Sichere E-Mail Kommunikation. Einrichtung einer PKI (Public Key Infrastruktur) am Beispiel einer Schule

Der Charme des openPGP besteht darin, dass es auch kleineren Organisationseinheiten, wie z. B. einer Schule, leicht möglich ist, eine Zertifizierungsstelle einzurichten. Es bedarf nur ein paar Klicks und Einträge sowie einer Veröffentlichung des Verfahrens.

Zielvorgabe

Es soll gewährleistet werden, dass formelle und semiformelle Informationen vertraulich und identitätssicher zwischen Lehrern, zwischen Lehrern und Schulleitung sowie zwischen Lehrern und Schülern per E-Mail ausgetauscht werden können.

Voraussetzungen

Die Beteiligten verfügen jeweils über mindestens ein E-Mail-Konto. Dieses kann ein privates oder ein „dienstliches“ Konto sein.

Die Beteiligten verwenden ein openPGP-taugliches E-Mail-Programm.

Einrichtung der PKI

Einrichtung einer Zertifizierungsstelle.

Die Schule benennt einen PKI Beauftragten zur Einrichtung und Pflege der PKI (Natürlich müssen die Schlüssel und Passwörter gesichert werden und im Zweifel der Vertretung des PKI Beauftragten zugänglich gemacht werden können).

Der PKI-Beauftragte erzeugt ein oder mehrere openPGP Schlüsselpaare, die zum Beglaubigen der Public Key Identitäten (es werden immer nur Identitäten beglaubigt) der Beteiligten dienen werden. Wenn von Vertrauen im Rahmen der Kryptologie die Rede ist, dann geht es nur um das Vertrauen in die Identität, nicht etwa darum, einer Person zu vertrauen.

Einrichtung des Schlüssels der Beglaubigungsstelle:

Das Verfahren wird anhand des Programms „WiSiKo“ vorgestellt, die Verwendung anderer Programme ist möglich (allerdings erkläre ich sie hier nicht).

(1) Wechseln Sie zu openPGP – eigene openPGP Schlüssel.

Der jetzt zu erzeugende Schlüssel dient nur zum Beglaubigen der Schlüssel Ihrer Kollegen. Für die Kommunikation mit ihnen verwende Sie bitte eine abweichende E-Mail-Adresse mit eigenem Schlüssel.

A.
Name: Certificate T XY-Schule, Überlingen
Ergänzung: Zertifikat für Lehrer
E-Mail: certificates@xy-schule.de
Ablauf: nie oder sehr spät

Wenn Sie auch die Schlüssel von Schülern zertifizieren wollen, richten Sie auf gleiche Art ein Zertifikat für Schüler ein. Ein getrenntes Zertifikat ist aus kryptologischer Sicht nicht notwendig, allerdings kann es in der Kommunikation Sinn machen, zu erkennen, ob der Gegenüber ein neuer Lehrer oder ein Schüler ist.

B.
Name: Certificate S XY-Schule, Musterort
Ergänzung: Zertifikat für Schüler
E-Mail: certificates@xy-schule.de
Ablauf: nie oder sehr spät

Dass Lehrer oder Schüler aus Ihrer Schule ausscheiden können, ist unerheblich. Die Beglaubigung sagt in erster Linie, dass die Identität geprüft wurde, in zweiter Linie dass der Schlüssel zu einem (ehemaligen) Schüler oder (ehemalige) Lehrer Ihrer Schule gehört.

Bevor diese (Zertifizierungs-)Schlüssel eingesetzt werden, können Sie von der Schulleitung und/ oder einer übergeordneten Behörde digital beglaubigt werden.
Die Fingerprints der Zertifikatsschlüssel werden prominent veröffentlicht, z. B. auf der Web Site der Schule, per Aushang etc. Die Schlüsseldaten finden Sie, wenn Sie sich den Schlüssel anzeigen lassen.

Die Zertifikatsschlüssel (Public Key) werden auf einen Schlüsselserver hochgeladen, auf der Web Site der Schule veröffentlicht oder an alle Beteiligten per E-Mail versandt. Am öffentlichen Teil der Zertifikatsschlüssel ist nichts geheimhaltungsbedürftig. Die zu den Zertifikatsschlüsseln angegebene E-Mail-Adresse wird nicht verwendet, sie muss also auch nicht technisch eingerichtet werden.

Damit die Zertifizierungsstelle arbeiten kann, wird eine Kommunikationsadresse benötigt. Dies kann die E-Mail-Adresse des PKI-Beauftragten sein, oder auch eine neue, z. B. „beglaubigungen@xy-schule.de“. Zu dieser Kommunikationsadresse wird ebenfalls ein openPGP-Schlüsselpaar erzeugt, welches nun gleich mit mind. einem der Zertifikatsschlüssel beglaubigt werden kann. Die Kommunikationsadresse muss den Beteiligten natürlich bekannt gemacht werden.

