Toolmaker Produkt-Dokumentation
E-Mail Verschlüsselung und digitale Signaturen
Inhaltsübersicht
Nachfolgend eine Beschreibung der Verschlüsselung sowie der Verwendung der digitalen Signaturen.
Verschlüsselung
directmail ist in der Lage, E-Mails verschlüsselt im S/MIME Format mit 128 bit-Verschlüsselung und Zertifikat zu versenden.
Alternativ steht auch die Verschlüsselung von versandten PDF-Dateien mit bis zu 128 bit Verschlüsselung ohne Zertifizierung zur Verfügung.
Grundsätzliches
S/Mime bedeutet Secure Multimedia Internet Mail Extensions; und stellt eine Erweiterung des MIME Standards für sicheren E-Mail Transport dar.
S/Mime nutzt das sogenannte Public/Private-Key-Verfahren. Dieses Konzept beseitigt einige grundsätzliche Schwachstellen im Verlauf der Übertragung (insbesondere reicht es nicht, einen Schlüssel abzufangen, der im Vorfeld einer Nachrichtenübermittlung versandt wird). Um diese Verschlüsselungsverfahren korrekt anwenden zu können, ist es wichtig, dass dessen Grundzüge und die Vorgehensweise bekannt sind
S/MIME unterstützt sowohl die Signatur von E-Mail als auch deren Verschlüsselung.
Eine Signatur garantiert dem Empfänger, dass die E-Mail unverändert über das Internet verschickt wurde. Eine signierte E-Mail ist nicht verschlüsselt und könnte deshalb von unbefugten gelesen werden. Signiert wird immer mit dem privaten Schlüssel des Absenders. Da einer signierten E-Mail immer der öffentliche Schlüssel des Absenders angehängt wird, kann die Signatur durch den Empfänger anhand des angehängten öffentlichen Schlüssels des Absender geprüft werden.
Bei der Verschlüsselung wird garantiert, dass die E-Mail nicht von dritten gelesen werden kann. Verschlüsselt wird immer mit dem öffentlichen Schlüssel des Empfängers. Dieser kann die Nachricht dann mit seinem Privaten Schlüssel wieder entschlüsseln.
Hinweis:
directmail speichert sämtliche E-Mails unverschlüsselt. Es wird davon ausgegangen, dass die Sicherheitseinstellungen Ihres Systems ausreichend sind, um diese Mails vor unbefugtem Zugriff zu schützen.
Öffentliche und private Schlüssel werden in sog. Zertifikaten gespeichert. Solche Zertifikate enthalten neben den Schlüsseln auch weitere Informationen wie z.B. E-Mail Adresse des Inhabers, Gültigkeitsperiode, Hashcodes etc. Um sicher zu stellen, dass ein Zertifikat Gültigkeit hat, wird dieses in der Regel von einem CA (Certificate Authority) signiert.
Zertifikate können entweder nur den öffentlichen Schlüssel des Inhabers enthalten (öffentliches Zertifikat) aber auch zusätzlich den privaten Schlüssel (privates Zertifikat). Enthält ein Zertifikat den privaten Schlüssel, so muss es durch ein Kennwort gegen unbefugtem Zugriff geschützt werden. Nur der Inhaber des Zertifikates sollte Zugriff zu seinem privaten Schlüssel besitzen.
Private Schlüssel werden verwendet für:
Signierung von E-Mails für den Versand (Mit Schlüssel des Absenders)
Entschlüsselung von E-Mails beim Empfang (Mit Schlüssel des Empfängers)
Öffentliche Schlüssel werden verwendet für:
Verschlüsselung beim Versand (mit Schlüssel des Empfängers)
Prüfung einer Signatur bei Empfang (mit Schlüssel des Absenders)
Jeder signierten E-Mail wird der öffentliche Schlüssel des Absenders angehängt (Dies kann gleichzeitig zum Austausch einen öffentlichen Schlüssels dienen)
Hinweis:
Ein privater Schlüssel sollte niemals einer anderen Person als dem Inhaber zugänglich sein. Achten Sie deshalb auf „sichere" Kennwörter.
