Passwörter (Zertifikat und Mail.UP "Sichere E-Mail").
- Wenn Sie Ihre Passwörter vergessen, dann können Sie Ihre verschlüsselten E-Mails nicht mehr öffnen. Das ZIM ist in diesem Fall machtlos.
1. Los geht's mit der Beantragung des Zertifikats und dem Import in Mail.UP
Das ZIM freut sich auf Ihren Besuch
- Öffnen Sie die PKI Seite und klicken auf Nutzerzertifikate.
- Füllen Sie bitte die notwendigen Felder mit einem (*) Stern aus.
- Klicken Sie auf Weiter, überprüfen Sie Ihre Daten und klicken Sie dann auf Zertifikatsantrag anzeigen.
- Zur persönlichen Identifizierung müssen Sie bei einem unserer Kolleginnen oder Kollegen am Neuen Palais vorstellig werden. Wenden Sie sich zur Terminvereinbarung per Mail (zim-serviceuuni-potsdampde mit dem Betreff "Frage DFN-PKI Zertifikate") an uns. Bitte bringen Sie zum Termin den unterschriebenen Zertifikatsantrag und Ihren Personalausweis mit.
Alles soweit erledigt? Wenn Ja, dann lohnt ein Blick in die Inbox.
Hierbei ist es nun wichtig, dass Sie denselben PC und Browser verwenden, an dem Sie das Zertifikat beantragt haben. In der E-Mail von "pki-ra@uni-potsdam.de" haben Sie Ihr Zertifikat (als Text) und einen Link (unter Punkt 2) erhalten, über den Sie das Zertifikat importieren können. Klicken Sie auf den Link. In der neu geöffneten Seite und dann auf "Zertifikat importieren". Anschließend muss das Zertifikat nur noch auf Ihren PC exportiert werden. Wie geht das?
- Firefox:Extras > Einstellungen > Erweitert > Zertifikate > Zertifikate anzeigen > Ihre Zertifikate > Universität Potsdam > Anklicken > Sichern > Speicherort auswählen > Passwort eingeben
- IE: Extras > Internetoptionen > Inhalte > Zertifikate > Eigene Zertifikate > Universität Potsdam (in Spalte "ausgestellt von")
Bitte lesen Sie sich die Informationen für Zertifikatsinhaber durch. Wenn Sie E-Mails verschlüsseln, können diese nicht mehr vom ZIM geöffnet werden. Es ist ratsam, das Zertifikat nicht nur an einer Stelle zu speichern, sondern z.B. auf einer externen Festplatte. Schreiben Sie sich den Speicherort am besten auf und notieren dazu die Seriennummer, um das Zertifikat bei Missbrauch sperren zu können (in der E-Mail vom PKI enthalten). Vergessen Sie niemals das Passwort! Sie können sonst Ihre verschlüsselten E-Mails nie wieder entschlüsseln.
- Öffnen Sie Mail.UP.
- Unter Einstellungen > Sichere E-Mail > klicken Sie auf Schlüssel und Zertifikat importieren.
- Vergeben Sie ein Passwort, welches nicht (unbedingt) mit dem Zertifikatspasswort übereinstimmt, das vergebene Passwort brauchen Sie später für das Versenden signierter und verschlüsselter E-Mails.
- Wählen Sie nun die Zertifikatsdatei auf Ihrem Computer aus und bestätigen Sie den Upload mit Ihrem Passwort.
- Bitten loggen Sie sich aus und wieder ein. Fertig, es kann losgehen mit S/MIME.
2. Ihre erste signierte E-Mail
Mit S/MIME arbeiten
Für den verschlüsselten E-Mail-Verkehr braucht der Kommunikationspartner Ihren "Public Key". Ein einfaches Versenden einer signierten E-Mail reicht schon. Wir erinnern uns, dass wir den Public und Privat Key in Mail.UP hochgeladen haben. Also schreiben wir jetzt einfach eine signierte E-Mail und importieren das Zertifikat von unserem Kommunikationspartner. Ein kurzer Hinweis: Sie können generell alle Ihre Nachrichten signieren (Mail.UP > Einstellungen > Sichere E-Mail > alle Nachrichten signieren). Das Zertifikat Ihres Kommunikationspartners wird im Adressbuch abgespeichert und ist E-Mail-spezifisch. In den Kontaktkarten sehen Sie dann einen "Haken", wenn das Zertifikat abgespeichert wurde.
3. Auf geht's, wir verschlüsseln eine E-Mail
Nach dem Austausch einer signierten E-Mail und dem Hinzufügen des Zertifikats Ihres Kommunikationspartners sind Sie jetzt gewappnet, eine verschlüsselte Nachricht zu schreiben. "Verschlüsselt" heißt, dass diese Nachricht nur mit Ihrem Passwort geöffnet werden kann. Schlüsseldienste gibt es in der Welt von S/MIME nicht und das ZIM kann nicht helfen, wenn Sie Ihr Passwort vergessen haben. S/MIME funktioniert nach dem Schlüssel-Schloss-Prinzip. Sie haben den Public-Key von Ihrem Kommunikationspartner in Punkt 2 importiert, Ihre Nachricht wird damit "zugeschlossen" und kann nur mit dem spezifischen Passwort geöffnet werden, welches Ihr Kommunikationspartner selber gewählt hat.
Alle beschriebene Schritte beziehen sich auf das Mail.UP Webmailinterface. Wenn Sie mit einem Mailprogramm verschlüsselt arbeiten möchten, dann müssen Sie Ihr Zertifikat separat importieren:
- Microsoft Outlook (beachten Sie die unten stehenden Hinweise)
- Thunderbird Mail
- S/MIME unter iOS
SHA 256 Zertifikate in Outlook benutzen
Um mit den SHA 256 Zertifikaten in Outlook arbeiten zu können, müssen Sie ggf. die Einstellungen ändern:
Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> E-Mail-Sicherheit -> Einstellungen -> im Feld "Hashalgorithmus" dann "SHA 256" auswählen -> OK