Wie kann ich mit Outlook S/MIME und OpenPGP parallel nutzen?

Die Unterstützung für S/MIME ist in Outlook direkt integriert. Wie man diese interne S/MIME-Funktion nutzen kann, ist in folgender Anleitung beschrieben.

Darüber hinaus bietet das Outlook-Plugin GpgOL diese Funktionalität ebenso an und ermöglicht insbesondere die gleichzeitige Einrichtung beider Verfahren, S/MIME und OpenPGP. Welche Schritte hierzu nötig sind, wird nachfolgend beschrieben.

Outlook/GpgOL einrichten

Zunächst muss GpgOL installiert und für OpenPGP eingerichtet werden. Zusätzlich ist folgende Einstellung vorzunehmen, wenn man bevorzugt S/MIME nutzen möchte, andernfalls lässt man die Option S/MIME bevorzugen deaktiviert und wählt für die Verschlüsselung für sich selbst seinen OpenPGP-Schlüssel statt des S/MIME-Zertifikates aus.

Falls Sie die interne S/MIME-Funktion gemäß oben genannter Anleitung bereits eingerichtet haben, empfiehlt es sich, die dort beschriebene Option Ausgehenden Nachrichten digitale Signatur hinzufügen zu deaktivieren, um eine zusätzliche Abfrage bzgl. „widersprüchlicher Einstellungen“ an beiden Stellen zu vermeiden.

Damit über GpgOL das S/MIME-Zertifikat der adressierten Person zum Verschlüsseln benutzt werden kann, muss es in GnuPG importiert werden. Der Import kann z.B. manuell über das grafische Frontend Kleopatra aus einer Datei oder über einen Verzeichnisdienst erfolgen. Automatisch erfolgt der Import beim Öffnen einer empfangenen S/MIME-signierten E-Mail. Vom automatischen Suchen und Importieren von Zertifikaten über einen Verzeichnisdienst wird aus Datenschutzgründen abgeraten, da in diesem Fall dem Dienst übermittelt wird, welche Adressen Sie anschreiben.

Das eigene Zertifikat muss ebenso in GnuPG hinterlegt werden, damit GpgOL darauf zugreifen kann.

E-Mail versenden

Wenn Sie eine Person adressieren, für die Ihr GnuPG sowohl ein gültiges S/MIME-Zertifikat als auch einen gültigen OpenPGP-Schlüssel kennt, dann erscheint nach dem Klick auf die Schaltfläche Senden folgendes Dialog-Fenster, wenn Sie S/MIME als bevorzugtes Verfahren gewählt haben:

Wenn Sie möchten, können Sie in dieser Phase auf OpenPGP umschalten und sehen dann folgendes Dialog-Fenster:

Mit Klick auf OK und ggf. Eingabe der Passphrase, mit der Ihr jeweiliger geheimer Schlüssel geschützt ist, schicken Sie die E-Mail, signiert und verschlüsselt mit dem gewählten Verfahren, ab.

E-Mail empfangen

Beim Empfänger wird eine so übermittelte E-Mail wie folgt dargestellt, falls dieser ebenfalls Outlook nutzt (oben: S/MIME, unten: OpenPGP)

Leider sieht man erst nach Klick auf die rot umrandete Schaltfläche, welches Verfahren verwendet wurde. Es werden dann die Details des S/MIME-Zertifikats bzw. des OpenPGP-Schlüssels des Absenders eingeblendet.

Die Sicherheitsstufen bei GpgOL sind ein Maß für das Vertrauen in den Schlüssel des Gegenübers. Stufe 4 bei OpenPGP bedeutet etwa, dass Sie den Fingerabdruck des Schlüssels überprüft haben. Stufe 3 bei S/MIME signalisiert, dass das Zertifikat mit einem vertrauenswürdigen Wurzelzertifikat beglaubigt wurde.

Wie kann ich mit Thunderbird S/MIME und OpenPGP parallel nutzen?