Einschränkungen:
directmail ist z.Zt. noch nicht in der Lage E-Mails zu entschlüsseln
directmail ist z.Zt. noch nicht in der Lage Signaturen zu prüfen
Öffentliche Schlüssel einer signierten E-Mail können bei empfangenen E-Mail nur dann in directmail (als Attachment) importiert werden, wenn es sich um eine „detached signature" handelt.
Allgemeine Hinweise zu S/Mime
Sie können mit diesem Verfahren Nachrichten verschlüsseln und signieren, also garantieren, dass die Nachricht auch von dem angegebenen Absender stammt (eine Art elektronisches Siegel).
Sie haben zwei Schlüssel, einen privaten und einen öffentlichen.
Der private Schlüssel muss unbedingt geheim gehalten werden. Er besteht aus einer Datei, die Sie nicht aus den Händen geben sollten und ist zusätzlich durch ein Paßwort geschützt (wählen Sie hier unbedingt ein sicheres aus!).
Der öffentliche Schlüssel, ebenfalls eine Datei, kann unbesorgt verbreitet werden. Sie müssen aber, wenn Sie den öffentlichen Schlüssel eines Kommunikationspartners erhalten, unbedingt sicherstellen, dass der Schlüssel auch wirklich von ihm ist. Das geschieht entweder physisch (er hat Ihnen die Diskette mit dem Schlüssel persönlich übergeben) oder durch telefonischen Vergleich des sog. Fingerprints. Die praktischste Möglichkeit ist es aber, eine dritte Instanz (Certificate Authority, CA) zu ermächtigen, die Prüfung zu übernehmen. Dann muß man nur noch einmal diese CA anerkennen und alles läuft, wenn die Schlüssel aller Kommunikationspartner von der CA signiert wurden. An der Uni übernimmt das Rechenzentrum die Rolle der CA. Dies wird aber im allgemeinen nur von Nutzern des Uni-Netzes akzeptiert werden.
Sie verschlüsseln und / oder signieren mit Ihrem privaten Schlüssel und dem öffentlichen Schlüssel des Empfängers. Der wiederum entschlüsselt bzw. bestätigt die Herkunft der Mail mit seinem privaten und Ihrem öffentlichen Schlüssel. Deshalb heißt dieses Prinzip auch aysmetrische Verschlüsselung.
Die strenge Hierarchie von X.509 Zertifikaten ist das Grundgerüst des S/MIME Konzepts. X.509 Zertifikate werden bei SSL, S/MIME und IPSec eingesetzt.
An höchster Stelle befindet sich die Haupt–Zertifizierungsinstanz, die Certificate Authority. Sie stellt die höchste Stelle der PKI (Public Key Infrastructure) dar. Digitale Zertifikate X.509 oder die Digitale Signatur X.509 garantieren, dass ein öffentlicher Schlüssel eindeutig einem bestimmten Benutzer zugewiesen werden kann.
Eine Certification Authority (CA) ist eine „Trusted Third Party" (vertrauenswürdige Einheit), die Digitale Zertifikate herausgibt und verwaltet. Diese CA garantiert, dass ein öffentlicher Schlüssel einem einzigen, identifizierten Benutzer gehört. Die Herausgabe der Zertifikate kann offline und online geschehen. Online bietet z.B. das TC TrustCenter ein sogenanntes Class 1 Zertifikat an, dass kostenlos eine „einfache Sicherheitsstufe" darstellt. Bei der Beantragung eines Class 1 oder Express-Zertifikates36 wird lediglich die Richtigkeit der angegebenen E-Mail-Adresse überprüft. Bei TC TrustCenter Class 1 Zertifikaten werden äußerst geringe Anforderungen an den Nachweis der Identität gestellt. Vornehmlich dient es hier zum Ausprobieren von verschlüsseltem Mailverkehr mit Hilfe von X.509 Zertifikaten. Offline müssen Benutzer physisch bei der CA anwesend sein. Hier sei z.B. das Trustcenter Verisign37 mit seinem Class 3 Zertifikat genannt. Wenn ein solches Center bestimmte Anforderungen erfüllt, sind die mit den Zertifikaten erstellten Unterschriften nach deutschem Gesetz rechtsgültig. TeleSec (Telekom) und Signtrust (Deutsche Post) sind zwei weitere Anbieter der sogenannten „qualifizierenden Signatur", für die eine Sicherheitsvermutung nach dem im März 2001 überarbeiteten Signaturgesetz gilt. Solange einer höheren Instanz vertraut wird, sind automatisch alle davon abhängigen Zertifikate als vertrauenswürdig eingestuft.
