Signatur und Verschlüsselung von E-Mail

 
 

Warum signieren und verschlüsseln?

Eine unverschlüsselte E-Mail ist vergleichbar mit einer Postkarte. Genauso wie eine Postkarte durch die Hände mehrerer Postangestellten geht, ist auch eine E-Mail den Betreibern von E-Mailservern zugänglich und kann, Böswilligkeit vorausgesetzt, gelesen oder sogar manipuliert werden.

Die Verwendung einer elektronischen Unterschrift mit Hilfe eines persönlichen digitalen Zertifikats stellt sicher, dass die E-Mail auch tatsächlich vom angegebenen Absender stammt und auf dem Weg zum Empfänger nicht manipuliert wurde.

Wer selber ein Zertifikat besitzt, kann nur dann eine E-Mail an einen Adressaten verschlüsseln, wenn dieser auch ein Zertifikat besitzt. Diese E-Mail können dann nur Absender und Empfänger entschlüsseln. Zum dazu einmalig notwendigen Schlüsselaustausch reicht eine digital unterschriebene E-Mail des Adressaten an den Versender. Er gelangt so in den Besitz des öffentlichen Schlüssels des Adressaten, mit dem der Versender die folgende E-Mail dann verschlüsseln kann. Man kann gleichzeitig verschlüsseln und unterschreiben.

 

Wie bekomme ich ein solches Zertifikat

Als Inhaber einer IT-Kennung am HZB können Sie ein persönliches Zertifikat zu Ihrer HZB E-Mail Adresse  bei der HZB-Registrierungsstelle beantragen.
Sie erstellen einen Zertifikatsantrag, schauen mit dem ausgedruckten Antrag bei einem Miitarbeiter der Registrierungsstelle vorbei und weisen sich aus. Der Antrag wird registriert, und Sie bekommen das Zertifikat per E-Mail zugestellt. In der E-Mail finden Sie einen Link zum Laden der Zertifizierungsstellen der "Kette des Vertrauens" sowie einen Link zum Laden Ihres persönlichen Zertifikats in Ihren Browser.

Um das persönliche Zertifikat auch in Ihrem Mailprogramm oder auf einem anderen Rechner zur Verfügung zu haben, müssen Sie es als Backup aus dem Browser exportieren.

In Firefox: Extras/Bearbeiten -> Erweitert -> auf der Karte: Verschlüsselung -> Zertifikate anzeigen -> auf der Karte Ihre Zertifikate -> Backup von allen). Diese Datei können Sie dann im Mailprogramm importieren

In Thunderbird: Extras/Bearbeiten -> Erweitert -> auf der Karte Zertifikate -> Zertifikate -> auf der Karte Ihre Zertifikate -> Importieren.

Näheres zur HZB CA in der DFN PKI bietet die Übersicht und die FAQ-Liste.

Die Kette des Vertrauens laden

Die  Kette des Vetrauens (4 Zertifikate) können Sie über die folgenden vier Links nacheinander laden. Wählen Sie bitte alle vier

  1.  Zertifikat der Telekom-Root-CA
  2.  DFN-PCA-Zertifikat
  3.  Zertifikat der HMI CA
  4. Zertifikat der HZB CA

(Das Zertifikat der HMI CA dient den alten HMI-Servern und wird in Zukunft überflüssig)

Zum Prüfen auf Funktion und Gültigkeit verwenden Sie bitte diesen Link

für die HMI-CA https://pki.pca.dfn.de/hmi-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=0

für die HZB-CA   https://pki.pca.dfn.de/hzb-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=0

Die Seite muss ohne Zertifikatsnachfrage oder andere Fehler geladen werden. Zur weiteren Prüfung klicken Sie bitte nacheinander die drei Felder Wurzelzertifikat, DFN-CA Zertifikat, HMI CA in DFN-PKI Zertifikat und das  HZB CA Zertifikat an. Alle Zertifikate müssen als vorhanden erkannt werden.

Bei Mozilla importieren Sie die Zertifikate durch Anklicken von Links. Im Import-Fenster gehören dann Häkchen vor alle drei Punkte Dieser CA vertrauen .... Mit  Ansehen können Sie die Prüfsumme eines Zertifikats überprüfen.

Bei reinen E-Mailprogrammen lädt man Zertifikate aus Dateien. Man speichert die Zertifikate vorher mit einem Browser der Wahl. Danach importiert man die Dateien in der Reihenfolge DFN-CA, HMI CA bzw. HZB CA. In Thunderbird: Menü Extras / Einstellungen / Erweitert / Zertifikate, dann mit Zertifikate... den Reiter Zertifizierungsstellen auswählen, danach Importieren wählen.

Verwendung des persönlichen Zertifikats

In den  Konto-Einstellungen Ihres Mailprogramms wählen Sie das zu verwendende Zertifikat aus (Thunderbird: Extras/Bearbeiten -> Konten -> S/MIME-Sicherheit). Wählen Sie hier das Zertifikat aus für digitale Signatur und zum Entschlüsseln für Sie verschlüsselter Nachrichten.

Beim Verfassen einer Nachricht finden Sie im Menu Einstellungen unter S/MIME-Sicherheit die Auswahlmöglichkeit, die Nachricht zu unterschreiben oder zu verschlüsseln.

Schicken Sie Ihren Mailpartnern eine digital signierte Nachricht, um ihnen Ihren öffentlichen Schlüssel mitzuteilen, so dass diese damit für Sie Nachrichten verschlüsseln bzw. Ihre digitale Unterschrift prüfen können.