FAQ – Key2B

Fragen

Allgemein

Was ist Key2B?

Mit Key2B können Unternehmen den eigenen E-Mail-Verkehr einfach absichern und gleichzeitig gesetzliche Vorgaben effizient umsetzen. Mit den Key2B-Zertifikaten können Sie Ihre E-Mail-Nachrichten Ende-zu-Ende verschlüsseln und digital signieren.

Das Kernstück der Key2B ist eine Software, die Key2B-Software, die dem Nutzer zur Verfügung steht. Sie ermöglicht das Erzeugen und Zertifizieren von Schlüsseln sowie deren Verteilung in die Anwendungsprogramme.

Welche Aufgabe hat die Key2B-Software?

Die Key2B-Software führt den Nutzer einfach und sicher durch die Zertifikatsbeantragung und verteilt die Schlüssel und Zertifikate an die lokalen Anwendungsprogramme des Nutzers.

Die Key2B-Software erzeugt zunächst auf dem Gerät des Nutzers die kryptografischen Schlüssel, mit denen sich E-Mails und Daten verschlüsseln und signieren lassen. Nachdem sich der Nutzer erfolgreich authentifiziert hat, werden bei der Zertifizierungsstelle der Key2B digitale Zertifikate für Verschlüsselung, Authentisierung und Signatur erzeugt. Nach Empfang der Zertifikate sucht die Key2B-Software automatisch auf dem Gerät des Nutzers nach E-Mail-Programmen, Browsern und anderen Anwendungen, die Kryptografie nutzen können. Die Schlüssel und Zertifikate werden dann in die Anwendungsprogramme eingebracht, die vom Nutzer ausgewählt wurden. Die Nutzung der Zertifikate erfolgt dann wie gewohnt über die Anwendungsprogramme, beispielsweise um in MS Outlook E-Mails zu verschlüsseln und zu signieren.

Was ist das Besondere an der Key2B-Software?

Die Key2B-Software setzt auf Benutzerfreundlichkeit. Die Key2B-Software übernimmt das gesamte Schlüssel- und Zertifikatsmanagement, angefangen von der Schlüsselerzeugung über die Zertifizierung bis hin zur Einrichtung und Konfiguration der Anwendungsprogramme auf den verschiedenen Geräten des Nutzers. Der Nutzer muss sich nicht mehr um die Installation der Schlüssel und Zertifikate und die Konfiguration der Anwendungen kümmern. Auch technisch weniger bewanderten Nutzern ist es somit möglich, ohne großen Aufwand ihre E-Mails und Daten zu verschlüsseln.

Welche Anwendungen werden unterstützt?

Key2B erzeugt Zertifikate, die von allen E-Mail-Clients, Browsern und Web-Anwendungen genutzt werden können, die X.509 unterstützen. Von der Key2B-Software können aktuell die E-Mail-Clients MS Outlook und Thunderbird sowie die Browser Internet Explorer, Chrome und Firefox automatisch zur Nutzung der Zertifikate konfiguriert werden.

Kann Key2B auch mit Web-Mail genutzt werden?

Key2B setzt auf das standardisierte Verschlüsselungsverfahren S/MIME, welches von vielen E-Mail-Programmen unterstützt wird. Web-Mail wird derzeit nicht unterstützt, da man hier auf die Funktionen beschränkt ist, die der jeweilige Web-Mail-Anbieter eingebaut hat.
Es gibt mittlerweile einige Web-Mail-Anbieter, die über die Web-Oberfläche die Ende-zu-Ende Verschlüsselung von E-Mails zwar auf Basis von PGP unterstützen aber nicht den S/MIME-Standard. Sie können aber jederzeit Ihr E-Mail-Konto z.B. in Outlook oder Thunderbird einrichten und mit der Key2B-Software konfigurieren. Informationen zur Einrichtung finden Sie i.d.R. auf den Webseiten Ihres Providers.

Was ist der Unterschied zu De-Mail?

