Workshop: E-Mails unter Outlook 2010 richtig verschlüsseln

Trotz einiger Hürden, die sich dem Nutzer in den Weg stellen, hat sich das S/MIME-Protokoll im Laufe der Zeit als robust genug erwiesen, verschiedenen Anforderungsprofilen und Präferenzen innerhalb der Infrastruktur gerecht zu werden. Browser-basierte Web-Clients, Desktop- und Servervarianten sollten an dieser Stelle zusammenarbeiten, auch wenn es ein paar Fallen, insbesondere bei den jeweiligen Einstellungen, zu vermeiden gilt.

Produktentwicklungen und Release-Zyklen sind selten optimal aufeinander abgestimmt, das kann zulasten der Kompatibilität gehen. Die für digitale Signaturen verwendeten Algorithmen, zum Beispiel Hashing, haben sich in den vergangenen Jahren weiterentwickelt (von MD5 zu SHA1 und nun weiter in Richtung SHA2). Das gilt analog für die asymmetrische RSA-Schlüssellänge für Signaturen, die sich von 1024 auf 2048 Bit entwickelt hat. Verschlüsselung hat sich von Triple-DES (3DES) hin zu den verschiedenen AES-Stärken (Advanced Encryption Standard) verändert.

Frust ist indes bei nicht modifizierten E-Mail-Clients unterschiedlichen Alters angesagt, wenn Verfasser und Empfänger ihre Nachrichten nicht entschlüsseln können.

Verschlüsselungsstärke versus Kompatibilität

Fast alle Nutzer von E-Mails-Clients können sowohl den Signaturalgorithmus als auch den Verschlüsselungsalgorithmus festlegen. Bei der Auswahl der Signaturalgorithmen gerät man leicht in Versuchung, automatisch den aktuell stärksten verfügbaren Algorithmus zu nutzen. Im Fall von Outlook 2010 wären das SHA-256 bis SHA-512. Das ist einerseits beruhigend, was die Stärke der Verschlüsselung anbelangt, muss andererseits aber unter Umständen mit Kompatibilitätsproblemen teuer erkauft werden. Auch wenn die Auswahl an zur Verfügung stehenden Algorithmen in älteren Versionen beschränkt ist, heißt das nicht automatisch, dass sie per se unsicher sind. Der Signaturalgorithmus SHA-1 balanciert am besten zwischen universeller Kompatibilität und Stärke des Hash-Algorithmus.

Die zweite Option ist der Verschlüsselungsalgorithmus selbst. Hier sollte möglichst die stärkste mögliche Verschlüsselung verwendet werden. Das war 3DES im Falle älterer Clients und ist AES-256 bei den moderneren Mail-Clients. Das soll jedoch nicht bedeuten, dass die für ältere Mail-Clients zur Verfügung stehenden Verschlüsselungsalgorithmen minderwertig sind. Benutzer sollten nicht an der falschen Stelle panisch reagieren, wenn sie den 3DES-Algorithmus nutzen. Er ist durchaus praktikabel, wenn eine bestimmte Kompatibilität gefragt ist.

Lautet der Bedarf "maximale Sicherheit über einen langen Zeitraum", sollte man sich für den stärksten der verfügbaren Algorithmen entscheiden. Ist es aber das Hauptanliegen, sich kurzfristig eindeutig zu authentifizieren, sind bewährte Algorithmen besser geeignet.

Praktische E-Mail-Sicherheitseinstellungen

Für optimale Kompatibilitätseinstellungen sollten Nutzer von Outlook 2011 für Mac OS X ihre E-Mail-Sicherheitseinstellungen auf SHA-1-Signaturalgorithmus und 3DES-Verschlüsselungsalgorithmus oder für mehr Sicherheit auf AES-256 einstellen. Diese Einstellungen findet man unter Outlook-> Einstellungen-> Konten-> Erweitert-> Registerkarte Sicherheit.

Nutzer von Outlook 2007 finden ihre E-Mail-Sicherheitseinstellungen über Optionen-> Sicherheitscenter-> Registerkarte E-Mail-Sicherheit-> Einstellungen. Wie bei Outlook für Mac sind die empfohlenen Einstellungen der SHA-1-Signaturalgorithmus und der 3DES- Verschlüsselungsalgorithmus:

Thunderbird-Nutzer werden feststellen, dass ihre E-Mail-Sicherheitseinstellungen an dem Punkt beschränkt sind. Die Option Signatur- und Verschlüsselungsalgorithmen zu ändern ist hier nicht verfügbar.

Mulberry-Mail-Nutzer finden die E-Mail-Sicherheitseinstellungen über Datei-> Einstellungen-> Optionsfeld Erweitert-> Registerkarte Sicherheit. Um eine möglichst hohe Kompatibilität zu erreichen, sollte man darauf achten, dass Use MIME-Multipart Security with PGP markiert ist. Benutzerfreundlicher wird es, wenn Sie die Optionen Verify signed Messages when Opened und Decrypt Messages when Opened anklicken.

Sichere E-Mails unter Outlook 2010

Outlook 2010 gehört immer noch zu den häufig genutzten E-Mail-Programmen in Unternehmen. Entsprechende Sicherheitseinstellungen sind deshalb Pflicht. Um die Hashing- und Verschlüsselungsalgorithmen in Outlook 2010 zu überprüfen, suchen Sie die Sicherheitseinstellungen in Outlook über Datei -> Optionen-> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Registerkarte E-Mail-Sicherheit-> Einstellungen. Im Idealfall sollten der Hashalgorithmus auf SHA-1 und der Verschlüsselungsalgorithmus auf AES (256-Bit) eingestellt werden.

