Die digitale ID und das Public-Key-Verfahren

Ein Austausch verschlüsselter oder digital signierter Nachrichten ist eigentlich ein einfacher Prozess. Allein der Austausch der Schlüssel stellt in der Praxis eine oftmalige Hürde dar. Der Vorgang in der Praxis.

Ein Zertifikat reicht nicht

Ein immer wiederkehrendes Missverständnis beim Einsatz von digitalen Zertifikaten zur Absicherung des Mailverkehrs beruht auf das Verfahren des Public-/Private Key-Verfahrens (siehe dazu auch den Grundlagenartikel zum Thema Digitale ID). Das eigene Zertifikat ist schnell zu ordern, manchmal sogar kostenlos. Hat sich der sicherheitsbewusste Nutzer von Outlook einmal aufgerafft und ein Zertifikat bestellt, so muss dieses im eigenen Zertifikatsspeicher (auf allen Geräten!) abgelegt werden.

Damit ist man aber keinen Schritt weiter, wenn Mails verschlüsselt versenden wollen. Dazu benötigt man zu allererst den öffentlichen Schlüssel des Empfängers. Im Klartext: um eine E-Mail verschlüsselt versenden zu können, benötigen Sie eigentlich gar kein eigenes Zertifikat – der Empfänger muss über ein es verfügen! Nachdem dieser eines erworben hat, lässt er Ihnen den öffentlichen Teil (Public Key) zukommen. Haben Sie diesen in das Adressbuch bzw. Ihrem Zertifikatsspeicher („Andere Personen“) hinzugefügt, können Sie verschlüsselte Memos an diesen Empfänger versenden.

Der Public-Key

Entscheidend für die eigene ID-Verwaltung sind also immer die öffentlichen Schlüssel der Mailpartner. Und diese können Sie jederzeit in Ihr privates Adressbuch aufnehmen – auch wenn Sie selbst noch über keine eigene private ID verfügen. Das persönliche Zertifikat kommt erst dann ins Spiel, wenn Sie selbst verschlüsselte Nachrichten empfangen (!) wollen.

Der Private Key

Der private Teil der digitalen ID wird nur zum Entschlüsseln benötigt. Aus diesem Grund dürfen Sie diesen auch nie aus der Hand geben und sollten diesen – kennwortgeschützt – an einem sicheren Ort ablegen. Jedes ausgestellte Zertifikat beinhaltet immer beide Varianten: den privaten und den öffentlichen Schlüssel. Ihren öffentlichen Schlüssel können Sie an bewusst ausgewählte Personen oder vertrauenswürdige Verzeichnisse ohne Probleme weitergeben. Den privaten Schlüssel nie!

Der öffentliche Schlüssel des Zertifikats

Der Schlüsseltausch im Detail

Wenn Sie elektronische Nachrichten an eine bestimmte Person verschlüsseln wollen, ist der erste Schritt also, sich deren öffentlichen Schlüssel zu besorgen. Der einfachste Weg besteht darin, sich eine digital signierte (unverschlüsselte) E-Mail senden zu lassen. Dabei wird der uncodierten Nachricht eine Zeichenkette angefügt, die den öffentlichen Schlüssel des Absenders beinhaltet.

Der Schlüsselimport mit Outlook

Outlook: Der Signatur-HinweisNachdem Sie die Nachricht geöffnet haben, weist Outlook auf diese digitale Signatur mit einem Symbol neben der Betreffzeile hin. Vor der eigentlichen Speicherung sollten Sie das Zertifikat des Absenders einer kurzen Kontrolle unterziehen. Schließlich könnte ja jeder eine signierte Nachricht versenden. Apropos Signatur: die Verwendung des Begriffs hat an dieser Stelle nichts mit jenen Zeilen zu tun, die Sie konfiguriert haben, um an jede Outlook-Nachricht angehängt zu werden. Deshalb müsste es eigentlich auch immer digitale Signatur heißen.

