Inhaltsverzeichnis
- 1 Wie wende ich die E-Mail-Verschlüsselung mit S/MIME an?
- 2 Was bedeutet "X.509-Zertifikat"?
- 3 Woher bekomme ich ein X.509-Zertifikat?
- 3.1 Was ist eine Certificate Authority (CA)?
- 3.2 Was kostet ein X.509-Zertifikat?
- 3.3 Wo erhalte ich ein X.509-Zertifikat (Class 1)?
- 3.4 Wie lade ich ein X.509-Zertifikat herunter?
- 3.5 Wie installiere ich ein X.509-Zertifikat in TB?
- 3.6 Installation der erforderlichen Ausstellerzertifikate des Trustcenters
- 3.7 Installation des eigenen Zertifikates im Zertifikat-Manager
- 3.8 Einstellen der S/MIME-Sicherheit des E-Mail-Kontos
- 3.9 Installation der Zertifikate der Adressaten
- 3.10 Vertrauen einstellen
- 3.11 Warum werden die importierten Zertifikate nicht angezeigt?
- 3.12 Warum erscheinen fremde Zertifikate (importierte Zertifikate der E-Mail-Partner) im TB nicht unter "Personen"
- 3.13 Kann ich mein vorhandenes Zertifikat auf Chipkarte mit Thunderbird nutzen?
1 Wie wende ich die E-Mail-Verschlüsselung mit S/MIME an?
Die E-Mail-Verschlüsselung mit S/MIME und die elektronische Signatur mit X.509-Zertifikaten sind in Thunderbird integrierte Bestandteile.
1.1 Voraussetzungen
Folgende Voraussetzungen müssen erfüllt sein:
- Der Absender muss im Besitz eines gültigen X.509-Zertifikates sein und dieses auch in Thunderbird installiert haben.
- Für die Empfänger müssen ebenfalls gültige Zertifikate installiert sein.
- Es müssen die Zertifikate der herausgebenden Zertifizierungsstellen installiert sein.
- Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.
1.2 Verfassen und Senden von Nachrichten
Im Verfassen-Fenster kann jetzt über Optionen ➔ Nachricht verschlüsseln bzw. Optionen ➔ Nachricht unterschreiben festgelegt werden, ob die Nachricht verschlüsselt und/oder unterschrieben (signiert) wird. Beide Einstellungen können auch als Voreinstellungen in Extras ➔ Konten-Einstellungen ➔ %Kontenbezeichnung% ➔ S/MIME-Sicherheit gesetzt werden. In der Statusleiste ist am Stift- und am Schlüsselsymbol die aktivierte Sicherheit zu erkennen. Gleiches ist über Ansicht ➔ Nachrichten-Sicherheit möglich.
Selbstverständlich lassen sich alle Sicherheitsfunktionen über die Schaltfläche S/MIME in der Symbolleiste des Verfassen-Fensters einstellen und anzeigen.
1.3 Empfangen von Nachrichten
Beim Empfang von Nachrichten erfolgen die Entschlüsselung mit dem eigenen geheimen Schlüssel und die Überprüfung der elektronischen Signatur. Die vorhandene Verschlüsselung wird mit dem Icon eines Schlüssels, die gültige Signatur mit einem Stift angezeigt. Bei ungültiger Signatur ist dies am veränderten Icon deutlich erkennbar. Durch Klick auf eines der Icons sind Einzelheiten zur Nachrichtensicherheit zu erkennen (u. a. Name des Unterzeichners, Nummer und Gültigkeit des Zertifikates).
Es besteht die Möglichkeit, das beim Entschlüsseln und Signieren benötigte Passwort des geheimen Schlüssels im Passwort-Speicher des Thunderbird zu speichern und mit dem Master-Passwort zu verschlüsseln.
2 Was bedeutet "X.509-Zertifikat"?
2.1 Zertifikat
Ein X.509-Zertifikat ist ein öffentlicher Schlüssel, der von einer certification authority beglaubigt und unterschrieben ist.
Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis.
