Habt ihr diese Seite abgeschlossen, wird ein Schlüsselpaar erzeugt und in euren Internet Explorer geladen. Ein Pop kleines Fenster erscheint, welches ihr mit JA bestätigst.
Immermehr wird davon berichtet das E-Mail Server gehackt und E-Mails unerlaubt mitgelesen werden. Weiterhin behält sich der Staat das Recht vor E-Mails direkt beim Provider aufgrund einer Gesetzesentscheidung mitzulesen bzw. die E-Mails für ein Jahr dem Staate zugänglich zu machen. Aufgrund dessen habe ich es mir zur Aufgabe gemacht ein Tutorial, mit dem man einfach und schnell lernen kann sich ein digitales Zertifikat zur digitalen Signierung (Echtheitsbestätigung und digitalen Verschlüsselung) von E-Mails ohne zusätzliche Software und Kosten, zu erstellen.
2. Sinn:
Mit dem digitalen Zertifikat, kann ich sicherstellen, dass der, dem ich eine E-Mail geschickt habe, sich sicher sein kann, dass diese E-Mail, die er gerade empfangen hat, auch wirklich von mir ist. Zusätzlich kann man die Daten in der E-Mail auch digital verschlüsseln, damit wird die Email für Dritte nicht lesbar, und dass ist genau das, was wir erreichen wollen.
3. Vorraussetzung
Wir gehen einfach mal davon aus, dass ihr einen Windows XP Rechner habt. Dann brauchen wir noch einen E-Mail Client. Zur Verfügung steht hier automatisch Outlook Express, welches ein in Windows XP integrierter einfacher E-Mail Client ist. Dort solltet ihr bereits eure E-Mailpostfachinformation (Ein- und Ausgangsserver) eingetragen haben. Falls ihr eure Servereinstellungen für eurer E-Mail Konto nicht kennen solltet, schaut bitte auf die Hilfe Seite eures E-Mailproviders. Alle bekannten Provider bieten dort Einrichtungsanleitungen für die gängigen E-Mail Clients an.
4. Erstellung des Thawte Accounts
Digitale Zertifikate lassen sich über verschiedene Firmen erstellen. Da wir die sicherste und komfortabelste, als auch kostenlose Variante suchen, haben wir uns für Thawte entschieden.
Geht auf die Seite
zur Erstellung des Accounts http://www.thawte.com/email
und klickt auf join.
Bei der Auswahl Charset lasst die Einstellung auf "default for my language".
Gebt ruhig wirklich euren richtigen Namen und Geburtsdatum ein, denn nur so
kann im Zusammenhang mit den anderen Angaben sichergestellt werden, dass wirklich
Ihr derjenige seid, der das digitale Zertifikat angefordert hat. Anonymität
hin und her, hier ist es einfach unerlässlich die richtigen Informationen
einzugeben; es wird sozusagen ein Ausweis für das Internet erstellt.
Bei der Nationalität wählt ihr bitte euer Heimatland aus. Auf der nächsten Seite
werdet ihr aufgefordert euch anhand eines Ausweises oder ähnlichem zu identifizieren.
Ich habe hier einfach jeweils meine Ausweisnummer (auf dem Personalausweis links
unten) eingetragen. Unter Email Address/Thawte Username könnt ihr dann eure
E-Mail eintragen den ihr für den Account benutzen möchtet. Diese braucht nicht
unbedingt die E-Mail für die spätere digitale Signatur sein, kann aber, da es
so einfacher ist.
Im nächsten Feld Persönliche Einstellungen lassen wir alles auf Browser Standard
Einstellung und klicken wieder auf next. Für Leute im Ausland kann man über
den Help Button sich anzeigen lassen welche Einstellung man für seinen Browser
auswählen muss.
Jetzt kommt man in das Passwortwahlfeld. Es wird eine Menge erklärt, ganz unten
wird das Passwort vergeben.
Bei der Auswahl
des Passwortes solltet ihr auch nicht zimperlich sein!
Irgendein 0815 Wort hat hier nichts zu suchen; dass ist so als ob ihr den Schlüssel
unter die Fußmatte legt. Ihr solltet ein mindestens 8-stelliges Passwort
in der Kombination von Buchstaben, Sonderzeichen und Zahlen wählen.
Ein einfaches Passwort wäre zum Beispiel : antonelf.
Denn hier wurden
einfach nur 2 Wörter kombiniert.
Anders sieht es schon bei 56hans24jo aus.
Ist aber auch
nicht besser, denn diese Kombinationen von Wörtern und Buchstaben können
auch sehr schnell durch so genannte Brutforceattacken geknackt werden.
