Zurück zur Leitseite von Daniel von Wachter

English instructions on kb.mozillazine.org: Getting an SMIME certificate; Installing an SMIME certificate

Schnellanleitung zum Verschlüsseln von Epost mit S/Mime

So wie man einen Brief zum Verschicken in einem Umschlag steckt und verschließt, so muß man einen E-Brief verschlüsseln, sonst können ihn viele lesen, für die er nicht gedacht ist. Mehr Information (sehr lesenswert!): sicher-im-netz.de, verbraucher-sicher-online.de, thunderbird-mail.de, hp.kairaven.de, blog.kairaven.de, stefan.ploing.de, Wikileaks: Zensur in der BRD, OpenSky.cc, Vorratsdatenspeicherung.de, Aktion Überwach, Cryptohippie, Bundestrojaner.

Ein empfehlenswertes Epost-Programm ist Thunderbird, ein empfehlenswerter Internetnavigator ist Firefox.

Zum Verschlüsseln brauchen Sie einen "Schlüssel". (Er ist in einem "S/Mime-Zertifikat" enthalten, das Sie, wie unten beschrieben, bei einer Zertifizierungsstelle ("Certificate Autority", CA) beantragen müssen.) Der Schlüssel hat zwei Teile: einen geheimen, den nur Sie haben und den Sie schützen müssen, und einen öffentlichen, den jeder haben muß, der Ihnen verschlüsselt schreiben soll. Mit dem Zertifikat samt dem Schlüssel "signieren" Sie Ihre Ebriefe. Damit ist dem Empfänger garantiert, daß die Absenderadresse des Ebriefes stimmt. Zugleich hat der Empfänger damit Ihren öffentlichen Schlüssel, mit dem er Ihnen verschlüsselt schreiben kann. (Sie brauchen also für jede Epost-Adresse, die Sie verwenden, einen eigenen Schlüssel.) Die Sicherheit dieser Verschlüsselungsmethode ist schon sehr groß. Das "Knacken" der Verschlüsselung wäre sehr aufwendig und teuer. Wichtig ist, daß Sie den geheimen Schlüssel auf Ihrem Rechner vor Diebstahl schützen.

Die folgende Anleitung bezieht sich auf die Zertifizierungsstelle "Trustcenter". Dort können Sie kostenlos ein Zertifikat ("TC Internet ID") erhalten, das ein Jahr gültig ist. Alternativen: StartSSL, mysecuremail.ch, Comodo, S-Trust. Weil das Ausstellerzertifikat (auch "Root certificate", "Wurzelzertifikat" oder "Zertifikat der Zertifizierungsstelle" genannt) der zuletzt Genannten in Thunderbird schon enthalten ist, brauchen Sie kein Ausstellerzertifikat herunterladen, importieren und zum Vertrauen bearbeiten. Nach der Beantragung ist Ihr Zertifikat im Firefox. Gehen Sie nach der Beantragung direkt zu Punkt 5 der untenstehenden Anleitung, Punkt 1-4 können Sie überspringen!
(Andere Ausgabestellen finden Sie HIER. Ausgabestellenzertifikate und Zertifikate anderer Personen finden Sie auf globaltrustpoint.com). Auch die Zertifikatausgabestelle CAcert ist zu empfehlen, dort können Sie kostenlos Zertifikate der Klasse 3 erhalten, der Empfänger muß das Ausstellerzertifikat aber per Hand installieren.

Anleitung:

