S/MIME in der Praxis

Nachdem wir uns im Kapitel Sichere eMail mit S/MIME über die theoretischen Grundlagen befasst haben, widemen wir uns im nachfolgendem Kapitel der Praxis.

Um eMails digital zu signieren und/oder verschlüsseln zu können, können wir uns nach der Registrierung bei CAcert ein Client-Zertifikat erstellen. Solange man nicht assured, also die Identität bestätigt, wurde, kann man sich lediglich ein 6 Monate gültiges Zertifikat erstellen lassen, welches zum Signieren und Ent-/Verschlüsseln genutzt werden kann. Dieses Zertifikat beinhaltet nur die eMail-Adresse, nicht den vollen Vor- und Zunamen.

Nach der Bestätigung durch zwei oder mehreren Assuren des CAcert Web of Trust, die einem die benötigte Anzahl von mind. 50 Punkten, erhält man eine Client-Zertifikat mit vollen Vor- und Zunamne, das dann eine Gültigkeit von 2 Jahren aufweist.

Das ganze Thema wurde beim Stammtisch der Piratenpartei am 04.02.2010 einem interessierten Teilnehmerkreis erklärt (Quellen in einer höheren Auflösung gibt es beim Author auf Anfrage) und anschließend Assurances erfolgreich durchgeführt:

Kurzpräsentation

Für CAcert werden durch mich Assurances durchgeführt - entweder hier zu Hause in Pliening (vornehmlich am Abend oder am Wochenende) oder auch während des Tages in München Schwabing. Terminvereinbarung und Details bitte per eMail abstimmen.

Um nun unser Zertifikat samt privaten Schlüssel, welches sich im übrigen nicht auf dem Server bei CAcert befindet, sondern im Zertifikatsmanager des Browsers, auch in unserem MUA ¹⁾ nutzen zu können, müssen wir dieses über den Zertifikatsmanager unseres Browsers Firefox im PKCS#12-Format erst einmal exportieren.

Über den Menüpunkt „Bearbeiten/Edit und Einstellungen/Preferences“ erreichen wir diesen Zertifikatsmanager.

Nach Anwahl des Zertifikates, welches wir exportieren wollen, wählen wir die Schaltfläche Backup. Als nächstes werden wir gebeten, einen Namen für die Exportdatei anzugeben.

Anschließend frägt uns Firefox nach dem Passwort des Sicherheitsschlüsselbundes von Firefox, den wir zum Beispiel auch zum Verwalten der Zugangspassworte für die diversen Webseiten nutzen.

Da in dem exportierten Zertifikat im PKCS#12-Format auch unser privater Schlüssel enthalten ist, schützen wir diesen durch eine geeignete Passphrase.

Am Ende wird uns der erfolgreiche Export unseres Zertifikates bestätigt.

Sicherheitshalber passen wir gleich noch die Dateiberechtigung unserer Schlüsseldatei an.

 $ chmod 600 cacert-key-bundle.p12

Und sichern die Datei an einem besonders geschützten Ort (Diskette oder USB-Stick).

Nach getaner Arbeit, vernichten wir die Exportdatei:

 $ shred -u cacert-key-bundle.p12

Das zuvor gesicherte Client-Zertifikat importieren wir nun in unser eMAil-Programm Evolution. Hierzu wählen wir MUA unter „Einstellungen“ den Dialog Certificate und importieren so unser zuvor gesichertes persönliches Zertifikat.

Bei den Mail Account Einstellungen aktivieren geben wir dann für den Account den betreffenden Schlüssel frei.

Nach getaner Arbeit, vernichten wir die Schlüsseldatei:

 $ shred -u cacert-key-bundle.p12

Den eMail-Client oder auch MUA ²⁾ verwenden wir nicht das RPM-Paket aus dem updates-Repository, sondern installieren das aktuelle Programmpaket per Hand.

Hierzu laden wir uns ale erstes die aktuelle Version von der Download-/Projektseite auf unseren Rechner. Das heruntergeladene Paket entpacken wir im Verzeichnis /usr/local/src

# cd /usr/local/src/packages
# tar xfvj thunderbird-3.1.7.tar.bz2

Auf unserem Desktop egen wir uns für den MailUserAgent noch einen starter an, der uns das Programm /usr/local/src/thunderbird/thunderbird an. Nach dem Aufruf des Progammes legen wir unseren User und die zugehörigen IMAP-und SMTP-Serverdefinitionen an.

Damit unsere CAcert-Zertifikat und das unserer Kontaktpersonen verwendet werden können importieren wir nun die beiden Root-Zertifikate von CAcert in unserem Mailclient. Im ersten Schritt laden wir uns die beiden Zertifikate von der CAcert Seite auf unseren Rechner, in dem wir sowohl das Class 1 Root-Zertifikat im DER-Format wie auch das Class 3 Root-Zertifikat im DER-Format auf unserem lokalen Rechner speichern.

Über den Menüpunkt [Bearbeiten] [Einstellungen] erreichen wir die Zertifikatsmanger von Thunderbird.

Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.

Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter [Zertifizierungsstellen] aus.

Zunächst importieren wir das Class 1 Zertifikat. hierzu wählen wir die Schaltfläche [Importieren …] aus.

Beim nachfolgenden Auswahlfenster wählen wir die oberen beiden Optionen Dieser CA vertrauen, um Websites zu identifizieren und Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren aus.

Wie zuvor beim Importieren des Class 1 Zertifikates, gehen wir nun beim Importieren des Class 3 Zertifikates vor.

Auch hier wählen wir beim nachfolgenden Auswahlfenster die oberen beiden Optionen Dieser CA vertrauen, um Websites zu identifizieren und Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren aus.

Damit wir nun auch unsere eigenen eMails signieren und die empfangenen entschlüsseln können müssen wir noch unser persönliches Zertifikat importieren. Falls noch nicht geschehen, exportieren wir dieses, im Webbroser Firefox vorhandenen, Zertifikates, wie im Kapitel Client-Zertifikat sichern beschrieben.

Das Importieren in den MailUserAgent Thunderbird erfolgt nun analog dem Importieren der CAcert-Rootzertifikate.

Über den Menüpunkt [Bearbeiten] [Einstellungen] erreichen wir die Zertifikatsmanger von Thunderbird.

Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.

Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter [Ihre Zertifikate] aus.

Zum Installieren unseres privaten Zertifikates wählen wir die Schaltfläche [Importieren …] aus.

Im nächsten Schritt wird die Passphrase der Schlüsseldatei, die wir beim Sichern des Zertifikates angegeben hatten, abgefragt.

Das erfolgreiche Importieren unseres Sicherheitszertifikates und unseres persönlichen Schlüssels wird uns entsprechend positiv bestätigt.

Am Ende des Importvorganges finden wir nun unser Zertifikat im Zertifikatsmanager von Thunderbird vor.

Nach getaner Arbeit, vernichten wir die Schlüsselbundimportdatei, die wire soeben in Thunderbird integrierd haben:

$ shred -u michi-crt.p12

Damit wir nun unser zuvor importiertes Zertifikat zum Signieren und Entschlüsseln, verwenden können, müssen wir noch unseren Schlüssel mit unserem Benutzerkonto verknüpfen. Hierzu wählen wir den Menüpunkt [Bearbeiten] [Konten-Einstellungen…] aus.

Beim Menüpunkt S/MIME Sicherheit wählen wir nun unser importiertes Zertifikat sowohl beim Punkt Digitale Unterschrift als auch beim Punkt Verschlüsselung aus.