Eine weitere Möglichkeit wäre 5&hans"4jo.
Hier wurden einfach die Zeichen durch die entsprechenden Sonderzeichen auf der Tastatur ersetzt. Ist aber auch nicht sicherer, da das Passwort noch logisch aufgebaut ist. Erst, wenn willkürlich die einzelnen Zeichen benutzt werden, wird die entsprechende Sicherheit geboten.
Ein konkretes
Beispiel für ein sicheres Passwort wäre zum Beispiel *g6j0n.a.
Hier wurden willkürlich Zeichen aneinander gereiht, die so schnell niemand
herausbekommt.
Wer sein Passwort auf Sicherheit überprüfen möchte, sollte folgenden Link dazu nutzen.
https://passwortcheck.datenschutz.ch/check.php
Beachtet, dass
ihr auch 5 der Fragefelder richtig und gewissenhaft ausfüllt. Sie dienen
dazu, falls ihr euer Passwort vergesst, euren Account wiederherzustellen. Die
Angabe der Telefonnummer dient dazu, im Falle, dass ihr euer Passwort vergessen
habt, euch über diese Telefonnummer zu erreichen, um dann euren Account
wieder freizuschalten.
Am Ende bekommt man noch mal einen Überblick über die gemachten Angaben. Mit
der Bestätigung mit Next wird die Anmeldung abgeschlossen, und euch eine E-Mail
zugestellt. Über den darin enthaltenden Link könnt ihr dann den Account
freischalten. Kopiert dazu die Felder "Probe" und "Ping"
in die dafür vorgesehenen Felder. Mit dem Klick auf next kommt noch einmal eine
Abfrage bezüglich PKI, da wir keinen PKI Chip haben klicken wir gleich
weiter auf next.
5. Erstellung des digitalen Zertifikats
Auf der Seite
https://www.thawte.com/cgi/personal/cert/enroll.exe
könnt ihr dann eurer digitales Zertifikat anfordern. Ihr logt euch mit
eurer E-Mail Adresse und dem vergebenen Passwort ein. Das Feld request a certificate
erscheint. Unter X.509 drückst ihr dann auf request.
Wieder öffnet sich ein Popupfenster. Ihr könnt bei den gesamten Einstellungen
die Standardwerte (Internet Explorer und Outlook) belassen.
Wähle auf der nächsten Seite gleich wieder next. Dann kommt das Fenster
mit der E-Mail Adresse dir wir zur Benutzung der digitalen Signaturbenutzen
möchten auswählen. In unserem Fall dürft nur eine Auswahl bereit
stehen, wo wir dann den Harken setzen und wieder auf next klicken. Im Feld Strong
Extranet Identities klicken wir auch wieder einfach auf next. Letztendlich müssen
wir auf der Seite Accept Default Extensions die Einstellungen für unser
Zertifikat bestätigen. Profis können hier ihre Zertifikatseinstellung noch mals
genau überprüfen und ändern.
In dem nächsten Feld lassen wir auch wieder die Standeinstellung und klicken auf next.
Habt ihr diese Seite abgeschlossen, wird ein Schlüsselpaar erzeugt und
in euren Internet Explorer geladen. Ein Pop kleines Fenster erscheint, welches
ihr mit JA bestätigst.
Es scheint noch mals eine OK Anfrage, die letztendlich das Zertifikat installiert
Mit dem Button Finish wird die Sache dann endgültig abgeschlossen. Eine kurze E-Mail bestätigt uns dann dies noch einmal.
Dies ist ein guter Zeitpunkt um eine kleine Pause einzulegen. Thawte erstellt nun euer neues Zertifikat. Dies kann einige Minuten dauern. Entweder könnt ihr jetzt warten, bis Thawte euch eine E-Mail mit dem Hinweis, dass das Zertifikat nun erstellt ist, schickt, oder ihr könnt den Fortschritt der Zertifikaterstellung auf der folgenden Seite https://www.thawte.com/cgi/personal/cert/status.exe mit verfolgen.
Zwischendurch gibt es noch etwas zu erledigen. Man sollte sich über http://www.thawte.com/compref austragen, damit man keine Werbemails von Tahwte bekommt.
6. Exportieren der digitalen Signatur
Am Anfang wird
der Status eurens neuen Zertifikates auf "pending" stehen. Ist der
Erstellungsprozess abgeschlossen, ändert sich der Status auf "issued".
