MacES.de
Treffen
Wegbeschreibung
Termine
 
Magazin
Bildergalerie
 
Links
Impressum
 
  Magazin

Wie die eMail sicherer wird als die Rente

von Frank Stohl (stohl.de)

Überall steht gerade geschrieben, dass diverse 3-Buchstaben Behörden unseren eMail-Verkehr mitlesen.

Nicht das wir hier weltpolitikentscheidende Dinge uns schreiben, nein es muss ja nicht sein, dass der CIA weis, wann ich demnächst grille. Also nehmen wir das »X.509 v3« Zertifikat das Apple Mail unterstützt und verschlüsseln was uns unter die Finger kommt.

Dazu muss man allerdings sich erstmal von einer neutralen Stelle ein Zertifikat holen. Dabei wird ein Schlüssel generiert, den wir weitergeben. Mit diesem Public-Key (neudeutsch für öffentlicher Schlüssel) können andere, die mir eine Mail schreiben eben diese damit verschlüsseln. Den Weg zurück, zur lesbaren Grill-Party-Einladung, den kann nur ich mit meinem »Privat-Key« (privaten Schlüssel, entspricht der Geheimzahl auf der EC-Karte).

Eine dieser neutralen Stelle für das »X.509 v3« Zertifikat ist die Firma Thawte aus Süd-Afrika, die Wiege der Menschheit.

Vor ein paar Jahren hatten die zwar noch die Apartheit, aber was soll es, die USA hat es noch heute und lässt sogar als
erster Staat nach 60 Jahren einen Österreicher in Kalifornien Gefangene hinrichten (aus dem aktuellen Programm von Urban Priol).
Also ab zu http://www.thawte.com - allerdings nicht auf die Startseite, denn da findet man nichts.

Auch sollte es nicht der Safari sein, wenn er nicht mindestens die Version 1.2 (Bestandteil von MacOS X 10.4 »Tiger«).
Wir nehmen den Mozilla Firefox (aka Firebox aka Phoenix, nicht Chimera oder Camino) in der Version 0.8 oder als Versionjunkie immer die neuste Nighty-Build (am besten täglich mit FireFix).


Ein Zugang bei der sicheren Firma erstellen


1. Nun geht es also los und ab nach Süd-Afrika:
https://www.thawte.com/email/index.html
Dort auf "join" irgendwo in der oberen Mitte rechts vom Fingerabdruck klicken.
2. Da öffnet sich ein Fenster und wir klicken ohne gelesen zu haben auf »next«.
3. Jetzt müssen geheime Daten eingegeben werden, das letzte mal offenbart man sich.
Das deutsche Finanzamt kommt nicht an die Daten ran.
Wir geben also "Surename or Family Name" (Nachnahme)
und "First Names of Given Names" (Vorname) ein.
Dann noch Geburtstag in der deutschen Folge (also Tag / Monat / Jahr)
und welchem glorreichen Land man angehört.
Wir drücken wieder »next«
4. Nun werden wir nach unserer Personalausweisnummer gefragt.
Man kann allerdings auch eine andere Nummer eingeben.
Diesen Teil hat wohl ein amerikanischer Programmierer übernommen ;)
Noch schnell eine gültige eMail-Adresse (zu dieser wird das »X.509 v3« Zertifikat gesendet)
und weiter mit »next«
5. Es wird nun nach Browser-Einstellungen gefragt, hier einfach nichts verstellen und auf »next« klicken.
6. Nun darf man sich ein Passwort raussuchen, das sollte keiner kennen und nicht in einem Nachschlagewerk
vorkommen (Bild, SuperIllu oder Stern).
Bitte einmal wiederholen und sich aber dann auch merken.
Der Knopf »next« bietet sich nun an.
7. Falls der NSA oder der BND mit deiner Sicherheit Probleme hat und sich bei der
afrikanischen Firma beschwert, dann wollen diese telefonisch Bescheid geben.
Dazu nun die Telefonnummer eingeben (International mit +49-190-331 331 also)
Dann wollen sie 5 Fragen beantwortet haben, bevor sie mit der eigentlichen Sache loslegen.
Das ist Sicherheit über das Telefon. Also einen Kaffe holen und sich was nettes in englisch
ausdenken - denn ein sächsisches Callcenter haben die Jungs da unten noch nicht.
Der Knopf »next« bietet sich erneut an.
8. Man sieht nun nochmals alle Daten und kann ggf. nochmals von vorne anfangen.
Ansonsten ist »next« angesagt.
9. Juhhe - wir haben den ersten Teil, die Registierung.
Man bekommt nun eine eMail mit dem Betreff »Thawte Mail Ping« auf das vorher angegebenes Postfach.
Nun auf den Link: https://www.thawte.com/cgi/enroll/personal/step8.exe klicken.
Die »Probe« und »Ping« Nummer eingeben (am besten Cut'n'Paste).
10. Zurück zum Browser und das Häckchen bei »I enrolled because an ESO requested I obtain Name Validation or Strong Extranet Certificates« machen.
und siehe da, unser Freund »next« ist wieder da.


