Verschlüsselung: Lotus-intern ein Kinderspiel – und mit Partnern ausserhalb der UZH?

· by Roberto Mazzoni · in Allgemein

Mit Lotus Notes und iNotes ist es ein Leichtes, eine E-Mail zu verschlüsseln und so  dafür zu sorgen, dass ausschliesslich der Empfänger sie lesen kann. Die Optionen gehen gar noch weiter: es kann auch verhindert werden, dass die E-Mail weitergeleitet oder kopiert werden kann, sofern auch die Option „Keine Kopie erlauben“ angewählt wird.

Zustelloptionen für E-Mails
Zustelloptionen für E-Mails

In Lotus Notes ist das so einfach, weil Lotus eine interne Zertifizierungsstelle hat. Bei Erstellung eines Lotus Kontos wird jeder Person ein Zertifikat ausgestellt. Jede Person erhält automatisch einen privaten Schlüssel für die Entschlüsselung und digitale Signierung von E-Mails. Gleichzeitig wird ein öffentlicher Schlüssel erstellt und verfügbar gemacht, der allen Lotus Benutzern zugänglich ist und erlaubt, eine E-Mail an eine bestimmte Person nur für diese zu verschlüsseln. Die Zertifizierungsstelle garantiert die Echtheit des Schlüsselpaars und somit des Zertifikates.

Damit eine E-Mail an einen beliebigen Empfänger verschlüsselt werden kann, muss das öffentliche Zertifikat des Empfängers verfügbar sein. Im Domino Directory ist für alle Angehörigen der UZH das öffentliche Zertifikat hinterlegt. Das erklärt auch die Warnung, welche erscheint, wenn versucht wird, an eine externe Person eine verschlüsselte E-Mail zu schicken.

Verschlüsselung ist bei fehlendem öffentlichen Schlüssel nicht möglich

Verschlüsselung ist bei fehlendem öffentlichen Schlüssel nicht möglich

Wie bekommes Sie den öffentlichen Schlüssel eines E-Mail Partners?

Am einfachsten ist es, wenn der Partner eine digital signierte E-Mail schickt. Bei Erhalt einer solchen E-Mail erscheint in der Regel eine Warnung, dass die Zertifizierungsstelle, welche den Schlüssel des Absenders unterzeichnet hat, nicht bekannt ist und die Frage, ob dem Zertifikat und dem mitgeschickten öffentlichen Schlüssel vertraut werden soll, wird gestellt.

Soll dem Zertifikat getraut werden?

Soll dem Zertifikat getraut werden?

Sind Sie sicher, dass die E-Mail tatsächlich von der entsprechenden Person stammt, kann dem Zertifikat vertrauen. In obigem Beispiel hat die Person ein Zertifikat verwendet, welches kostenlos bei CAcert.org bezogen werden kann, aber keinen Namen im Zertifikat enthält, faktisch also nur sichergestellt ist, dass die E-Mail Adresse gültig ist. Bei kommerziell erhältlichen Zertifikaten steht im Feld Subject alternate names auch Vorname und Name des Absenders.

Als nächster Schritt wird der Absender ins eigene Adressbuch aufgenommen.

Absender mit Rechtsklick ins Adressbuch in Lotus Notes

Absender mit Rechtsklick ins Adressbuch in Lotus Notes

Absender mit Rechtsklick ins Adressbuch in iNotes

Absender mit Rechtsklick ins Adressbuch in iNotes

Wir werden gebeten, die Angaben zur Person zu vervollständigen und es muss bestätigt werden, dass auch das Internet Zertifikat mit dem Kontakt abgelegt werden soll.

Kontaktangaben vervollständigen und Kontakt im persönlichen Adressbuch erstellen. Mit der Aufnahme des X.509-Zertifikates wird das benötigte Zertifikat mit dem Kontakt gespeichert.

Kontaktangaben vervollständigen und Kontakt im persönlichen Adressbuch erstellen. Mit der Aufnahme des X.509-Zertifikates wird das benötigte Zertifikat mit dem Kontakt gespeichert.

Wenn jetzt eine E-Mail an Felix Musterknabe geschickt wird, kann die Verschlüsselung aktiviert werden. Die zu Beginn gezeigte Warnung erscheint nicht mehr und die E-Mail wird jetzt verschlüsselt versendet.

 Nur der Empfänger kann sie lesen und auf dem Weg zum Empfänger im Internet ist der Inhalt verschlüsselt.

Nur der Empfänger kann sie lesen und auf dem Weg zum Empfänger im Internet ist der Inhalt verschlüsselt.