Für Thunderbird finden Sie eine Anleitung zur Einrichtung von S/MIME und eine Anleitung zur Einrichtung von OpenPGP. Wenn Sie dies erledigt haben, bleibt nur noch festzulegen, welche der beiden Verschlüsselungstechnologien bevorzugt verwendet werden soll. Hierzu können Sie in den Kontoeinstellungen unter Ende-zu-Ende-Verschlüsselung ganz unten unter Erweiterte Einstellungen die entsprechende Vorauswahl treffen:

Gibt es ein Preview von PDF-Dateien im Matrix-Chat?

Derzeit ist ein Preview von PDF-Dateien im Element Client nicht möglich. Zur Ansicht muss man die Datei runterladen und dann mit dem gewohnten PDF-Reader anschauen.

Ich kann Gruppennachrichten im Matrix Chat nicht entschlüsseln

In bestimmten Situationen kann es passieren, dass Gruppennachrichten nicht entschlüsselt werden können, obwohl man die Berechtigung hat, Nachrichten in der Gruppe zu lesen. Dies passiert unter anderem wenn ein Benutzer sich ausloggt und mit einem neuen Session-Key wieder einloggt.

Dieses Problem ist bereits bekannt.

Siehe: https://github.com/vector-im/element-web/issues/2996 bzw. https://github.com/vector-im/element-meta/issues/647 und https://github.com/vector-im/element-meta/issues/245

Es muss auf eine Lösung seitens der Entwickler von Element gewartet werden.

Die Oberfläche des Matrix-Chats ist teiweise in Englisch. Kann man dies ändern?

Für die Darstellung des Matrix-Chats wird der Client Element verwendet. Dieser wird wie verfügbar („as-is” und „as-available”) angeboten. Eine Übersetzung ist derzeit nicht möglich.

Wie suche ich mit Kleopatra OpenPGP-Schlüssel auf Schlüsselservern?

Die Schlüssel- und Zertifikatsverwaltung Kleopatra kann ab Gpg4win-Version 4 OpenPGP-Schlüssel auch per WKD-Abfrage finden, während in älteren Versionen nur HKP-Abfragen unterstützt werden. Für die HKP-Suche kann unter Einstellungen >> Kleopatra einrichten genau ein OpenPGP-Schlüsselserver angegeben werden. Für die WKD-Suche ist keine Serverangabe erforderlich, da diese via HTTPS über eine definierte URL erfolgt. Die WKD-Suche ist implizit automatisch aktiviert.

Wie verwende ich OpenPGP mit einem Webmailer und dem Browser-Plugin Mailvelope?

Mailvelope einrichten

Falls Sie Ihr E-Mail-Postfach mittels eines Webmailers mit einem der Browser Firefox, Chrome, Edge oder Brave verwalten, dann haben Sie auch hiermit die Möglichkeit, Ihre E-Mails per OpenPGP digital zu signieren und zu verschlüsseln. Sie benötigen dazu das Browser-Plugin Mailvelope, dessen kostenlose Community-Version Sie über die Add-on-Verwaltung Ihres Browsers installieren können. Zum Einrichten sind die nachfolgend aufgeführten Schritte nötig. Beim erstmaligen Aufruf von Mailvelope gelangt man direkt in den Dialog zum Erstellen eines Schlüsselpaares.

Schlüssel generieren

Generieren Sie nun das Schlüsselpaar für Ihre persönliche @fau.de-Adresse und schützen Sie dabei den privaten Schlüssel mit einem möglichst sicheren Passwort.

Das Hochladen Ihres Schlüssels auf den Mailvelope-Schlüsselserver ist optional. Das erzeugte Schlüsselpaar wird Ihnen wie nachfolgend dargestellt angezeigt.

Das Schlüsselpaar kann nun exportiert werden, wobei der geheime Schlüssel sicher verwahrt werden muss.

Der öffentliche Schlüssel kann nun z.B. im FAU-Schlüsselverzeichnis publiziert werden, um ihn den E-Mail-Programmen Ihrer Kommunikationspartner auch per WKD-Protokoll zugänglich zu machen.

FAUMail und FAUGroupware bei Mailvelope autorisieren

Sie können die Mailvelope-Konfiguration so anpassen, dass Sie Mailvelope auch für die vom RRZE bereit gestellten Webmailer  (FAUMail-Webinterface, Outlook Web App) verwenden können. Im Hauptmenü von Mailvelope finden Sie unter Optionen >> Autorisierte Domains die vorkonfigurierten Webmailer. Hier klicken Sie auf Neuen Eintrag hinzufügen und geben bei Seite den Wert FAUMail ein, und bei Domänenmuster die Werte *.faumail.uni-erlangen.de und *.faumail.fau.de. Analog tragen Sie für die Seite FAUGroupware den Wert *.groupware.fau.de ein.

