|
|
(10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) |
Zeile 10: |
Zeile 10: |
| <ul> | | <ul> |
| <li>Das System besteht auf Vertrauen gegenüber den Zertifikatsstellen (Certification Authorities = CAs), bzw. deren Wurzelzertifikaten</li> | | <li>Das System besteht auf Vertrauen gegenüber den Zertifikatsstellen (Certification Authorities = CAs), bzw. deren Wurzelzertifikaten</li> |
− | <li>Es scheint, dass die CA auch den privaten Schlüssel des Nutzers hat</li>
| |
| </ul> | | </ul> |
| + | |
| + | |
| + | <h3>Technik</h3> |
| + | Wen die zu Grunde liegende Technik interessiert sollte sich die [[Mac_nix_basteln:Krypto_Grundlagen|Krypto-Grundlagen]] durchlesen. Ansonsten hier vereinfacht ganz ohne Technik: |
| | | |
| <h4>Digitale Signatur</h4> | | <h4>Digitale Signatur</h4> |
Zeile 20: |
Zeile 23: |
| | | |
| <h4>Zertifikate</h4> | | <h4>Zertifikate</h4> |
− | Das Unterschreiben und Verschlüsseln erfolgt durch sog. Zertifikate. Dabei gibt es verschiedene [http://en.wikipedia.org/wiki/Public_key_certificate#Classification Typen]. Man kann nämlich nicht nur Strompost verschlüsseln, sondern auch Quelltext unterschreiben und der gleichen. Da wir hier von Strompost reden, reicht uns ein Klasse 1 Zertifikat. Doch woher bekommt man das? Dies kann von den oben genannten Zertifikatsstellen ausgestellt werden. Derer gibt es sehr viele: z.B. Verisign, thawte... oder auch große Firmen haben ihre eigenen Wurzelzertifikate (Telekom, Visa....). Diese ganzen Wurzelzertifikate sind bei den Betriebsystemen idR. bzw. den Mozillaprodukten (Firefox und Thunderbird - welche im Gegensatz zu den anderen Browsern und email-Progs nicht auf die Schlüsseldatenbank des Betriebssystems zurückgreifen) vorinstalliert. Das Problem ist, dass die meisten Geld für die Ausstellung eines Zertifikats für den Anwender haben möchten. Der nicht gewinnorientierte Verein [https://www.cacert.org/ CAcert] stellt sie kostenlos aus. | + | Das Unterschreiben und Verschlüsseln erfolgt durch sog. Zertifikate. Dabei gibt es verschiedene [http://en.wikipedia.org/wiki/Public_key_certificate#Classification Typen]. Man kann nämlich nicht nur Strompost verschlüsseln, sondern auch Quelltext unterschreiben und der Gleichen. Da wir hier von Strompost reden, reicht uns ein Klasse 1 Zertifikat. Doch woher bekommt man das? Dies kann von den oben genannten Zertifikatsstellen ausgestellt werden. Derer gibt es sehr viele: z.B. Verisign, thawte... oder auch große Firmen haben ihre eigenen Wurzelzertifikate (Telekom, Visa....). Diese ganzen Wurzelzertifikate sind bei den Betriebsystemen bzw. den Mozillaprodukten (Firefox und Thunderbird - welche im Gegensatz zu den anderen Browsern und email-Progs nicht auf die Schlüsseldatenbank des Betriebssystems zurückgreifen) idR. vorinstalliert. Das Problem ist, dass die meisten Geld für die Ausstellung eines Zertifikats für den Anwender haben möchten. Der nicht gewinnorientierte Verein [https://www.cacert.org/ CAcert] stellt sie kostenlos aus. |
| | | |
− | <p> </p> | + | <p> <br></p> |
| <h3>CAcert</h3> | | <h3>CAcert</h3> |
| Das Problem mit [https://www.cacert.org/ CAcert] ist, dass deren Wurzelzertifikate im Gegensatz zu den anderen genannten nicht vorinstalliert ist. Diese sollte man sich also zunächst einmal installieren. (Vorweg: Alle Schritte muss man nur einmal machen. Danach hat man keinerlei Mühe mehr) | | Das Problem mit [https://www.cacert.org/ CAcert] ist, dass deren Wurzelzertifikate im Gegensatz zu den anderen genannten nicht vorinstalliert ist. Diese sollte man sich also zunächst einmal installieren. (Vorweg: Alle Schritte muss man nur einmal machen. Danach hat man keinerlei Mühe mehr) |