Das Zertifikat des Absenders

Das Outlook-Zertifikat: Eigenschaften des öffentlichen SchlüsselsEin Doppelklick auf das Symbol der Signierung öffnet das Eigenschaftsfenster, genannt „Eigenschaften der Nachrichtensicherheit“. Wählen Sie nun die Zeile des Signierers aus. Jetzt können Sie über die einzelnen Schaltflächen die Details zum Zertifikat abrufen. Sollten Sie dann noch unsicher sein, ob die ID auch wirklich von diesem Absender stammen, so ist es Zeit für ein Telefonat.

Adresse mit öffentlichem Schlüssel ablegen

Outlook 2010 stellt bei den Kontakteinträgen jede Menge Zusatzfelder zur Verfügung. Der Eintrag für eine (optionale) digitale ID ist nur ein weiterer. Enthält die aktuell eingegangene E-Mail eine solche, so wird bei Speicherung des Absenders als neuer Kontakt auch dessen öffentlicher Schlüssel mitabgelegt. Die Aktion sollte bekannt sein.

Neuen Outlook-Kontakt mit öffentlichem Schlüssel erstellenEtwas umständlicher wird es, wenn bereits ein Kontakteintrag existiert, der nur mit diesem Public Key zu ergänzen ist.

Export des öffentlichen Schlüssels

Ist im Adressbuch ohnehin nur die Mailadresse des Absenders vorhanden, so ist es wahrscheinlich am einfachsten, den bestehenden Kontakteintrag zu löschen und anschließend den neuen mit seiner Signatur hinzuzufügen. Für den Fall, dass der Adressbucheintrag aber bereits mit einer Menge zusätzlicher Daten (Telefonnummer, Adresse, Bild, Geburtsdaten, etc.) befüllt wurde, bleibt nur der Umweg über den Ex- und Import.

Outlook 2010: Zertifikate importieren und exportierenLassen Sie sich dazu die Details des Zertifikats des Versenders anzeigen und exportieren Sie dieses als Datei in an einen temporären Speicherort. Wechseln Sie nun zum passenden Eintrag im Adressbuch von Outlook. Die Symbolleiste bietet nun eine eigene Schaltfläche (Anzeige, Zertifikate) zur Darstellung vorhandener IDs dieser Person. Jetzt können Sie die zuerst exportierte Datei zu diesem Kontakt hinzufügen, also importieren. fertig.

E-Mails verschlüsselt versenden

Nach dem Import des öffentlichen Schlüssels können Sie nun an diesen Kontakt verschlüsselte Nachrichten senden. Die Betreffzeile Ihrer Mail bleibt unverschlüsselt und für jedermann einsehbar. An dieser Stelle sollte vertraulicher Text (wie „Abfindung Max Mustermann“) vermieden werden. Auch diese Kurzinformation sollte ja vor fremden Augen ausgeblendet sein. Der Inhalt der Mail wird – nach einem Klick auf die passende Schaltfläche in den Optionen der neu erstellten Mail – aber nun codiert versendet werden. Der Empfänger entschlüsselt die Nachricht mit seinem privaten Schlüsselteil des Zertifikats. All dies erfolgt transparent in Outlook, beide Outlook-Anwender müssen keine weiteren Schritte durchführen. Einfach, oder?

Verschlüsseln ohne den Public Key?

Outlook-Zertifikat-Fehler: Kein öffentlicher Schlüssel!Etwas verwirrend in Outlook ist, dass die Schaltfläche zu Verschlüsselung einer Nachricht immer aktiviert werden kann. Auch wenn Sie über gar keinen Public-Key des Empfängers verfügen. Erst wenn Sie die Nachricht versenden, erfolgt der Hinweis, dass hier ein wichtiger Bestandteil der Zertifikatskette fehlt. Abbrechen oder unverschlüsselt versenden sind die beiden offenen Varianten. Hier fehlt der öffentliche Schlüssel des Empfängers im Outlook-Adressbuch.