De-Mail und Key2B sind komplementäre Angebote: Key2B ist eine Software, die Schlüssel für die Ende-zu-Ende-Verschlüsselung von E-Mails erzeugt und gängige E-Mailprogramme automatisch für die Verschlüsselung konfiguriert. De-Mail ist dagegen das digitale Pendant zum Brief, weil sie für Sender und Empfänger rechtlich verbindlich ist. De-Mails lassen sich über PGP (Pretty Good Privacy) ebenfalls Ende-zu-Ende verschlüsseln.

Welcher Standard zur E-Mail-Verschlüsselung wird unterstützt?

Allgemein können E-Mails entweder mit OpenPGP oder mit S/MIME signiert und verschlüsselt werden.

Key2B erzeugt und verwaltet derzeit nur X.509-Zertifikate für das S/MIME-Verfahren, das von den meisten E-Mail-Clients standardmäßig unterstützt wird.

Was ist S/MIME?

S/MIME heißt Secure / Multipurpose Internet Mail Extensions. Das ist ein internationaler Standard, der festlegt, wie verschlüsselte E-Mails verschickt werden. S/MIME nutzt X.509-Zertifikate.

Unterstützt Key2B auch OpenPGP?

Die beiden Verfahren S/MIME und OpenPGP zum Signieren und Verschlüsseln von E-Mails sind vom Prinzip her zwar ähnlich, aber leider nicht kompatibel, da sie unterschiedliche Formate für Schlüssel, Zertifikate und verschlüsselte Daten verwenden. Das heißt, Sender und Empfänger müssen das gleiche Verfahren nutzen, wenn sie signierte oder verschlüsselte Nachrichten austauschen wollen.

Möchte man S/MIME und OpenPGP parallel einsetzen, so muss man für jedes Verfahren ein eigenes Schlüsselpaar besitzen.

Von Key2B werden derzeit nur S/MIME-Zertifikate unterstützt.

Kann Key2B auch mobil über Apps genutzt werden?

Im ersten Schritt wird Key2B nur Windows-PCs unterstützen.

Auf welchen Systemen läuft die Key2B-Software?

Die Key2B-Software gibt es bislang für Windows. Schlüssel, die unter Windows erzeugt wurden, können mithilfe der Export-Funktion exportiert und manuell auf Apple-Geräte sowie auf Linux- und Android-Systeme übertragen werden. Unter Linux können Sie die Schlüssel auch mit der Groupware-Software oder dem Outlook-Clone Evolution nutzen. Der Import ist jedoch nur dann möglich, wenn Sie beim Export der Schlüssel mit der Key2B-Software ein Passwort angegeben haben. Zur Übertragung der Schlüssel auf Apple-Geräte beachten Sie bitte die folgende Frage.

Können die von der Key2B erzeugten Schlüssel auf dem iPad oder dem iPhone genutzt werden?

Die Key2B-Software enthält eine Export-Funktion für iOS. Wählen Sie hierzu beim Export das Datenformat .mobilconfig aus. Nähere Informationen zur Nutzung der Schlüssel und Zertifikate unter iOS, erhalten Sie auf Nachfrage. Senden Sie hierzu eine Mail an support@key2b.de.

Unter welcher Lizenz wird die Key2B-Software veröffentlicht?

Die aktuellen Lizenzbestimmungen finden Sie hier.

Verankerung der Key2B-Zertifikate unter D-TRUST Root CA

Was ändert sich für mich mit dem Umzug zu einer D-TRUST Root CA?

Die D-TRUST Root CA ist in der Vertrauensliste der Hersteller ab Werk konfiguriert. Das führt dazu, dass beim Empfänger die komplette Zertifikatskette überprüft werden kann und dem Zertifikat der D-TRUST Root CA nicht explizit vertraut werden muss.

Wie erfolgt die Umstellung auf die D-TRUST-PKI?

Die aktuelle Version der Key2B-Software nutzt automatisch die D-TRUST-PKI. Ist bereits eine ältere Programmversion auf dem Rechner des Nutzers installiert, wird nach dem Start der Software angezeigt, dass ein neues Software-Update verfügbar ist. Dieses Update müssen Sie zwingend installieren, um die Key2B weiterhin nutzen zu können.

