S/MIME-E-Mail-Verschlüsselung#

(Nitrokey HSM 2 - Windows)

Voraussetzungen#

Es gibt zwei weit verbreitete Standards für die E-Mail-Verschlüsselung.

  • OpenPGP/GnuPG ist bei Privatpersonen sehr beliebt,

  • S/MIME/X.509 wird meist von Unternehmen verwendet.

Der Nitrokey HSM 2 unterstützt nur den S/MIME/X.509-Standard. Diese Seite beschreibt die Verwendung der S/MIME-E-Mail-Verschlüsselung.

Sie müssen ein S/MIME-Zertifikat erwerben (z.B. bei CERTUM) oder haben vielleicht schon eines in Ihrer Firma. Außerdem müssen Sie OpenSC auf Ihrem System installieren. Während GNU/Linux-Benutzer OpenSC in der Regel über den Paketmanager installieren können (z.B. sudo apt install opensc auf Ubuntu), können macOS- und Windows-Benutzer die Installationsdateien von der OpenSC Seite herunterladen.

Bemerkung

Windows-Benutzer mit 64-Bit-System (Standard) müssen sowohl die 32-Bit- als auch die 64-Bit-Version von OpenSC!

Vorhandenen Schlüssel und Zertifikat importieren#

Die folgenden Anweisungen basieren auf dem Wiki von OpenSC. Wir gehen davon aus, dass Sie bereits ein Schlüssel-Zertifikat-Paar in Form einer .p12-Datei haben. Wenn Sie eine separate Schlüssel- und Zertifikatsdatei haben, schauen Sie bitte auf der Wikiseite nach.

Um die Windows-Kommandozeile zu öffnen, drücken Sie bitte die Windows-Taste und die R-Taste. Geben Sie nun ‚cmd.exe‘ in das Textfeld ein und drücken Sie die Eingabetaste. Zum Öffnen eines Terminals unter macOS oder GNU/Linux verwenden Sie bitte die Anwendungssuche (z. B. spotlight unter macOS).

Um diese Befehle so einfach wie möglich zu gestalten, muss sich die .p12-Datei in Ihrem Home-Ordner befinden. Unter Windows ist dies in der Regel ‚C:UsersIhrBenutzername‘ und unter macOS und GNU/Linux-Systemen ist es ‚/home/IhrBenutzername‘. Wenn Sie die .p12-Datei nicht dort speichern, müssen Sie den Pfad in den folgenden Befehlen anpassen. Bitte schließen Sie den Nitrokey an, bevor Sie die Befehle absenden.

Unter der Annahme, dass Ihre Schlüssel-Zertifikat-Datei „myprivate.p12“ lautet, sehen die Befehle für Windows wie folgt aus:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

und unter macOS und GNU/Linux wird es

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Die beiden Befehle kopieren das Schlüssel-Zertifikat-Paar in den Slot 2 (wird zum Entschlüsseln von E-Mails benötigt) und Slot 3 (wird zum Signieren benötigt). Die Ausgabe sieht auf beiden Systemen etwa so aus:

img1

Bitte beachten Sie, dass es Fehlermeldungen geben wird, die Sie getrost ignorieren können (siehe Ausgabebeispiel oben). Sie haben nun das Schlüssel-Zertifikat-Paar auf den Nitrokey geladen.

Verwendung#

Weitere Informationen zur Verwendung finden Sie auf diesen Seiten:

Fehlersuche#

  • Unter Windows: Haben Sie beide, die 32-Bit und die 64-Bit Version von OpenSC installiert?

  • Sie müssen OpenSC in der Version 0.18 oder höher installieren. Sie finden die Dateien auf der OpenSC-Website für Windows- und macOS-Nutzer oder hier für Debian/Ubuntu-Nutzer.