| | | |
| + | <br> |
| <h4>Wurzelzertifikate installieren</h4> | | <h4>Wurzelzertifikate installieren</h4> |
| Die [http://en.wikipedia.org/wiki/Public_key_certificate#Classification Klasse 1 & 3] Wurzelzertifikate findet man unter [https://www.cacert.org/index.php?id=3 https://www.cacert.org/index.php?id=3]. Dort klickt man einfach <i>Root-Zertifikat (PEM Format)</i> und <i>Zwischen Zertifikat (PEM Format)</i> an. Was nun folgt ist stark vom eigenen System abhängig. | | Die [http://en.wikipedia.org/wiki/Public_key_certificate#Classification Klasse 1 & 3] Wurzelzertifikate findet man unter [https://www.cacert.org/index.php?id=3 https://www.cacert.org/index.php?id=3]. Dort klickt man einfach <i>Root-Zertifikat (PEM Format)</i> und <i>Zwischen Zertifikat (PEM Format)</i> an. Was nun folgt ist stark vom eigenen System abhängig. |
| | | |
| <ul> | | <ul> |
− | <li><b>OS X (Safari / Apple Mail)</b>: Safari wird die Zertifikate einfach nur speichern. Man klickt dann die gespeicherten Dateien <i>root.crt</i> und <i>class3.crt</i> im <i>Downloads</i>-Verzeichnis an. Worauf sie der OS X Schlüsselbundverwaltung hinzugefügt werden. Das Zertifikat ist nun installiert und Systemweit verfügbar. Also beispielsweise auch für <i>Apple Mail</i>.</li> | + | <li><b>OS X (Safari / Apple Mail)</b>: Safari wird die Zertifikate einfach nur speichern. Man klickt dann die gespeicherten Dateien <i>root.crt</i> und <i>class3.crt</i> im <i>Downloads</i>-Verzeichnis an. Worauf sie der OS X Schlüsselbundverwaltung hinzugefügt werden. Man hat die möglichkeit das Zertifikat für ''System'' (alle Benutzer) oder ''Anmeldung'' (der Angemeldete Benutzer) zu installieren. Beim Wurzelzertifikat macht es Sinn das Systemweit zu machen, beim eigenen Zertifikat sollte man <i>Anmeldung</i> wählen.Das Zertifikat ist nun installiert und Systemweit verfügbar. Also beispielsweise auch für <i>Apple Mail</i>.</li> |
| <li><b>Windows (Internet Explorer / Outlook)</b>: Der Internet Explorer unter Windows wird ein Fenster mit Zertifikatsinformationen öffnen. Man klickt unten auf den Knopf <i>Zertifikat installieren...</i> und klickt solange <i>OK</i> und <i>Weiter</i> bis der Dialog durch ist. Das Zertifikat ist nun installiert und Windows-Systemweit verfügbar. Also beispielsweise auch für <i>Outlook</i>.</li> | | <li><b>Windows (Internet Explorer / Outlook)</b>: Der Internet Explorer unter Windows wird ein Fenster mit Zertifikatsinformationen öffnen. Man klickt unten auf den Knopf <i>Zertifikat installieren...</i> und klickt solange <i>OK</i> und <i>Weiter</i> bis der Dialog durch ist. Das Zertifikat ist nun installiert und Windows-Systemweit verfügbar. Also beispielsweise auch für <i>Outlook</i>.</li> |
− | <li><b>Firefox (egal welches Betriebssystem)</b>: Firefox fragt, wofür man das jeweilige Zertifikat nutzen möchte: um Websites zu identifizieren ([http://de.wikipedia.org/wiki/Https https]), um Email-Nutzer zu identifizieren (S/MIME) oder um software-Entwickler zu identifizieren. Man kann alles drei anhaken, OK und fertig.</li> | + | <li><b>Firefox / Thunderbird (egal welches Betriebssystem)</b>: Firefox fragt, wofür man das jeweilige Zertifikat nutzen möchte: um Websites zu identifizieren ([http://de.wikipedia.org/wiki/Https https]), um Email-Nutzer zu identifizieren (S/MIME) oder um software-Entwickler zu identifizieren. Man kann alles drei anhaken, OK und fertig. Die Anleitung um Zertifikate in Thunderbird zu nutzen findet sich [http://www.thunderbird-mail.de/wiki/Mailverschl%C3%BCsselung_mit_S/MIME#Wie_installiere_ich_ein_X.509-Zertifikat_in_TB.3F hier].</li> |
