|
|
|
|
| 10 Sie signieren eine E-Mail | Inhalt |
Sie haben in Kapitel 16 gelesen, wie Sie sich von der Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein Zertifikat, sondern auch eine komplette E-Mail signieren können. Das bedeutet, dass Sie die E-Mail mit einer elektronischen Signatur (einer Art elektronischem Siegel) versehen.
Der Text ist dann zwar noch für jeden lesbar, aber Ihr Empfänger kann feststellen, ob die E-Mail unterwegs manipuliert oder verändert wurde.
Die Signatur garantiert Ihrem Empfänger, dass die Nachricht tatsächlich von Ihnen stammt. Und: wenn Sie mit jemandem korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus welchem Grund auch immer), können Sie so die Nachricht wenigstens mit Ihrem eigenen privaten Schlüssel „versiegeln“.
Achtung: Verwechseln Sie diese elektronische Signatur nichtmit der E-Mail-„Signatur“, die man unter eine E-Mail setzt und die z.B. Ihre Telefonnummer, Ihre Adresse und Ihre Webseite enthalten. Während diese E-Mail-Signaturen einfach nur als eine Art Visitenkarte fungieren, schützt die elektronische Signatur Ihre E-Mail vor Manipulationen und bestätigt den Absender.
Übrigens ist die elektronische Signatur auch nicht mit derqualifizierten digitalen Signatur gleichzusetzen, wie sie im Signaturgesetz vom 22. Mai 2001 in Kraft getreten ist. Für die private oder berufliche E-Mail-Kommunikation erfüllt sie allerdings genau denselben Zweck.
Tatsächlich ist die Signierung einer E-Mail noch einfacher als die Verschlüsselung (vgl. Kapitel 9). Nachdem Sie eine neue E-Mail verfasst haben, gehen Sie - analog zur Verschlüsselung - folgende Schritte durch:
Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
Verfassen Sie zunächst in Outlook eine neue E-Mail und addressieren Sie diese an Ihren Korrespondenzpartner.
Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre Nachricht signiert versendet werden soll: Dazu aktivieren Sie den Menüeintrag Extras -> Nachricht signieren. Die Schaltfläche mit dem signierenden Stift wird aktiviert.
Ihr E-Mail-Fenster sollte anschließend etwa so aussehen:
Klicken Sie nun auf [Senden].
automatisch in welchen Protokoll (OpenPGP oder S/MIME) Ihre eignes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
Sollen Sie das Protokoll manuell setzen wollen, nutzen Sie dazu das Menü Extras -> GnuPG Protokoll im Outlook-Nachrichtenfenster und wählen Sie PGP/MIME, S/MIME oder automatisch - die Erläuterungen und Hinweise vom Verschlüsseln (siehe Seite X) gelten auch für das Signieren.
Daraufhin öffnet Kleopatra ein Fenster, in dem - anders als beim Verschlüsseln - Ihre eigenen Zertifikate (also alle die Zertifikate, zu denen Ihnen jeweils ein geheimer Schlüssel vorliegt) angezeigt werden.
Signieren können Sie nur mit Ihrem eigenen geheimen Schlüssel.
Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das er bereits hat oder sich besorgen kann, Ihre Identität überprüfen. Denn nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
Im Normalfall können Sie im obigen Dialog Ihr vorausgewähtes Zertifikat mit [Weiter] bestätigen.
Beim ersten Durchlauf des Signierprozesses müssen Sie zunächst Kleopatra Ihr bevorzugtes Zertifikat zum Signieren mit OpenPGP bzw. S/MIME mitteilen. Sollte also noch kein Zertifikat ausgewählt oder nicht Ihr richtiges Zertifikat angezeigt sein - z.B. weil Sie mehrere Zertifikate besitzen - klicken Sie auf [Signaturzertifikate ändern...].
Sie möchten Ihr Signaturzertifikat ändern?
Dann erhalten Sie an dieser Stelle einen Auswahl-Dialog mit einer Auflistung aller Ihrer eigenen Zertifikate des vorher gewählten Protokolls, die in Ihrer Zertifikatsverwaltung existieren.
Nachfolgend ein Beispieldialog für OpenPGP:
Klicken Sie anschließend auf [OK]. Ihr ausgewähltes Zertifikat wird in den letzten „E-Mail signieren“-Dialog übernommen.
Bestätigen Sie Ihr Zertifikat mit [Weiter].
Um die Signierung Ihrer E-Mail abzuschließen, werden Sie aufgefordert im folgenden Fenster Ihre geheime Passphrase einzugeben:
Ihre Nachricht wird nun signiert und versandt. Nach erfolgreicher Signierung Ihrer Nachricht, erhalten Sie folgenden Dialog:
Sie haben gelernt, wie Sie eine E-Mail mit Ihrem eigenen Zertifikat (das Ihren geheimen Schüssel enthält) signieren.
Seit dem letzten Kapitel wissen Sie nun auch, wie Sie eine E-Mail mit dem öffentlichen Zertifikat Ihres Korrespondenzpartners verschlüsseln.