Schlüsselverzeichnisse festlegen

Unter Optionen >> Schlüsselverzeichnisse können Sie festlegen, wo Mailvelope nach Schlüsseln von Kommunikationspartnern suchen soll. Sinnvoll sind die nachstehend abgebildeten Einstellungen.

Diese Einstellungen wirken sich auf die Schlüsselsuche wie unter Schlüsselverwaltung nach Klick auf Suche ersichtlich wie folgt aus:

Mit FAUMail-Webinterface eine E-Mail signiert und verschlüsselt versenden

Öffnen Sie im FAUMail-Webinterface den Dialog zum Schreiben einer E-Mail. Sie sehen über der rechten oberen Ecke des Eingabefensters für den Inhalt der E-Mail das Mailvelope-Logo.

Wenn Sie dieses anklicken, sehen Sie rechts daneben den Text Sichere E-Mail schreiben und es öffnet sich ein entsprechendes Dialog-Fenster mit dem von Ihnen bei der Mailvelope-Einrichtung gewählten Hintergrund.

Wenn Sie die E-Mail-Adresse der gewünschten Adressatin ins Adressfeld eingeben, wird Ihnen im Falle, dass Sie deren öffentlichen Schlüssel bereits in Ihrer Mailvelope-Schlüsselverwaltung vorliegen haben oder dieser auf einem der konfigurierten Schlüsselserver gefunden wird, Name, E-Mail-Adresse und Schlüssel-Id sofort eingeblendet und Sie können die Angaben direkt übernehmen. Die Adresse der Empfängerin wird Ihnen dann in grün dargestellt, andernfalls in rot mit einem zusätzlichen Hinweis, dass der Versand einer verschlüsselten E-Mail an die Adressatin nicht möglich ist.

 

Wenn Sie nun auf die Schaltfläche Verschlüsseln klicken, dann wird Ihnen der Text der E-Mail PGP/INLINE-verschlüsselt dargestellt.

Wenn Sie einen schützenswerten Anhang beifügen möchten, dann müssen Sie diesen verschlüsselt beifügen, da Mailvelope in der kostenlosen Community-Version kein PGP/MIME unterstützt. Ein Werkzeug zum Signieren und Verschlüsseln von Dateien via OpenPGP liefert Mailvelope unter dem Hauptmenüpunkt Verschlüsseln mit, ein analoges Werkzeug zum Entschlüsseln von Dateien über den Hauptmenüpunkt Entschlüsseln.

Über die Schaltfläche Senden schicken Sie die E-Mail ab.

Mit FAUMail-Webinterface signierte und verschlüsselte E-Mail empfangen

Wenn Sie eine E-Mail, die wie im vorstehenden Abschnitt beschrieben an Sie gesandt wurde, im FAUMail-Webinterface öffnen, dann sehen Sie zunächst statt des Inhalts der E-Mail den in Mailvelope eingestellten Sicherheitshintergrund sowie darübergelegt ein helles Feld mit dem Mailvelope-Logo über dem Text Nachricht anzeigen.

Um den Inhalt der E-Mail zu entschlüsseln und deren Signatur zu prüfen, klicken Sie in dieses Feld. Es öffnet sich ein Dialogfenster, welches die Passphrase zum Entsperren Ihres privaten Schlüssels abfragt.

Nach erfolgreicher Entsperrung sehen Sie den entschlüsselten Inhalt der E-Mail sowie unterhalb des Inhaltsfensters bei erfolgreicher Signaturprüfung einen grünen Punkt neben dem Text Signiert und E-Mail-Adresse mit Schlüssel-Id des Signaturschlüssels.

Hinweis:

Mailvelope hat in der Version 4.6.1 einen Bug, aufgrund dessen trotz korrekter Signatur „Signatur unbekannt … Schlüssel … nicht gefunden“ angezeigt wird, wenn unter Optionen >> Allgemein als Backend OpenPGP.js verwendet wird. Dieses Problem sollte in der Nachfolgeversion behoben sein.