| <li><b>Chrome, Opera, Konquerer...</b>: Nicht ausprobiert. Wird aber wahrscheinlich irgendwie ähnlich wie die obigen Lösungen laufen.</li> | | <li><b>Chrome, Opera, Konquerer...</b>: Nicht ausprobiert. Wird aber wahrscheinlich irgendwie ähnlich wie die obigen Lösungen laufen.</li> |
| </ul> | | </ul> |
| | | |
| + | <br> |
| <h4>Eigenes Zertifikat erzeugen</h4> | | <h4>Eigenes Zertifikat erzeugen</h4> |
| <ul> | | <ul> |
| <li><b>Registrieren:</b> Zunächst [https://www.cacert.org/index.php?id=1 registriert man sich an]. Hier empfiehlt es sich, im Gegensatz zu den meisten anderen Orten im Netz, seine echten persönlichen Daten anzugeben. Schliesslich möchte man das Zertifikat benutzen, um sich zu identifizieren.</li> | | <li><b>Registrieren:</b> Zunächst [https://www.cacert.org/index.php?id=1 registriert man sich an]. Hier empfiehlt es sich, im Gegensatz zu den meisten anderen Orten im Netz, seine echten persönlichen Daten anzugeben. Schliesslich möchte man das Zertifikat benutzen, um sich zu identifizieren.</li> |
| <li><b>email-Adressen hinzufügen:</b> jetzt meldet man sich rechts im Menü auf der [https://www.cacert.org/index.php?id=4 CAcert-Seite] an und gelangt so in sein persönliches Konto. Man wählt wiederum rechts im Menü <i>+ E-Mail-Konto</i>, klappt es aus und geht auf <i>Hinzufügen</i>. Hier sollte man alle Adressen hinzufügen mit denen man vorhat zu unterschreiben. Vorsicht bei googlemail: auch wenn man selbst nur <i>name</i>@gmail.com verwendet, verschickt googlemail die emails immer als <i>name</i>@googlemail.com. Man muss also sowohl <i>name</i>@gmail.com als auch <i>name</i>@googlemail.com hinzufügen, sonst kommt es zu Fehlern.</li> | | <li><b>email-Adressen hinzufügen:</b> jetzt meldet man sich rechts im Menü auf der [https://www.cacert.org/index.php?id=4 CAcert-Seite] an und gelangt so in sein persönliches Konto. Man wählt wiederum rechts im Menü <i>+ E-Mail-Konto</i>, klappt es aus und geht auf <i>Hinzufügen</i>. Hier sollte man alle Adressen hinzufügen mit denen man vorhat zu unterschreiben. Vorsicht bei googlemail: auch wenn man selbst nur <i>name</i>@gmail.com verwendet, verschickt googlemail die emails immer als <i>name</i>@googlemail.com. Man muss also sowohl <i>name</i>@gmail.com als auch <i>name</i>@googlemail.com hinzufügen, sonst kommt es zu Fehlern.</li> |
− | <li><b>Zertifikat ausstellen:</b> Man klickt rechts im Menü auf <i>+ Client-Zertifikate</i> und dann auf <i>neu</i>. Nun wählt man die email-Adressen aus, für die das Zertifikat gelen soll (die Auswahlmöglichkeit besteht aus den eben hinzugefügten), klickt <i>Signieren mit dem Klasse 1 Root Zertifikat</i> und setzt einen Haken bei <i>Zertifikats-Anmeldung mit diesem Zertifikat aktivieren</i>. Mit <i>weiter</i> geht's auf die nächste Seite. Dort wählt man unter <i>Schlüsselgröße</i> hochgradig aus (entspricht z.Z. 4096Byte) und klickt auf erstellen. Je nach System fügt man den Schlüssel nun seinem System hinzu, wie man es für das [[http://wiki.attraktor.org/index.php?title=Mac_nix_basteln:SMIME&action=submit#Wurzelzertifikate_installieren Wurzelzertifikat]] getan hat.</li> | + | <li><b>Zertifikat ausstellen:</b> Man klickt rechts im Menü auf <i>+ Client-Zertifikate</i> und dann auf <i>neu</i>. Nun wählt man die email-Adressen aus, für die das Zertifikat gelten soll (die Auswahlmöglichkeit besteht aus den eben hinzugefügten), klickt <i>Signieren mit dem Klasse 1 Root Zertifikat</i> und setzt einen Haken bei <i>Zertifikats-Anmeldung mit diesem Zertifikat aktivieren</i>. Mit <i>weiter</i> geht's auf die nächste Seite. Dort wählt man unter <i>Schlüsselgröße</i> hochgradig aus (entspricht z.Z. 4096bit) und klickt auf erstellen.</li> |