Damit beherschen Sie nun die beiden wichtigsten Techniken für einen sicheren E-Mail-Versand: verschlüsseln und signieren.
Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie ab sofort bei jeder neuen E-Mail, wie Sie Ihre Nachricht versenden wollen - je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer E-Mail ist:
Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit S/MIME realisieren.
Angenommen Sie erhalten eine signierte E-Mail Ihres Korrespondenzpartners.
Die Überprüfung dieser elektronischen Signatur ist sehr einfach. Alles was Sie dazu brauchen, ist das öffentliche OpenPGP- oder X.509-Zertifikat Ihres Korrespondenzpartners. Dessen öffentliches Zertifikat sollten Sie vor der Überprüfung bereits in Ihre Zertifikatsverwaltung importiert haben (vgl. Kapitel 8).
Um eine signierte OpenPGP- oder S/MIME-E-Mail zu überprüfen, gehen Sie genauso vor, wie bei der Entschlüsselung einer E-Mail (vgl. Kapitel 7):
Starten Sie Outlook und öffnen Sie eine signierte E-Mail.
GpgOL übergibt die E-Mail automatisch an Kleopatra zur Prüfung der Signatur. Kleopatra meldet das Ergebnis in einem Statusdialog, z.B.:
Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen Sie im Menü der geöffneten E-Mail Extras -> GpgOL Enschlüsseln/Prüfen.
Sollte die Signaturprüfung fehlt schlagen, wurde die Nachricht bei der Übertragung verändert. Aufgrund der technischen Gegebenheiten im Internet ist es nicht auszuschließen, dass die E-Mail durch eine fehlerhafte Übertragung verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann jedoch auch bedeuten, dass der Text nachträglich verändert wurde.
Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten, erfahren Sie im Abschnitt 10.3.
Wenn Sie kein Gpg4win installiert haben und eine signierte E-Mail öffnen, lässt sich die Signatur natürlich nicht überprüfen. Sie sehen dann den E-Mail-Text umrahmt von merkwürdigen Zeilen - das ist die Signatur.
Exemplarisch für OpenPGP sehen Sie, wie dann so eine OpenPGP-signierte E-Mail in Ihrem E-Mail-Programm aussehen würde:
Die E-Mail beginnt mit:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
und endet unter der E-Mail-Nachricht mit:
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (MingW32) iEYEARECAAYFAjxeqy0ACgkQcwePex+3Ivs79wCfW8u ytRsEXgzCrfPnjGrDDtb7QZIAn17B8l8gFQ3WIUUDCMfA5cQajHcm =O6lY -----END PGP SIGNATURE-----Dies ist ein Beispiel - Abwandlungen sind möglich.
Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen können:
Wenn Sie eine E-Mail mit dem Vermerk „Bad signature“ oder „Überprüfung fehlgeschlagen“ erhalten, ist das ein Warnsignal, dass Ihre E-Mail manipuliert sein könnte! D.h. jemand hat vielleicht den Inhalt oder den Betreff der E-Mail verändert.
Eine gebrochene Signatur muss aber nicht zwangsläufig bedeuten, dass Ihre E-Mail manipuliert wurde. Aufgrund der technischen Gegebenheiten ist es nicht auszuschließen, dass die E-Mail durch eine fehlerhafte Übertragung verändert wurde.
Wichtig: Nehmen Sie eine gebrochene Signatur ernst! Sie sollten in jedem Fall die E-Mail erneut beim Absender anfordern!Anmerkung:
Es wird grundsätzlich empfohlen Ihr E-Mail-Programm so
einzustellen, dass Sie E-Mails nur im „Text“-Format und
nicht im „HTML“-Format versenden.
Sollten Sie dennoch HTML für signierte oder verschlüsselte E-Mails
verwenden, können dabei beim Empfänger die Formatierungsinformationen vorloren
gehen.
Bei Outlook 2003 und 2007 können Sie unter Extras -> Optionen -> E-Mail-Format das Nachrichtenformat auf Nur Text umstellen.
Normalerweise verschlüsseln Sie eine Nachricht mit dem öffentlichen Zertifikat Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die E-Mail entschlüsselt.
Die umgekehrte Möglichkeit - man würde mit dem geheimen Schlüssel verschlüsseln - macht zum Verschlüsseln keinen Sinn, weil alle Welt das dazugehörigen öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln könnte.
Es gibt aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu erzeugen: die Signatur (wie Sie am Anfang dieses Kapitels bereits gelesen haben). Solch eine elektronische Signatur bestätigt eindeutig die Urheberschaft - denn wenn jemand Ihr öffentliches Zertifikat auf diese Datei (die Signatur) anwendet und die Ausgabe dieser Prüfung ist valide, so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
Sie können beide Möglichkeiten kombinieren, also die E-Mail verschlüsseln und signieren:
Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann er nur mit Ihrem geheimen Schlüssel kodiert worden sein.
Sehr trickreich und - wenn man ein wenig darüber nachdenkt - auch ganz einfach.
|
|
|
|
| 10 Sie signieren eine E-Mail | Inhalt |