2.2 X.509
X.509 ist ein Standardformat der ITU-T (International Telecommunication Union-Telecommunication) für Zertifikate. Es beinhaltet den Namen des Ausstellers, üblicherweise eine Certification Authority, Informationen über die Identität des Inhabers sowie die digitale Signatur des Ausstellers und den Gültigkeitszeitraum des Zertifikates. Auf dem X.509-Format basieren z. B. SSL und S/MIME.
X.509-Zertifikate für Einzelpersonen werden in folgenden Klassen herausgegeben:
2.3 Class 0
Class 0-Zertifikate (Demo-Zertifikate) sind für Testzwecke gedacht und mit beschränkter Gültigkeitsdauer.
2.4 Class 1
Class 1-Zertifikate bestätigen, dass die angegebene E-Mail-Adresse existiert und der Besitzer des zugehörigen öffentlichen Schlüssels Zugriff auf diese E-Mail-Adresse hat. Sie stellen damit nur einen sehr geringen Nachweis der Identität dar. Da keine Überprüfung anhand von Unterlagen stattfindet, können Class 1-Zertifikate (Express-Zertifikat) binnen weniger Minuten ausgestellt und an den Kunden ausgeliefert werden.
Sie sind ideal für private Nutzer, die erste Schritte auf dem Weg zur sicheren Internet-Kommunikation gehen wollen und den Umgang mit verschlüsselter E-Mail ausprobieren möchten, und sie werden von einigen Trustcentern kostenlos herausgegeben.
2.5 Class 2
Bei Class 2-Zertifikaten für Unternehmen wird auf eine persönliche Identitätsfeststellung verzichtet. Eine einfache Kopie des Handelsregisterauszuges zur Feststellung der zeichnungsberechtigten Person und ein schriftlicher Auftrag sind ausreichend.
Diese Zertifikate sind hauptsächlich für die gesicherte Kommunikation zwischen einander bereits außerhalb des Internets bekannten Partnern gedacht.
2.6 Class 3
Class 3 beinhaltet neben der E-Mail-Überprüfung eine persönliche Identitätsprüfung der Person. Mit der Ausstellung eines Class 3-Zertifikats bestätigt das Trustcenter, dass diese Person anhand ihres Personalausweises oder Reisepasses identifiziert worden ist und die im Zertifikat enthaltenen Angaben zur Person mit den Angaben im Ausweis übereinstimmen. Diese Zertifikate sind vor allem für Anwendungen im E-Commerce gedacht, wie beispielsweise Internet Banking und Online Shopping. Sie werden aber auch zunehmend für die elektronische Kommunikation mit Behörden eingesetzt (Übermittlung Steuerdaten und zukünftig elektronische Antragstellung).
Weitere Informationen: Bundesnetzagentur: DIR - Qualifizierte elektronische Signatur
3 Woher bekomme ich ein X.509-Zertifikat?
Während die Schlüssel für Open-PGP durch den Anwender selbst produziert werden, werden X.509-Zertifikate durch eine Zertifizierungsstelle (CA, Trustcenter) produziert.
3.1 Was ist eine Certificate Authority (CA)?
Eine Zertifizierungsstelle (engl. Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist gewissermaßen das Cyberspace-Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie diese mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten "Schlüssel" und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung sensitiver oder vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden.
Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Sperrlisten etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.
Weitere Informationen: http://de.wikipedia.org/wiki/Certification_Authority
Zunehmend bieten auch Banken und Sparkassen ihren Kunden qualifizierte Zertifikate auf Chipkarten an. Zertifikate werden durch die CA je nach Anforderung als Hardwaretoken (auf Chipkarte) oder als Softwarezertifikat herausgegeben. Für die außerordentlich hohen Anforderungen der so genannten "qualifizierten Signatur" (Class 3) sind ausschließlich Hardwaretoken und die entsprechenden Kartenleser zugelassen.
Die für private Nutzung meist ausreichenden Class 1-Zertifikate werden dem Antragsteller als Softwaretoken übergeben.