Anfordern einer digitalen ID
Verisign bietet die Möglichkeit kostenlos 60 Tage gültige, digitale Ids zu erstellen. Nachfolgend ist beispielhaft die Vorgehensweise dazu beschrieben:
Über nachfolgenden Link kommen Sie direkt auf die Verisign-Internetseite: http://www.verisign.com/client/enrollment/index.html
0115 – VeriSign Personal Digital ID Enrollment
Klicken Sie auf den Button "Enroll now"
0116 – Step 1 VeriSign Complete Enrollment Form
Füllen Sie die Felder gemäß Ihren Anforderungen aus. Markieren Sie die Checkbox "Check this Box to Protect Your Private Key" NICHT, da ansonsten directmail die Signatur nicht verarbeiten kann.
Klicken Sie zum Beantragen der ID auf "Accept" und im nachfolgenden Fenster nach Kontrolle der E-Mail-Adresse auf "OK".
0117 - Step 2 VeriSign Complete Enrollment Form
Auch das folgende Fenster beantworten Sie mit "Ja".
0118 – Mögliche Skriptingverletzung
Nach wenigen Minuten erhalten Sie von Verisign eine Bestätigungsmail mit einem Link zur Aktivierung der ID. Klicken Sie auf diesen Link.
0119 - VeriSign Digital ID Pickup Instuction
Geben Sie nach Anzeige der Internetseite Ihre PIN ein und klicken Sie auf "Submit".
0120 – Step 3 Pickup Digital ID
Jetzt können Sie die digitale ID durch Klick auf "Install" auf Ihrem Rechner installieren.
0121 – Spet 4 Install Digital ID
Bestätigen Sie die nachfolgenden Meldungen durch Klick auf "Ja".
0122 – Mögliche Skriptingverletzung
Export eines öffentlichen Schlüssels
Den exportierten öffentlichen Schlüssel benötigten Sie zur Verschlüsselung ausgehender E-Mails an einen bestimmten Empfänger.
Exportieren Sie nun Ihren öffentlichen Teil der digitalen ID in eine Datei und senden diese an Ihre directmail-Mailbox (Beispiel unter MS Outlook 2000):
Klicken Sie in Outlook auf "Extras" – "Optionen" – Sicherheit" und dann auf den Button "Digitale ID importieren/exportieren".
0123 – Digitale ID importieren / exportieren
Markieren Sie den Radiobutton "Export Ihrer digitalen ID in eine Datei" und klicken auf "Auswählen".
0124 – Zertifikat auswählen
Wählen Sie Ihre zu exportierende ID aus und klicken auf "Zertifikat anzeigen".
0125 – Zertifikat Details
Im Reiter "Details" klicken Sie auf "In Datei kopieren".
0126 – Zertifikatsexport-Assistent
Klicken Sie im Assistenten auf "Weiter".
0127 – Zertifikatsexport-Assistent Privaten Schlüssel exportieren
Wählen Sie "Nein, privaten Schlüssel nicht exportieren und klicken auf "Weiter".
0128 – Zertifikatsexport-Assistent Exportdateiformat
Wählen Sie die erste Option "DER-codiert..." und klicken auf "Weiter".
0129 - Zertifikatsexport-Assistent Exportdateiname
Wählen Sie ein Verzeichnis und einen Dateinamen (mit Endung .cer) und klicken auf "Weiter".
0130 - Zertifikatsexport-Assistent Fertigstellen des Assistenten
Schließen Sie den Export durch Klick auf "Fertig stellen" ab und schicken Sie die exportierte Datei als Anhang an eine Mail an Ihre directmail-Mailbox. Dort können Sie diese wie später beschrieben importieren.