1. Diese Kurzanleitung ausdrucken und haargenau befolgen.
2. HIER mit der rechten Maustaste klicken, um das Ausstellerzertifikat herunterzuladen und an einem beliebigen Ort zu speichern ("Ziel speichern unter"). Zum Beispiel unter "Eigene Dateien" auf der Festplatte abspeichern. (Andere Ausstellerzertifikate von Trustcenter finden Sie HIER.)
   (Um ein Zertifikat von CAcert zum Ver- oder Entschlüsseln verwenden zu können, müssen Sie HIER das Ausstellerzertifikat von CAcert herunterladen.)
3. Dann das Ausstellerzertifikat in Thunderbird importieren:
   Extras >> Einstellungen >> ganz oben rechts: "Erweitert" >> erster Reiter von rechts: "Zertifikate" >> drücken Sie auf den Knopf links: "Zertifikate..." (hier öffnet sich der "Zertifikatmanager", den wir noch mehrmals brauchen werden! (Wenn Sie die empfehlenswerte Erweiterung Cert Viewer Plus installieren, finden Sie ihn auch direkt unter Extras >> Zertifikat-Manager.)
   Dann Reiter rechts: "Zertifizierungsstellen" >> unten auf Knopf "Importieren" klicken, den Anweisungen folgen.
   (Vielleicht werden Sie irgendwann nach einem "Master-Passwort" gefragt werden. Wenn Sie keines gesetzt haben, versuchen Sie es zuerst mit "Abbrechen". Sollte die Frage wiederkehren, geben Sie nichts ein und Drücken auf "OK". Mit dem Setzen eines Master-Passwortes erschweren Sie die den Diebstahl Ihres geheimen Schlüssels.)
   (Import des Ausstellerzertifikats bei Microsoft Outlook Express: Extras >> Optionen >> Reiter "Sicherheit" >> "Digitale IDs" >> "Vertraute Herausgeber" >> "Importieren".)
4. Vertrauensstatus einstellen: In Thunderbird im Zertifikatmanager unter "Zertifizierungsstellen", ziemlich weit unten im Roll-Fenster unter "TC TrustCenter for Security ..." das Ausstellerzertifikat "TC TrustCenter Class 1 ..." anklicken, dann "Bearbeiten" anklicken, dann alle Kästchen anklicken. Mit "OK" bestätigen. (Das Ausstellerzertifikat von CAcert finden Sie unter "Root CA".)
5. Kostenloses Zertifikat z.B. bei Trustcenter.de "TC Internet ID" beantragen (rechts auf "Zertifikat beantragen" klicken) und so verfahren wie in den zwei Ebriefen beschrieben, die Ihnen Trustcenter dabei zuschickt. Dann ist Ihr Zertifikat in Firefox installiert. Sie müssen es nun aus Firefox exportieren und dann in Thunderbird importieren. (Zur Beruhigung: Die Ausgabestelle hat Ihren geheimen Schlüssel nicht, denn er wird auf Ihrem Rechner erzeugt.)
6. In Firefox klicken auf:
   Extras >> Einstellungen >> ganz oben rechts: "Erweitert" >> erster Reiter von rechts: "Verschlüsselung" >> Knopf links: "Zertifikate anzeigen" (damit öffnen Sie den Zertifikat-Manager) >> Markieren Sie Ihr Zertifikat durch Draufklicken >> Drücken Sie unten auf den Knopf "Sichern" >> wählen Sie einen Speicherort aus (erstellen Sie z.B. einen Ordner "SMIME" in "Eigene Dateien"), geben Sie einen Dateinamen an und drücken Sie auf "Speichern" (Dateityp: "PKCS12 Dateien"), geben Sie ein Passwort Ihrer Wahl ein.
   (Beim Internet Explorer: Extras >> Internetoptionen >> Inhalte >> Zertifikate >> Eigene Zertifikate >> Exportieren, einschließlich priv. Schlüssel >> als PKCS# 12 (*.pfx), verstärkte Sicherheit.)
7. Das so abgespeicherte Zertifikat in Thunderbird im Zertifikatmanager unter "Ihre Zertifikate" importieren.
8. Gehe in Thunderbird zu: Extras >> Konten-Einstellungen >> S/Mime-Sicherheit; wählen Sie Ihr Zertifikat aus, für "Digitale Unterschrift" und "Verschlüsselung". (Nicht "Nachrichen digital unterschreiben (als Standard)" anklicken.)

Bei einer neuen Nachricht können Sie nun unter Einstellungen > S/MIME-Sicherheit (oder im Menü unter dem Knopf mit dem Schloß und der Aufschrift "S/MIME") "Nachricht unterschreiben" (damit enthält der Empfänger Ihren öffentlichen Schlüssel) und "Nachricht verschlüsseln". Sie können aber nur an jemanden verschlüsselt schreiben, dessen öffentlichen Schlüssel Sie haben.

