Fragen

Allgemein

Was ist die Volksverschlüsselung?
Welche Aufgabe hat die Volksverschlüsselungs-Software?
Was ist das Besondere an der Volksverschlüsselung?
Warum heißt es Volksverschlüsselung?
Welche Anwendungen werden unterstützt?
Kann die Volksverschlüsselung auch mit Web-Mail genutzt werden?
Was ist der Unterschied zu De-Mail?
Welcher Standard zur E-Mail-Verschlüsselung wird unterstützt?
Was ist S/MIME?
Unterstützt die Volksverschlüsselung auch OpenPGP?
Kann die Volksverschlüsselung auch mobil über Apps genutzt werden?
Auf welchen Systemen läuft die Volksverschlüsselungs-Software?
Können die von der Volksverschlüsselung erzeugten Schlüssel auf dem iPad oder dem iPhone genutzt werden?
Warum kann eine von der Volksverschlüsselungs-Software erzeugte Datei mit dem Suffix .p12 nicht auf dem iPad oder iPhone genutzt werden?
Ist der Quelltext der Volksverschlüsselungs-Software frei einsehbar?
Ist die Volksverschlüsselungs-Software Open Source?
Entspricht die Lizenz der Volksverschlüsselung der Shared Source Lizenz von Microsoft?
Unter welcher Lizenz wird die Volksverschüsselungs-Software veröffentlicht?
Welche Kosten/Gebühren fallen an?

Generation 2 der Volksverschlüsselung-PKI

Was bedeutet die zweite Generation der Volksverschlüsselung-PKI?
Was passiert mit den Zertifikaten aus der ersten Generation der Volksverschlüsselung-PKI ?
Wie erfolgt die Umstellung auf die zweite Generation der Volksverschlüsslung-PKI?
Wie können Zertifikate der ersten Generation nach dem Wechsel erneuert werden?

Installation

Warum startet der Installer bei mir nicht?
Wie lange braucht die Volksverschlüsselung, um ein Zertifikat auszustellen?
Warum erhalte ich beim Download einen Fehlermeldung von meiner Anti-Virus-Software und was kann ich tun?
Warum erhalte ich beim Update der Volksverschlüsselungs-Software den Fehler "Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden"?

Zertifikate

Welche Zertifikatstypen werden ausgestellt?
Können Zertifikate der Volksverschlüsselung parallel zu vorhandenen Zertifikaten genutzt werden?
Werden die Zertifikate veröffentlicht?
Was bedeutet die Veröffentlichung von Zertifikaten?
Was bedeutet die Sperrung eines Zertifikats?
Wann muss ich ein Zertifikat sperren?
Kann ich ein Zertifikat sperren?
Wie kann ich ein Zertifikat sperren?
Was passiert, wenn ich mein Sperrkennwort nicht mehr kenne?
Wie lange ist ein Zertifikat gültig?
Warum laufen Zertifikat ab?
Wie kann ein Zertifikat der Volksverschlüsselung erneuert werden?
Kann ich für meine DE-Mail-Adresse ein Zertifikat der Volksverschlüsselung erhalten?
Eigenständige Root-CA der Volksverschlüsselung
Müssen meine Partner auch ein Zertifikat haben?

Schlüsselerzeugung und -verwaltung sowie Zertifizierung

Wo werden die kryptografischen Schlüssel erzeugt?
Warum muss ich mich bei der Registrierung authentisieren?
Welche Authentifizierungsverfahren werden unterstützt?
Wie funktioniert die Vor-Ort-Registrierung?
Wird der Registrierungscode zur Schlüsselgenerierung herangezogen?
Welche persönlichen Daten werden in das Zertifikat übernommen?
Was ist zu tun, wenn ein privater Schlüssel verloren geht?

Technische Ausstattung

Welcher Kartenleser wird zur Nutzung des neuen Personalausweises benötigt?
Kann die AusweisApp2 mit der Volksverschlüsselungs-Software genutzt werden?
Können Mobilgeräte als Lesegerät für die Online-Ausweisfunktion verwendet werden?