Export eines privaten Schlüssels
Den privaten Schlüssel benötigen Sie in directmail um E-Mails digital signieren zu können.
Exportieren Sie nun Ihren öffentlichen Teil der digitalen ID in eine Datei und senden diese an Ihre directmail-Mailbox (Beispiel unter MS Outlook 2000):
Klicken Sie in Outlook auf "Extras" – "Optionen" – Sicherheit" und dann auf den Button "Digitale ID importieren/exportieren".
0131 – Digitale ID importieren/exportieren
Markieren Sie den Radiobutton "Digitale ID in eine Datei exportieren" und klicken auf "Auswählen".
0132 – Zerfifikat auswählen
Wählen Sie Ihre zu exportierende ID aus und klicken auf "OK".
Geben Sie nun den Pfad und Namen der zu erstellenden Datei ein sowie das zum Schlüssel gehörende Kennwort.
Klicken Sie dann auf „OK", der Schlüssel wird nun ins angegebene Verzeichnis exportiert.
Schließen Sie den Export durch Klick auf "Fertig stellen" ab und schicken Sie die exportierte Datei als Anhang an eine Mail an Ihre directmail-Mailbox. Dort können Sie diese wie später beschrieben importieren.
Vorgehensweise bei der Verschlüsselung
Um E-Mails verschlüsselt zu senden, ist es notwendig das X.509 Zertifikat (Digitale IDs) des Empfängers in directmail abzulegen. D.h. von jedem Empfänger an den Sie verschlüsselte E-Mails versenden wollen, müssen Sie zuerst das Zertifikat erhalten und in directmail importieren. Jedes Zertifikat ist immer an eine E-Mail-Adresse gebunden. Haben Sie also Empfänger mit mehreren E-Mail-Adressen je Person benötigen Sie ggf. mehrere Zertifikate je Empfänger.
Zertifikate können Sie mit folgenden Möglichkeiten in directmail integrieren.
Befehl WRKCER (Mit Zertifikaten arbeiten)
Mit diesem Befehl können jeder E-Mail Adresse ein oder mehrere öffentliche Zertifikate zugeordnet werden. Der Import der Zertifikate erfolgt über das IFS.
Das Verzeichnis '/Toolmaker/DirectMail400/certs/public' ist dabei das Standardverzeichnis. Zertifikate können so z.B. unter Windows exportiert und in directmail importiert werden.
0133 – Mit Empfänger Zertifikaten arbeiten
Option
Beschreibung der Auswahlmöglichkeiten
1=Export
Mit dieser Auswahl können Sie Zertifikate in IFS-Verzeichnisse exportieren.
2=Ändern
Sie können mit dieser Auswahl Details zum Zertifikat verändern.
0134 – Zertifikat ändern
Email Adresse
Sofern ein Administrator für Zertifikate für mehrere Benutzer mit der gleichen E-Mail-Adresse angefordert hat, haben Sie hier die Möglichkeit die Adresse anzupassen. Die E-Mail-Adresse gilt als eindeutige Zuordnung des Zertifikates zu einem Empfänger.
Beschreibung
Texterläuterung für eigene Verwendung
Standard
Sofern dieser Parameter aus Ja eingestellt ist, wird dieses Zertifikat bei Versand an die E-Mail-Adresse benutzt.
Gültige Werte sind:
J Dies ist das Standardzertifikat
N Dies ist ein alternatives Zertifikat (kann evtl. zum Standardzertifikat geändert werden wenn das Standardzertifikat verfällt).
Verschl. zwingend
Hier können Sie festlegen, dass E-Mails an diese Adresse zwingend immer verschlüsselt werden, unabhängig davon welche Einstellungen der Benutzer oder über AutoMail vorgenommen werden.
Gültige Werte sind:
J E-Mails an diese Adresse werden immer verschlüsselt
N Die Einstellungen beim Versand der E-Mail werden verwendet.
4=Löschen
Mit dieser Auswahl können Sie ein Zertifikat löschen.
