13 E-Mails signieren | Inhalt |
Sie haben in Kapitel 11 gelesen, wie Sie sich von der Echtheit eines öffentlichen OpenPGP-Zertifikats überzeugen und es dann mit Ihrem eigenen geheimen OpenPGP-Schlüssel signieren können.
Dieses Kapitel beschäftigt sich damit, wie Sie nicht nur ein Zertifikat, sondern auch eine komplette E-Mail signieren können. Das bedeutet, dass Sie die E-Mail mit einer digitalen Signatur versehen - einer Art elektronischem Siegel.
So „versiegelt“ ist der Text dann zwar noch für jeden lesbar, aber der Empfänger kann feststellen, ob die E-Mail unterwegs manipuliert oder verändert wurde.
Die Signatur garantiert Ihrem Empfänger, dass die Nachricht tatsächlich von Ihnen stammt. Und: Wenn Sie mit jemandem korrespondieren, dessen öffentliches Zertifikat Sie nicht haben (aus welchem Grund auch immer), können Sie so die Nachricht wenigstens mit Ihrem eigenen privaten Schlüssel „versiegeln“.
Sie haben sicher bemerkt, dass diese digitale Signatur nicht mit der E-Mail-„Signatur“ identisch ist, die man manchmal unter eine E-Mail setzt und die z.B. Telefonnummer, Adresse und Webseite nennt. Während diese E-Mail-Signaturen einfach nur als eine Art Visitenkarte fungieren, schützt die digitale Signatur Ihre E-Mail vor Manipulationen und bestätigt den Absender eindeutig.
Übrigens ist die digitale Signatur auch nicht mit der qualifizierten elektronischen Signatur gleichzusetzen, wie sie im Signaturgesetz vom 22. Mai 2001 in Kraft getreten ist. Für die private oder berufliche E-Mail-Kommunikation erfüllt sie allerdings genau denselben Zweck.
Tatsächlich ist die Signierung einer E-Mail noch einfacher als die Verschlüsselung (vgl. Kapitel 12). Nachdem Sie eine neue E-Mail verfasst haben, gehen Sie - analog zur Verschlüsselung - folgende Schritte durch:
Auf den nächsten Seiten werden diese Schritte im Detail beschrieben.
Verfassen Sie zunächst in Outlook eine neue E-Mail und adressieren Sie diese an Ihren Korrespondenzpartner.
Bevor Sie Ihre Nachricht abschicken, geben Sie noch an, dass Ihre Nachricht signiert versendet werden soll: Dazu aktivieren Sie die Schaltfläche mit dem signierenden Stift oder alternativ den Menüeintrag Format -> Nachricht signieren.
Ihr E-Mail-Fenster sollte anschließend etwa so aussehen:
Klicken Sie nun auf [Senden].
Genauso wie beim Verschlüsseln von E-Mails erkennt Gpg4win automatisch, für welches Protokoll - OpenPGP oder S/MIME - Ihr eigenes Zertifikat (mit dem geheimen Schlüssel zum Signieren) vorliegt.
Sollten Sie ein eigenes OpenPGP- und S/MIME-Zertifikat mit der gleichen E-Mail-Adresse besitzen, fragt Sie Kleopatra vor dem Signieren nach dem gewünschten Protokollverfahren:
Haben Sie vom gewählten Verfahren mehrere eigene Zertifikate (z.B. zwei OpenPGP-Zertifikate zu der gleichen E-Mail-Adresse), dann öffnet Kleopatra ein Fenster, in dem Ihre eigenen Zertifikate (hier OpenPGP) angezeigt werden, zu denen Ihnen jeweils ein geheimer Schlüssel vorliegt:
Bestätigen Sie Ihre Auswahl anschließend mit [OK].
Um die Signierung Ihrer E-Mail abzuschließen, werden Sie aufgefordert, im folgenden Pinentry-Fenster Ihre geheime Passphrase einzugeben:
Dies ist notwendig, denn Sie wissen:
Logisch, denn nur Ihr geheimer Schlüssel bestätigt Ihre Identität. Der Korrespondenzpartner kann dann mit Ihrem öffentlichen Zertifikat, das er bereits hat oder sich besorgen kann, Ihre Identität prüfen. Denn nur Ihr geheimer Schlüssel passt zu Ihrem öffentlichen Zertifikat.
Bestätigen Sie Ihre Passphrase-Eingabe mit [OK]. Ihre Nachricht wird nun signiert und versendet.
Nach erfolgreicher Signierung Ihrer Nachricht erhalten Sie folgenden Ergebnisdialog:
Herzlichen Glückwunsch! Sie haben Ihre erste E-Mail signiert!
Sie haben gelernt, wie Sie eine E-Mail mit Ihrem eigenen Zertifikat - das Ihren geheimen Schüssel enthält - signieren.
Sie wissen, wie Sie eine E-Mail mit dem öffentlichen Zertifikat Ihres Korrespondenzpartners verschlüsseln.
Damit beherrschen Sie nun die beiden wichtigsten Techniken für einen sicheren E-Mail-Versand: verschlüsseln und signieren.
Natürlich können Sie beide Techniken auch kombinieren. Entscheiden Sie ab sofort bei jeder neuen E-Mail, wie Sie Ihre Nachricht versenden wollen - je nachdem, wie wichtig und schutzbedürftig der Inhalt Ihrer E-Mail ist:
Diese vier Kombinationen können Sie entweder mit OpenPGP oder mit S/MIME realisieren.