Installation

Warum startet der Installer bei mir nicht?

Wenn Ihr Installer nicht startet, sollten Sie die Datei auf ein lokales Laufwerk (z.B. auf den Desktop) kopieren. Programme, die mit erhöhten Rechten laufen (z.B. Installationsprogramme), lassen sich eventuell nicht direkt von einer Netzwerk-Freigabe aus starten. Hintergrund ist, dass die Programme mit erhöhten Rechten technisch gesehen in einem separaten „Admin“ Kontext laufen (auch wenn das System diesen Umstand verschleiert). Dort erfolgt dann keine Netzwerk-Freigabe.

Wie lange braucht Key2B, um ein Zertifikat auszustellen?

Die Key2B-Software zeigt, abhängig von der aktuellen Last, immer eine Schätzung an, wie viel Zeit die Ausstellung eines Zertifikats benötigt. In der Regel geschieht dies innerhalb weniger Minuten. Bei einer sehr starken Auslastung kann es einige Stunden, niemals aber länger als 24 Stunden dauern.

Warum erhalte ich beim Download eine Fehlermeldung von meiner Anti-Virus-Software und was kann ich tun?

Leider passiert es manchmal, dass Ihre Anti-Virus-Software beim Download der Key2B-Software einen Alarm auslöst. Hierbei handelt es sich wahrscheinlich um einen sogenannten „False Positive“, also um einen Fehlalarm aufgrund eines Programmierfehlers in der jeweiligen Anti-Virus-Software. Um dies sicherzustellen, können Sie die Datei erneut scannen lassen z.B. bei VirusTotal. Wird die Datei als harmlos eingestuft, sollten Sie das Problem an den Support des Herstellers Ihres Virenscanner melden, damit er den Fehler beheben kann.

Wie bekomme ich einen neuen Download-Link zur Installation der Key2B-App?

Sie sind bereits Key2B-Kunde und benötigen einen neuen Download-Link für die Key2B-Software? Dann senden Sie hierzu eine Mail an info@key2b.de.

Warum erhalte ich beim Update der Key2B-Software den Fehler "Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden"?

Bei älteren Versionen der Key2B-Software (Version 1.22-6 oder älter) kann im Rahmen der automatischen Aktualisierung der Fehler "Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden" auftreten. Der Grund hierfür ist eine Änderung in der Zertifikatskette des Servers. Die automatische Aktualisierung ist in diesem Fall mit einer alten Programm-Version leider nicht mehr möglich, Sie benötigen einen neuen Download-Link. Senden Sie hierzu eine Mail an info@key2b.de. Das Installationsprogramm wird Ihre vorhandene Version erkennen und aktualisieren. Wie immer empfehlen wir vor dem Update ein Backup Ihrer Schlüssel zu erstellen.

Zertifikate

Welche Zertifikatstypen werden ausgestellt?

Von Key2B werden Zertifikate entsprechend dem ITU-T-Standard X.509 ausgestellt und verwaltet. X.509 ist der am weitesten verbreitete Standard und wird von den gängigen E-Mail-Clients und Web-Browsern standardmäßig unterstützt.

Jeder Nutzer erhält ein Zertifikat für Verschlüsselung, Authentifizierung und Signatur, das in unterschiedlichen Anwendungen eingesetzt werden kann. Neben der Absicherung von E-Mails (Signatur und Verschlüsselung) mit S/MIME ist somit beispielsweise auch die sichere Kommunikation mit Web-Seiten mittels TLS möglich, wenn ein Server nach einem persönlichen Zertifikat zur Authentifizierung verlangt.

Können Zertifikate von Key2B parallel zu vorhandenen Zertifikaten genutzt werden?

Die Key2B-Software kann die erzeugten Nutzer-Zertifikate sowie die zugehörigen CA-Zertifikate direkt in geeignete Anwendungsprogramme zur Nutzung einbinden. Bereits vorhandene Zertifikate bleiben dabei erhalten und können parallel weiter genutzt werden. Dies gilt insbesondere auch für Zertifikate, die von anderen Zertifizierungsstellen stammen.

