Verschlüsseln und Signieren

Wozu ein Schlüssel-Paar?

Wozu Zertifikate?

• Rainer Perske

• Westfälische Wilhelms-Universität
  Zentrum für Informationsverarbeitung
  Röntgenstraße 7-13
  48149 Münster

• perske@uni-muenster.de
  +49 251 83 31582 (fon)
  +49 251 83 31555 (fax)

Probleme bei E-Mails

• Was kann passieren?

  • Die E-Mail kommt nicht beim Empfänger an

  • Die E-Mail wird unterwegs von Dritten gelesen

  • Die E-Mail wird unterwegs von Dritten verändert

  • Dritte senden eine gefälschte E-Mail

• Der Absender will:

  • (dass die E-Mail beim Empfänger ankommt)

  • Lesen durch Unbefugte verhindern

• Der Empfänger will:

  • feststellen ob (oder beweisen dass) die E-Mail unverändert ist

  • feststellen ob (oder beweisen dass) die E-Mail vom angegebenen Absender kommt

Problemlösung Kryptographie

• Verschlüsselung

  • verhindert Lesen durch Dritte

  • erschwert gezieltes Verändern durch Dritte

• Elektronische (digitale) Signatur

  • beweist die Identität des Absenders

  • beweist die Unverändertheit der E-Mail

  • auch gegenüber Dritten

• Hilft nicht gegen Verlust der E-Mail

Schlüssel-Paare

• Zwei gemeinsam erzeugte Schlüssel

  • Aus dem einen Schlüssel kann der andere nicht berechnet werden

  • Privater Schlüssel – unbedingt geheim halten

  • Öffentlicher Schlüssel – wirklich öffentlich – eingepackt in Zertifikat

• Ein Schlüssel verschlüsselt – der andere Schlüssel entschlüsselt

• Ein Schlüssel signiert – der andere Schlüssel verifiziert (prüft die Signatur)

• Sie haben Ihr Schlüssel-Paar schon erzeugt:

  • Auf der Webseite der WWUCA beim Klick auf „Bestätigen“

  • Privater Schlüssel nur im Browser-Profil gespeichert

  • Öffentlicher Schlüssel und Angaben zur Person an WWUCA übermittelt

Welcher Schlüssel wofür?

• Merkhilfe: Welche Aktionen darf nur eine Person können?

  • Dafür den privaten Schlüssel dieser Person verwenden

  • Für das Gegenteil wird der zugehörige öffentliche Schlüssel (bzw. Zertifikat) verwendet

• Signieren und Verifizieren

  • Nur der Absender darf signieren können: Privater Schlüssel des Absenders

  • Also dient der öffentliche Schlüssel (Zertifikat) des Absenders zum Verifizieren

• Verschlüsseln und Entschlüsseln

• Nur der Empfänger darf entschlüsseln können: Privater Schlüssel des Empfängers

• Also dient der öffentliche Schlüssel (Zertifikat) des Empfängers zum Verschlüsseln

• Wie beim Nachttresor der Bank

Ich will eine E-Mail signieren

• Das mache ich mit meinem privaten Schlüssel

• (Ich signiere alle meine E-Mails)

• E-Mail-Programme machen das auf Wunsch automatisch, sonst reicht ein Häkchen

Ich will eine Signatur prüfen:

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Absenders?

• Bei E-Mails im S/MIME-Format ist der öffentliche Schlüssel (Zertifikat) in der Signatur enthalten

• Jeder kann problemlos alle signierten E-Mails prüfen

• E-Mail-Programme machen das automatisch und zeigen es an

Ich will eine an mich gerichtete E-Mail entschlüsseln

• Das mache ich mit meinem privaten Schlüssel

• E-Mail-Programme machen das automatisch

Ich will eine E-Mail verschlüsseln:

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Empfängers?

• Sie verwenden ein entsprechendes externes Adressbuch im E-Mail-Programm

  • LDAP der DFN-PKI: ldap.pca.dfn.de:389, Base-DN: O=DFN-Verein,C=DE

  • Zentrales Exchange-Adressbuch der WWU

• Sie haben vorher eine signierte E-Mail erhalten (notfalls darum bitten)

  • E-Mail-Programme merken sich die öffentlichen Schlüssel (Zertifikate)

• Den Rest erledigt Ihr E-Mail-Programm automatisch

Warum Zertifikate?

• Gehört ein öffentlicher Schlüssel wirklich der angegebenen Person?

• Zertifikate enthalten:

  • den öffentlichen Schlüssel

  • den Namen des Inhabers und weitere Angaben

  • aber nicht den privaten Schlüssel

• Zertifikate sind signiert und beglaubigen die Echtheit der Angaben

• E-Mail-Programme verwenden nicht nur den öffentlichen Schlüssel, sondern das ganze Zertifikat

Warum unsere Zertifikate?

• E-Mail-Programme verifizieren die Zertifikate

• E-Mail-Programme akzeptieren Zertifikate nur von bestimmten Zertifizierungsstellen

• Wir (Zertifizierungsstelle Universität Münster) gehören dazu!

• Aber nur, weil wir uns streng an die Regeln halten!

  • persönliche Identitätskontrolle anhand Personalausweis/Reisepass

  • Sicherheitsmaßnahmen

  • . . .

Sicherheit Ihres privaten Schlüssels

• Gefahr: Identitätsklau

• Privaten Schlüssel schützen

  • Firefox / Thunderbird: Masterpasswort verwenden

  • Internet Explorer / Outlook: Hohe Sicherheit einschalten

• Gesundes Misstrauen:

  • Der private Schlüssel wird nur zum Signieren und Entschlüsseln benötigt, sonst nie!

• Backup („PKCS#12“-Dateien *.p12 oder *.pfx)

  • Privaten Schlüssel und Zertifikate in passwortgeschützte Datei sichern

  • Datei und Passwort an getrennten Stellen außerhalb des Rechners aufbewahren

  • Datei kann in beliebige E-Mail-Programme importiert werden.