Hinweis für fortgeschrittene OpenPGP-Nutzer:

Für erhöhte Sicherheitsanforderungen können Sie als Backend GnuPG anstelle der von Mailvelope standardmäßig benutzten Javascript-Bibliothek OpenPGP.js verwenden. Diese OpenPGP-Implementierung ist bei Linux-Distributionen standardmäßig installiert und kann unter Windows über das Paket Gpg4win nachgerüstet werden. Damit Mailvelope die GnuPG-Installation erkennt, ist etwas Nacharbeit erforderlich (siehe Mailvelope-FAQ zur GnuPG-Integration).

Wie rufe ich mit Outlook einen OpenPGP-Schlüssel aus dem FAU-Schlüsselverzeichnis ab?

Microsoft Outlook sucht nach entsprechender Einstellung des Plugins GpgOL beim Adressieren eines FAU-Mitglieds im Hintergrund automatisch per WKD-Protokoll nach einem OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis, sobald man die Empfängeradresse beim Verfassen einer E-Mail eingegeben hat und mit dem Cursor ins nächste Eingabefeld springt. Falls Sie die Option Neue Nachrichten per Voreinstellung verschlüsseln in der GpgOL-Konfiguration nicht aktiviert haben, müssen Sie beim Dialog Neue E-Mail zum Verfassen einer E-Mail die Verschlüsselung manuell aktivieren, indem Sie dort über das Menü Nachricht und dann in der Symbolleiste rechts auf das Symbol Absichern und danach auf Verschlüsseln klicken.

Wird ein Schlüssel gefunden, wird dieser im Hintergrund in die von Outlook verwendete Schlüsselverwaltung Kleopatra importiert. Dort kann er wie folgt angezeigt werden:

Wie versende ich die E-Mail digital signiert und verschlüsselt?

Beim obigen Verfassen-Dialog erscheint nach dem Klick auf die Schaltfläche Senden folgendes Fenster:

Hat Kleopatra mehrere gültige Schlüssel für den Empfänger, dann lässt sich über die Listenauswahl einer davon auswählen. Gleiches gilt für den eigenen geheimen Schlüssel. Voreingestellt ist hier der gemäß Einstellungen für das GnuPG-System, Eingabefeld NAME als voreingestellten Schlüssel benutzen angegebene Schlüssel. Weiterhin ist es sinnvoll, die E-Mail auch für sich selbst zu verschlüsseln, um sie nicht im Klartext im eigenen Postfach zu speichern.

Klickt man im obigen Fenster nun auf OK, dann wird die E-Mail (nach Abfrage der Passphrase) mit dem eigenen geheimen Schlüssel digital signiert, mit dem ausgewählten Empfängerschlüssel verschlüsselt und versandt. Benutzt der Empfänger ebenfalls Outlook/GpgOL, dann wird ihm die E-Mail wie folgt angezeigt, sofern er dem Schlüssel des Absenders absolut vertraut. Details zu diesem Schlüssel werden dem Empfänger durch Klick auf das rot markierte Schloss-Symbol angezeigt. Dabei sind die Vertrauens- bzw. Sicherheitsstufen bei GpgOL ein Maß für das Vertrauen in den Schlüssel des Kommunikationspartners. Stufe 4 (mit grün unterlegtem Stern-Symbol) wird bei eigenen Schlüsseln oder fremden Schlüsseln, deren Fingerabdruck man selbst überprüft hat, angezeigt. Aus einem WKD bezogene Schlüssel ohne zusätzliche Prüfung des Fingerabdrucks erhalten Stufe 2 (mit grün unterlegtem Haken-Symbol).

Bitte beachten Sie, dass Outlook/GpgOL die Betreffzeile unverschlüsselt lässt und diese daher keine schützenswerte Information enthalten sollte.

Wie rufe ich mit Thunderbird einen OpenPGP-Schlüssel aus dem FAU-Schlüsselverzeichnis ab?

Mit Thunderbird hat man mehrere Möglichkeiten, den OpenPGP-Schlüssel eines anderen FAU-Mitglieds, welches diesen im FAU-Schlüsselverzeichnis veröffentlicht hat, per WKD-Protokoll von dort abzurufen.