 

Allgemein

Was ist die Volksverschlüsselung?

Mit der Volksverschlüsselung startet das Fraunhofer SIT eine Initiative, um die Nutzung von Ende-zu-Ende-Verschlüsselung in der Bevölkerung zu verbreiten und damit den Schutz der elektronischen Kommunikation von Privatpersonen sowie Unternehmen zu erhöhen.

Das Kernstück der Volksverschlüsselung ist eine Software, die Volksverschlüsselungs-Software, die dem Nutzer zur Verfügung steht. Sie ermöglicht das Erzeugen und Zertifizieren von Schlüsseln sowie deren Verteilung in die Anwendungsprogramme.

 

Welche Aufgabe hat die Volksverschlüsselung?

Die Volksverschlüsselungs-Software führt den Nutzer einfach und sicher durch die Zertifikatsbeantragung und verteilt die Schlüssel und Zertifikate an die lokalen Anwendungsprogramme des Nutzers.

Die Volksverschlüsselungs-Software erzeugt zunächst auf dem Gerät des Nutzers die kryptografischen Schlüssel, mit denen sich E-Mails und Daten verschlüsseln und signieren lassen. Nachdem sich der Nutzer erfolgreich authentifiziert hat, werden bei der Zertifizierungsstelle der Volksverschlüsselung digitale Zertifikate für Verschlüsselung, Authentisierung und Signatur erzeugt. Nach Empfang der Zertifikate sucht die Volksverschlüsselungs-Software automatisch auf dem Gerät des Nutzers nach E-Mail-Programmen, Browsern und anderen Anwendungen, die Kryptografie nutzen können. Die Schlüssel und Zertifikate werden dann in die Anwendungsprogramme eingebracht, die vom Nutzer ausgewählt wurden. Die Nutzung der Zertifikate erfolgt dann wie gewohnt über die Anwendungsprogramme, beispielsweise um in MS OutlookE-Mails zu verschlüsseln und zu signieren.

 

Was ist das Besondere an der Volksverschlüsselung?

Die Volksverschlüsselung setzt auf Benutzerfreundlichkeit. Die Volksverschlüsselungs-Software übernimmt automatisch alle Schritte des Prozesses, angefangen von der Schlüsselerzeugung über die Zertifizierung bis hin zur Einrichtung und Konfiguration der Anwendungsprogramme auf den verschiedenen Geräten des Nutzers. Der Nutzer muss sich nicht mehr um die Installation der Schlüssel und Zertifikate und die Konfiguration der Anwendungen kümmern. Auch technisch weniger bewanderten Nutzern ist es somit möglich, ohne großen Aufwand ihre E-Mails und Daten zu verschlüsseln.

 

Warum heißt es Volksverschlüsselung?

Mit dem Namen wollen wir zum Ausdruck bringen, dass sich unsere Lösung an alle Menschen wendet, nicht an eine kleine Minderheit von Experten. Die einfache Benutzbarkeit hat im gesamten Entwicklungsprozess eine sehr hohe Priorität, ganz im Sinne von "Usability by Design". Wir möchten dazu beitragen, dass Sicherheit durch Verschlüsselung für alle so selbstverständlich wird wie das Anlegen des Sicherheitsgurts im Auto.

Die Silbe "Volks-" findet sich auch in vielen anderen Worten der modernen Sprache: Volkswirtschaft, Volksentscheid, Volksvertreter (im Bundestag), Volkspartei, Volkshochschule und Volksfest. Und nicht zuletzt wurde auch das Fußballstadion des Hamburger Sportvereins im Jahr 2015 wieder zum Volksparkstadion.

 

Welche Anwendungen werden unterstützt?