Problem: Manchmal meldet Thunderbird beim Absenden "Kann kein Verschlüsselungszertifikat für ... finden". Dieses Problem wird HIER im Thunderbird-Forum besprochen.
Ursache: Das passiert manchmal, wenn im Zertifikatmanager mehrere Zertifikate für eine Anschrift gespeichert sind.
Lösung: Löschen Sie alle Zertifikate für diese Anschrift. (Sehen Sie auch unter "Server" nach.) Auch die abgelaufenen. Sichern Sie diese aber vorher, damit Sie alte Ebriefe noch lesen können. Beenden Sie Thunderbird und starten Sie es neu. Öffnen Sie einen mit dem neuesten Zertifikat signierten Ebrief; dann wird der öffentliche Schlüssel automatisch importiert. Nötigenfalls können Sie jetzt wieder die alten Schlüssel importieren.

Weitere Anmerkungen:

• Meinen öffentlichen S/Mime-Schlüssel finden Sie HIER. Sie können ihn herunterladen und in Thunderbird im Zertifikatmanager importieren. Davor müssen Sie das Ausstellerzertifikat herunterladen und im Zertifikatmanager unter "Zertifizierungsstellen" importieren und den Vertrauensstatus einstellen. Dann können Sie mir an die Adresse epost@ABC.de - dabei "ABC" durch "von-wachter" ersetzen - verschlüsselt schreiben. Sie können mir auch nur zum Ausprobieren des Verschlüsselns schreiben.
• Wenn Sie einen (mit S/MIME) signierten Ebrief erhalten und wenn sich das Ausstellerzertifikat im Zertifikatmanager befindet und das Vertrauen eingestellt ist, dann nimmt Thunderbird automatisch das Zertifikat des Absenders auf. Der Zertifikatsname kann statt des Namens der Person auch z.B. "Thawte Freemail Member" oder "CAcert WaT User" sein. Unter "Ansicht" finden Sie die dahinterstehende Epostanschrift. Wenn das Ausstellerzertifikat nicht in Firefox enthalten ist, müssen Sie es auf den Seiten des Aussteller oder auf Globaltrustpoint suchen. Nach dem Import in Thunderbird müssen Sie wie oben beschrieben den Vertrauensstatus "Dieses Zertifikat kann Mail-Benutzer identifizieren" einstellen.
• Nur den Ausstellerzertifikaten muß man das Vertrauen aussprechen, nicht aber den einzelnen Benutzerzertifikaten. (Wenn man es tut, dann rutschen sie von "Personen" zu "Server.)
• In Ihrem Epostprogramm sollten Sie bei den Server-Einstellungen und beim Postausgangsserver (SMTP) bei Verbindungssicherheit "SSL/TLS" einstellen (wenn Ihr Provider das zuläßt). Damit ist das Abfangen von Ebriefen erschwert.

Nützliche Erweiterungen für Thunderbird:

• Cert Viewer Plus
• Key Manager: erlaubt die Herstellung von Zertifikaten u.v.m.
• View Your Certificate's Email Address
• Virtual Identity
• S/Mime Security for Multiple Identities (ab Thunderbird 3 nicht mehr nötig)

Andere Anleitungen zur Verschlüsselung mit S/MIME: auf thunderbird-mail.de, kellergeist.net, S-Trust oder trustcenter.de.

Die S/Mime-Zertifikate anderer Personen können HIER auf globaltrustpoint.com oder HIER auf Trustcenter gefunden werden.

Die Verschlüsselung ist so lange sicher, wie niemand den geheimen Schlüssel aus dem Zertifikat-Manager von Thunderbird und Firefox auf Ihrem Rechner stiehlt! Dies könnte zum Beispiel der Staat mit dem Bundestrojaner tun. Maßnahmen zur Sicherheit:

• Löschen Sie Ihr Zertifikat aus dem Firefox-Profilmanager.
• Verwenden Sie für den Export des geheimen Schlüssels ein Passwort, das mind. 12 Stellen hat (7 ist absolutes Minimum) und mit einem Passwortgenerator erzeugt wurde.
• Speichern Sie das Passwort in einer Textdatei, die Sie in einen TrueCrypt-Container ablegen oder zumindest mit Steganos-Locknote schützen. In einem Container sollten Sie auch Dateien mit geheimen Schlüsseln und die XCA-Datenbank ablegen.
• Verwenden Sie in Thunderbird ein Masterpasswort (Extras >> Einstellungen >> Sicherheit >> Passwörter)
• Wenn Sie das Betriebssystem Microsoft Windows verwenden, ist die Gefahr einer Infizierung und Ausspionierung durch Viren, Trojaner und Würmer besonders groß. Linux ist sicherer und inzwischen auch sehr einfach und komfortabel.