| </ul> | | </ul> |
| + | <br> |
| + | <h4>Eigenes Zertifikat installieren</h4> |
| + | Je nach System fügt man den Schlüssel nun seinem System hinzu: |
| + | <ul> |
| + | <li><b>OS X (Safari / Apple Mail)</b>: wie man es schon für das [http://wiki.attraktor.org/Mac_nix_basteln:SMIME#Wurzelzertifikate_installieren Wurzelzertifikat] getan hat. Danach gibt es in Apple Mail zwei neue Symbole beim Verfassen eienr neuen Nachricht. Ein Schloss zum Verschlüsseln und ein Stift zum signieren.</li> |
| + | <li><b>Windows (Internet Explorer / Outlook)</b>: Zuerst [http://www.uni-muenster.de/WWUCA/info/howto-restore-outlook.html das], dann [http://www.uni-muenster.de/WWUCA/info/howto-select-outlook.html das], und dann [http://www.uni-muenster.de/WWUCA/info/howto-email-smime-outlook.html das].</li> |
| + | <li><b>Firefox / Thunderbird (egal welches Betriebssystem)</b>: Man geht in Firefox unter ''Einstellungen / Erweitert / Verschlüsselung / Zertifikate anzeigen / Ihre Zertifikate'' und dann auf sichern. Mit dem gespeicherten Zertifikat befolgt [http://www.thunderbird-mail.de/wiki/Mailverschl%C3%BCsselung_mit_S/MIME#Installation_des_eigenen_Zertifikates_im_Zertifikat-Manager diese Anleitung] für ''Thunderbird''</li> |
| + | </ul> |
| + | |
| + | |
| + | Das war's auch schon. Nun sollte das jeweilige email-Programm in der Lage sein Nachrichten zu signieren und auch zu verschlüsseln. Letzteres vorausgesetzt man hat den öffentlichen Schlüssel des Empfängers - was man automatisch hat sobald man einmal eine signierte Nachricht von demjenigen empfangen hat. |
| + | |
| | | |
− | Das war's auch schon. Nun sollte das jeweilige email-Programm in der Lage sein Nachrichten zu signieren und auch zu verschlüsseln (letzteres vorausgesetzt man hat den öffentlichen Schlüssel des Empfängers).
| + | ==Siehe auch== |
| + | * [[Pidgin_OTR_Tutorial|Pidgin OTR Tutorial]] |
| + | * [[Thunderbird_Enigmail_Tutorial|Thunderbird Enigmail Tutorial]] |
| + | * [[Tor_Browser_Bundle_Tutorial|Tor Browser Bundle Tutorial]] |
| + | * [[TrueCrypt_Tutorial|TrueCrypt Tutorial]] |
| + | * [[Secure_Passwords_Tutorial|Secure Passwords Tutorial]] |
Eine Signatur stellt sicher, dass der Absender der ist, der er vorgibt zu sein und dass die Nachricht unterwegs nicht verändert wurde. Sie entspricht also in etwa einem Siegel auf einem konventionellen Brief.
Verschlüsselung stellt sicher, dass nur designierte Empfänger die Nachricht lesen kann. Sie entspricht also grob dem Umschlag eines konventionellen Briefes. Eine unverschlüsselte Nachricht entspricht also in etwa einer Postkarte: Jeder unterwegs kann sie lesen und auch drin rum kritzeln.
Das Unterschreiben und Verschlüsseln erfolgt durch sog. Zertifikate. Dabei gibt es verschiedene Typen. Man kann nämlich nicht nur Strompost verschlüsseln, sondern auch Quelltext unterschreiben und der Gleichen. Da wir hier von Strompost reden, reicht uns ein Klasse 1 Zertifikat. Doch woher bekommt man das? Dies kann von den oben genannten Zertifikatsstellen ausgestellt werden. Derer gibt es sehr viele: z.B. Verisign, thawte... oder auch große Firmen haben ihre eigenen Wurzelzertifikate (Telekom, Visa....). Diese ganzen Wurzelzertifikate sind bei den Betriebsystemen bzw. den Mozillaprodukten (Firefox und Thunderbird - welche im Gegensatz zu den anderen Browsern und email-Progs nicht auf die Schlüsseldatenbank des Betriebssystems zurückgreifen) idR. vorinstalliert. Das Problem ist, dass die meisten Geld für die Ausstellung eines Zertifikats für den Anwender haben möchten. Der nicht gewinnorientierte Verein CAcert stellt sie kostenlos aus.