Die Volksverschlüsselung erzeugt Zertifikate, die von allen E-Mail-Clients, Browsern und Web-Anwendungen genutzt werden können, die X.509 unterstützen. Von der Volksverschlüsselungs-Software können aktuell die E-Mail-Clients MS Outlook, Windows Live Mail und Thunderbird sowie die Browser Internet Explorer, Chrome und Firefox automatisch zur Nutzung der Zertifikate konfiguriert werden.

 

Kann die Volksverschlüsselung auch mit Web-Mail genutzt werden?

Die Volksverschlüsslung stellt X.509-Zertifikate aus und unterstützt damit alle S/MIME-fähigen E-Mail-Clients. Die Integration in Web-Mail-Dienste ist anbieterabhängig und erfordert die Zusammenarbeit mit den Dienstanbietern. Eine enge Zusammenarbeit mit den Dienstanbietern wird vom Fraunhofer SIT angestrebt, damit E-Mail-Verschlüsselung sich weit verbreitet und auch im Web zur Normalität wird. Es gibt mittlerweile einige Web-Mail-Anbieter, die über die Web-Oberfläche die Ende-zu-Ende Verschlüsselung von E-Mails auf Basis eines PGP-Plugins wie Mailvelope unterstützen. Die Volksverschlüsselung wird in einer nächsten Version ebenfalls die Zertifizierung von PGP-Schlüsseln ermöglichen und Web-Mail-Dienste mit einer PGP-Erweiterung unterstützen.

 

Was ist der Unterschied zu De-Mail?

De-Mail und Volksverschlüsselung sind komplementäre Angebote: Die Volksverschlüsselung ist eine Software, die Schlüssel für die Ende-zu-Ende-Verschlüsselung von E-Mails erzeugt und die E-Mailprogramme automatisch für die Verschlüsselung konfiguriert. Die De-Mail ist dagegen das digitale Pendant zum Brief, weil sie für Sender und Empfänger rechtlich verbindlich ist. De-Mails lassen sich über PGP (Pretty Good Privacy) ebenfalls Ende-zu-Ende verschlüsseln.

 

Welcher Standard zur E-Mail-Verschlüsselung wird unterstützt?

Allgemein können E-Mails entweder mit OpenPGP oder mit S/MIME signiert und verschlüsselt werden.

Die Volksverschlüsselung erzeugt und verwaltet derzeit nur X.509-Zertifikate für das S/MIME-Verfahren, das von den meisten E-Mail-Clients standardmäßig unterstützt wird.

 

Was ist S/MIME?

S/MIME heißt Secure / Multipurpose Internet Mail Extensions. Das ist ein internationaler Standard, der festlegt, wie verschlüsselte E-Mails verschickt werden. S/MIME nutzt X.509-Zertifikate.

 

Unterstützt die Volksverschlüsselung auch OpenPGP?

Die beiden Verfahren S/MIME und OpenPGP zum Signieren und Verschlüsseln von E-Mails sind vom Prinzip her zwar ähnlich, aber leider nicht kompatibel, da sie unterschiedliche Formate für Schlüssel, Zertifikate und verschlüsselte Daten verwenden. Das heißt, Sender und Empfänger müssen das gleiche Verfahren nutzen, wenn sie signierte oder verschlüsselte Nachrichten austauschen wollen.

Möchte man S/MIME und OpenPGP parallel einsetzen, so muss man für jedes Verfahren ein eigenes Schlüsselpaar besitzen.

Von Volksverschlüsselung werden derzeit nur S/MIME-Zertifikate unterstützt.

 

Kann die Volksverschlüsselung auch mobil über Apps genutzt werden?

Im ersten Schritt wird Volksverschlüsselung nur Windows-PCs unterstützen.

 

Auf welchen Systemen läuft die Volksverschlüsselungs-Software?

Die Volksverschlüsselungs-Software gibt es bislang für Windows.

