Email-Verschlüsselung Lars Tremmel ETH Informatikdienste Managed Services September 2013 Informatikdienste ETH Zürich 1/17

Informatikdienste ETH Zürich Agenda 1. Was ist das persönliche Emailzertifikat ? (S. 3 - 4) 2. Verschlüsselte Email als Antwort verschicken (S. 5 - 6) 3. Verschlüsselte Email als neue Email verschicken (S. 7 - 10) 4. Besonderheit innerhalb ETH-Rat-Stab und ETH-BK (S. 11) 5. Mögliche Probleme (S. 12) 6. Zusammenfassung (S. 13) 7. FAQ (S. 14 - 16) 8. Fragen (S. 17) September 2013 Informatikdienste ETH Zürich 2/17

1. Was ist das persönliche Emailzertifikat? Der Benutzer kann damit E-Mails verschlüsselt versenden. Aber: Der Betreff wird nicht verschlüsselt, nur der Inhalt inkl. Anhang. Es stellt sicher, dass die Email tatsächlich vom Absender verschickt und nicht durch andere geändert wurde und ist personengebunden (= persönlich). Es setzt sich aus zwei Teilen zusammen, dem «öffentlichen Zertifikat» (= öffentlicher Schlüssel) und «privaten Zertifikat». (= privater Schlüssel) Abb 1: Mickey schickt Donald eine verschlüsselte Email September 2013 Informatikdienste ETH Zürich 3/17

Informatikdienste ETH Zürich Wenn Mickey nun Donald eine verschlüsselte Email schicken will: Zuerst muss Donald sein öffentliches Zertifikat per signierter E-Mail an Mickey schicken. Mickey schreibt eine E-Mail an Donald und verschlüsselt sie mit Hilfe von Donalds öffentlichem Zertifikat. Die E-Mail wird verschlüsselt übertragen. Donald bekommt die verschlüsselte E-Mail und verwendet (automatisch) sein privates Zertfikat, um sie zu entschlüsseln. Da die Mail mit Donalds öffentlichem Zertifikat verschlüsselt wurde, kann sie nur mit Donalds privatem Zertifikat wieder entschlüsselt werden. So kann sich Mickey sicher sein, dass niemand außer Donald die verschlüsselte Mail entschlüsseln kann. Natürlich funktioniert das ganze auch umgekehrt - Mickey schickt sein öffentliches Zertfikat an Donald, usw... September 2013 Informatikdienste ETH Zürich 4/17

2. Verschlüsselte Email als Antwort verschicken 1. Man kann eine verschlüsselte Email als Antwort (Abb.2., 1) auf eine bereits signierte und verschlüsselte Email (zu erkennen an den Symbolen «Signatur» und «Verschlüsselt», Abb.2, 2), die man vom anderen erhalten hat, verschicken. Abb.2: Empfangene Email, signiert und verschlüsselt September 2013 Informatikdienste ETH Zürich 5/17

Informatikdienste ETH Zürich 2. Die Optionen «Signieren» und «Verschlüsseln» werden dabei in der Antwort-Email automatisch gesetzt (Abb.3, 1), man muss die Email nur noch abschicken. Abb.3: Antwort auf eine signierte und verschlüsselte Email September 2013 Informatikdienste ETH Zürich 6/17

3. Verschlüsselte Email als neue Email verschicken 1. Man lässt sich einmalig vom anderen eine signierte Email schicken und speichert den Kontakt mit seinem öffentlichen Zertifikat (Abb.4, 1, rotes Emblem) wie folgt. 2. Mit der rechten Maustaste auf den Namen des Empfängers klicken (Abb.4, 2). 3. «Zu Outlook-Kontakten hinzufügen» wählen (Abb.4, 3). Abb.4: Email einer externen Person mit Signatur September 2013 Informatikdienste ETH Zürich 7/17