Das Zertifikat beantragen


11. Nun ist man in seinem Konto und wählt links im Menü »certificates« an.
12. Auf der nächsten seite ist »request a certificate« unsere Wahl.
13. Bei »X.509 Format Certificates« auf »request« klicken.
14. Wir werden nach dem Browser-typ gefragt. Der »Netscape Communicator or Messenger« ist quasi unser
Mozilla Firefox - von Safari keine Spur.
Unser neuer Freund »request« wartet auf einen klick.
15. Oha, eine Frage die wir so stehen lassen und flux auf »next«
16. Hier die einzige Wahl auswählen und nochmal »next«.
17. Bla bla bla und »next«
18. Nun »accept« für alle normale und die Profis ab zu »configure«
19. Das beste ist uns gerade gut genug und daher nehmen wir »2048 (High Grade)« gefolgt von »next«
20. Nun fängt ein Inder in Afrika an zu tippen und zu rechnen - dies dauert einen Moment.
Eine zweite Tasse Kaffe bietet sich an.
21. Irgendwann erscheinen Neuigkeiten im Fenster, die mit »finisch« (fertig) quittiert werden können.

Wir haben nach 21 Schritten endlich ein »X.509 v3« Zertifikat - nur wo?


Das Zertifikat installieren


22. wir klicken einmal »here« - denn dort gibt es das Zertifikat zum download.
Ein neues Browser-Fenster öffnet sich.
In der Tabelle steht irgendwo bei »Status« das nicht so nette Wort »pending« - wir sollen warten.
Jetzt ist es Zeit für einen kleinen Snack. Denn der Service ist gratis, und deshalb kann man warten.
Sicherheit hat seinen Preis.
Nach einiger Zeit kann man sporadisch auf den »Neulade« bzw. »Refresh« Knopf drücken.
Bis da mal unter »Status« das Zauberwort »issued« steht.
23. Ein klick auf »Navigator« bringt uns dann zu unserem Ziel näher.
24. Nun ein weiterer Klick auf »fetch« und wir haben es.
25. Nun kommt von den netten Jungs wieder eine eMail und dort gehen wir auf den Link.
26. ein Fenster geht auf und kann, wenn ganz unten »Done« steht geschlossen werden.
27. Im Firefox nun im Menü auf »Preferences« gehen.
28. dort »Advanced« anklciken
29. zu »Certificates« blättern und evtl mit dem kleinen Pfeil aufklappen.
30. nun auf »Manage Certificates«
Hier ist das »X.509 v3« Zertifikat.
Firefox Certificate Manager
Bild anklicken für große Version


31. Da wir dieses aber in Mail benötigen wählen wir es aus und wählen »backup« aus.
(dazwischen kann man es bei »view« wie ein Profi auch anschauen)
32. Das Zertifikat speichern wir nun auf den Desktop (Apfel+D) als »Zertifikat« ab.
33. Nun noch schnell ein Passwort für die Backup-Datei eingeben und merken.
34. Die Bestätigung mit »Ok« bestätigen.
35. Via Exposé mal schnell die Datei auf dem Desktop erspähen und Doppelklicken.
36. Das Schlüsselbun-Programm fragt brav wo das Zertifikat hin soll.
37. das Kennwort eingeben
38. fertig.

Nach nur 38 Schritten ist also das »X.509 v3« Zertifikat im Rechner. Doch wie kommt Apple Mail an dieses Zertifikat.


Das Zertifikat anwenden


Benötigen wir dazu einen Schritt 39?

Nein, diesmal hat der Komfort von Apple zugeschlagen - welch Wunder.

Wir öffnen also Apple Mail und verfassen eine neue eMail.
Dort erspähen wir rechts neben der Signatur ein neues Symbol.
Apple Mail
Bild anklicken für große Version


Ist dort ein x, dann wir die eMail nicht mit dem »Public-Key« signiert.
Durch einen Klick erscheint ein Häkchen und schon wird jede eMail mit einer Signatur versehen.
Denn nun ist nur klar, diese eMail ist von mir.
Ganz nebenbei ist da noch der »Public-Key« drin, mit dem die anderen die Nachrichten an mich verschlüsseln können.

Erst wenn der Empfänger eben diesen »Public-Key« hat, kann er uns verschlüsselte Mail schreiben.
Hat der Brieffreund ebenfalls ein »X.509 v3« Zertifikat und dieses per »Public-Key« verschickt,
dann kommen wir eine Stufe weiter.

Wir sehen nun noch ein Symbol zwischen Sigatur-Auswahl und dem bereits Bekannten.
Apple Mail
Bild anklicken für große Version


Wird nun das Schloß zugemacht, bleiben die Abkürzungsbehören aussen vor.

Die eMail ist sicher !


Ein Lob an alle, die es bis hierhergeschafft haben.
Schreiben Sie mir doch eine sichere Mail ;-)


copyright (c) 2004 by Frank Stohl


my fourth place