E-Mail ist nicht nur einer der ältesten Internet-Dienste, bis heute ist es für fast alle PC-Nutzer das Kommunikationstool der Wahl. Um so verwunderlicher ist die Tatsache, dass die Kommunikationsform bis heute bei den meisten Benutzern unverschlüsselt abläuft, obwohl häufig nicht nur im Geschäftsumfeld, sondern auch privat vertrauliche Informationen ausgetauscht werden.
Daraus resultieren im Wesentlichen zwei Probleme beziehungsweise Risiken: Zum einen passiert eine E-Mail auf dem Weg vom Versender zum Empfänger viele Zwischenstationen im Internet und kann dort “mitgelesen” werden. Das betrifft sowohl den Text der E-Mail als auch etwaige Anhänge. Zum zweiten können Sie nicht sicher sein, ob der als Absender genannte ” Peter Müller ” auch der Peter ist, mit dem Sie befreundet oder beruflich verbunden sind. Der Absendername lässt sich einfach manipulieren, sogar auf dem Weg vom Versender zum Empfänger – nebst der eigentlichen E-Mail.
Signatur und Verschlüsselung
Der Ausweg aus der Misere ist einfach, wird jedoch beim E-Mail-Verkehr bis heute viel zu wenig genutzt. E-Mails lassen sich vom Versender digital signieren und optional verschlüsseln, inklusive etwaiger Mail-Anhänge. Die Nachricht ist damit auf dem kompletten Weg zum Empfänger geschützt vor Mitlesern oder Manipulationsversuchen. Erst beim Empfänger wird die Nachricht samt Anhang automatisch entschlüsselt, zudem angezeigt, dass es sich bei dem Versender auch um die Person handelt, für die sie sich ausgibt.
S/MIME und PGP
Für das digitale Signieren und die Verschlüsselung von E-Mails gibt es für alle wichtigen Betriebssystemversionen auf PCs zwei Standards: PGP (Pretty Good Privacy, zu Deutsch etwa “Ziemlich gute Privatsphäre”) und S/MIME ( Secure Multipurpose Internet Mail Extensions ). Bei S/MIME handelt es sich um die “sichere Variante” des Internet-Standards RFC 822, der das Datenformat von Mails definiert. Die MIME schaffen Kompatibilität für zusätzliche Zeichen wie Umlaute bis hin zu Kombinationen verschiedenster Inhalte. Beide Systeme nutzen einen unterschiedlichen Ansatz beim Weg, digitale Signaturen und Verschlüsselung zu garantieren.
Da auf iPad und Co. seit iOS 5 von Apple S/MIME ins Betriebssystem der iOS-Geräte integriert wurde, widmet sich der Workshop dieser Variante. Beide Systeme gelten übrigens als ähnlich sicher. S/MIME basiert auf Zertifikaten (Kasten rechts), die von einer zentralen Stelle ausgegeben werden.
Wer im Web Geldgeschäfte tätigt oder auf entsprechend ausgerüsteten Servern von Behörden sensible Informationen eingibt, dem sind Zertifikate, vielleicht ohne es zu wissen, schon über den Weg gelaufen. Ausgestellt von einer Certification Authority (CA) (Zertifizierungsstelle), stellen sie für den Benutzer des Webservices sicher, dass die besuchte Website auch tatsächlich die ist, die der Benutzer aufrufen wollte.
Certification Authority (CA)
Übersetzt ist das Kürzel CA am besten mit Zertifizierungsstelle. Dabei handelt es sich um eine Organisation, die digitale Zertifikate ausgibt und verwaltet. Ein Zertifikat ist das digitale Gegenstück zu einer beglaubigten Unterschrift. Ein öffentlicher Schlüssel ist dabei einer bestimmten Person oder Organisation zugeordnet. Trustcenter ist eine deutsche CA, sie bietet Firmen und Privatpersonen verschiedene Arten von Zertifikaten.
Bei der ersten Kommunikation überträgt der Server sein Zertifikat mit dem öffentlichen Schlüssel an den Besucher beziehungsweise einen Webbrowser. Dieser prüft, ob er dem empfangenen Zertifikat trauen kann. Dazu schaut er in die Liste seiner Zertifikate, die bereits installiert sind, und versucht, die Signatur des Serverzertifikats mit einem der vorhandenen Zertifikate zu verifizieren. Konnte es verifiziert werden, startet der Server eine verschlüsselte Datenübertragung. Ansonsten wird der Benutzer gefragt, ob er das Zertifikat überprüfen und akzeptieren will.
Zertifikate für sichere Mails
Derselbe Mechanismus lässt sich auch bei E-Mails für die Übermittlung vertraulicher Daten nutzen. Das Zertifikat des Versenders enthält seinen öffentlichen Schlüssel, der Empfänger muss ebenfalls über ein eigenes Zertifikat verfügen, das natürlich auch von einer anderen CA ausgestellt sein kann. Mithilfe seines privaten Schlüssels hat der Versender die Mail “signiert” , der Empfänger kann dank des öffentlichen Schlüssels sicher sein, dass die Mail auch vom genannten Versender kommt.
