E-Mail und digitale Signatur

Wenn eine ausgewiesene Person mehrere Profile hat (etwa Bedienstete und Studierende), dann kann sie derzeit nur für die Bediensteten-E-Mail-Adresse ein Zertifikat bestellen. Weiters dürfen wir nur Zertifikate für Adressen ausstellen, für die wir zentral die Zuordnung Person ⇔ E-Mail-Adresse garantieren können, das sind alle Adressen auf den zentralen E-Mail-Servern des ZID.
Diese Zertifikate sind personenbezogen, d. h. über das genannte Interface kann man daher keine Zertifikate für funktionsbezogene E-Mail-Adressen (z. B. postmaster, office, …) beziehen, sollten solche benötigt werden, stellen Sie bitte einen entsprechenden Antrag.

Sollten Sie für eine andere Adresse (z. B. Ihre Adresse am Instituts-E-Mail-Server) ein S/MIME-Zertifikat benötigen, dann müssen Sie sich an einen der vielen Anbieter wenden, einige wenige bieten das auch noch immer gratis an, z. B. Actalis S.p.A. (Gültigkeit: 1 Jahr) oder auch WISeID (Gültigkeit: 3 Monate).

Wie oben erwähnt gibt es 2 Möglichkeiten der Verwendung: die digitale Unterschrift und die Verschlüsselung.

Für die digitale Unterschrift braucht der Absender A nur sein Schlüsselpaar: von der Nachricht, die er versenden möchte, wird ein Hash (eine Art Fingerabdruck) erzeugt und dieser mit dem privaten Schlüssel des Absenders verschlüsselt und dann zusammen mit dem öffentlichen Schlüssel des Absenders A an die Nachricht angehängt.
Der Empfänger B kann dann verifizieren, ob die E-Mail tatsächlich vom Absender A stammt (entweder, weil auch er dem Zertifikatsanbieter oder über das WoT dieser Unterschrift vertraut).
Weiters kann B überprüfen, ob die Nachricht unverändert ist, indem auch er den Hash-Wert erzeugt und mit dem mitgesandten Hash-Wert, den er mit dem öffentlichen Schlüssel des Absenders A entschlüsselt, vergleicht (das macht das E-Mail-Programm automatisch und zeigt das Ergebnis an).

Um Nachrichten verschlüsseln zu können braucht man den öffentlichen Schlüssel des Empfangers.
Im obigen Beispiel hat B den öffentlichen Schlüssel von A ja bereits in der letzten E-Mail von A erhalten. B kann nun die gesamte Nachricht mit dem öffentlichen Schlüssel von A verschlüsseln und mit seinem eigenen privaten Schlüssel signieren (auch das geschieht bei entsprechender Einstellung durch das E-Mail-Programm völlig automatisch).
A kann dann die Nachricht von B mit seinem eigenen privaten Schlüssel entschlüsseln und verfügt nun ebenfalls über den öffentlichen Schlüssel von B, ab sofort können sie somit (völlig automatisch) verschlüsselt kommunizieren.
Wenn schon die erste E-Mail verschlüsselt werden muss, muss man zuerst irgendwie zum öffentlichen Schlüssel des jeweils anderen kommen - das funktioniert entweder durch eine PKI (bei PGP z. B. durch sogenannte Public Key Server) oder einfacher, indem diese Schlüssel z. B. auf der Homepage hinterlegt werden (für PGP am besten im ASCII-Format, für S/MIME im DER- oder PEM-Format) - Beispiel: PGP und S/MIME. In diesem Fall muss der Schlüssel händisch importiert werden, insofern ist es einfacher, wenn A B einfach um eine signierte E-Mail bittet.

Moderne E-Mail-Clients signieren und ver- bzw. entschlüsseln nach Installation der eigenen Zertifikate und Aktivierung der Funktion ganz automatisch ohne weiteres Zutun des Absenders und des Empfängers und zeigen nur das Ergebnis (gültig oder nicht gültig) an. D. h. nach einem relativ kleinen Konfigurationsaufwand läuft das Senden und Empfangen ab wie gewohnt, nur bekommt man auch bei jeder E-Mail dann angezeigt, ob alles in Ordnung ist und bei verschlüsselten E-Mails kann man sicher sein, dass diese von sonst niemand gelesen werden kann, verschlüsselte E-Mails an die eigene Adresse können also auch z. B. von den Administratoren nicht gelesen werden, verliert man aber das Zertifikat (Rechnertausch!) oder vergisst man das zugehörige Kennwort, dann kann man diese Informationen auch selbst nicht mehr lesen.

Damit Thunderbird diese Unterschriften automatisch verifizieren kann, müssen Sie in der Zertifikatsverwaltung eventuell erst bestätigen, dass Sie diese GÉANT-Zertifikate für E-Mail-Signatur akzeptieren.

• Falls Sie selbst ein Zertifikat wie oben beantragt haben, dann sind auch die anderen notwendigen Zertifikate bereits in Ihrem Zertifikatsstore, Sie müssen die Zertifikate nun eventuell aber noch explizit akzeptieren.
• Falls Sie selbst kein Zertifikat von GÉANT verwenden, die der anderen Benutzer aber akzeptieren wollen, müssen Sie die GÉANT-Zertifikatshierarchie erst installieren. Laden Sie dazu auch die entsprechenden Intermediate-Zertifikate herunter (z. B. „C=NL, O=GEANT Vereniging, CN=GEANT Personal CA 4“ → unter „crt.sh ID“ steht die ID „2475255043“ → „Download Certificate: PEM“), wechseln in Thunderbird z. B. über die Kontoverwaltung in den Bereich S/MIME-Sicherheit und wählen „Zertifikate verwalten …“. Sie importieren dort das heruntergeladene Zertifikat, das Sie nun noch für E-Mails akzeptieren müssen.

Um die Zertifikate für E-Mail zu akzeptieren wechseln Sie in der Zertifikatsverwaltung in den Reiter „Zertifizierungsstellen“ und über „The USERTRUST Network“ wählen Sie das „GÉANT Personal CA“. Über „Vertrauen bearbeiten…“ bestätigen Sie dann, dass Sie diese Zertifikate für E-Mails akzeptieren.

Ihr E-Mail-Client sollte Ihnen dann anzeigen, ob eine E-Mail verschlüsselt oder nur signiert ist und ob die Signatur stimmt.
Wenn eine Signatur als ungültig angezeigt wird, kann das mehrere Ursachen haben, Details dazu erfahren Sie, wenn Sie das entsprechende Symbol anklicken.
Mögliche Gründe können z. B. sein:

• ein abgelaufenes Zertifikat,
• ein Zertifikat, das nicht zum Absender passt,
• ein Zertifikat, das Ihr E-Mail-Programm nicht kennt oder dem Sie (bzw. Ihr E-Mail-Client) nicht vertrauen, oder aber
• wenn die E-Mail nach dem Absenden verändert wurde.