Zertifikate mit Openssl

Einleitung

Nicht jeder hier hat einen Webserver und noch weniger haben einen Webserver mit ssl Verschlüsselung, aber jeder hier hat E-Mail und sollte sich Gedanken über digitale Unterschrift oder sogar Verschlüsselung machen.

Aus diesem Grund will ich hier auf die Verwendung von Zertifikaten in Verbindung mit E-Mail eingehen und den Webserverteil vernachlässigen.

Problem

Schauen wir mal kurz in die nicht digitale Welt. Fast täglich setzen wir die Unterschrift unter Briefe auf
Papier. Hier soll der Schwung der Schrift die Zuordnung zum Unterzeichner beweisen. In ganz wichtigen Fällen muss
man aber auch in beisein einer Autorität (z.B. Notar) unterschreiben, welche dann selbst unterschreibt, dass die
Unterschrift echt ist.

Genau dieses soll nun in der digitalen Welt nachgebildet werden. Ich denke dies wurde ziemlich perfekt geschafft.

Theorie

Was brauchen wir alles? Erstens ein asymetrisches Verschlüsselungsverahren, welches keinen gemeinsamen geheimen
Schlüssel benutzt, sondern eine Schlüsselpaar bestehend aus privatem und öffentlichen Schlüssel. Zweitens eine
Hashfunktion, welche eine Art Quersumme aus einem Dokument extrahieren kann, welche eindeutig ist.

Damit können wir nun folgendes machen:
1. Verschlüsselung:
Text mit öffentlichem Schlüssel des Empfängers verschlüsseln, verschicken, Empfänger kann mit privatem Schlüssel
wieder entschlüsseln.

2. Unterschreiben:
Hashwert aus dem Text bilden, Hash mit privatem Schlüssel verschlüsseln, Text zusammen mit verschlüsseltem Hash
verschicken, verschlüsselter Hash mit öffentlichem Schlüssel entschlüsseln und mit Hash des Textes vergleichen.

Da das ganze Verfahren steht und fällt mit der Zuordnung von öffentlichem Schlüssel zur Person (E-Mailadresse in
der digitalen Welt). Das machen wir mit einer Autorität, welche die Korrektheit der Daten im Zertifikat mit ihrer digitalen Unterschrift
bezeugt. Diese nennt sich CA (Certification Authority). Windows bringt beispielsweise eine ganze Liste mit
öffentlichen Schlüsseln von CAs mit. Wer richtig mitgedacht hat wird nun feststellen, dass man den CAs blind
vertrauen muss, sonst funktioniert das nicht. Stimmt, allerdings hat es keine Schwächung der Verschlüsselnung zu Folge,
sondern einzig die Echtheit des Unterzeichners wird in Frage gestellt!

Praxis

Certification Authority

Entweder wir haben eine bekannte CA zur Hand, z.B. Verisign oder eine der CAs von der Liste der
Bundesnetzagentur

Man kann sich mit openssl aber ganz leicht eine CA selbst erstellen. Der Nachteil, die ist natürlich nicht
global bekannt und muss daher immer mitveröffentlicht werden, um die Authentizität einer Unterschrift überprüfen
zu können.



Jetzt haben wir eine 3 Jahre (1096 Tage) gültige CA. Welche wir später zum Unterschreiben unserer Zertifikate
benutzen. Das cacert.pem sollte man bei einer späteren Verbreitung in eine Datei mit der Endung .crt umwandeln. Dann kann Windows etwas damit anfangen.

Zertifikate

Damit erhalten wir ein Certificate Request in der Datei certreq.pem, welche wir nun mit der CA
unterschreiben. Die Fragen sollte man korrekt beantworten, die wichtigsten sind CN (Common Name) und die E-Mail.

Bei CN gibt man am besten den Vor- und Nachnamen an. Wenn es später anderst ausschaut als man will, macht man es
einfach nochmal.


Den Key (privater Schluessel) und das unterschriebene Zertifikat (öffentlicher Schlüssen), wird noch
zusammengepackt und fuer Windows ins pkcs12 Format umgewandelt.

Windows:
Linux:


Übrigens, wenn man statt der E-Mailadresse den Hostnamen eingibt, bekommt man ein Zertifikat für den Webserver
mit dem Hostnamen.

Das mailcert.p12 kann man nun in den Thunderbird oder Outlook importieren und seine E-Mails damit
unterschreiben (smime).

gnupg und pgp

Im wesentlichem machen diese Programme das gleiche wie openssl. Der Unterschied liegt im Verfahren um das
Vertrauen. Man vertraut einem Freund, der wieder einem Freund und so weiter. Das wäre ein anderes Tutorial Wert.
Ein kleiner Nachteil ist noch, dass man dafür noch extra Erweiterungen im Thunderbird und Outlook einbauen muss.

Adobe PDF

Mit diesem Zertifikat kann man auch PDF Dateien unterschreiben. Ich habe das mit dem Adobe Acrobat 7.0 Standard
getestet. Das Einbinden einer eigenen CA habe ich nicht geschafft.

Fazit

Ab jetzt möchte ich von jedem nur noch unterschriebene E-Mails, alles andere wird als Spam sofort gelöscht. Ja,
auch das wäre eine Möglichkeit den Werbemüll einzudämmen.

Ausserdem möchte ich nochmal auf Thawte hinweisen. Dort bekommt man umsonst ein
Zertifikat, welches von einer bekannten CA unterschrieben ist.
Update (06.11.09): Thawte hat inzwischen die kostenlose Vergabe von S/MIME eingestellt.

E-mail Client Testing for S/MIME Compliance

https://www.wasauchimmerhirsteht.de

www.wasauchimmerhirsteht.de