1) Über das Kontextmenü im Adressfeld einer E-Mail:

Dort wählen Sie den Menüpunkt OpenPGP-Schlüssel suchen aus und geben die vollständige E-Mail-Adresse des FAU-Mitglieds ins Eingabefeld ein.

Anmerkung: Dieser Menüpunkt steht ab Thunderbird-Version 102 nur dann zur Verfügung, wenn in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel für die betreffende E-Mail-Adresse vorhanden ist.

2) Über das Menü Extras >> OpenPGP-Schlüssel verwalten >> Schlüsselserver >> Schlüssel online finden:

Im folgenden Dialogfeld geben Sie die vollständige E-Mail-Adresse des FAU-Mitglieds ein und bestätigen mit OK.

Damit wird zunächst im WKD nach einem Schlüssel für die eingegebene Adresse gesucht, und danach per VKS-Protokoll auf dem bei Thunderbird standardmäßig eingestellten Schlüsselserver keys.openpgp.org. Falls bei 1) oder 2) ein Schlüssel gefunden wird, sehen Sie folgendes Fenster, das Ihnen den Schlüssel zum Import in die Thunderbird-Schlüsselverwaltung anbietet:

Sie müssen den Schlüssel explizit auf Akzeptiert setzen, damit sie ihn zur Verschlüsselung verwenden können. Wenn Sie mit OK bestätigen, erscheint folgendes Fenster:

Für ein ausreichendes Maß an Sicherheit können Sie hier einfach auf OK klicken.

Falls Sie die Möglichkeit haben, Ihren Kommunikationspartner auf einem anderen Kanal (z.B. Telefon, persönliches Treffen) zu kontaktieren, können Sie für ein erhöhtes Maß an Sicherheit mit ihm den Fingerabdruck seines Schlüssels abgleichen. Dazu wählen Sie hier Details anzeigen und Schlüsselakzeptanz verwalten und nach erfolgreichem Abgleich des Fingerabdrucks im folgenden Fenster die Option ganz unten:

3a) Beim Verfassen einer E-Mail (Thunderbird bis Version 97)

Sie müssen die OpenPGP-Verschlüsselung wie im folgenden Screenshot dargestellt aktivieren.

Wenn Sie nun auf Senden klicken, erscheint zunächst ein Fenster mit einer Fehlermeldung, wenn für die adressierte Empfängerin in der Thunderbird-Schlüsselverwaltung noch kein Schlüssel vorhanden ist. Wenn Sie dieses wegklicken, sehen Sie folgendes Fenster:

Klicken Sie nun auf Schlüssel für gewählten Empfänger verwalten. Es erscheint ein weiteres Fenster:

Hier können Sie nun Neuen oder aktualisierten Schlüssel suchen auswählen. Wird im Schlüsselverzeichnis ein Schlüssel gefunden, erscheint der von oben bekannte Import-Dialog, andernfalls folgendes Fenster:

3b) Beim Verfassen einer E-Mail (Thunderbird ab Version 102, Dark Mode)

Wählen Sie aus der Menüleiste Nachricht >> Neue Nachricht oder aus der Hauptsymbolleiste Verfassen. Im sich öffnenden Fenster muss Verschlüsselung aktiviert und OpenPGP als Verschlüsselungsmethode ausgewählt werden, sofern nicht bereits voreingestellt. Geben Sie nun im Empfängerfeld die E-Mail-Adresse ein.

Wenn in der Thunderbird-Schlüsselverwaltung kein Schlüssel für den Empfänger gefunden wird, dann wird dies durch eine gelbe Unterlegung des Adressfeldes und ein Warnsymbol gekennzeichnet. Gleichzeitig erscheint unten eine entsprechende Statuszeile. Klicken Sie hier auf die Schaltfläche Beheben. Es öffnet sich der OpenPGP-Schlüsselassistent und bietet u.a. die Option Öffentliche Schlüssel online finden an. Wenn Sie diese Schaltfläche anklicken, wird im Web Key Directory (WKD) nach einem Schlüssel gesucht.

