Sichere E-Mails für alle?
S/MIME in der Praxis
Ein Standard zum Verschlüsseln und Signieren von E-Mails heißt S/MIME (Secure / Multipurpose Internet Mail Extensions). Dieses Verfahren baut auf einer PKI (Public Key Infrastructure) auf. Mail.UP und die gängigen E-Mail-Anwendungen ermöglichen das Einbinden von Zertifikaten. Bevor es ins Detail geht, eine kurze Erklärung:
Bei S/MIME werden digitale Zertifikate verwendet. Das ZIM ist die zuständige Registrierungsstelle (RA) für die Universität Potsdam. Mit Ihrem Account der Universität Potsdam sind Sie im Besitz von genau einer offiziellen E-Mail-Adresse (die Sie in Account.UP auswählen dürfen). Wenn Sie sich unsicher sind, wie Ihre offizielle E-Mail-Adresse lautet, können Sie unter https://testsp3.aai.dfn.de/attribute-check/index.shtml Ihre Daten prüfen. Ihre E-Mail-Adresse erscheint hinter "mail=". Für diese E-Mail-Adresse dürfen Sie ein Zertifikat beantragen.
Um Ihren Kommunikationspartnern den öffentlichen Teil des Zertifikats zukommen zu lassen, genügt der Versand einer signierten E-Mail. Die Empfänger:innen speichern diesen Teil in ihrem E-Mail-Programm. Und wenn auch sie im Besitz eines Zertifikates für ihre E-Mail-Adresse sind, können sie von nun an verschlüsselte Nachrichten mit Ihnen austauschen. S/MIME ermöglicht eine verschlüsselte Kommunikation.
Schritt für Schritt zur sicheren E-Mail
- Bitte merken Sie sich alle vergebenen Passwörter (Zertifikat und Mail.UP "Sichere E-Mail").
- Wenn Sie Ihre Passwörter vergessen, dann können Sie Ihre verschlüsselten E-Mails nicht mehr öffnen. Das ZIM ist in diesem Fall machtlos.
1. Los geht's mit der Beantragung des Zertifikats und dem Import in Mail.UP
Zertifikat beantragen
Hinweis: Derzeit ist nur die Beantragung von E-Mail-Zertifikaten möglich.
- Rufen Sie das CertManager-Portal von Harica unter https://cm.harica.gr auf.
- Klicken Sie auf den Button "Academic Login", wählen ggf. "University of Potsdam" aus und melden Sie sich via SSO (Single-Sign-On) an.
- Wählen Sie im Menü links "Email" aus. Es öffnet sich ein Antrag, indem Sie bitte "Email-only" auswählen. (Alle anderen Optionen sind derzeitig noch nicht möglich.)
Durch die Anmeldung über SSO und ihrem Universitätsaccount wird ihre E-Mail-Adresse automatisch ermittelt. Klicken Sie auf "Next" um fortzufahren. - Bestätigen Sie die voreingestellte Validierungsmethode durch einen Klick auf "Next".
- Nach Kenntnisnahme der Nutzungsbedingungen (Terms of Use), Zertifizierungsmethoden (Certification Practices) und Datenschutzerklärung (Data Privacy Statement) setzen Sie den Haken, um Ihre Zustimmung zu geben und klicken auf "Submit".
- Bestätigen Sie in der E-Mail, die Sie zwischenzeitlich erhalten haben, Ihre E-Mail-Adresse über den Button "Confirm". Sie werden nun auf die Seite von Harica weitergeleitet und bestätigen auch hier mit dem Klick auf "Confirm".
- In Ihrem Dashboard können Sie nun das Zertifikat erstellen lassen, indem Sie auf "Enroll your Certificate" klicken.
- Wir empfehlen in der folgenden Maske den Algorithmus RSA (default) und als Schlüssellänge (Key size) 4096 zu wählen.
- Hinterlegen Sie anschließend ein individuelles und nur Ihnen bekanntes Passwort (Password). Vergessen Sie dieses bitte nicht!
- Bestätigen Sie, dass Sie das Passwort selbst verwalten und klicken anschließend auf "Enroll Certificate".