Informatikdienste ETH Zürich 4. Es öffnet sich das Fenster mit den Kontaktinformationen. Zum Überprüfen, ob der Kontakt ein öffentliches Zertifkat besitzt, kann man auf «Zertifikate» (Abb.5, 1) klicken. Abb.5: Zertifikat eines Kontaktes prüfen September 2013 Informatikdienste ETH Zürich 8/17

Informatikdienste ETH Zürich 5. Besitzt der Kontakt ein öffentliches Zertifikat, wird es hier angezeigt (Abb.6, 1). 6. Auf «Speichern & schliessen» klicken (Abb.6, 2) 7. Der Kontakt ist dann mit seinem Zertifikat gespeichert und man kann in Zukunft neue Emails immer signiert und verschlüsselt an ihn senden. Abb.6: Zertifikatsinformationen September 2013 Informatikdienste ETH Zürich 9/17

Informatikdienste ETH Zürich 6. Beim Erstellen einer neuen Email an den Kontakt müssen die Optionen «Signieren» und «Verschlüsseln» (Abb 7., 1) noch manuell gesetzt werden, dies erfolgt nicht automatisch. Abb.7: Neue Email, Optionen «Signieren» und «Verschlüsseln» manuell gesetzt September 2013 Informatikdienste ETH Zürich 10/17

4. Besonderheit innerhalb ETH-Rat Stab und ETH-BK Die Mitarbeiter des ETH-Rat Stabes und der ETH-BK können sich in Zukunft neue Emails direkt untereinander signiert und verschlüsselt schicken, ohne vorab signierte Emails ausgetauscht oder den anderen als Kontakt gespeichert zu haben. Es müssen nur die Optionen «Signieren» und «Verschlüsseln» manuell gesetzt werden. September 2013 Informatikdienste ETH Zürich 11/17

Informatikdienste ETH Zürich 5. Mögliche Probleme Beim Abschicken einer signierten und verschlüsselten Email erscheint dieses Fenster: Abb.8: Verschlüsselungsprobleme Grund: Der Absender ist nicht im Besitz eines gültigen öffentlichen Zertifikates des Empfängers. Lösungen: Man lässt sich vom anderen eine signierte und verschlüsselte Email mit gültigem öffentlichem Zertifikat schicken und antwortet darauf oder… …man lässt sich vom anderen eine signierte Email schicken, speichert den Kontakt mit seinem gültigen öffentlichen Zertifikat und schickt dann eine neue signierte und verschlüsselte Email an den anderen. September 2013 Informatikdienste ETH Zürich 12/17

Informatikdienste ETH Zürich 6. Zusammenfassung 1. Wollen zwei Personen verschlüsselte Emails miteinander austauschen, benötigen beide ein persönliches Emailzertifikat und vor dem Austausch bereits jeweils das öffentliche Zertifikat vom anderen. 2. Das öffentliche Zertifikat erhält man durch eine signierte Email vom anderen. Man kann darauf entweder direkt antworten, oder den Kontakt dauerhaft mit seinem öffentlichen Zertifikat speichern, so dass eine neue Email an diesen immer signiert und verschlüsselt werden kann. Sie wollen… Voraussetzungen … eine signierte Mail senden Sie benötigen ein persönliches Emailzertifikat. … eine signierte Mail empfangen Der Absender benötigt ein persönliches Emailzertifikat. … eine verschlüsselte Mail senden Der Absender benötigt ein persönliches Emailzertifikat Sie benötigen das öffentliche Zertifikat des Empfängers. … eine verschlüsselte Mail empfangen Der Absender benötigt Ihr öffentliches Zertifikat. … eine signierte UND verschlüsselte Mail senden … eine signierte UND verschlüsselte Mail empfangen September 2013 Informatikdienste ETH Zürich 13/17

