Warum Nutzerzertifikate?

Postkarte - unsignierte, unverschlüsselte E-Mail
Brief - signierte, unverschlüsselte E-Mail
Brief mit Schloss - signierte, verschlüsselte E-Mail

Prinzipiell stellt sich für jeden Nutzer von E-Mails die Frage weswegen man etwas Signieren oder Verschlüsseln möchte. In unserem Falle reden wir ausschließlich von einer asymmetrischen Verschlüsselung mit S/MIME. Wenn man eine E-Mail signiert, wird dadurch sicher gestellt, dass der Inhalt nicht verändert (Signatur ist gleichzeitig auch eine Prüfsumme) wurde und die E-Mail von der besagten Person kommt (Überprüfung anhand der Zertifikatskette, ob der Absender dem Zertifikatsinhaber entspricht). Der Header (also die Absender- und Empfängeradresse, sowie der Betreff) gehört leider nie dazu, weswegen nicht sichergestellt ist, dass niemand anderes die E-Mail auch empfangen und mitgelesen hat. Dafür wird die Verschlüsselung benötigt. Man kann damit zwar immer noch nicht sicherstellen, dass niemand den Header verändert (also sich z.B. die E-Mail auch zukommen lässt), jedoch kann er diese dann nicht mitlesen, da er sie nicht entschlüsseln kann. Dies gilt für den Inhalt der gesamten E-Mail einschließlich der Anhänge. Vor allem beim Versenden von personenbezogenen und anderweitig geheimen oder zu schützenden Daten ist das Verschlüsseln dringend notwendig.


Wir – die Certification Authority (CA) des Karlsruhe Institute of Technologie (KIT) – arbeiten mit der Deutschen ForschungsNetz (DFN) zusammen. Die DFN stellt Ihnen die für die Verschlüsselung notwendigen Zertifikate aus und wir authentifizieren dafür Ihre Identität (daher auch die Überprüfung des Personalausweises, Reisepasses oder Ähnlichem). Das Zertifikat der asymmetrischen Verschlüsselung setzt sich aus einem geheimen und einem öffentlichen Schlüssel zusammen. Den geheimen Schlüssel dürfen nur Sie als authentifizierte Person auf Ihrem eigenen Rechner haben, auf den niemand anderes Zugriff hat. Der öffentliche Schlüssel wird von anderen Personen benötigt um Ihnen eine verschlüsselte E-Mail zu schicken, bzw. auch umgekehrt, wenn Sie jemandem eine verschlüsselte E-Mail schicken wollen, benötigt dieser auch ein Zertifikat und Ihnen muss dessen öffentlicher Schlüssel bekannt sein, da die E-Mail mit einer Kombination aus Ihrem geheimen und dem öffentlichen Schlüssel des Empfängers verschlüsselt wird. Diesen öffentlichen Schlüssel erhalten Sie entweder dadurch, dass der Empfänger Ihnen zuvor eine signierte E-Mails geschickt hat, oder falls es ein Angehöriger des KIT ist und er bei der Beantragung des Zertifikats einer Veröffentlichung zugestimmt hat auf der Seite der KIT-CA des DFN.

Warum Serverzertifikate?

Ähnlich wie bei einem Personenzertifikat. will man mit einem Serverzertifikat dafür sorgen, dass niemand anderer die Kommunikation manipulieren oder mithören kann.