Statt eine Ausgabestelle zu verwenden, kann man S/MIME Zertifikate auch selbst herstellen, z.B. mit der Thunderbird-Erweiterung "Key Manager" oder dem kostenlosen Programm XCA, das für Linux und Windows erhältlich ist. Dafür erstellen Sie am besten zuerst ein selbstsigniertes Ausstellerzertifikat, Typ "Zertifikats-Autorität" (d.h. CA), auch "Root" (Wurzel) genannt, weil es den Anfang der Zertifizierungskette bildet. Dann erstellen Sie ein damit signiertes Zertifikat zum Signieren und Verschlüsseln von Ebriefen (Typ "End-Instanz").) HIER und HIER sind Erläuterungen dazu. Hilfreich ist ferner die Erläuterung der "Erweiterungen" auf Cryptoshop.com. Weitere Verweise.

Alternative zu S/MIME (X.509): Verschlüsselung mit GnuPG (das den OpenPGP-Standard umsetzt): Anleitung für Thunderbird. Vorteile von S/Mime gegenüber OpenPGP sind: 1. Auch die Anhänge werden verschlüsselt; 2. Man braucht keine zusätzliche Software (GnuPG und die Thunderbird-Erweiterung Enigmail) installieren. Vorteile von OpenPGP sind: 1. Die Zertifikate sind nicht nur ein Jahr gültig; 2. Man braucht keine Ausstellerzertifikate installieren. (HIER ist eine Kritik an S/MIME.)

Andere Anleitungen für OpenPGP: teuchtlurm.de; kairaven.de (mit Hintergrundinformation, siehe auch den Blog); webuni.de; selfhtml.org); einklich.net;
neuestes GnuPG-Pack Basic herunterladen; Gpg4win ist eine leicht bedienbare Windows-Version von GnuPG, die sich leicht aktualisieren läßt und sowohl OpenPGP als auch S/Mime unterstützt; GnuPG-Leitseite.

Weitere Sicherheitshinweise:

• Ausspioniert wird man nicht nur durch Cookies, sondern auch durch Super-Cookies (Flash-Cookies, LSOs). Mit Better Privacy für Firefox kann man sie löschen.
• Facebook sammelt viele Daten über einen. Hier kann man sein Facebook-Konto löschen.
• Zum Schutz vor Spam geben Sie die eigene Epostanschrift im Internet nur verschlüsselt an, damit Anschriftensammelmaschinen diese nicht finden. Ich mache das so:
  "epost@abcd.de (ersetze "abcd" durch "von-wachter")". Erhalten Sie trotzdem Spam, dann schicken Sie dieses an Knujon.
• Wie man Windows XP so einstellt, daß es keine Informationen weitergibt: XP-AntiSpy
• Wie man Windows XP so einstellt, daß der Rechner vor Zugriffen ("Hacker" u.a.) sicherer ist: NTSVCFG. Vgl. WinXP-Security.
• Bei Windows XP: Benutzerkonten mit Kennwörtern verschließen. Für die Arbeit an Dokumenten und für die Epost ein neues, eingeschränktes Benutzerkonto einrichten, Daten für andere Benutzer unzugünglich machen ("nicht freigeben"). Windows Update nur von einem Benutzerkonto aus durchführen, von dem aus Dokumente und Epost nicht zugünglich sind.
• Programme mit guten Sicherheitsvorkehrungen verwenden, z.B. Thunderbird (Epost) und Firefox (Internet)
• Ein Virenschutzprogramm verwenden: Sophos (für Angehürige der Univ. München), F-Secure; kostenlos: AntiVir, AVG free; andere Virenschutzprogramme.
• Schutz vor Spionageprogrammen, Einwühlern, Trojanern etc.: Spybot Search und Destroy, Ad-Aware.
• Evtl. eine Firewall verwenden, z.B. Zonealarm (kostenlos), Sygate oder Outpost pro (V. 2.7 ist kostenlos), aber dagegen gibt es auch Einwände. Hintergrundinformation zu Firewalls.
• Zum Verschlüsseln oder Verschließen von Daten: Hinweise auf OpenSky.cc; Free Compusec, TrueCrypt, Safeguard Easy, LockNote von Stegasus (für einzelne Dateien).
• Ein kostenloses Programm, um Windows zu pflegen ist nCleaner. Auch CCleaner.

Zurück zur Leitseite von Daniel von Wachter