Vertrauliche E-Mail Kommunikation mit peronalisierten Zertifikaten
Nachdem es im letzten Artikel um die E-Mail Verschlüsselung mit GnuPG und der verschlüsselten Kommunikation mit Facebook ging, widmet sich Teil 2 nun der allgemeinen, alltäglichen E-Mailverschlüsselung für den privatgen Gebrauch, insbesondere zur sicheren und vertraulichen Kommunikation z.B. mit Behörden, Ärzte, Banken oder anderen Unternehmen mit denen Sie vertrauliche Daten austauschen.
In diesem Teil erkläre ich allgemeine grundlegende Informationen zu Personen Zertifikaten die unsere Kommunikation so vertrauensvoll machen sollen.
Vorab sei eines ganz klar gesagt, dies alles hier funktioniert nur, wenn beide Kommunikationspartner ein Private / Public Key Verschlüsselungsverfahren einsetzen.
Vertrauliche Kommunikation über das Internet wird zunehmend wichtiger, wer möchte schon das dritte einfach so unsere Post lesen, beim normalen Briefverkehr öffnet ja auch niemand die Briefe.
Zuerst einmal müssen wir im Zertifikat Dschungel schauen welches für uns das richtige Zertifikat ist.
Bei den Mail Zertifikaten unterscheiden wir verschiedene Stufen, jedes Zertifikat ist eindeutig und einmalig Zuordbar zu einer E-Mailadresse, einer Person, oder einem Unternehmen oder besser gesagt, der Kombination aller vorgenannten Identifikationsmerkmale.
Eine Mailadresse gibt es weltweit nur ein einziges Mal, zumindest offiziell wirklich nur einmal, alles andere wären Fälschungen, das sogenannte Mail Spoofing.
Dementsprechend ist auch der Hash Wert der über die Zeichenfolge dieser Mailadresse berechnet wird weltweit einmalig und bei entsprechender Bitstärke nahezu fälschungssicher.
Wenn der Webserver beim eintreffen der Mail, die Absender Mailadresse mit dem Hash Mailadresse im Zertifikat vergleicht, wird direkt erkannt ob eine Mail vertrauenswürdig oder manipuliert wurde.
Genau diese Sicherheit erreichen wir schon durch die kleinste kostenlose Zertifikatsstufe, nur mit ein wenig Zeitaufwand.
Der Hashwert wird immer berechnet anhand der eindeutigen Informationen die dem Zertifikats Antrag, dem sogenannten Request zugrunde liegen.
Bei den sogenannten vertrauenswürdigen Anbietern, welche uns die Personalsign Zertifikate ausstellen, müssen wir uns das vorstellen wie bei einer Behörde die einen Ausweis vergibt. Je nach dem was man genau vorhat, benötigt man unterschiedliche Zertifikate bzw. zum Vergleich Ausweis, Reisepass oder Führerschein und was uns da sonst noch so einfällt.
Anbieter stehen uns hier viele zur Verfügung die berechtigt sind diese Zertifikate auszustellen. Diese unterliegen natürlich weltweit strengen Sicherheitskontrollen um diesen vertrauenswürdigen Status zu erhalten und solche Dokumente auszustellen.
Damit die ganzen Windows und Linux Rechner und Server weltweit auch wissen wonach sie schauen müssen, ob ein Zertifikatsaussteller vertrauenswürdig ist, wird der Zertifikatspeicher eines jeden Rechners, Server, Tablets oder Smartphones, bei jedem Update auch mit diesen Informationen versorgt, welcher Anbieter noch vertrauenswürdig ist, oder welcher auf eine Sperrliste kam oder gar neu hinzu gekommen ist zum Zertifizieren.
In meinen Beispielen werden vordergründig die Anbieter Commodo und Globalsign zu sehen sein, da dies die beiden Anbieter sind bei denen ich Zertifikate beantrage.
Schauen wir uns einmal die verschiedenen Personenzertifikate an, beginnend mit der kleinsten Sicherheitsstufe:
PersonalSign 1 CA
Diese Stufe versichert lediglich anhand des Schlüssels, dass der Absender einer E-Mail, auch wirklich seine E-Mail vom Mailserver der vorgegeben wird, versendet hat und auch wirklich im Besitz dieser E-Mailadresse ist.
Das Schlüsselpaar wird bei diesem Verfahren aus der Kombination E-Mailadresse und Passwort berechnet.
