Verschlüsselung: Lotus-intern ein Kinderspiel – und mit Partnern ausserhalb der UZH?
Mit Lotus Notes und iNotes ist es ein Leichtes, eine E-Mail zu verschlüsseln und so dafür zu sorgen, dass ausschliesslich der Empfänger sie lesen kann. Die Optionen gehen gar noch weiter: es kann auch verhindert werden, dass die E-Mail weitergeleitet oder kopiert werden kann, sofern auch die Option „Keine Kopie erlauben“ angewählt wird.
In Lotus Notes ist das so einfach, weil Lotus eine interne Zertifizierungsstelle hat. Bei Erstellung eines Lotus Kontos wird jeder Person ein Zertifikat ausgestellt. Jede Person erhält automatisch einen privaten Schlüssel für die Entschlüsselung und digitale Signierung von E-Mails. Gleichzeitig wird ein öffentlicher Schlüssel erstellt und verfügbar gemacht, der allen Lotus Benutzern zugänglich ist und erlaubt, eine E-Mail an eine bestimmte Person nur für diese zu verschlüsseln. Die Zertifizierungsstelle garantiert die Echtheit des Schlüsselpaars und somit des Zertifikates.
Damit eine E-Mail an einen beliebigen Empfänger verschlüsselt werden kann, muss das öffentliche Zertifikat des Empfängers verfügbar sein. Im Domino Directory ist für alle Angehörigen der UZH das öffentliche Zertifikat hinterlegt. Das erklärt auch die Warnung, welche erscheint, wenn versucht wird, an eine externe Person eine verschlüsselte E-Mail zu schicken.
Wie bekommes Sie den öffentlichen Schlüssel eines E-Mail Partners?
Am einfachsten ist es, wenn der Partner eine digital signierte E-Mail schickt. Bei Erhalt einer solchen E-Mail erscheint in der Regel eine Warnung, dass die Zertifizierungsstelle, welche den Schlüssel des Absenders unterzeichnet hat, nicht bekannt ist und die Frage, ob dem Zertifikat und dem mitgeschickten öffentlichen Schlüssel vertraut werden soll, wird gestellt.
Sind Sie sicher, dass die E-Mail tatsächlich von der entsprechenden Person stammt, kann dem Zertifikat vertrauen. In obigem Beispiel hat die Person ein Zertifikat verwendet, welches kostenlos bei CAcert.org bezogen werden kann, aber keinen Namen im Zertifikat enthält, faktisch also nur sichergestellt ist, dass die E-Mail Adresse gültig ist. Bei kommerziell erhältlichen Zertifikaten steht im Feld Subject alternate names auch Vorname und Name des Absenders.
Als nächster Schritt wird der Absender ins eigene Adressbuch aufgenommen.
Wir werden gebeten, die Angaben zur Person zu vervollständigen und es muss bestätigt werden, dass auch das Internet Zertifikat mit dem Kontakt abgelegt werden soll.
Wenn jetzt eine E-Mail an Felix Musterknabe geschickt wird, kann die Verschlüsselung aktiviert werden. Die zu Beginn gezeigte Warnung erscheint nicht mehr und die E-Mail wird jetzt verschlüsselt versendet.
Damit ist der umgekehrte Weg, wie also ein externer Benutzer Ihnen eine verschlüsselte E-Mail zustellen kann, leider noch nicht geklärt. Klar ist, dass der externe Benutzer Ihren öffentlichen Schlüssel dazu braucht. Die Zertifizierungsbehörde in Lotus Notes ist leider nur eine Lotus Notes interne Zertifizierungsbehörde. Diese Zertifikate können also nicht für den Internet-Verkehr benutzt werden. Dazu wird ein Internet S/MIME Zertifikat benötigt, welches in Lotus Notes integriert werden muss.
