Zertifikate häufig gestellte Fragen (FAQ)

Was ist Verschlüsselung?

Mit der Methode der Verschlüsselung, auch chiffrieren genannt,  wird ein Text für Außenstehende unleserlich.

Sehr nützlich ist die asymmetrische Verschlüsselung, bei der man zwei Schlüssel verwendet. Schlüssel sind dabei kodierte Zahlen in einer Datei.
Dabei gibt es einen privaten und einen öffentlichen Schlüssel. Der private Schlüssel wird geheim gehalten, der öffentliche Schlüssel bekannt gegeben.

Jeder Partner braucht so ein Schlüsselpärchen.

Wenn ich jemandem eine E-Mail schreibe, benutze ich seinen öffentlichen Schlüssel  zum Verschlüsseln. Wenn der Empfänger die E-Mail lesen möchte, braucht er seinen privaten Schlüssel, den nur er kennt. Man kann einem Empfänger damit geschützte E-Mail schicken, die nur er lesen kann.

Mit diesem Verfahren ist es außerdem möglich,  E-Mail zu unterschreiben. Das nennt man in diesem Kontext auch "eine E-Mail signieren".

Was ist eine Signatur?

Möchten Sie jemandem eine E-Mail schicken, der sich beim Empfang darauf verlassen kann, dass die Mail nicht verfälscht wurde und wirklich von Ihnen kommt?

Das Verfahren der asymmetrischen Verschlüsselung hilft auch hier. Wenn Sie eine E-Mail beim Versenden signieren, wird eine Prüfsumme der E-Mail mit Ihrem privaten Schlüssel kodiert. Der Empfänger errechnet dann die Prüfsumme der erhaltenen E-Mail. Wenn der mitgeschickte Kode, per  öffentlichen Schlüssel dekodiert, der Prüfsumme gleicht, ist die E-Mail unverfälscht angekommen.

Was ist ein Zertifikat?

In einem (digitalen) Zertifikat wird ein öffentlicher Schlüssel mit den Daten einer Person oder eines Servers verbunden. Wie ein Ausweis enthält ein Zertifikat auch Angaben darüber, wer es ausgestellt hat, wofür es verwendet werden kann und wie lange es gültig ist. Es wird vom Herausgeber digital unterschrieben. Zertifikate in diesem Sinn sind maschinenlesbar und in ihrem Aufbau normiert (X.509). E-Mail-Zertifikate im engeren Sinn verbinden eine E-Mail-Adresse mit einer natürlichen oder juristischen Person.

Wer gehört zu einem Zertifikat?

Im Internet hat man oft mit Menschen zu tun, denen man noch nie begegnet ist. Die Identität einer Person, die Ihnen zum ersten Mal schreibt, ist ohne weitere Verfahren zunächst einmal unbestimmt. Die Identität ist nur gesichert, wenn die E-Mail mit einem Zertifikat unterschrieben wurde, und das Zertifikat von einer Zertifizierungsstelle Ihres Vertrauens herausgegeben wurde.

Was ist eine Zertifizierungsstelle?

Eine Zertifizierungsstelle (Englisch Certificate Authority, CA) bestätigt die Echtheit von Zertifikaten. Sie speichert dazu Daten ihrer Benutzer und bestätigt die Verbindung der realen Personen mit den öffentlichen Schlüsseln.
Sie können sicher sein, dass eine unterschriebene E-Mail von der angegebenen Person kommt - sofern Sie der Stelle trauen, die das Zertifikat ausgestellt hat!

Wie sicher ist ein Zertifikat?

Der kryptografische Kern der Verschlüsselung ist nach bestem Wissen sicher. Es braucht eine erhebliche Zeit, RSA-Schlüssel mit einer Länge von 1024 Bit zu knacken! Unter normalen Umständen können Sie ein E-Mail-Zertifikat während der Lebensdauer von drei Jahren sicher für Unterschrift und Verschlüsselung verwenden. Und in 50 Jahren .. ist alles vorbei.
Handschriftliche Unterschriften oder FAXe sind viel leichter zu fälschen als signierte E-Mails.
Sie sollten allerdings bedenken, dass es absolute Sicherheit nicht gibt. Der wahrscheinlichste Angriff auf Ihren privaten Schlüssel geht über die Datei, die Ihr Browser auf dem PC oder Ihrem Heimatverzeichnis ablegt, oder das Abhören Ihrer Benutzung der Schlüsseldatei. Sie sollten Ihr Zertifikat also nur auf einem geschützten Rechner verwenden.
Vertraulich verschlossen ist eine verschlüsselte E-Mail nur solange, bis sie der Empfänger entschlüsselt hat.