Fehler vermeiden

Um einen "Flagging Error" beim Verschlüsseln zu vermeiden, sollte 'Nachrichten als Klartext senden' markiert sein. Diese Option finden Sie in Outlook über Datei -> Optionen-> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Registerkarte E-Mail-Sicherheit:

Fehler beheben

Outlook-2010-Nutzer werden unter Umständen feststellen, dass die Empfänger ihrer verschlüsselten E-Mails diese nicht entschlüsseln können. Microsoft hat dazu folgenden Fix veröffentlicht:

1. Starten Sie den Registrierungseditor: Start -> Ausführen -> regedit.

2. Suchen Sie den folgenden Registry-Unterschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Security und klicken Sie ihn an.

3. Hinweis: Erstellen Sie den Registry-Unterschlüssel \ Security, wenn er nicht vorhanden ist.

4. Führen Sie folgenden Rechtsklick aus: -> Neu -> DWORD-Wert (32 Bit).

5. Fügen Sie zum Schlüssel die folgenden Registry-Daten hinzu: Value Name: UseIssuerSerialNumber Value Data: 1 (0x00000001 (1)).

6. Schließen Sie regedit und starten Sie Outlook neu.

Dieser schnelle Fix ändert die Methode, mit der die E-Mails verschlüsselt werden.

Anstatt der neueren Subject Key Identifier (SKI)-Methode verwendet Outlook die Seriennummer (S/N) des Zertifikats. SKI hat den Vorteil, dass mehrere "neu ausgestellte" Zertifikate alle den gleichen SKI haben können (SKI ist ein SHA-1-Hash des öffentlichen Schlüssels), statt an eine einzige Seriennummer gebunden zu sein.

Allerdings ist SKI bei anderen Mail-Clients und Betriebssystemen nicht besonders weit verbreitet (beschrieben in RFC 5652 und in der Cryptographic Message Syntax (CMS) umgesetzt).

Mehr Infos dazu finden Sie auch im entsprechenden Artikel der Microsoft Knowledge Base.

Und dann noch der Anhang

Ein weiteres Problem, das Outlook 2010-Nutzern begegnen kann, sind Fehler bei Anhängen. Es kommt vor, dass Mac-OS-X-Nutzer (auch diejenigen, die Outlook für Mac verwenden) winmail.dat-Anhänge empfangen, wie hier gezeigt:

Der Absender (ein Outlook-2010-Nutzer) verursacht dieses Problem, wenn er als E-Mail-Format Rich Text verwendet. Um diese Option vorübergehend von Nachricht zu Nachricht zu ändern, ist die Option unter der Registerkarte 'Text formatieren' beim Verfassen einer neuen Nachricht verfügbar.

Will man die Option durchgängig auf diese Einstellung verändern, wählt man unter Datei-> Optionen-> E-Mail-> Nachrichten verfassen-> Nachrichten in diesem Format verfassen.

Es ist durchaus sinnvoll, diese Option generell auf "Nur-Text" oder "HTML" einzustellen.

Und zum Schluss: Sicherungskopie erstellen

Wenn man ein digitales Zertifikat und einen öffentlichen Schlüssel verwendet, sollte man immer eine Sicherungskopie des Zertifikats und des privaten Schlüssels erstellen. Windows-Nutzer können ein Backup in Form einer passwortgeschützten PKCS#12 (.pfx)-Datei erstellen. Dazu öffnen Sie den Internet Explorer im Administratormodus (der bietet die erforderlichen Berechtigungen für den Export von privaten Schlüsseln). Suchen Sie in allen Versionen vor Internet Explorer 9 den Truststore über Extras-> Internetoptionen-> Inhalte-> Zertifikate. Öffnen Sie Internet Explorer 9, wieder im Administratormodus, und suchen den Zertifikatspeicher über das Zahnradsymbol in der oberen rechten Ecke Ihres Browsers. Klicken Sie dann auf -> Internetoptionen-> Inhalte-> Zertifikate.

Wählen Sie als Nächstes Ihr Zertifikat aus der Registerkarte Eigene Zertifikate aus und klicken auf die Schaltfläche Exportieren. Wählen Sie das Optionsfeld Privaten Schlüssel exportieren und folgen dem Exportassistenten. Sobald Sie das Zertifikat gesichert haben und das ausstellende Zertifikat sowie die PKCS12-Datei zur Verfügung stehen, speichern Sie diese auf einem externen gesicherten Medium.

Fazit

Auch wenn es nicht immer ganz ohne Nachjustieren geht: S/MIME mit den verschiedenen Sicherheitsfunktionen ist eine gute Lösung, will man vertrauliche Daten in der Kommunikation wie zum Beispiel E-Mail inklusive Anhang zuverlässig schützen.

Die Vorteile von S/MIME sind:

• Es verhindert, dass E-Mail-Inhalte manipuliert werden.

• Es weist den Ursprung der Nachricht nach.

• Es verhindert, dass der E-Mail-Inhalt offengelegt wird.

• Es schafft die Möglichkeit, sicher zu kommunizieren.

(hal)