Wird dort ein Schlüssel gefunden, dann muss dieser erst noch akzeptiert werden, damit Sie ihn zur Verschlüsselung verwenden können. Dies können Sie über die Schaltfläche Beheben tun.

Nun wird Ihnen die Schlüssel-Id und der Fingerabdruck des gefundenen Schlüssels angezeigt. Wenn Sie den Schlüssel auswählen (Radio Button), dann können Sie ihn Annehmen.

Klicken Sie im folgenden Fenster auf Schlüssel anzeigen.

Für ein ausreichendes Maß an Sicherheit können Sie den Schlüssel einfach akzeptieren. (Ausreichend, weil der Schlüssel im WKD gefunden wurde, und der Schlüsselinhaber seine E-Mail-Adresse bestätigen musste, bevor der Schlüssel dort veröffentlicht wurde). Für ein erhöhtes Maß an Sicherheit können Sie den Fingerabdruck mit dem Empfänger über einen anderen Kanal (Telefon, persönliches Treffen etc.) abgleichen.

Nach Bestätigung mit OK können Sie Ihre E-Mail nun verschlüsselt an den Empfänger abschicken.

Wie verwalte ich meine OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis?

Schlüssel veröffentlichen

Der aus der Schlüsselverwaltung des verwendeten E-Mail-Programms exportierte öffentliche Schlüssel kann wie folgt im FAU-Schlüsselverzeichnis veröffentlicht werden. Rufen Sie im Selfservice-Bereich des IdM-Portals die OpenPGP-Schlüsselverwaltung auf, kopieren durch Cut & Paste den Inhalt der exportierten Schlüsseldatei (ASCII-Format) ins Eingabefeld und klicken auf die Schaltfläche Absenden. Alternativ können Sie die Schlüsseldatei direkt hochladen.

Bitte beachten Sie:
Die Schlüsseldatei darf nur einen Schlüssel enthalten. Verschiedene Schlüssel müssen also separat exportiert werden. Entsprechendes gilt für die „Cut & Paste“-Variante.

Der hochgeladene Schlüssel wird in der rechten Spalte durch Angabe seines 40-stelligen Fingerabdrucks angezeigt. Die dem Schlüssel zugeordneten E-Mail-Adressen werden jeweils darunter mit dem Status Unveröffentlicht dargestellt.

Im nächsten Schritt klicken Sie auf das grün unterlegte Haken-Symbol Überprüfen im Menü rechts oben, um die Verifikation der zugeordneten E-Mail-Adresse durchzuführen. Mit dieser Aktion wird eine E-Mail mit einem Bestätigungslink an diese Adresse gesandt.

Wenn Sie Eigentümer dieser E-Mail-Adresse sind, können Sie jeweils den Bestätigungslink anklicken, wodurch der Schlüssel samt zugeordneter E-Mail-Adresse im FAU-Schlüsselverzeichnis veröffentlicht wird.

Links neben dem Fingerabdruck des Schlüssels sehen Sie nun ein grün unterlegtes Schlüssel-Symbol, welches den Status Veröffentlicht darstellt. Nun ist Ihr Schlüssel samt der jeweiligen Identität (E-Mail-Adresse) im Schlüsselverzeichnis veröffentlicht und kann über die Schlüsselsuche im Selfservice gefunden werden. Für E-Mail-Adressen unter @fau.de wird der so veröffentlichte Schlüssel zusätzlich von E-Mail-Programmen per WKD-Abfrage gefunden (siehe hierzu die Anleitung für Thunderbird und die Anleitung für Outlook).

Veröffentlichten Schlüssel ersetzen

Um einen veröffentlichten Schlüssel durch einen neuen zu ersetzen, laden Sie den neuen Schlüssel hoch und führen für diesen die Verifizierung der zuzuordnenden E-Mail-Adresse(n) wie oben beschrieben durch.

Veröffentlichten Schlüssel für ungültig erklären

Um einen veröffentlichten Schlüssel für ungültig zu erklären, widerrufen Sie diesen z.B. mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms und laden den widerrufenen Schlüssel hoch. Dadurch werden die personenbezogenen Informationen (E-Mail-Adressen) des Schlüssels aus dem FAU-Schlüsselverzeichnis entfernt.