Hat euer Zertifikat den Status "issued", könnt ihr auf den Link
mit dem Namen "Navigator" klicken, um zu einer Seite zu gelangen,
auf der ihr Details zu eurem Zertifikaten erfahrt. Auf dieser Seite könnt
ihr das Zertifikat auch herunterladen bzw. installieren, indem ihr auf den Button
"fetch" klickt: Ihr werdet dann auf https://www.thawte.com/cgi/personal/cert/deliver.exe
weitergeleitet.
Bitte achtet darauf, dass ihr auch wirklich die Seiten mit dem Internet Explorer
öffnet, ansonsten kann das Zertifikat nicht übernommen werden.
Ihr könnt aber auch den Link in der E-Mail benutzen, die ihr nach Fertigstellung des Zertifikates zugestellt bekommt. Einfach wieder mit der E-Mail Adresse einloggen und auf install cert klicken. Dieses Feld erscheint. Wir bestätigen mit JA.
Mit dieser Meldung dann ist das Zertifikat dann installiert,
Wenn die Angelegenheit abgeschlossen ist, könnt ihr im Internet Explorer im Menüfeld über Extras / Internetoptionen / Inhalte / Zertifikate euer persönliches, digitales Zertifikat für später und auch für euren E-Mail Client exportieren. Wähle einfach das Zertifikat aus, dann auf Exportieren. Wir belassen alles soweit bei den Standardoptionen und speichern es als *.pfx Datei. Beachte bitte dabei, dass ihr die Datei auch später noch mal benötigt, falls ihr euren Rechner neuinstallieren möchtet, oder ihr einen anderen E-Mail Client einsetzen möchtet. Wichtig ist im Schritt 4 auf privaten Schlüssel umzustellen, denn nur dann wird das Zertifikat für den späteren Gebrauch richtig in eine Datei (mit der Endung *.pfx) exportiert.
.Schritt
1 |
Schritt
2 |
 |
 |
Schritt
3 |
Schritt
4 |
 |
 |
Schritt
5 |
Schritt
6 |
 |
 |
Schritt
7 |
Schritt
8 |
 |
 |
Schritt
9 |
Schritt
10 |
 |
 |
7. Installation der digitalen Signatur in euer Outlook
Jetzt
kommen wir zum einfachsten Schritt, dem Importieren der digitalen Signatur in
euren E-Mail Client.
Meistens gibt es in den Clients ein Extra Feld, bei dem wiederum unter Sicherheit
die digitale Signatur importiert werden kann. Wählt einfach über den
Dateibrowser eure *.pfx Datei aus, die ihr vorher aus dem Internet Explorer
importiert habt, und bestätigt diese mit eurem festgelegtem Passwort.
Ab sofort müsste es dann beim Schreiben einer E-Mail die Option zum digitalen
Signieren oder digitalen Verschlüsseln der E-Mail geben.
Wir wählen erstmal nur das digitale Signieren aus.
Digitales Verschlüsseln können wir noch nicht machen, da wir von den
Menschen, mit denen wir kommunizieren, noch keine Zertifikate erhalten haben.
Wir senden jetzt allen, mit denen wir über die digitale Signatur kommunizieren
wollen, unser Zertifikat. Die Empfänger sollten jetzt auch schon seine
digitale Signatur eingerichtet haben, denn diese muss letztendlich auch an dich
geschickt werden. Erst wenn wir auch die digitale Signatur des Empfängers
haben, können wir die E-Mail auch verschlüsseln.
Schritt
1 |
Schritt
2 |
 |
 |
Schritt
3 |
Schritt
4 |
 |
 |
Schritt
5 |
Schritt´6 |
 |
 |
Schritt
7 |
Schritt
8 |
 |
 |
Wenn der Schlüsselaustausch dann einmal stattgefunden hatt, könnt ihr eure E-Mails dann ab sofort digital verschlüsseln, dazu in der neuen Mail einfach den entsprechenden Knopf drücken. Das sieht dann wie folgt aus.
Sowie der Schlüsselaustausch stattgefunden hatt, meckert das Outlook auch nicht mehr, das der Empfänger die verschlüsselte E-Mail nicht lesen kann.
So, das wars erstmal. Ich denke diese einfache Ausführung wird vielen den Einstieg in den verschlüsselten E-Mailverkehr erleichtern. Auf technische Details für Verschlüsselungsverfahren wurde bewusst verzichtet, da dies nur verwirrt. Der Artikel soll das Erstellen einer digitalen Signatur so einfach wir möglich gestalten, denn wichtig ist, erstmal dass sie überhaupt eingesetzt wird. Später, mit mehr Erfahrung, kann man sich dann mit Verschlüsselungsverfahren und Verschlüsselungsstärke intensiver auseinandersetzten.
Denkt immer daran : "Big Brother is watching you !"
Last
Update:
11-Apr-2005 17:44