Beispiel für Trustcenter: Certum
Selbstverständlich gibt es auch die Möglichkeit, X.509-Zertifikate speziell für geschlossene Nutzergruppen (Familie, Freunde, Forum, Firmen, etc.) selbst zu produzieren.
Ein ausgezeichnetes Werkzeug dafür ist das als Linux- und auch als Windows-Version erhältliche Freeware-Programm "XCA".
http://xca.sourceforge.net/
Dieses Programm besticht nicht nur durch ein logisches Bedienkonzept, sondern auch durch die Möglichkeit, für alle gängigen Anwendungsfälle Vorlagen zu erstellen. Selbstverständlich ist auch die Erstellung von Sperrlisten möglich und die produzierten Zertifikate lassen sich in allen gängigen Formaten exportieren.
Weitere Informationen dazu im Forum (Suchfunktion, Suchwort: "XCA" oder "Peter_Lehmann")
3.2 Was kostet ein X.509-Zertifikat?
Es heißt, dass Zertifikate eine teuere Angelegenheit und damit nur für Firmen geeignet sind. - Das ist nur teilweise richtig:
Qualifizierte Zertifikate, mit denen Firmen ihre Verträge und Dokumente signieren oder gar eine eigene CA betreiben, können bei einem Trustcenter ohne weiteres einige Hundert Euro pro Jahr kosten.
Andererseits bieten einige Trustcenter das Class 1-Zertifikat als Softwaretoken für den Privatanwender kostenlos an. Allerdings ist ein "Class 1-Zertifikat" bei den meisten vertrauenswürdigen Trustcentern kostenpflichtig und ab ca. 11 € jährlich zu haben.
Eine weitere Quelle für echte qualifizierte Zertifikate auf Chipkarte sind neuerdings Banken und Sparkassen. Die Kosten belaufen sich auf rund 10-20 Euro mit unterschiedlichen Gültigkeiten (ca. 3 Jahre im Durchschnitt). Auch bei einem bekannten Telekommunikationsanbieter sind Chipkarten zu einem ähnlichen Preis zu erhalten.
3.3 Wo erhalte ich ein X.509-Zertifikat (Class 1)?
Beispielsweise (kostenpflichtig) hier:
Certum, GlobalSign, Sectigo, SwissSign
3.4 Wie lade ich ein X.509-Zertifikat herunter?
Die Erklärung erfolgt am Beispiel des TC Trustcenter Hamburg (http://www.trustcenter.de/). Bei anderen Anbietern ist das Verfahren ähnlich.
Das TC TrustCenter hat am 30. Oktober 2014 seinen Dienst eingestellt.
Mit einem Javascript-fähigen Browser (getestet mit Mozilla Firefox und Internet Explorer) gehen Sie zu dieser Adresse.
Der gesamte Vorgang von der Beantragung bis zum Test erfolgt logisch in 3 Schritten und ist sehr gut beschrieben. Sie sollten sich die Zeit nehmen, die Anleitungen zu lesen.
Hier nur einige ergänzende Hinweise:
Folgen Sie zuerst der Aufforderung, sich das Class 1-Zertifikat des Trustcenters herunterzuladen und zu installieren (auch als Datei herunterladen, sie wird später benötigt).
Es werden Name, Vorname, Anschrift und gültige Mailadresse übersandt und gespeichert. Die Speicherung dient dem Zweck der Veröffentlichung der Zertifikate auf dem Schlüsselserver und damit der Suche Ihres Zertifikates durch andere Personen.
Durch Versand einer E-Mail an die angegebene Adresse erfolgt eine Prüfung über deren Gültigkeit. Das Zertifikat ist fest an diese Adresse gebunden!
Das Schlüsselpaar, bestehend aus dem geheimen/privaten und dem öffentlichen Schlüssel, wird im Kryptomodul des eigenen Browsers erzeugt.
Danach wird ein Zertifikatsrequest an den Server des Trustcenters gesandt. Dabei wird der öffentliche Schlüssel zur Signierung und Speicherung an das Trustcenter gesandt. Der geheime Schlüssel verlässt den Browser nicht!