Fremde Zertifikate

Welche Zertifikate, oder besser öffentliche Schlüssel, sind auf meinem Rechner gespeichert? Um eine Übersicht zu haben, müssen Sie nicht jeden Kontakteintrag in Outlook öffnen. Die Zertifikate speichert nämlich auch Outlook nur im zentralen Zertifikatsspeicher von Windows. Um diesen einzusehen, starten Sie die Managementkonsole von Windows. Also entweder über die Eingabe von „MMC“ (Mangement Console) im Startfeld „Ausführen“ oder über die „Computerverwaltung“ das Add-in „Zertifikate“ aufrufen und in der nachfolgenden Abfrage die Option „Benutzerzertifikate“ wählen.

Outlook-Zertifikate: Verwaltung mit der Management-Konsole (MMC)

In dieser Ansicht können Sie auch Ihre eigenen digitalen IDs abfragen. Wechseln Sie zum Eintrag „Andere Personen“ (siehe Abbildung). Jetzt sehen Sie eine Liste aller gespeicherten IDs von „fremden“ Personen. Mit einem Doppelklick können Sie die Details (z.B. das Ablaufdatum) des Zertifikats darstellen. Diese Stelle ist auch die richtige Wahl, wenn Sie Zertifikate exportieren wollen. Diese CER-Dateien könnten dann auf einem anderen Rechner (über Outlook) importiert oder zur Sicherung des eigenen Datenbestands auf einem externen Datenträger abgelegt werden.

Nachteile der Verschlüsselung

Ja, es gibt auch Nachteile. Privatanwender, die Mails mithilfe eines Webdienstes lesen und versenden, bleiben manchmal außen vor. Noch unterstützt nicht jedes kostenlose Mailangebot die Nutzung von digitalen Zertifikaten. Ein Grund über einen Wechsel nachzudenken.

Aber auch im Firmenumfeld ist Verschlüsselung eine Problematik für sich. Zum einen sollte nicht jeder Anwender „sein“ Zertifikat ordern und nutzen, sondern über eine gesamte PKI-Infrastruktur nachgedacht werden. Darüber hinaus stellen „privat“ verschlüsselte Nachrichten durchaus einen Punkt beim Thema Sicherheit dar – und zwar einen negativen! Eine Verschlüsselung bis zum Arbeitsplatz setzt alle Virenscanner oder sonstige Prüfungsmechanismen außer Kraft. Genau aus diesem Grund ist so manche Firewall oder das AV-Gateway so konfiguriert, nicht prüfbare Nachrichten auch nicht zuzustellen. Unternehmenslösungen sollten am Gateway implementiert werden. Dann kümmert sich eine eigene Appliance um die Ver- und Entschlüsselung, was auch ein zentrales Kosten- und Setup-Management ermöglicht. In diesem Szenario kommt aber auch dem Vertrauen zum Administrator ein höherer Stellenwert zu.

 


Teile diesen Artikel

Das könnte dich auch interessieren …

5 Antworten

  1. esther sagt:

    Danke – ist sehr hilfreich und verständlich!

  2. Rudolf Zlabinger sagt:

    Wenn der Kontakt, dem der öffentliche Schlüssel hinzugefügt werden soll, schon existiert, kann man aus dem geöffneten Signaturmail nach Rechtsklick auf den Eintrag unter „Von:“ und Option „Kontakt hinzufügen“ ganz einfach „Speichern“. Es erscheint dann ein Auswahlmenü in dem man die Option „Aktualisieren“ hat. Dabei wird nicht nur der öffentliche Schlüssel abgespeichert, sondern auch alle zusätzlich Kontaktinformationen des Senders. Ob man damit auch mehrere öffentliche Schlüssel abspeichern kann, muss ich erst testen.

  3. Rudolf Zlabinger sagt:

    Das ist die erste wirklich vollständige und verständliche Beschreibung zum Thema Outlook und Zertifikate die ich gelesen habe

    herzlichen Dank und liebe Grüße aus Wien, Rudolf Zlabinger

  1. 11. April 2014

    […] aber nicht genug. Auch alle Zertifikate dieser Server sind nicht mehr vertrauenswürdig, da der private Teil der ID ja gestohlen worden sein könnte. Genau aber dem vertrauen alle Webbrowser dieser Welt! Webserver, […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*