5=Anzeigen
Hiermit können Sie die Inhalte des Zertifikats am Bildschirm anzeigen
0135 – Spool-Datei anzeigen
11=Standard
Mit dieser Auswahl können Sie ein Alternativzertifikat direkt zum Standardzertifikat umwandeln.
F6=Erstellen
Diese Funktionstaste dient der Erstellung von Zertifikaten in directmail. Sie können im IFS gespeicherte Zertifikatdateien damit importieren.
0136 – Zertifikate erstellen
Wählen Sie mit Auswahl 1 das gewünschte zu importierende Zertifikat aus.
0137 – Zerfifikat Importieren
Email Adresse
Eingabe der E-Mail-Adresse für das zu importierende Zertifikat.
Beschreibung
Eingabe der Beschreibung für das zu importierende Zertifikat.
Standard
Das importierte Zertifikat kann als Standard festgelegt werden.
Gültige Werte sind:
J Festlegung als Standard
N Soll nicht als Standard verwendet werden.
Befehl IMPCER (Import Zertifikat)
Mit diesem Befehl können Zertifikate direkt aus dem IFS in directmail übernommen werden. Dies entspricht der Funktiontaste F6 im Befehl WRKCER. Der Befehl IMPCER kann insbesondere dann benutzt werden, wenn Zertifikate automatisiert über den Mail-Eingangsassistenten importiert werden sollen.
0138 – Zertifikat importieren
X.509 Zertifikat-Datei
Geben sie hier Pfad und Namen der Zertifikatdatei im IFS ein.
E-Mail-Adresse
Hier steht die Adresse mit der dieses Zertifikat verknüpft werden soll. Mit dem Wert *CERT verwendet der Importvorgang die E-Mail-Adresse die im Zertifikat gesepeichert.
Beschreibung
Die Textbeschreibung des Zertifikats.
Standard Zertifikat
Hier definieren Sie, ob das Zertifikat das Standard-, oder ein Alternativzertifikat für die angegebene E-Mail-Adresse darstellt.
Gültige Werte sind:
*YES Dies ist ein Standard-Zertifikat
*NO Dies ist ein Alternativ-Zertifikat
Verschlüsselung erzwingen
Steuern Sie hierüber, ob eine E-Mail an die angegebene E-Mail-Adresse unter allen Umständen verschlüsselt werden soll.
Gültige Werte sind:
*Yes E-Mails an diese Adresse werden immer verschlüsselt
*NO Die Einstellungen beim Versand der E-Mail werden verwendet.
Zertifikat-Datei löschen
Hiermit können Sie steuern, ob die Zertifikat-Datei (.cer) nach dem Import physisch aus dem IFS gelöscht werden soll, oder nicht.
Gültige Werte sind:
*Yes Die Zertifikatdatei wird nach dem Import gelöscht.
*NO Die Zertifikatdatei bleibt im IFS stehen.
Mit privaten Zertifikaten arbeiten
Innerhalb des Adressbuches können Zertifikate für einen Empfänger mit der Auswahl 18=Zertifikate bearbeitet/importiert werden.
0139 – Private Zertifikate
Beschreibung der Auswahlmöglichkeiten
1=Export
Mit dieser Auswahl können Sie Zertifikate in IFS-Verzeichnisse exportieren.
2=Ändern
Sie können mit dieser Auswahl die Beschreibung des Zertifikats verändern.
4=Löschen
Mit dieser Auswahl können Sie ein Zertifikat löschen.
5=Anzeigen
Hiermit können Sie die Inhalte des Zertifikats am Bildschirm anzeigen
0140 – Private Zertifikate anzeigen
11=Standard
Mit dieser Auswahl können Sie ein Alternativzertifikat direkt zum Standardzertifikat umwandeln.
F6=Erstellen
Diese Funktionstaste dient der Erstellung von privaten Zertifikaten in directmail. Sie können derzeit nur eigene Zertifikate erstellen, später wird auch der Import von Zertifikaten ermöglicht.
0142 – Privates Zertifikat erstellen
Mit Auswahl 1 kommen Sie zur Erfassung der Zertifikatdaten.