Wie überprüfe ich die Echtheit eines Zertifikats?

Mailprogramme zeigen den Zertifikatsinhalt im Verwendungskontext an. So kann man bei Thunderbird das Symbol der Unterschrift einer unterschriebenen E-Mail anklicken. Ein wichtiges Kriterium sind die elektronischen Fingerabdrücke bzw. SHA2-, SHA1- oder MD5-Prüfsummen. Zertifizierungsstellen veröffentlichen die Prüfsummen ihrer Zertifikate in Druckschriften und auf Webseiten. Wenn Sie ein Zertifikat mit der gleichen, veröffentlichten Prüfsumme auf anderem Weg erhalten haben, dann ist das Zertifikat echt.

Brauche ich ein eigenes Zertifikat, um E-Mail zu unterschreiben?

Ja, nur wer ein gültiges Zertifikat besitzt, kann eine E-Mail unterschreiben. Das Zertifikat bestätigt, dass Sie mit ihrer E-Mail-Adresse im Besitz des Schlüsselpaares sind, mit dem die E-Mail unterschrieben wurde.

Kann jedermann eine unterschriebene E-Mail lesen?

Ja, die Unterschrift wird durch einen Mailanhang realisiert, den einfache Programme nicht auswerten können und ignorieren.

Nur eine zusätzlich verschlüsselte E-Mail kann nur noch von Absender und Empfänger im Klartext gelesen werden.

Wie verschicke ich vertrauliche E-Mails?

Ihr Kommunikationspartner braucht dazu ein eigenes Zertifikat. Dabei ist es egal, welche Stelle dieses Zertifikat ausgestellt hat. Sie müssen sich dieses Zertifikat besorgen, z.B. indem der Partner Ihnen eine unterschriebene E-Mail schickt, und das Zertifikat in ihren Zertifikatsspeicher laden.  Beim Empfang einer signierten E-Mail geschieht das automatisch. Vertraulichkeit wird dadurch erreicht, dass die E-Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wird, zu dem nur der Empfänger das private Gegenstück kennt.

Viele Programme verlangen, dass Sie selber auch ein Zertifikat besitzen, wenn Sie vertrauliche E-Mails verschicken wollen. Der Grund: Für den Empfänger wird die E-Mail so verschlüsselt, dass selbst Sie als Absender die Mail nicht mehr lesen können. Wenn Sie später noch einmal auf die vertrauliche eigene Mail zugreifen wollten, z.B. im Sent-Ordner, könnten Sie damit nichts anfangen. Thunderbird verschlüsselt die vertrauliche Mail deshalb mit Ihrem eigenen Zertifikat, damit sie nicht als Klartext im Sent-Ordner herumliegt!

Woher bekomme ich das Zertifikat eines Kommunikationspartners?

Am einfachsten ist es, wenn der Partner ihnen eine digital signierte E-Mail schickt. An diese E-Mail ist sein Zertifikat angehängt. Dieses wird in Thunderbird und anderen Mail-Programmen automatisch in Ihrem Zertifikatsspeicher seiner E-Adresse zugeordnet und abgelegt.

Ansonsten können sie auf den Webseiten seiner Institution nachsehen, ob die Einrichtung Zertifikate ihrer Mitarbeiter veröffentlicht.

Was bietet die HZB CA?

Die Zertifizierungsstelle der IT-Abteilung erteilt Mitarbeitern auf Antrag ein Zertifikat.
Wer mit HZB-Mitarbeiterrn vertraulich kommunizieren will, kann über Webseiten der DFN-PCA die Zertifikate von HZB-Mitarbeitern suchen und laden.
Im Intranet, aber auch bei der Kommuniktion mit Außenstehenden, ist damit authentische und vertrauliche E-Mail möglich.

Die HZB CA zertifiziert außerdem Server in allen Domänen, die im Besitz des HZB sind.

Wie nutzen Kommunikationspartner die Zertifikate der HZB CA?

Wer eine mit einem Zertifikat der HZB CA unterschriebene E-Mail bekommt, braucht selbst kein Zertifikat zu besitzen.
Kennt sein Mailprogramm die HZB CA noch nicht kennt, wird die E-Mail wahrscheinlich mit dem Zusatz dargestellt, dass sie zwar unterschrieben wurde, aber die Echtheit der Unterschrift nicht geprüft werden konnte.

Für diese Überprüfung braucht das E-Mailprogramm die Kette des Vertrauens, die mit dem Wurzelzertifikat der Telekom beginnt und über die HZB CA das Zertifikat des HZB-Mitarbeiters bestätigt.