Zum Abschluss wird das eigene, vom Trustcenter signierte Zertifikat im Browser installiert.
Sie sollten jetzt sofort Ihr Zertifikat (und zwar einschließlich des geheimen Schlüssels) aus dem Browser exportieren und auf Diskette oder CD sichern und sicher verwahren! Auch für die Installation des Zertifikates in Mozilla Thunderbird wird diese exportierte Datei benötigt.
Der Export erfolgt wie folgt:
Firefox: Extras ➔ Einstellungen ➔ Erweitert ➔ Verschlüsselung ➔ Zertifikate anzeigen ➔ Ihre Zertifikate ➔ Backup ➔ *.p12
Internet Explorer: Extras ➔ Internetoptionen ➔ Inhalte ➔ Zertifikate ➔ Eigene Zertifikate ➔ Exportieren, einschließlich priv. Schlüssel ➔ als PKCS# 12 (*.pfx), verstärkte Sicherheit
3.5 Wie installiere ich ein X.509-Zertifikat in TB?
Die Erläuterung erfolgt am Beispiel der Thunderbird-Version 1.5 unter dem Betriebssystem Windows XP und Zertifikaten des TC Trustcenter Hamburg.
3.6 Installation der erforderlichen Ausstellerzertifikate des Trustcenters
Während eine Vielzahl von Ausstellerzertifikaten bereits im Zertifikatsspeicher des TB installiert sind, ist das Class 1-Zertifikat des TC Trustcenter nachträglich zu installieren:
Extras ➔ Einstellungen ➔ Erweitert ➔ Zertifikate ➔ Zertifikate ➔ Zertifizierungsstellen
Hier die vorher heruntergeladene Datei "tcclass1-2011.der" (oder .crt) auswählen und in TB importieren. Danach ist diesem importierten Zertifikat durch Bearbeiten der Vertrauensstatus einzustellen. Hier ist zumindest das Vertrauen für die Identifikation von Mail-Benutzern erforderlich.
3.7 Installation des eigenen Zertifikates im Zertifikat-Manager
Dazu ist hier die aus dem Browser exportierte .pfx- oder .p12-Datei mit dem geheimen Schlüssel auszuwählen:
Extras ➔ Einstellungen ➔ Erweitert ➔ Zertifikate ➔ Zertifikate ➔ Ihre Zertifikate ➔ Importieren
Hierbei werden Sie zuerst nach dem Master-Passwort des "Software-Sicherheitsmoduls" und danach nach dem "Transportpasswort" der .pfx- bzw. .p12-Datei gefragt.
Voraussetzung für einen erfolgreichen Import ist das Vorhandensein der Herausgeberzertifikate (unter Zertifizierungsstellen) sowie das ausgesprochene Vertrauen in diese Zertifikate (=➔ Bearbeiten).
Nach dem erfolgreichen Import des eigenen Zertifikates übernimmt das Software-Sicherheitsmodul des Thunderbird durch die Verschlüsselung mit dem Master-Passwort den Schutz des eigenen privaten Schlüssels.
3.8 Einstellen der S/MIME-Sicherheit des E-Mail-Kontos
Jetzt ist die Verknüpfung des Zertifikates mit dem E-Mail-Konto herzustellen. Dazu ist hier das richtige Zertifikat auszuwählen:
Extras ➔ Konten-Einstellungen ➔ %Kontenbezeichnung% ➔ S/MIME-Sicherheit ➔ Digitale Unterschrift
Das Zertifikat ist sowohl für die digitale Unterschrift (Signatur) als auch für die Verschlüsselung auszuwählen. Die standardmäßige Anwendung der digitalen Unterschrift bei allen Nachrichten ist empfohlen, die standardmäßige Anwendung der Verschlüsselung nur dann, wenn von allen Adressaten ein Zertifikat vorhanden ist.