Informatikdienste ETH Zürich 7. FAQ 1. Was passiert, wenn mein persönliches Emailzertifikat abgelaufen ist ? Alle Emails, die mit dem abgelaufenen Zertifikat verschlüsselt wurden oder empfangen wurden, können noch gelesen werden. Neue Emails können damit nicht mehr signiert oder verschlüsselt werden. 2. Was passiert, wenn das persönliche Emailzertifikat des Empfängers abgelaufen ist ? Man kann dem Empfänger dann keine verschlüsselte Email mehr zuschicken und erhält eine entsprechende Warnung (siehe Abb.8: Verschlüsselungsprobleme). 3. Was muss ich beachten, wenn ich ein neues Emailzertifikat bekommen habe ? Bevor mir ein anderer eine verschlüsselte Email schicken kann, muss ich ihm wieder meinen neuen öffentlichen Schlüssel per signierter Email schicken. 4. Was passiert, wenn der Empfänger ein neues persönliches Zertifikat hat, ich aber noch sein altes gespeichert habe ? Man kann dem Empfänger dann zwar eine verschlüsselte Email schicken, er kann diese aber nicht mehr lesen. Der andere muss mir sein neues öffentliches Zertifikat per signierter Email schicken. 5. Kann ich eine verschlüsselte Email an einen dritten weiterleiten ? Das ist nur möglich, wenn Sender und Empfänger die Voraussetzungen zum Signieren und Verschlüsseln erfüllen. Es folgt sonst die bekannte Meldung, dass man nur unverschlüsselt verschicken kann. September 2013 Informatikdienste ETH Zürich 14/17

Informatikdienste ETH Zürich 6. Wie funktionieren Vertretungen und geteilte Mailboxen mit dem Emailzertifikat ? Da das Zertifikat persönlich, sprich personengebunden ist, kann man für Vertretungen und geteilte Mailboxen (=eine Mailbox, auf die mehrere Personen zugreifen) kein persönliches Emailzertifikat einrichten. Ver- und Entschlüsseln funktioniert nur für die Mailbox, deren "Besitzer" man ist. 7. Kann man auch nur verschlüsselt abschicken, aber nicht signiert ? Ja, aber nur, wenn man den Empfänger bereits als Kontakt mit seinem Zertifikat gespeichert hat. Sollte der Empfänger aber den Sender mit seinem Zertifikat nicht als Kontakt gespeichert haben, wird er die Email nicht entschlüsseln können. Die Empfehlung lautet daher: Wenn man etwas verschlüsselt verschickt, immer auch signieren. 8. Was passiert, wenn mein Rechner neu installiert wird oder ich einen neuen Computer bekomme ? In diesem Fall müssen das aktuelle Emailzertifikat und - falls vorhanden - alle alten Emailzertifikate erneut installiert werden. 9. Funktioniert signieren und verschlüsseln auf allen meinen Computern ? Nein. Es funktioniert nur dort, wo das persönliche Emailzertifikat installiert wurde und auch nur für genau dieses Benutzerprofil. 10. Wie lange ist mein persönliches Emailzertifikat gültig und wie erhalte ich bei Ablauf ein neues ? Es ist 3 Jahre gültig. Bei Ablauf wird zeitnah wieder ein neues Emailzertifikat installiert, ein Antrag dazu ist nicht nötig. September 2013 Informatikdienste ETH Zürich 15/17

Informatikdienste ETH Zürich 11. Was passiert mit einem bestehenden Kontakt, wenn ich Ihn erneut mit seinem öffentlichen Zertifikat speichere ? Bestehende Kontakte können einfach ergänzt werden. 12. Werden Anhänge auch mitverschlüsselt, wenn ich eine verschlüsselte Email verschicke ? Ja. Der gesamte Inhalt der Email inklusive aller Anhänge wird verschlüsselt, jedoch nicht der Betreff. September 2013 Informatikdienste ETH Zürich 16/17

Informatikdienste ETH Zürich 8. Fragen ? September 2013 Informatikdienste ETH Zürich 17/17