Wie bekomme ich ein eigenes Zertifikat?

Als Besitzer einer HZB-Kennung können Sie ein persönliches Zertifikat zu Ihrer E-Mail Adresse  beim Teilnehmerservice der HZB CA beantragen.

Per Webanwendung (alt Generation 1) stellen Sie zunächst einen Antrag, drucken  das Antragsfomular aus und unterschreiben es. Diesen Originalantrag auf Papier geben Sie bei einem Mitarbeiter der HZB CA ab und weisen sich mit einem gültigen Personalausweis oder Pass aus.

Ansprechpartner des Teilnehmerservice der HZB CA sind

  • Dirk Fromme, Raum 13.10 - 0127, Tel. 12909
  • Michael Fromme, Raum DV 342, Tel. 42587
  • Sven Klutentreter, Raum DV 322, Tel. 42582
  • Sebastian Vogt, Raum 13.10 - 0126 / DV 302, Tel. 13146

Das Zertifikat wird dann per E-Mail zugestellt. In der E-Mail finden Sie einen Link zum Laden der Zertifizierungsstellen der "Kette des Vertrauens" sowie einen Link zum Laden Ihres persönlichen Zertifikats in Ihren Browser.

Um das persönliche Zertifikat auch in Ihrem Mailprogramm oder auf einem anderen Rechner zur Verfügung zu haben, exportieren Sie es als Backup-Datei aus dem Browser.

Firefox: Extras/Bearbeiten -> Erweitert -> auf der Karte: Verschlüsselung -> Zertifikate anzeigen -> auf der Karte Ihre Zertifikate -> Backup von allen.

Die Datei wird mit einem Transport-Passwort kodiert,  andere könnten sie sonst missbrauchen.
Die Backup-Datei importieren Sie dann im Mailprogramm.

Thunderbird: Extras/Bearbeiten -> Erweitert -> auf der Karte Zertifikate -> Zertifikate -> auf der Karte Ihre Zertifikate -> Importieren

Gibt es Einschränkungen bei Namen?

Damit Sie Ihr Zertifikat auch verwenden können, gibt es Einschränkungen für Namenseinträge

  • erlaubt sind die Zeichen a-z A-Z 0-9 ' () +,-./:=? Leerzeichen
  • Umlaute und ß werden ersetzt, z.B. Ä -> Ae, ö -> oe, ß -> ss
  • Akzente werden weggelassen

Namen werden so wie im Personaldokument geschrieben übernommen, im Allgemeinen Rufname und Familiename. Titel können nur so wie sie im amtlichen Ausweispapier mit Lichtbild enthalten sind aufgenommen werden, z.B.  Erika Musterfrau, Dr.

Wozu ein Masterpasswort?

Der Browser schützt Ihre privaten Schlüssel mit einem Masterpasswort. Dieses Passwort kann auch ein Satz sein, den Sie sich leicht merken können. Sie müssen ihn immer dann erinnern, wenn Sie Ihr Zertifikat benutzen. Wer das Masterpasswort kennt, kann Ihr Zertifikat z.B. für Unterschriften benutzen!

Was tun, wenn mein Zertifikat abläuft?

Im letzten Monat der Gültigkeit Ihres Zertifikats können Sie ein neues Zertifikat für die Folgezeit beantragen. Das Vorgehen ist wie beim ersten Antrag.
Verschiedene Zertifikate haben übrigens verschiedene kryptografische Schlüsselpaare. Ein altes Zertifikat wird also nicht "erneuert"!
Sie sollten Ihr altes Zertifikat samt privatem Schlüssel nicht löschen, denn Sie brauchen es noch, um alte an Sie gerichtete und verschlüsselte E-Mails zu lesen.

HZB CA in der DFN PKI

Die HZB CA ist eine sogenannte "gehostete CA" in der DFN PKI. Der Teilnehmerservice der HZB CA prüft und bestätigt Anträge. Danach erstellt die "DFN CERT Services GmbH" die Zertifikate unter Verwendung spezieller Hard- und Software, und schickt die Zertifikate den Antragstellern.
Die Bearbeitungszeit ist kurz, in der Regel bekommt ein Nutzer sein Zertifikat am selben Arbeitstag.

Seit März 2007 vergeben wir Zertifikate nach der "Policy Global". Nach diesen grundsätzlichen Regeln sind Nutzerzertifikate 36 und Serverzertifikate 39 Monate gültig.
Der Kreis der Antragsberechtigten (Mitarbeiter des HZB) und die Identifikation durch Personalausweis/Pass blieben gleich.
Zertifikate - auch Folgezertifikate - müssen schriftlich beantragt werden.