Warum digitale IDs und Zertifikate?

Was kann passieren?

• Die E-Mail / PDF-Datei kommt nicht beim Empfänger an

• Die E-Mail / PDF-Datei wird unterwegs von Dritten gelesen

• Die E-Mail / PDF-Datei wird unterwegs von Dritten verändert

• Dritte senden eine gefälschte E-Mail / PDF-Datei

Der Absender will:

• (dass die E-Mail / PDF-Datei beim Empfänger ankommt)

• Lesen durch Unbefugte verhindern

Der Empfänger will:

• feststellen ob (oder beweisen dass) die E-Mail / PDF-Datei unverändert ist

• feststellen ob (oder beweisen dass) die E-Mail / PDF-Datei vom angegebenen Absender kommt

Verschlüsselung

• verhindert Lesen durch Dritte

• erschwert gezieltes Verändern durch Dritte
   

Electronische (digitale) Signatur

• beweist die Identität des Absenders

• beweist die Unverändertheit der E-Mail / PDF-Datei

• auch gegenüber Dritten
   

Hilft nicht gegen Verlust der E-Mail / PDF-Datei

Zwei gemeinsam erzeugte Schlüssel

• Aus dem einen Schlüssel kann der andere nicht berechnet werden

• Privater Schlüssel – unbedingt geheim halten

• Öffentlicher Schlüssel – wirklich öffentlich – eingepackt in Zertifikat (s. u.)
   

Ein Schlüssel verschlüsselt – der andere Schlüssel entschlüsselt
 

Ein Schlüssel signiert – der andere Schlüssel verifiziert (prüft die Signatur)

Merkhilfe: Welche Aktionen darf nur eine Person können?

• Dafür den privaten Schlüssel dieser Person verwenden

• Für das Gegenteil wird der zugehörige öffentliche Schlüssel (bzw. Zertifikat) verwendet

Signieren und Verifizieren

• Nur der Absender darf signieren können: Privater Schlüssel des Absenders

• Also dient der öffentliche Schlüssel (Zertifikat) des Absenders zum Verifizieren

Verschlüsseln und Entschlüsseln

Das mache ich mit meinem privaten Schlüssel

(Ich signiere alle meine E-Mails)

E-Mail-Programme machen das auf Wunsch automatisch, sonst reicht ein Häkchen

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Absenders?

• Bei E-Mails im S/MIME-Format und in PDF-Dateien ist das Zertifikat (und darin der öffentliche Schlüssel) in der Signatur enthalten

Jeder kann problemlos alle signierten E-Mails / PDF-Dateien prüfen

E-Mail-Programme und (nur wenige) PDF-Reader machen das automatisch und zeigen es an

Das mache ich mit meinem privaten Schlüssel

E-Mail-Programme machen das automatisch

Woher erhalte ich den öffentlichen Schlüssel (Zertifikat) des Empfängers?

Verschiedene Möglichkeiten, beispielsweise:

• Sie verwenden ein entsprechendes externes Adressbuch im E-Mail-Programm

  • Zentrales Exchange-Adressbuch der WWU

• Sie haben vorher eine signierte E-Mail erhalten (notfalls darum bitten)

  • E-Mail-Programme merken sich die öffentlichen Schlüssel (Zertifikate)

  • (Blöde Ausnahme: Outlook: Manuelle Übernahme nötig, siehe Anleitung)

• Den Rest erledigt Ihr E-Mail-Programm automatisch

Gehört ein öffentlicher Schlüssel wirklich der angegebenen Person? (bzw. Gruppe, Server, . . .)
 

Ein Zertifikat ist eine von einer vertrauenswürdigen „Zertifizierungsstelle“ ausgestellte Beglaubigung

• Der im Zertifikat enthaltene öffentliche Schlüssel

• gehört zu der im Zertifikat angegebenen Identität (Person, Gruppe, Server, . . .)

• (weitere Angaben wie Gültigkeitsdauer usw.)

Ein Zertifikat enthält nicht den privaten Schlüssel

Zertifikate sind standardisiert (X.509, OpenPGP, . . .)

Zertifikate sind elektronisch unterschrieben (signiert)

Zertifikate können automatisch geprüft werden

E-Mail- und PDF-Programme verwenden nicht nur den öffentlichen Schlüssel, sondern das ganze Zertifikat

Digitale IDs enthalten nichts anderes als:

• den privaten Schlüssel

• den öffentlichen Schlüssel

• alle benötigten Zertifikate
   

Streng genommen ist ein Zertifikat also nur eine Bestandteil einer digitalen ID

Aber manchmal wird fälschlich die gesamte digitale ID als Zertifikat bezeichnet

Bitte immer hinterfragen:

• Was ist mit „Signatur“ gemeint:

  • ein E-Mail-Fußzeilenblock?

  • eine elektronische Unterschrift?

  • eine Standortbezeichnung in einer Bibliothek?

  • usw.

• Was ist mit „Zertifikat“ gemeint?

  • ein beglaubigter öffentlicher Schlüssel?

  • eine vollständige digitale ID?

  • eine Bescheinigung über Prüfungsleistungen?

  • eine ISO-9001-Zertifizierung?

  • usw.

E-Mail-Programme verifizieren die Zertifikate

E-Mail-Programme akzeptieren Zertifikate nur von bestimmten Zertifizierungsstellen

Wir (Zertifizierungsstelle Universität Münster / DFN-PKI / GÉANT TCS) gehören dazu!

Aber nur, weil wir uns streng an die Regeln halten!

• persönliche Identitätskontrolle anhand Personalausweis/Reisepass oder ausreichender Unterlagen

• Sicherheitsmaßnahmen

• . . .

Von PDF-Readern werden unsere Zertifikate leider nicht automatisch anerkannt

• Für internen Gebrauch: PDF-Reader entsprechend einstellen (Anleitung)

• Für externen Gebrauch: Qualifizierte Zertifikate verwenden (sehr teuer, verwaltungsweit organisieren)

  • (siehe meinen Erfahrungsbericht zu qualifizierten Signaturen)

Gefahr: Identitätsklau

Privaten Schlüssel schützen

• Firefox / Thunderbird: Masterpasswort verwenden

• Internet Explorer / Outlook: Hohe Sicherheit einschalten oder PC anderweitig gut schützen

Gesundes Misstrauen:

• Der private Schlüssel wird nur zum Signieren und Entschlüsseln benötigt, sonst nie!

Backup („PKCS#12“-Dateien *.p12 oder *.pfx)

• Komplette digitale ID in passwortgeschützter Datei sichern

• Datei und Passwort an getrennten Stellen außerhalb des Rechners aufbewahren

• Datei kann in beliebige E-Mail-Programme, Webbrowser, geeignete PDF-Reader importiert werden

• damit man auch später noch archivierte E-Mails entschlüsseln kann

*.pem

• normalerweise nur das nackte Zertifikat

• (PEM = Privacy Enhanced Mail, eine historische Bezeichnung eines Vorläufers heutiger S/MIME-Mails)

• kann aber alles Mögliche enhalten
   

*.p12 (selten auch *.pfx)

• komplette digitale ID

• (PKCS#12 = Public Key Cryptographic Standard number 12)
   

(Nur) Die PKCS#12-Dateien (*.p12) sollten als Sicherungskopie dauerhaft aufbewahrt werden

Rainer Perske
https://perske.net

Westfälische Wilhelms-Universität
WWU IT
Zertifizierungsstelle
Röntgenstraße 7–13
48149 Münster

ca@uni-muenster.de
+49 251 83 31590 (fon)
+49 251 83 31555 (fax)

https://www.uni-muenster.de/WWUCA/