Das sorgt zum einen dafür, dass ein verschlüsselter E-Mail Austausch mit dem Gegenüber erfolgen kann, ohne dass Dritte die Mail auf dem Transportweg lesen oder verändern können.
Diese Art von Zertifikaten machen meiner Meinung nach Sinn im privaten Bereich, wenn ich mir jedes Mal sicher bin, dass ich mein Gegenüber mit dem ich schreibe kenne um sicherzustellen, dass keine unbefugten dritten was lesen.
Bei manchen Anbietern wie z.B. bei Comodo, bekommt man die C1 Zertifikate sogar kostenlos, genau dies wird mein Tutorial Ansatz in Mailverschlüsselung Teil 3 werden ?
https://www.comodo.com/home/email-security/free-email-certificate.php
PersonalSign 2CA
Beim Mailverkehr zwischen Privatpersonen und Banken oder Behörden, in denen vertrauliche Dokumente ausgetauscht werden und wo man sich gegebenenfalls als Absender ausweisen muss kommt dieses Zertifikat ins Spiel.
Hier wird das Schlüsselpaar berechnet aus der Kombination, E-Mailadresse, Vor- und Zuname und Passwort.
Die Verschlüsselung verläuft genau wie beim PersonalSign 1, hier ist aber die Besonderheit der Identitätsprüfung gegeben. Der Antragsteller für ein PersonalSign 2 Zertifikat, muss eine Kopie des Personalausweises an die Zertifizierungsstelle schicken, so wie auch den Antrag und die Bestätigung per Fax zurücksenden. In meinem Beispiel habe ich aktuell im Februar die Verlängerung bei GlobalSign gemacht da mein letztes Zertifikat am 21.03. ausgelaufen wäre.
Als Beispiel, so sieht eine Bestätigung bei GlobalSign aus:
PersonalSign 2Pro
Dieses Zertifikat schließt alle Merkmale der beiden oben genannten Zertifikate ein. Die Vertrauenswürdigkeit bezieht sich hier zusätzlich noch auf das zugehörige Unternehmen.
Das Schlüsselpaar für dieses Zertifikat wird berechnet aus der Kombination:
E-Mailadresse, Vor- und Zuname, Passwort und Unternehmensname
Als Besonderheit muss hierbei nicht nur die Person einen Identitätsnachweis schicken, sondern auch das Unternehmen wird eindeutig identifiziert anhand von Gewerbeanmeldung oder Handelsregister Auszug usw.
PersonalSign 2Department
Diese Art Zertifikat ähnelt dem Pro Zertifikat mit der Besonderheit, dass hier mehrere Personen im Auftrag einer Abteilung versender sein können. Beispiel wäre eine Mailadresse wie:
Personalabteilung@Mustermann.de
Die Nachweise hierzu muss das Unternehmen erbringen, zusätzlich zu den im Pro Zertifikat erforderlichen Nachweisen.
Beim Hashwert fehlt hier der Vor- und Zuname, dieser würde in diesem Fall durch die Organizational Unit / Department: Personalabteilung ersetzt.
PersonalSign 3 Pro
Last but not Least die höchste Vertrauensstufe, die Anforderungen exakt wie bei PersonalSign2 Pro.
Der Unterschied bei der Stufe 3, hier werden weitere Identitätsnachweise der Mitarbeiter und Unternehmen gefordert welche eine Internationale Gültigkeit haben.
Dies ist z.B. zwingend erforderlich als Identitätsnachweis bei der Kommunikation mit ausländischen Banken oder Behörden.
Im nächsten Teil der E-Mailverschlüsselung, gibt es ein Beispiel aus dem Privatbereich, mit den Zertifikatstypen PersonalSign 1 und PersonalSign 2 und einer verschlüsselte E-Mailkommunikation zwischen mir und einer fiktiven Mailadresse, für die ich ein PersonalSign 1 Zertifikat bei Comodo beantragen werde.
Falls jemand sich bis hier hin nicht gelangweilt fühlt und in Zukunft auch gerne etwas sicherer kommunizieren möchte, kann ich mein Beispiel für den nächsten Artikel auch gern gemeinsam mit einer realen Person und Mailadresse durchspielen und muss dafür keine fiktive Adresse nutzen. In dem Fall bitte einfach zeitnah bei mir melden.