3.9 Installation der Zertifikate der Adressaten
Um Nachrichten an einen Adressaten verschlüsseln zu können, ist die Installation seines Zertifikates erforderlich. Beim Öffnen einer von diesem Adressaten signierten E-Mail erfolgt die Installation automatisch, aber auch hier ist das nachfolgend beschriebene Aussprechen des Vertrauens notwendig.
In der Regel ist das Zertifikat aber vom Server des Trustcenters zu importieren:
Aufsuchen der Zertifikatssuche des Trustcenters: https://www.trustcenter.de/fcgi-bin/Search.cgi?Language=de, nach dem Namen oder der E-Mail-Adresse suchen und das Zertifikat als Datei abspeichern. Diese Datei ist danach in den Zertifikatsspeicher des TB "Zertifikate anderer Personen" zu importieren.
3.10 Vertrauen einstellen
Durch Bearbeiten ist dem importierten Zertifikat das Vertrauen auszusprechen.
3.11 Warum werden die importierten Zertifikate nicht angezeigt?
Wenn ein importiertes Zertifikat nicht angezeigt wird, liegt dies in der Regel an dem nicht importierten Zertifikat des Herausgebers (CA) oder an dem nicht ausgesprochenen Vertrauen in dieses Zertifikat. Bitte beides überprüfen und den Zertifikatsimport wiederholen.
3.12 Warum erscheinen fremde Zertifikate (importierte Zertifikate der E-Mail-Partner) im TB nicht unter "Personen"
Wird das Zertifikat eines E-Mail-Partners importiert, und das Herausgeberzertifikat des ausstellenden Trustcenters befindet sich bereits mit ausgesprochenem Vertrauen (!) im Zertifikat-Manager unter Zertifizierungsstellen, dann resultiert das Vertrauen in dieses Nutzerzertifikat automatisch aus dem Vertrauen in das Herausgeberzertifikat. Es ist also nicht noch einmal das Vertrauen in dieses Nutzerzertifikat auszusprechen!
Der zuerst durchzuführende Import des Herausgeberzertifikates und das Aussprechen des Vertrauens (beides nur erforderlich, wenn nicht bereits bei der Installation schon vorhanden, "Buildin Object Token") ist der Regelweg bei der Installation von Nutzerzertifikaten und dieser entspricht auch dem hierarchischen Prinzip der X.509-Zertifikate.
Es kommt vor, dass ein manuell oder automatisch importiertes Zertifikat eines Adressaten nach dem Einstellen des Vertrauens (!) nicht mehr unter "Personen" eingetragen ist. Dafür finden Sie es im Zertifikatsspeicher unter "Websites". Bitte überprüfen Sie dort noch einmal die Einstellungen des Vertrauens. Das Beschriebene ist ein kleiner, aber funktionell unbedeutender Bug im Thunderbird.
Auf diese Weise kann auch einem Nutzerzertifikat direkt das Vertrauen ausgesprochen werden, ohne dass die Herausgeberzertifikate importiert wurden.
3.13 Kann ich mein vorhandenes Zertifikat auf Chipkarte mit Thunderbird nutzen?
Im Prinzip ja. Wenn Sie die Chipkarten-Software (Middleware oder richtiger CSP - Cryptografic ServiceProvider) für Ihr genutztes Betriebssystem zur Verfügung und auch installiert haben, können Sie diese im TB einbinden.
Dazu gehen Sie nach Extras ➔ Einstellungen ➔ Erweitert ➔ Zertifikate ➔ Kryptographie-Module.
Mit Laden können Sie zusätzlich zum integrierten Software-Kryptographie-Modul ein neues Hardware-Kryptographie-Modul (PKCS#11) einrichten. Das zu lösende Problem wird sein, die richtige Modul-Datei zu finden. Unter Windows ist dies in der Regel eine DLL, welche mit der Chipkarten-Software geliefert wird. Hier ist es möglich, etwas zu experimentieren oder eine Anfrage an den Hersteller zu senden. Auch eine Anfrage im Forum kann nützlich sein.
Graba, Peter_Lehmann, Thunder