Der private Schlüssel wird nicht nur zum Signieren einer Mail, sondern optional zu dessen Verschlüsselung genutzt. Auch hier kommt der private Schlüssel des Empfängers im Zusammenspiel mit dem öffentlichen des Versenders beim Entschlüsseln zum Einsatz. Der komplette Vorgang erfordert keine Benutzeraktion. Der Nutzer muss lediglich einmalig ein solches Zertifikat beantragen und installieren, kann dann Mails bei Bedarf signieren und verschlüsseln. Das deutsche Unternehmen Trustcenter und andere Organisationen bieten solche Zertifikate kostenlos an.
Zertifikate beantragen
Einfache Zertifikate für Privatpersonen bestätigen dem Empfänger einer signierten E-Mail lediglich den Absender einer Mail, dazu erlauben sie die Verschlüsselung von Mails. Diese Zertifikate sind häufig kostenlos, gelten für ein Jahr und sind dann neu zu beantragen.
Zertifikate im Geschäftsumfeld
Im Geschäftsumfeld gibt es Zertifikate, bei denen neben der E-Mail-Adresse auch die Person oder das Unternehmen verifiziert wird. Diese Zertifikate werden bei Unternehmen eingesetzt und sind teurer. Dazu müssen Firmen und Organisationen bei der Beantragung Unterlagen beibringen, etwa Handelsregisterauszüge oder Ausweisdokumente.
In diesem Workshop beschäftigen wir uns mit einfachen Zertifikaten, sie bestätigen eine E-Mail-Adresse – bei Trustcenter gibt es ein Zertifikat mit einer Gültigkeitsdauer von einem Jahr kostenlos. Die Beantragung und Ausstellung des Zertifikats dauert nur wenige Minuten.
Zertifikat für das iPad
Zum Beantragen und Laden eines Zertifikats müssen Sie sich per Webbrowser (Safari, Firefox, Internet Explorer) auf Mac oder Windows-PC bei einem der Certification Authorities (CA) anmelden und ein Webformular ausfüllen.
Bei einfachen Zertifikaten ist dann nur noch eine Bestätigungs-E-Mail zu beantworten, und das Zertifikat kann geladen werden. Ist das geschehen, können Sie es mit Ihrem Mac oder PC nutzen, doch das ist nicht Gegenstand dieses Workshops. Wir zeigen, wie Sie das Zertifikat beantragen, laden und für die Nutzung auf iPad, iPhone und iPod Touch unter OS X und Windows exportieren, laden und in Mobile Mail einsetzen.
Zertifikat bei Trustcenter auswählen
Die deutsche CA Trustcenter GmbH bietet Zertifikate für private und geschäftliche Zwecke an. Sie unterscheiden sich im Wesentlichen in der Überprüfung der Daten eines Zertifikatbesitzers, etwa der Firma, Adresse und so weiter. Das Beantragen erfolgt unter OS X oder Windows am PC, wir empfehlen Safari (OS X) beziehungsweise Firefox (Windows).
Für den privaten Gebrauch ist der kostenlose Zertifikatstyp “TC Internet ID” gedacht. Hier findet nur eine Identitätsüberprüfung via E-Mail statt, das Zertifikat ist aber für private Nutzung absolut ausreichend. Wer durch sein Zertifikat weitere Informationen bestätigt sehen will, wählt eines der anderen Typen aus. Wählen Sie ” TC Internet ID ” und dann “Zertifikat beantragen”, um das kostenlose Zertifikat beantragen zu können.
Zertifikat beantragen
Für das einfache Zertifikat benötigt Trustcenter nur wenige Angaben von Ihnen, die Beantragung ist in ein paar Minuten erledigt. Zu den Pflichtangaben gehören Ihre kompletten Adressdaten samt Telefonnummer. Wichtig ist die Angabe der Mail-Adresse. Hier ist natürlich die einzutragen, für die Sie das Zertifikat beantragen wollen. Für weitere Mail-Adressen müssen Sie bei Bedarf zusätzliche Zertifikate anfordern.
Im nächsten Schritt wählen Sie ein “Sperrpasswort”, das Sie später benötigen, soll das Zertifikat nicht genutzt werden. Geben Sie zudem Ihre Handynummer oder E-Mail-Adresse für die Zusendung des Passworts für den späteren Download des Zertifikats an. Daneben ist noch den Allgemeinen Geschäftsbedingungen von Trustcenter zuzustimmen, außerdem der Datenspeicherung. Die Beantragung ist damit schon abgeschlossen.
Zertifikat erzeugen
Bis zum Download des Zertifikats sind es nur noch wenige Schritte. Zunächst müssen Sie auf der Website für Ihr Zertifikat ein Schlüsselpaar erzeugen. Dazu bekommen Sie – je nach Vorgabe aus dem Antrag – das Zugangspasswort zu Ihrer Antragsseite bei Trustcenter per SMS oder Mail. An Ihre E-Mail-Adresse sendet Trustcenter zudem eine Auftragsbestätigung, auf der auch der Link auf Ihre “Antragsstatusseite” zu finden ist. Klicken Sie den Link an, und geben Sie das Passwort zum Zertifikatsantrag ein.