0143 – Bild 1 Erfassung der Zertifikatdaten
Name
Ein beliebiger Name zur Verwaltung des Zertifikates.
Beschreibung
Die Textbeschreibung Ihres Zertifikates.
Name
Hier steht der vollständige Name des Zertifikates. Bitte beachten Sie, dass hier keine Sonderzeichen enthalten sein dürfen.
E-Mail-Adresse
Geben Sie hier die zum Zertifikat gehörende E-Mail-Adresse ein.
Kennwort/Überprüfung
Zertifikate sind kennwortgeschützt. Geben Sie hier das Kennwort für Ihr Zertfifkat zweimal ein.
0144 – Bild 2 Erfassung der Zertifikatdaten
Die Erstellung des privaten Schlüssels kann je nach Leistungsfähigkeit Ihrer IBM i etwas dauern.
Exportieren von Zertifikat Attachments
Jede signierte E-Mail enthält automatisch das Zertifikat des Absenders. Dieses wird als Anhang der E-Mail hinzugefügt. Auf diesem Wege kann ein Zertifikat über die Auswahl 1=Export in den Zertifikatspeicher von directmail übertragen werden. Dazu gibt es im Menü 1=Export den neuen Punkt "4. Zertifikat". Zertifikate haben üblicherweise die Dateierweiterungen: .cer .der .p7m .p7s. Attachments mit diesen Erweiterungen werden von directmail als Zertifikat angezeigt. (Auswahl 5=Anzeigen)
Hinweis
directmail importiert nur detached Signatur-Zertifikate. d.h. die Signatur und das Zertifkat werden als gesondertes Attachment der E-Mail angefügt.
0145 - Export eines Zertifikates
0146 – Zertifikat importieren
Anmerkung zum Zertifikatsspeicher unter directmail:
Zugriffsschlüssel für Zertifikate ist die E-Mail Adresse des Empfängers. Für jede E-Mail Adresse können beliebig viele Zertifikate gespeichert werden. Für die Verschlüsselung der E-Mail wird immer das Standard Zertifikat verwendet.
Es gibt grundsätzlich drei mögliche Werte für den Verschlüsselungsparameter:
N = Nein-> Die E-Mail wird unverschlüsselt gesendet.
J = Ja-> E-Mail wird ausschließlich verschlüsselt gesendet. Sollte für einen Empfänger kein Zertifikat vorhanden sein, so wird die E-Mail an diese Adresse nicht verschickt. Die E-Mail erhält dann den Status "WRN=Warnung" und wird in den Fehlerordner gestellt.
M = Möglich -> Die E-Mail wird bei vorhandenem Zertifikat verschlüsselt gesendet, bei fehlendem Zertifikat erfolgt der Versand unverschlüsselt.
Mit der Auswahl 25 = Internet kann bei einer E-Mail angezeigt werden, für welche Empfänger kein Zertifikat vorhanden war.
Digitale Signaturen
directmail unterstützt digitale Signaturen beim Versand von E-Mails. Dazu muss einer Mailbox zunächst ein privates Zertifikat zugeordnet werden. Dieses kann mittels der Option 18=Zertifikat im Befehl WRKMBX verwaltet und erstellt werden. Die Zertifikate werden kennwortgeschützt im Pfad: /Toolmaker/directmail400/certs/private abgelegt. Bitte stellen Sie sicher, dass Sie dieses Verzeichnis sichern.
Um signierte E-Mails zu versenden, müssen Sie beim Verlassen des Editors oder im Befehl OPNEMLAPI das Flag für die Signierung setzen. Das System prüft, ob ein priv. Zertifikat für die gewählte Mailbox vorhanden ist.
Eine digitale Signatur bedeutet nicht, dass die E-Mail verschlüsselt wird. Sie dient ausschließlich dazu, festzustellen, ob eine E-Mail verändert wurde.
Prüfung eines signierten Mailanhangs
Die Prüfung erfolgt online mittels des Produktes SecSigner der Firma Seccommerce unter folgender URL: http://www.seccommerce.de/de/produkte/webcontrust/secsigner/secsigner_demo_verify.html