S/MIME und EGVP unter openSUSE

3 minute read

Ich hatte letztens die Freude bei einem Anwalt eine Signaturkarte für die Verwendung zur E-Mail Signierung mittels S/MIME sowie zur Nutzung des Elektronischen Gerichts- und Verwaltungspostfaches (EGVP) unter openSUSE 13.2 x86_64 (64 bit) einzurichten.

Die Signaturkarte kam von Soldan (einem Anwalts-Bürodienstleister). An sich handelt es sich dabei nur um eine weiterverkaufte PKS-ECC Smartcard von Telesec (Deutsche Telekom).

Als Lesegerät kommt ein Reiner-SCT Cyberjack Pinpad mit USB-Anschluss zum Einsatz.

Die erfreuliche Nachricht ist: es funktioniert. Die weniger erfreuliche Nachricht: es erfordert etwas Arbeit. Wie diese Arbeit genau aussieht, soll im Folgende nun erläutert werden.

E-Mail Signierung in Thunderbird 31

Zuerst muss der PC/SC Daemon (pcscd) installiert und gestartet werden:

sudo zypper install pcsc-lite pcsc-cyberjack libpcsclite1
systemctl enable pcscd

Danach ist noch ein PKCS#11 Modul für Thunderbird (d.h. für NSS, die Kryptobibliotheken in Mozilla Produkten) notwendig. Leider wird die Karte noch nicht von OpenSC unterstützt, sodass die Closed Source PKCS#11 Module von Telesec heruntergeladen und installiert werden müssen.

  1. Das Treiberpaket von der Telesec Downloadseite für das richtige Betriebssystem herunterladen und die ZIP-Datei entpacken. In meinem Fall war es das Paket "P11TCOS3-Lib für Linux x64 (v.1.6.3)".
  2. Für die Verschlüsselung/Signierung ist das NetKey Modul notwendig, das mit folgendem Befehl an seinen üblichen Platz kopiert wird (für 32 Bit Systeme lib64 durch lib ersetzen):
    sudo cp libpkcs11tcos3NetKey64-1.6.3.so /usr/lib64/pkcs11/
  3. Nun kann die Chipkarte (sofern nicht bereits geschehen) in das Lesegerät eingesteckt werden.
  4. PC neu starten. (Aus irgendwelchen Gründen kam es häufiger vor, dass Thunderbird beim Laden des Moduls sich aufgehängt hat. Nach einem Neustart trat das Problem nicht mehr auf.)
  5. In Thunderbird Bearbeiten -> Einstellungen -> Erweitert -> Tab Zertifikate ->  Kryptographie-Module auswählen und dann rechts auf den Button Laden klicken. Der Modulname kann frei gewählt werden, z.B. "Telesec PKCS#11 NetKey". Als Modul-Dateiname muss /usr/lib64/pkcs11/libpkcs11tcos3NetKey64-1.6.3.so eingetragen werden.
  6. Nach einem Klick auf den Button Anmelden (Log-In) sollte ein Fenster erscheinen, das auf die Pineingabe hinweist. Danach muss auf der Tastatur des Cyberjack die Pin eingegeben und mit OK auf der Tastatur des Lesegeräts bestätigt werden.
  7. Unter Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate -> Zertifikate im Tab Ihre Zertifikate tauchen nun im Baum "T-Systems International GmbH" drei Zertifikate auf. Mit einem Doppelklick können weitere Details zum Zertifikat angezeigt werden.
  8. Jetzt ist es Zeit das Zertifikat für die E-Mailadresse auszuwählen. Dazu auf Bearbeiten -> Konto-Einstellungen klicken und dann für das richtige E-Mail Konto im Baum links den Untereintrag  S/MIME-Sicherheit anklicken. Unter dem Bereich Digitale Unterschrift auf den Button Auswählen ... klicken und dann das Zertifikat "ECC Authentication Certificate" (das Signature Certificate, das sich ebenfalls auf der Karte befindet, funktioniert nicht!) auswählen und mit OK bestätigen.

Bevor die Zertifikate funktionieren, müssen noch die CA-Zertifikate von Telesec installiert werden. Diese können unter http://www.telesec.de/download/CA-Zertifikate.zip heruntergeladen werden. Nach dem Entpacken der ZIP-Datei können  unter Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate -> Zertifikate im Tab Zertifizierungsstellen mit einem Klick auf den Button Importieren ... die nötigen Zertifikate ausgewählt werden. Dieser Schritt muss für jedes der benötigten Zertifikate wiederholt werden. Benötigt werden aktuell folgende Zertifikate:

  • 14R-CA_1PN.802.cer
  • TeleSec PKS CA 7.crt

Welche CA-Zertifikate genau benötigt werden kann sich über die Zeit ändern. Es werden alle Zertifikate benötigt, die nicht in Thunderbird integriert sind und die das E-Mail Zertifikat ausgestellt haben, sodass sich eine geschlossene Kette bis zum in Thunderbird integrierten Zertifikat der Deutschen Telekom ergibt. Wie oben in Schritt 5 beschrieben können Details zum Zertifikat angezeigt werden. Der unter "Ausgestellt von" angezeigte Aussteller des Zertifikats muss ebenfalls installiert sein.

Jetzt kann die erste Testmail verschickt werden. Erstelle eine neue Mail an dich selbst und klicke auf den Pfeil neben dem Button S/MIME und dann auf "Nachricht unterschreiben". Sobald die Mail ankommt sollte sie als gültig unterschrieben gekennzeichnet sein.

Die Verschlüsselung von Mails scheint mit dem Zertifikat allerdings nicht zu funktionieren.

 

Elektronisches Gerichts- und Verwaltungspostfach (EGVP)

  1. Die EGVP Anwendung unter www.egvp.de/software/index.php herunterladen
  2. Die Anwendung erfordert die 32-Bit Version einiger Bibliotheken. Diese können mit
    sudo zypper install libpcsclite1-32bit libXext6-32bit libXtst6-32bit libXi6-32bit

    installiert werden.

  3. Nun kann die EGVP-Anwendung installiert werden:
    sh EGVP_Classic-Client-setup.bin
  4. Und schließlich der Client mittels
    ./EGVP_Classic-Client/EGVP_Classic-Client

    gestartet werden.

Die verwendete Chipkarte kann nicht zur Verschlüsselung eingesetzt werden, weshalb für das Ver- und Entschlüsseln des Postfachs ein Softwarezertifikat verwendet werden muss. Da dies ohnehin die empfohlene Vorgehensweise ist, sollte das kein Problem darstellen. (Siehe Liste der unterstützten Chipkarten, Tabelle 10: "keine Ver- und Entschlüsselung mit der neuen TeleSec PKS-ECC Signaturkarte möglich (NetKey 3.0 SignatureCard 2.0)")

Leider ist die ganze EGVP-Anwendung nicht wirklich Linux-freundlich verpackt; sie bündelt eine 32 Bit Java Runtime und installiert beim ersten Start in $HOME/.AppData die eigentlichen Anwendungsbibliotheken. Das erschwert die systemweite Installation für mehrere Nutzer erheblich, weshalb ich für's Erste auch drauf verzichtet habe.

Viel Spaß beim Ausprobieren und ich freue mich wie immer über Kommentare!

 

Letzte Aktualisierung am 15.03.2015 für OpenSUSE 13.2