Angenommen, Sie erhalten eine signierte E-Mail Ihres Korrespondenzpartners.
Die Überprüfung dieser digitalen Signatur ist sehr einfach. Alles, was Sie dazu brauchen, ist das öffentliche OpenPGP- oder X.509-Zertifikat Ihres Korrespondenzpartners. Dessen öffentliches Zertifikat sollten Sie vor der Überprüfung bereits in Ihre Zertifikatsverwaltung importiert haben (vgl. Kapitel 10).
Um eine signierte OpenPGP- oder S/MIME-E-Mail zu prüfen, gehen Sie genauso vor wie bei der Entschlüsselung einer E-Mail (vgl. Kapitel 9):
Starten Sie Outlook und öffnen Sie eine signierte E-Mail.
GpgOL übergibt die E-Mail automatisch an Kleopatra zur Prüfung der Signatur. Kleopatra meldet das Ergebnis in einem Statusdialog, z.B.:
Die Signaturprüfung war erfolgreich! Schließen Sie den Dialog, um die signierte E-Mail zu lesen.
Möchten Sie die Überprüfung noch einmal manuell aufrufen, so wählen Sie im Menü der geöffneten E-Mail Extras -> GpgOL Entschlüsseln/Prüfen.
Sollte die Signaturprüfung fehlschlagen, dann bedeutet das, dass die Nachricht bei der Übertragung verändert wurde. Aufgrund der technischen Gegebenheiten im Internet ist es nicht auszuschließen, dass die E-Mail durch eine fehlerhafte Übertragung unabsichtlich verändert wurde. Das ist zunächst der wahrscheinlichste Fall. Es kann jedoch auch bedeuten, dass der Text absichtlich verändert wurde.
Wie Sie in einem solchen Fall mit der gebrochenen Signatur umgehen sollten, erfahren Sie im Abschnitt 13.3.
Es gibt mehrere Gründe, die zu einem Bruch einer Signatur führen können:
Wenn Sie bei einer Signaturprüfung den Vermerk „Bad signature“ oder „Überprüfung fehlgeschlagen“ erhalten, ist das ein Warnsignal, dass Ihre E-Mail manipuliert sein könnte! D.h., jemand hat vielleicht den Inhalt oder den Betreff der E-Mail verändert.
Allerdings muss eine gebrochene Signatur nicht zwangsläufig bedeuten, dass die E-Mail manipuliert wurde. Es ist ebenfalls nicht auszuschließen, dass die E-Mail durch eine fehlerhafte Übertragung verändert wurde.
Nehmen Sie in jedem Fall eine gebrochene Signatur ernst und fordern
Sie immer die E-Mail erneut beim Absender an!
Es ist empfehlenswert, Ihr E-Mail-Programm so einzustellen, dass
Sie E-Mails nur im „Text“-Format und nicht im
„HTML“-Format versenden. Sollten Sie dennoch HTML für signierte
oder verschlüsselte E-Mails verwenden, können dabei beim Empfänger
die Formatierungsinformationen verloren gehen, was zum Bruch der
Signatur führen kann.
Bei Outlook 2003 und 2007 können Sie unter Extras -> Optionen -> E-Mail-Format das Nachrichtenformat auf Nur Text umstellen.
Sie wissen: Normalerweise verschlüsseln Sie eine Nachricht mit Hilfe des öffentlichen Zertifikats Ihres Korrespondenzpartners, der dann mit seinem geheimen Schlüssel die E-Mail entschlüsselt.
Die umgekehrte Möglichkeit - Verschlüsselung mit dem geheimen Schlüssel - macht keinen Sinn, weil alle Welt das dazugehörige öffentliche Zertifikat kennt und die Nachricht damit entschlüsseln könnte.
Wie Sie aber in diesem Kapitel bereits gelesen haben, gibt es aber ein anderes Verfahren, um mit Ihrem geheimen Schlüssel eine Datei zu erzeugen: die Signatur.
Solch eine digitale Signatur bestätigt eindeutig die Urheberschaft - denn wenn jemand Ihr öffentliches Zertifikat auf diese Datei (die Signatur) anwendet und diese Prüfung erfolgreich ist, so kann diese Datei nur von Ihrem privaten Schlüssel kodiert worden sein. Und zu dem dürfen ja nur Sie selbst Zugang haben.
Sie können beide Möglichkeiten kombinieren, also die E-Mail verschlüsseln und signieren:
Damit hat die Botschaft sozusagen zwei Sicherheitsmerkmale:
Ihr Korrespondenzpartner öffnet die äußere, starke Hülle mit seinem eigenen geheimen Schlüssel. Hiermit ist die Geheimhaltung gewährleistet, denn nur dieser Schlüssel kann den Text dekodieren. Das Siegel liest er mit Ihrem öffentlichen Zertifikat und hat den Beweis Ihrer Urheberschaft, denn wenn Ihr öffentliches Zertifikat passt, kann das Siegel (die digitale Signatur) nur mit Ihrem geheimen Schlüssel kodiert worden sein.
Sehr trickreich und - wenn man ein wenig darüber nachdenkt - auch ganz einfach.
© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der
GNU Free Documentation License v1.2 lizensiert.
13 E-Mails signieren | Inhalt |