Werden die Zertifikate veröffentlicht?

Das Zertifikat wird im Verzeichnisdienst von Key2B, der im Internet frei zugänglich ist, nur dann veröffentlicht, wenn der Nutzer im Rahmen der Zertifikatsbeantragung dazu seine Einwilligung erteilt hat.

Was bedeutet die Veröffentlichung von Zertifikaten?

Zum Versenden einer verschlüsselten E-Mail muss der Sender das öffentliche Verschlüsselungszertifikat des Empfängers kennen. Wenn ein Nutzer sein Zertifikat veröffentlicht, kann jede Person ihm eine verschlüsselte Mail senden, da das Zertifikat frei verfügbar ist und von den Anwendungen nach Eingabe der E-Mail-Adresse gefunden werden kann.

Aus Gründen des Datenschutzes ist im Verzeichnisdienst keine Suche über Platzhalter erlaubt und Anfragen werden nur auf Basis einer vollständigen E-Mail-Adresse beantwortet.

Da Nutzerzertifikate den Namen und die E-Mail-Adresse des Zertifikatsinhabers enthalten, sind diese Daten bei einer Einwilligung zur Veröffentlichung frei verfügbar.

Kann ich mein Zertifikat sperren?

Der Nutzer kann jederzeit mit Hilfe der Key2B-Software die Sperrung seiner Zertifikate veranlassen.

Wie kann ich mein Zertifikat sperren?

Für die Sperrung Ihres Zertifikats mit Hilfe der Key2B-Software benötigen Sie ein Sperrkennwort. Dieses erhalten Sie über die Key2B-Software und wird Ihnen angezeigt, nachdem Sie Ihr Zertifikat heruntergeladen haben. Das Sperrkennwort wird außerdem in der Key2B-Software sicher gespeichert und muss daher im Regelfall nicht manuell eingegeben werden. Wenn Sie eine Sicherungskopie im .vv-backup Format erstellen, wird auch das Sperrkennwort in der Datei gesichert.

Was passiert, wenn ich mein Sperrkennwort nicht mehr kenne?

Wenn Sie Ihr Sperrkennwort nicht mehr kennen, wenden Sie sich bitte an die Stelle, von der Sie Ihren Registrierungs-Code erhalten haben.

Wie lange ist ein Zertifikat gültig?

Ein Zertifikat ist ab Ausstellungsdatum zwei Jahre gültig.

Kann ich für meine DE-Mail-Adresse ein Zertifikat von Key2B erhalten?

Wenn Sie für eine DE-Mail-Adresse ein Zertifikat beantragen, kann Ihnen der Verifikationscode nicht zugestellt werden, den Sie in der Key2B-Software im Rahmen der Zertifikatsbeantragung eingeben müssen. Da wir keine E-Mails an ein DE-Mail-Postfach senden können, können Sie Ihre E-Mail-Adresse nicht bestätigen und mit dem Zertifizierungsantrag fortfahren.

Müssen meine Partner auch ein Zertifikat haben?

Echte Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn sowohl Sender als auch Empfänger ein Verschlüsselungszertifikat besitzen. Zum Austausch von verschlüsselten E-Mails muss Ihr Partner ebenfalls über ein X.509-Zertifikat für S/MIME und einen S/MIME-fähigen E-Mail-Client verfügen. Wenn Sie eine verschlüsselte E-Mail versenden möchten, muss Ihr E-Mail-Client das öffentliche Verschlüsselungszertifikat Ihres Empfängers kennen, denn die E-Mail wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Dieser entschlüsselt die E-Mails dann mit seinem privaten Schlüssel, der immer auf seinem Gerät verbleibt.

Wie kann ein Zertifikat der Key2B erneuert werden?

Aus technischer Sicht kann zwischen zwei Verfahren unterschieden werden:

es wird ein neues Zertifikat für ein bereits existierendes Schlüsselpaar erstellt (Zertifikatserneuerung ohne Schlüsselwechsel), oder
es wird ein Zertifikat für ein neues Schlüsselpaar (Zertifikatserneuerung mit Schlüsselwechsel) erzeugt.