- Laden Sie nun sofort Ihr Zertifikat herunter. Der Download des Zertifikats zu einem späteren Zeitpunkt ist nicht möglich.
Bitte lesen Sie sich die Informationen für Zertifikatsinhaber durch. Wenn Sie E-Mails verschlüsseln, können diese nicht mehr vom ZIM geöffnet werden. Es ist ratsam, das Zertifikat nicht nur an einer Stelle zu speichern, sondern z.B. auch auf einer externen Festplatte. Schreiben Sie sich den Speicherort am besten auf. Vergessen Sie niemals das Passwort! Sie können sonst Ihre verschlüsselten E-Mails nicht mehr entschlüsseln.
- Öffnen Sie Mail.UP.
- Unter Einstellungen > Sichere E-Mail > klicken Sie auf Schlüssel und Zertifikat importieren.
- Vergeben Sie ein Passwort, welches nicht (unbedingt) mit dem Zertifikatspasswort übereinstimmt, das vergebene Passwort brauchen Sie später für das Versenden signierter und verschlüsselter E-Mails.
- Wählen Sie nun die Zertifikatsdatei auf Ihrem Computer aus und bestätigen Sie den Upload mit Ihrem Passwort.
- Bitten loggen Sie sich aus und wieder ein. Fertig, es kann losgehen mit S/MIME.
Wenn Sie einen Zertifikatstausch vornehmen, müssen Sie das alte Zertifikat erst entfernen, bevor Sie ein neues hinzufügen können.
2. Ihre erste signierte E-Mail
Mit S/MIME arbeiten
Für den verschlüsselten E-Mail-Verkehr braucht der Kommunikationspartner Ihren "Public Key". Ein einfaches Versenden einer signierten E-Mail reicht schon. Wir erinnern uns, dass wir den Public und Privat Key in Mail.UP hochgeladen haben. Also schreiben wir jetzt einfach eine signierte E-Mail und importieren das Zertifikat von unserem Kommunikationspartner. Ein kurzer Hinweis: Sie können generell alle Ihre Nachrichten signieren (Mail.UP > Einstellungen > Sichere E-Mail > alle Nachrichten signieren). Das Zertifikat Ihres Kommunikationspartners wird im Adressbuch abgespeichert und ist E-Mail-spezifisch. In den Kontaktkarten sehen Sie dann einen "Haken", wenn das Zertifikat abgespeichert wurde.
3. Auf geht's, wir verschlüsseln eine E-Mail
Nach dem Austausch einer signierten E-Mail und dem Hinzufügen des Zertifikats Ihres Kommunikationspartners sind Sie jetzt gewappnet, eine verschlüsselte Nachricht zu schreiben. "Verschlüsselt" heißt, dass diese Nachricht nur mit Ihrem Passwort geöffnet werden kann. Schlüsseldienste gibt es in der Welt von S/MIME nicht und das ZIM kann nicht helfen, wenn Sie Ihr Passwort vergessen haben. S/MIME funktioniert nach dem Schlüssel-Schloss-Prinzip. Sie haben den Public-Key von Ihrem Kommunikationspartner in Punkt 2 importiert, Ihre Nachricht wird damit "zugeschlossen" und kann nur mit dem spezifischen Passwort geöffnet werden, welches Ihr Kommunikationspartner selber gewählt hat.
Alle beschriebene Schritte beziehen sich auf das Mail.UP Webmailinterface. Wenn Sie mit einem Mailprogramm verschlüsselt arbeiten möchten, dann müssen Sie Ihr Zertifikat separat importieren:
- Microsoft Outlook (beachten Sie die unten stehenden Hinweise)
- Thunderbird Mail
- S/MIME unter iOS
SHA 256 Zertifikate in Outlook benutzen
Um mit den SHA 256 Zertifikaten in Outlook arbeiten zu können, müssen Sie ggf. die Einstellungen ändern:
Datei -> Optionen -> Trust Center-> Einstellungen für das Trust Center-> E-Mail-Sicherheit -> Einstellungen -> im Feld "Hashalgorithmus" dann "SHA 256" auswählen -> OK