Nach dem erfolgreichen Log-in gilt es zunächst das “Schlüsselpaar” für Ihr Zertifikat zu erzeugen. Belassen Sie die vorgeschlagene “Schlüssellänge” von 2048 Bit. Das Erzeugen geht vollautomatisch, sobald Sie unten im Fenster “Schlüsselerzeugung & Installation” anklicken. Per Website wird der private Schlüssel erzeugt. Er dient später dem Signieren Ihrer Mail und der optionalen Verschlüsselung von Mail und Anhang.
Im letzten Schritt erfolgt unter OS X der Download des Zertifikats auf Ihren Mac. Unter Windows wird er natürlich auch gespeichert. Das weitere Vorgehen zur Nutzung des Zertifikats und zum benötigten Export für die Installation auf iOS-Geräten ist je nach Betriebssystem unterschiedlich.
Zertifikat am Rechner und iPad installieren
Zertifikat für iOS exportieren (OS X)
Nach dem Herunterladen finden Sie das Zertifikat unter OS X im Ordner “Downloads”, es heißt ” SelfService.action.p7s “. Ein Doppelklick auf die Datei öffnet das Programm Schlüsselbundverwaltung (“Programme > Dienstprogramme”) und lädt das Zertifikat automatisch. Sie finden es unter “Meine Zertifikate”, es trägt Ihren Namen. Per Doppelklick auf das Zertifikat bekommen Sie weitere Infos. Am Mac ist es bereits für Mail aktiv.
Um es auf dem iOS-Gerät nutzen zu können, ist es in ein spezielles Format zu exportieren. Dazu klicken Sie das Zertifikat mit der rechten Maustaste an (alternativ Ctrl-Klick) und wählen im Kontextmenü “Exportieren”. Wählen Sie einen Speicherort und einen Namen für das Zertifikat. Nach dem Klick auf “Sichern” erscheint der Kennwortdialog. Vergeben Sie ein sicheres Kennwort für das Zertifikat, und notieren Sie es für später.
Zertifikat für iOS exportieren (Windows)
Auch unter Windows ist das Zertifikat geladen, der Export erfolgt über Firefox. Wählen Sie in Firefox “Einstellungen > Erweitert > Verschlüsselung”, und klicken Sie auf den Reiter “Zertifikate anzeigen” und hier “Ihre Zertifikate”. Unter “TC Trustcenter GmbH” ist das gerade erstellte Zertifikat gespeichert, es lässt sich in Mail-Programmen nutzen. Klappen Sie das Zertifikat, wie im Bild gezeigt, aus, und aktivieren Sie Ihren Namen.
Wählen Sie jetzt den Button “Sichern”, vergeben Sie einen Namen für das Zertifikat, wählen einen Speicherort und unter “Dateityp” die Option “PKCS12-Dateien”. Im nächsten Schritt ist wie unter OS X ein Passwort für die zu exportierende Datei zu vergeben. Wählen Sie ein sicheres Passwort, “Mittlere Sicherheit” (halb gefüllter grüner Balken) sollte erreicht sein. Mit einem Klick auf “OK” wird das Zertifikat exportiert und gespeichert.
Zertifikat am iPad installieren
Apple empfiehlt die Nutzung des iPhone-Konfigurationsprogramms für OS X oder Windows zur Installation von Zertifikaten über Konfigurationsprofile. Wer schon mit den Profilen arbeitet, kann diesen Weg nutzen – es geht aber auch viel einfacher. Am Mac beziehungsweise Windows-PC starten Sie Ihr Mail-Programm und schicken sich selbst eine Mail mit dem exportierten Zertifikat als Anhang. Öffnen Sie Mobile Mail am iPad, und tippen Sie in der Mail den Anhang (Zertifikat) an. Das iPad zeigt an, dass ein unsigniertes Profil installiert werden soll. Zum Signieren geben Sie das beim Export gewählte Passwort an – fertig.
S/MIME mit Mobile Mail nutzen
Im letzten Schritt ist festzulegen, ob Mobile Mail digitale Signaturen und/oder Verschlüsselung auch beim Versenden nutzen soll. Wählen Sie in der Einstellung “Mail, Kontakte, Kalender” die Option “Account”, unter “Erweitert” die Option “Mail”, hier wiederum “Erweitert”, und aktivieren Sie unten im Dialog die Option “S/MIME”. Über “Signieren” respektive “Verschlüsseln” legen Sie die Arbeitsweise von Mobile Mail fest. Wählen Sie “Signieren”, aktivieren Sie die Option, wählen Sie dann das Zertifikat, es trägt Ihren Namen. Ihre Mails sind ab sofort mit digitaler Signatur versehen, Verschlüsselung lässt sich optional einschalten.