Die Zertifizierungsstelle ist nun fertig eingerichtet. Natürlich sollten Sicherungskopien der Zertifikatsschlüssel angefertigt und hinterlegt werden. Die zugehörigen Passphrasen sollten notiert und sicher verwahrt werden.

Es ist keine schlechte Idee, für die Beglaubigungen einen eigenen Rechner zu verwenden und per Firewall alle Ports außer 465 und 995 (secure SMTP bzw. POP3) zu schließen. WiSiKo sieht vor, dass Schlüssel nach der Beglaubigung an die angegebene E-Mail-Adresse versandt werden. Dafür ist natürlich eine Internetverbindung erforderlich.

Einrichtung von openPGP-fähigen E-Mail-Programmen auf den Rechnern der Beteiligten

Ich empfehle natürlich WiSiKo, hierzu gibt es eine Anleitung unter https://wisiko.de. Die meisten E-Mail-Programme kommen mit openPGP nicht oder unzureichend zurecht, achten Sie also darauf, dass das verwendete Programm sowohl openPGP-Kryptologie als auch x.509-Kryptologie (smime, pkcs#7) verarbeiten kann.

Erzeugen von openPGP-Schlüsseln für die E-Mail-Adresse(n) der Beteiligten

Dies ist ein einfacher Vorgang. Er wird in der WiSiKo-Anleitung beschrieben.
Danach senden die Beteiligten eine mit dem neuen Schlüssel signierte E-Mail an die Beglaubigungsstelle der Schule. WiSiKo hängt den Public Key automatisch an die Nachricht, bei anderen Programmen muss dies evtl. manuell veranlasst werden. Die Beglaubigungsstelle wird den Schlüssel nach geeigneter Prüfung der Identität des Absenders zertifizieren (exportierbar signieren) und zurücksenden. Verwenden Sie bitte die Einstellungen entsprechend der nachfolgenden Abbildung.

Verwendet der Schlüsselinhaber WiSiKo, wird der beglaubigte Schlüssel beim Empfang der Beglaubigungs-Mail automatisch importiert, bei anderen Programmen muss dies evtl. manuell veranlasst werden.

Ausstattung des Beglaubigungszertifikats mit Vertrauen

Der Sinn der Beglaubigungsstelle besteht darin, dass die Beteiligten nicht in jedem Einzelfall die Identität des Absenders überprüfen müssen, sondern sich darauf verlassen können, dass dies die Beglaubigungsstelle gemacht hat. Signiert Heini Meier also mit einem von der Beglaubigungsstelle zertifizierten Schlüssel, weiß Dorothea Müller, das die Nachricht von dem Heini Meier stammt, den sie kennt. OpenPGP verwendet eine Vertrauensdatenbank mit hierarchischen Vertrauensstatus. Der Eintrag in diese Datenbank erfolgt dadurch, dass Dorothea Müller erhaltene Public Keys intern zertifiziert. Dabei kann ein Beglaubigungsvertrauen festgelegt werden. Standard ist „1 – Diesem Schlüssel wird vertraut“. Der oder die Schlüssel der Beglaubigungsstelle müssen mit dem Vertrauensstatus „2 – Diesem Schlüssel und den mit ihm zertifizierten Schlüsseln wird vertraut“ ausgestattet werden. Damit wird auch eine individuelle Zertifizierung der bereits von der Beglaubigungsstelle zertifizierten Schlüssel unnötig.

Arbeiten mit einer PKI

Sind die oben geschilderten Voraussetzungen geschaffen, sollten Sie auch konsequent genutzt werden. Bevor ein Lehrer seiner Kollegin eine vertrauliche Nachricht gesichert senden kann, muss einmalig ein Schlüsseltausch stattfinden. Dieser Lehrer sendet also der Kollegin eine nett formulierte E-Mail, die er mit seinem openPGP Schlüssel signiert. Der openPGP Schlüssel (Public Key) muss angefügt werden (macht WiSiKo automatisch). Die Kollegin importiert den angehängten Schlüssel (macht WiSiKo automatisch) und sendet eine nette, mit ihrem Schlüssel signierte E-Mail zurück (in den Anhang gehört wiederum ihr Public Key). Der Lehrer importiert den Schlüssel der Kollegin und kann nun endlich die vertrauliche Nachricht verschlüsselt (mit dem Schlüssel der Kollegin) und signiert (mit seinem Schlüssel) versenden. Mit WiSiKo reicht eine Nachricht [Lehrer -> Kollegin] wenn eine Empfangsbestätigung angefordert wird und die Kollegin ebenfalls WiSiKo verwendet. WiSiKo versendet Empfangsbestätigungen signiert und hängt ihnen den Public Key an.

Die Verwendung von Kryptologie sichert einerseits zuverlässig die Vertraulichkeit der Information, eine verschlüsselte Nachricht ist nach heutigem Stand der Technik „unknackbar“ und schützt ebenso zuverlässig vor Desinformation durch Vortäuschen einer Absenderidentität.

Und

es ist wirklich nicht sehr kompliziert!