Damit ist der umgekehrte Weg, wie also ein externer Benutzer Ihnen eine verschlüsselte E-Mail zustellen kann, leider noch nicht geklärt. Klar ist, dass der externe Benutzer Ihren öffentlichen Schlüssel dazu braucht. Die Zertifizierungsbehörde in Lotus Notes ist leider nur eine Lotus Notes interne Zertifizierungsbehörde. Diese Zertifikate können also nicht für den Internet-Verkehr benutzt werden. Dazu wird ein Internet S/MIME Zertifikat benötigt, welches in Lotus Notes integriert werden muss.

Internet Zertifikat in Lotus Notes integrieren

Verschiedene Zertifizierungsbehörden bieten Internet Zertifikate an. Bei einigen können Zertifikate kostenlos bezogen werden (z.B. bei startssl.com). Allerdings wird bei diesen Angeboten meist ausschliesslich die E-Mail Adresse verifziert, Ihr Namen wird also nicht im Zertifikat enthalten sein. Wer den Namen auch im Zertifikat haben will, muss auf kostenpflichtige Angebote ausweichen.   Die Client CA der Universität Zürich zertifiziert auch den Namen, hat aber den Nachteil, dass die Zertifikate nicht automatisch anerkannt sind. Das wiederum schafft Probleme im Austausch und irritiert die Anwender. Aus diesem Grund werden die Informatikdienste in Zukunft Zertifikate in Zusammenarbeit mit SWITCH und QuoVadis anbieten. Wer  über eine SuisseID verfügt, welche von QuoVadis ausgestellt wurde, kann bei QuoVadis kostenlos ein Zertifikat für die E-Mail Verschlüsselung beziehen.

Ein einmal erhaltenes Zertifikat muss im Lotus Notes Client oder iNotes eingebaut werden. Im Menu „File  -> Security –> User Security“ können die eigenen Zertifikate eingesehen werden. Wird „Eigene Internet Zertifikate“ selektiert, sind keine vorhanden.

Noch keine Internet Zertifikate importiert.

Noch keine Internet Zertifikate importiert.

Jetzt können Zertifikate importiert werden. Unter „Get Certificates“ wird „Import Internet Certificates …“ ausgewählt und das Zertifikat, welches die Zertifizierungsbehörde ausgestellt hat, wird importiert.

Internet Zertifikat importieren

Internet Zertifikat importieren

Danach wird das neue Zertifikat unter den eigenen Internet Zertifikaten aufgelistet. Normalerweise ist jetzt nur ein Zertifikat vorhanden und das Zertifikat wird auch für die digitale Signierung und Verschlüsselung verwendet.

Importiertes Zertifikat im Notes Client

Importiertes Zertifikat im Notes Client

Sind bereits mehrere Zertifikate importiert worden (wie in meinen Fall), muss das Zertifikat markiert worden, welches für die digitale Signierung und Verschlüsselung verwendet werden soll.

Persönliche Internet Zertifikate in Lotus Notes.

Persönliche Internet Zertifikate in Lotus Notes.

Von nun an ist die Sache ein Kinderspiel. Wird eine E-Mail digital signiert, erhält der Empfänger den eigenen öffentlichen Schlüssel und kann von jetzt an verschlüsselte E-Mails zurückschreiben. So sind E-Mails im Internet sicher unterwegs.

Das Ganze funktioniert natürlich auch mit iNotes, es braucht nicht zwingend den Notes Client. Zur Zeit gilt aber eine Einschränkung. Es darf nur ein einziges Internet Zertifikat importiert werden. Sind mehrere Zertifikate vorhanden, werden aus iNotes E-Mails ohne Warnung unverschlüsselt und unsigniert verschickt. Der Fehler ist bei IBM gemeldet, wir wissen aber nicht, wie lange die Behebung  dauert.

 

 

4 Reaktionen

  1. René Arnold ·

    WICHTIG: Damit das Ganze mit Switch QuoVadis Zertifikaten auch wie am Schnürchen funktioniert, unbedingt den das Zertifikat mit Firefox beziehen. Danach aus Firefox das von QuoVadis ausgestellte Zertifiakt exportieren und im Lotus Notes Client importieren.

    1. René, Danke für diese Präzisierung. Das hat sich insofern nicht geändert, als dass schon bei unserer alten Zertifizierungssstelle der Umweng über Mozilla Thunderbird die bequemste Möglichkeit war, ohne openssl-Befehle die Zertifikate in Lotus Notes zu importieren zu können. Da mit den neuen SWTITCH/QuoVadis Zertifikaten der private Schlüssel sowieso im Browser generiert wird, ist der Einsatz von Firefox ja kein grosser Umweg mehr.

Schreibe einen Kommentar