Meine Erkenntnisse zu Verschlüsselung und digitaler Signatur (2023-10)

/ Von / Kommentar verfassen / digitale Signatur, Outlook, PKI, S/MIME, verschlüsselung

IT Sicherheit und Cyberangriffe sind in aller Munde. Wenn es darum geht sich um die Sicherheit zu kümmern wird es bald mal ruhiger. Hier meine praktischen Erfahrungen der letzten Tage.

Einige Schlüsselbegriffe, die zur sicheren E-Mail Anwendung gehören sind, PKI, S/MIME, Zertifikate DV, Zertifikate OV, digitale Signatur, Verschlüsselung, CA, MPKI, X509 und einiges mehr.

Hier nur mal die zwei wichtigsten Begriffe erklärt, aus Anwendersicht

Digital Signiert
Inhaltlich aus Anwender Sicht geht es darum die eigenen eMails digital zu signieren, Achtung, das ist nicht die Mail Signatur am Mailend. Die digitale Signatur zeigt dem Empfänger an, dass die E-mail unverändert bei ihm angekommen ist und diese tatsächlich von mir gekommen ist.

Verschlüsselt
Weiter kann ich als Anwender mit Empfängern verschlüsselt e-Mailen. Das heisst niemand kann auf dem ganzen Transportweg den Inhalt der Mail lesen, auch nicht Weiterleitungen oder Kollegen die auf mein Postfach berechtigt sind.

Achtung: der Betreff bleibt lesbar
Wozu das Achtung? Nun, wenn im Betreff etwas Aussagekräftiges steht, was bei gewöhnlichen Mails durchaus wünschenswert ist, so ist es wenn es um vertrauliches geht nicht sinnvoll.

Wie geht es los, was als erstes tun?

Erstens braucht man für diese sichere Art des e-Mail anzuwendens ein persönliches Zertifikat. Wer nicht eine IT Abteilung hat, die das organisiert, oder eben selber IT Administrator ist, muss erst mal festlegen welche Zertifikate wo beschafft werden sollen. Ich lasse hier mal die Option einer eigenen CA gänzlich weg.

Da es hier um e-Mail Sicherheit geht kommen DV, OV oder EV Zertifikate in Frage

  • Domain Validation (DV), in meinem Fall also wird geprüft ob was hinter dem @ meiner E-Mail Adresse auch tatsächlich mir gehört. Das geschieht meist vollautomatisch und praktisch sofort indem ich mit einem E-Mail an mich bestätige. Einfache Informationen wie Domain-Name, Domain-Inhaber und andere persönliche Angaben werden während des Verifizierungsprozesses automatisch überprüft. Ein DV-Zertifikat ist sehr leicht zu erhalten und ist die preiswerteste Option.
  • Organization Validation (OV), da wird alles wie bei der DV überprüft und zusätzlich im Zertifikat auch die Firma angezeigt. Die Zertifizierungsstelle überprüft die Angaben des Geschäftsinhabers. Diese bestätigt, dass das Unternehmen registriert ist und gibt den Firmennamen auf dem Zertifikat an. Ausserdem überprüft die Zertifizierungsstelle, ob die antragstellende Organisation auch der Eigentümer der entsprechenden Domain ist. Das dauert etwas länger und diese Zertifikate sind deutlich teuer.
  • Extended Validation (EV), da wird noch mehr geprüft und ist ohne eigene CA oder MPKI nicht machbar.

Für viele ist schon ein DV Zertifikat ein grosser Schritt zu mehr Vertrauen und Sicherheit. Will man mehr, ist das Zertifikat schnell ersetzt mit einem anderen. SHA256 sollte es sein und von einer Zertifizierungsstelle die automatisch auf dem Client (Windows, Mac, Android …) vorinstalliert sein. Ich habe mich für SwissSign entschieden. GlobalSign ist sicher auch eine gute Wahl. Bei Entrust habe ich eine günstige Variante für OV Zertifikate gefunden.

Installieren und Anwenden

Hast du das Zertifikat erhalten kann es losgehen. Das Zertifikat ist eine persönliche, vertrauliche Datei. Auch wenn diese Passwortgeschützt ist, solltest du damit umgehen wie mit einem Ausweis oder dem Hausschlüssel.

Anleitungen wie man das Zertifikat installiert auf verschiedensten Plattformen gibt es reichlich. Windows, MacOS, iOS oder Android, das geht eigentlich überall recht einfach mit wenigen Klicks.

Und wo ich überall gestolpert bin!

  • Outlook (New) Windows kann Stand Anfang Oktober 2023 KEIN S/MIME. Da nützt es auch nicht mit dem klassischen Outlook im TrustCenter die Einstellungen zu machen, das Outlook (New) kann es trotzdem nicht!
  • Um verschlüsselt senden zu können muss auch der Empfänger über ein S/MIME Zertifikat verfügen. Denn nur digital signierte Mails werden verschlüsselt und gesendet.
  • Um verschlüsselt senden zu können braucht es den Public Key vom Empfänger. Daher sollte man erst einmal ein digital signiertes Mail vom künftigen Empfänger erhalten, so kommt man zu dessen Public Key. Erfasst man nun diesen Kontakt im Outlook wird automatisch auch dessen Public Key im Kontakt gespeichert. Damit kann ich dann S/MIME verschlüsselt mailen. Hierbei ist es mir nicht gelungen bei bestehenden Kontakten dieses Zertifikat zu speichern. Outlook will das irgendwie nicht – oder ich weiss nicht wie.
    Was hingegen geht:
    • bei bestehenden Kontakt die E-Mail Adresse löschen (keine Angst, die kommt gleich wieder)
    • Im empfangenen signierten Mail den Kontakt anklicken und diesen als neuen Kontakt anklicken
    • Outlook merkt, dass es diesen Kontakt schon hat und schlägt vor diesen zusammen zu führen, nice. Siehe da, das Zertifikat ist im Kontakt gespeichert.
    • …. und wenn mir jemand einen eleganteren Weg hat, bitte umbedingt mitteilen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen