Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?

Roberto Mazzoni  May 25 2012 05:08:06 PM
Verschlüsselung: Lotus-intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?

Mit Lotus Notes und iNotes ist es ein Leichtes, eine E-Mail zu verschlüsseln und so  dafür zu sorgen, dass ausschliesslich der Empfänger sie lesen kann. Die Optionen gehen gar noch weiter: es kann auch verhindert werden, dass die E-Mail weitergeleitet oder kopiert werden kann, sofern auch die Option „Keine Kopie erlauben“ angewählt wird.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Zustelloptionen für E-Mails


In Lotus Notes ist das so einfach, weil Lotus eine interne Zertifizierungsstelle hat. Bei Erstellung eines Lotus Kontos wird jeder Person ein Zertifikat ausgestellt. Jede Person erhält automatisch einen privaten Schlüssel für die Entschlüsselung und digitale Signierung von E-Mails. Gleichzeitig wird ein öffentlicher Schlüssel erstellt und verfügbar gemacht, der allen Lotus Benutzern zugänglich ist und erlaubt, eine E-Mail an eine bestimmte Person nur für diese zu verschlüsseln. Die Zertifizierungsstelle garantiert die Echtheit des Schlüsselpaars und somit des Zertifikates.
Damit eine E-Mail an einen beliebigen Empfänger verschlüsselt werden kann, muss das öffentliche Zertifikat des Empfängers verfügbar sein. Im Domino Directory ist für alle Angehörigen der UZH das öffentliche Zertifikat hinterlegt. Das erklärt auch die Warnung, welche erscheint, wenn versucht wird, an eine externe Person eine verschlüsselte E-Mail zu schicken.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Verschlüsselung ist bei fehlendem öffentlichen Schlüssel nicht möglich


Wie bekomme ich den öffentlichen Schlüssel eines E-Mail Partners?
Am einfachsten ist es, wenn der Partner eine digital signierte E-Mail schickt. Bei Erhalt einer solchen E-Mail erscheint in der Regel eine Warnung, dass die Zertifizierungsstelle, welche den Schlüssel des Absenders unterzeichnet hat, nicht bekannt ist und die Frage, ob dem Zertifikat und dem mitgeschickten öffentlichen Schlüssel vertraut werden soll, wird gestellt.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Soll dem Zertifikat getraut werden?

Wenn ich mir sicher bin, dass mir tatsächlich die gewünschte Person eine E-Mail zugestellt hat, kann ich dem Zertifikat trauen. In obigem Beispiel hat die Person ein Zertifikat verwendet, welches kostenlos bei CAcert.org bezogen werden kann, aber keinen Namen im Zertifikat enthält, faktisch also nur sichergestellt ist, dass die E-Mail Adresse gültig ist. Bei kommerziell erhältlichen Zertifikaten steht im Feld Subject alternate names auch Vorname und Name des Absenders.

Als nächster Schritt wird der Absender ins eigene Adressbuch aufgenommen.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Absender mit Rechtsklick ins Adressbuch aufnehmen: links in Lotus Notes Clients, rechts in iNotes.


Wir werden gebeten, die Angaben zur Person zu vervollständigen und es muss bestätigt werden, dass auch das Internet Zertifikat mit dem Kontakt abgelegt werden soll.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Kontaktangaben vervollständigen und Kontakt im persönlichen Adressbuch erstellen. Mit der Aufnahme des X.509-Zertifikates wird das benötigte Zertifikat mit dem Kontakt gespeichert.


Wenn jetzt eine E-Mail an Felix Musterknabe geschickt wird, kann die Verschlüsselung aktiviert werden. Die zu Beginn gezeigte Warnung erscheint nicht mehr und die E-Mail wird jetzt verschlüsselt versendet.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Nur der Empfänger kann sie lesen und auf dem Weg zum Empfänger im Internet ist der Inhalt verschlüsselt.


Damit ist der umgekehrte Weg, wie also ein externer Benutzer eine verschlüsselte E-Mail an mich zustellen kann, leider noch nicht geklärt. Klar ist, dass der externe Benutzer meinen öffentlichen Schlüssel braucht. Die Zertifizierungsbehörde in Lotus Notes ist leider nur eine Lotus Notes interne Zertifizierungsbehörde. Diese Zertifikate können also nicht für den Internet-Verkehr benutzt werden. Dazu wird ein Internet S/MIME Zertifikat benötigt, welches in Lotus Notes integriert werden muss.

Internet Zertifikat in Lotus Notes integrieren
Verschiedene Zertifizierungsbehörden bieten Internet Zertifikate an. Bei einigen können Zertifikate kostenlos bezogen werden (z.B. bei startssl.com). Allerdings wird bei diesen Angeboten meist ausschliesslich die E-Mail Adresse „zertifiziert“, meinen Namen habe ich so nicht im Zertifikat. Wer den Namen auch im Zertifikat haben will, muss auf kostenpflichtige Angebote ausweichen.   Die Client CA der Universität Zürich zertifiziert auch den Namen, hat aber den Nachteil, dass die Zertifikate nicht automatisch anerkannt sind. Das wiederum schafft Probleme im Austausch und irritiert die Anwender. Aus diesem Grund werden die Informatikdienste in Zukunft Zertifikate in Zusammenarbeit mit SWITCH und QuoVadis anbieten. Wer  über eine SuisseID verfügt, welche von QuoVadis ausgestellt wurde, kann bei QuoVadis kostenlos ein Zertifikat für die E-Mail Verschlüsselung beziehen.

Ein einmal erhaltenes Zertifikat muss im Lotus Notes Client oder iNotes eingebaut werden. Im Menu „File  -> Security –> User Security“ können die eigenen Zertifikate eingesehen werden. Wird „Eigene Internet Zertifikate“ selektiert, sind noch keine vorhanden.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Noch keine Internet Zertifikate importiert.


Jetzt können Zertifikate importiert werden Unter „Get Certificates“ wird „Import Internet Certificates ...“ ausgewählt und das Zertifikat, welches die Zertifizierungsbehörde ausgestellt hat, wird importiert.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Internet Zertifikat importieren


Danach wird das neue Zertifikat unter den eigenen Internet Zertifikaten aufgelistet. Normalerweise ist jetzt nur ein Zertifikat vorhanden und das Zertifikat wird auch für die digitale Signierung und Verschlüsselung verwendet.
Sind bereits mehrere Zertifikate importiert worden (wie in meinen Fall) , muss das Zertifikat ausgezeichnet werden, welches für die digitale Signierung und Verschlüsselung verwendet werden soll.
Image:Verschlüsselung: Lotus intern ein Kinderspiel - und mit Partnern ausserhalb der UZH?
Persönliche Internet Zertifikate in Lotus Notes.


Von nun an ist die Sache ein Kinderspiel. Wird eine E-Mail digital signiert, erhält der Empfänger den eigenen öffentlichen Schlüssel und kann von jetzt an verschlüsselte E-Mails zurückschreiben. So sind E-Mails im Internet sicher unterwegs.
       
Das Ganze funktioniert natürlich auch mit iNotes, es braucht nicht zwingend den Notes Client. Zur Zeit gilt aber eine Einschränkung. Es darf nur ein einziges Internet Zertifikat importiert werden. Sind mehrere Zertifikate vorhanden, werden E-Mails ohne Warnung unverschlüsselt und unsigniert verschickt. Der Fehler ist bei IBM gemeldet, wir wissen aber nicht, wie lange die Behebung  dauert.


Creative Commons License
Dieser Werk ist unter einer Creative Commons-Lizenz lizenziert.