Die Key2B unterstützt nur die Zertifikatserneuerung mit Schlüsselwechsel.

Nutzer werden ca. 6 Wochen vor Ablauf Ihres Zertifikats via E-Mail an die Zertifikatserneuerung erinnert.

Danach kann unter Verwendung eines gültigen Zertifikats der Key2B die Zertifikatserneuerung veranlasst werden, sofern die im bestehenden Zertifikat enthaltenen Identitätsdaten (Vorname(n), Nachnahme, E-Mail-Adresse) unverändert bleiben. Ansonsten muss ein neues Zertifikat beantragt werden.

Für die Zertifikatserneuerung ist in der Key2B-Software der Menüpunkt "Neues Zertifikat" und im Fenster "Identitätsnachweis" das Verfahren "Zertifikatserneuerung" zu wählen.

Es ist wichtig, dass das alte Schlüsselpaar zur Verschlüsselung aufbewahrt und nicht aus dem E-Mail-Client entfernt wird, da ansonsten alte verschlüsselte Nachrichten nicht mehr gelesen werden können.

Zertifikat beantragen

Welche Voraussetzungen müssen für die Zertifikatsbeantragung erfüllt sein?

Um ein Zertifikat mit Hilfe der Key2B-Software beantragen zu können, müssen Sie sich bei einer Key2B-Registrierungsstelle registrieren. Sie erhalten dann nach Prüfung Ihrer Identität einen Registrierungs-Code und einen Link zum Download der Key2B-Software.

Wie funktioniert die Registrierung?

Die Registrierung erfolgt durch Fraunhofer SIT oder einen Vertragspartner. Nach Überprüfung der Identität auf Basis eines gültigen Ausweisdokumentes werden Titel (optional), Nachname, Vorname(n) aus dem Ausweisdokument sowie E-Mail-Adresse und weitere optionale Angaben erfasst und ein Registrierungs-Code erzeugt. Mit diesem Registrierungs-Code und der E-Mail-Adresse kann der Nutzer sich später an seinem PC mit Hilfe der Key2B-Software gegenüber der Key2B authentifizieren.

Wird der Registrierungs-Code zur Schlüsselgenerierung herangezogen?

Nein. Der Registrierungs-Code dient allein der Authentifizierung des Nutzers.

Warum muss ich mich bei der Registrierung authentisieren?

Von Key2B werden hochwertige Zertifikate, sogenannte Class 3-Zertifikate, ausgestellt. Ein wesentliches Sicherheitsmerkmal dieser Zertifikate ist, dass die Identität des Zertifikatsinhabers im Rahmen der Registrierung eindeutig festgestellt werden konnte. Der Empfänger eines solchen Zertifikats kann deshalb darauf vertrauen, dass der öffentliche Schlüssel auch tatsächlich zu der Person gehört, die im Zertifikat benannt ist.

Welche persönlichen Daten werden in das Zertifikat übernommen?

Im Rahmen der Registrierung werden Vorname(n), Name und ggf. akademischer Titel und E-Mail-Adresse erfasst und in das Zertifikat übernommen. Außerdem können Angaben zum Unternehmen in das Zertifikat übernommen werden. (Richtlinien).

Schlüsselerzeugung und -verwaltung

Wo werden die kryptografischen Schlüssel erzeugt?

Die kryptografischen Schlüssel werden von der Key2B-Software auf dem Endgerät des Nutzers erzeugt. Die privaten Schlüssel bleiben in der alleinigen Verfügungsgewalt des Nutzers. Ausschließlich die öffentlichen Schlüssel werden zur Zertifizierung an die Zertifizierungsstelle Key2B übermittelt.

Was ist zu tun, wenn ein privater Schlüssel verloren geht?

Da der private Schlüssel ausschließlich beim Nutzer gespeichert ist, muss bei Verlust des Schlüssels ein neues Schlüsselpaar erzeugt und hierfür ein neues Zertifikat beantragt werden.