Internet Zertifikat in Lotus Notes integrieren
Verschiedene Zertifizierungsbehörden bieten Internet Zertifikate an. Bei einigen können Zertifikate kostenlos bezogen werden (z.B. bei startssl.com). Allerdings wird bei diesen Angeboten meist ausschliesslich die E-Mail Adresse verifziert, Ihr Namen wird also nicht im Zertifikat enthalten sein. Wer den Namen auch im Zertifikat haben will, muss auf kostenpflichtige Angebote ausweichen. Die Client CA der Universität Zürich zertifiziert auch den Namen, hat aber den Nachteil, dass die Zertifikate nicht automatisch anerkannt sind. Das wiederum schafft Probleme im Austausch und irritiert die Anwender. Aus diesem Grund werden die Informatikdienste in Zukunft Zertifikate in Zusammenarbeit mit SWITCH und QuoVadis anbieten. Wer über eine SuisseID verfügt, welche von QuoVadis ausgestellt wurde, kann bei QuoVadis kostenlos ein Zertifikat für die E-Mail Verschlüsselung beziehen.
Ein einmal erhaltenes Zertifikat muss im Lotus Notes Client oder iNotes eingebaut werden. Im Menu „File -> Security –> User Security“ können die eigenen Zertifikate eingesehen werden. Wird „Eigene Internet Zertifikate“ selektiert, sind keine vorhanden.
Jetzt können Zertifikate importiert werden. Unter „Get Certificates“ wird „Import Internet Certificates …“ ausgewählt und das Zertifikat, welches die Zertifizierungsbehörde ausgestellt hat, wird importiert.
Danach wird das neue Zertifikat unter den eigenen Internet Zertifikaten aufgelistet. Normalerweise ist jetzt nur ein Zertifikat vorhanden und das Zertifikat wird auch für die digitale Signierung und Verschlüsselung verwendet.
Sind bereits mehrere Zertifikate importiert worden (wie in meinen Fall), muss das Zertifikat markiert worden, welches für die digitale Signierung und Verschlüsselung verwendet werden soll.
Von nun an ist die Sache ein Kinderspiel. Wird eine E-Mail digital signiert, erhält der Empfänger den eigenen öffentlichen Schlüssel und kann von jetzt an verschlüsselte E-Mails zurückschreiben. So sind E-Mails im Internet sicher unterwegs.
Das Ganze funktioniert natürlich auch mit iNotes, es braucht nicht zwingend den Notes Client. Zur Zeit gilt aber eine Einschränkung. Es darf nur ein einziges Internet Zertifikat importiert werden. Sind mehrere Zertifikate vorhanden, werden aus iNotes E-Mails ohne Warnung unverschlüsselt und unsigniert verschickt. Der Fehler ist bei IBM gemeldet, wir wissen aber nicht, wie lange die Behebung dauert.
4 Reaktionen
Schreibe einen Kommentar
You must be logged in to post a comment.
Zahlreiche weitere Themen zu Lotus finden Sie im Lotus Blog, z.B. http://www.phonebook.uzh.ch – jetzt im Domino Directory!
Siehe https://www.lotus.uzh.ch/apps/id/blogrom.nsf/dx/09.03.2012154237RMAK9Q.htm
Inzwischen können via SWITCH/QuoVadis UZH Angehörige Zertifikate beziehen, welche in den meisten Fällen automatisch anerkannt sind. Siehe http://www.id.uzh.ch/dl/sicher/zertifikate/Klient/Zertifikatsadministration.html
WICHTIG: Damit das Ganze mit Switch QuoVadis Zertifikaten auch wie am Schnürchen funktioniert, unbedingt den das Zertifikat mit Firefox beziehen. Danach aus Firefox das von QuoVadis ausgestellte Zertifiakt exportieren und im Lotus Notes Client importieren.
René, Danke für diese Präzisierung. Das hat sich insofern nicht geändert, als dass schon bei unserer alten Zertifizierungssstelle der Umweng über Mozilla Thunderbird die bequemste Möglichkeit war, ohne openssl-Befehle die Zertifikate in Lotus Notes zu importieren zu können. Da mit den neuen SWTITCH/QuoVadis Zertifikaten der private Schlüssel sowieso im Browser generiert wird, ist der Einsatz von Firefox ja kein grosser Umweg mehr.