Schlüssel, die unter Windows erzeugt wurden, können mithilfe der Export-Funktion exportiert und manuell auf Apple-Geräte sowie auf Linux- und Android-Systeme übertragen werden. Unter Linux können Sie die Schlüssel auch mit der Groupware-Software oder dem Outlook-Clone Evolution nutzen. Der Import ist jedoch nur dann möglich, wenn Sie beim Export der Schlüssel mit der Volksverschlüsselungs-Software ein Passwort angegeben haben.

Zur Übertragung der Schlüssel auf Apple-Geräte beachten Sie bitte die folgende Frage.

 

Können die von der Volksverschlüsselung erzeugten Schlüssel auf dem iPad oder dem iPhone genutzt werden?

Die Volksverschlüsselungs-Software enthält eine Export-Funktion für iOS. Wählen Sie hierzu beim Export das Datenformat .mobilconfig aus.

Nähere Informationen zur Nutzung der Schlüssel und Zertifikate unter iOS, erhalten Sie auf Nachfrage. Senden Sie hierzu eine Mail an info@volksverschluesselung.de.

 

Warum kann eine von der Volksverschlüsselungs-Software erzeugte Datei mit dem Suffix .p12 nicht auf dem iPad oder iPhone genutzt werden?

Wenn Sie mit der Volksverschlüsselungs-Software beim Export das Datenformat .p12 auswählen, wird eine PKCS#12-Datei erzeugt, die drei private Schlüssel enthält. Die Datei ist korrekt im Sinne der PKCS#12-Spezifikation. Die iOS-Implementierung kann damit aber nicht umgehen und erzeugt bei einem Import-Versuch eine Fehlermeldung. Ab Version 1.09-0 können die Schlüssel so exportiert werden, dass iOS sie importieren kann. Für mehr Informationen sehen Sie sich bitte die Frage zuvor an.

 

Ist der Quelltext der Volksverschlüsselungs-Software frei einsehbar?

Ja. Wir wollen allen Interessierten freie Einsicht in den Source Code ermöglichen. So können sich alle davon überzeugen, dass keine Hintertüren (Backdoors) in der Software existieren.

 

Ist die Volksverschlüsselungs-Software Open Source?

Das ist eine schwierige Frage, weil "Open Source" vielfältig verwendet wird. Die Software ist "Open Source", in einem umgangssprachlichen Sinn, weil der Quelltext offen gelegt wird. Sie ist nicht "Open Source" im Sinne der Open Source Initiative. Dort wird u.a. verlangt:

"Die Lizenz darf niemanden in seinem Recht einschränken, die Software als Teil eines Software-Paketes, das Programme unterschiedlichen Ursprungs enthält, zu verschenken oder zu verkaufen. Die Lizenz darf für den Fall eines solchen Verkaufs keine Lizenz- oder sonstigen Gebühren festschreiben." (Quelle)

PGP ist ein Beispiel für ein "Open Source" - Produkt, dasnicht die OSI-Definition erfüllt. Diese Definition kam erst 1998 auf, lange nachdem der Begriff schon im Gebrauch war.

Aus unserer Sicht sind die Worte "Open Source" für die Volksverschlüsselung nicht entscheidend. Uns kommt es darauf an, dass sich wirklich jeder von der Vertrauenswürdigkeit der Volksverschlüsselungs-Software überzeugen kann. Und das erreichen wir durch die Offenlegung des Quelltextes.

 

Entspricht die Lizenz der Volksverschlüsselung der Shared Source Lizenz von Microsoft?

Nein. Diese Lizenz richtet sich an "qualified customers, enterprises, governments, and partners", während die Volksverschlüsselungs-Software frei einsehbar für alle ist.

 

Unter welcher Lizenz wird die Volksverschüsselungs-Software veröffentlicht?

Der Objektcode und der Quelltext der Volksverschlüsselungs-Software werden unter verschiedenen Lizenzen zur Verfügung gestellt. Die aktuellen Lizenzbestimmungen finden Sie hier.

 

Welche Kosten/Gebühren fallen an?

Die Nutzung für private Zwecke oder die Nutzung im Rahmen der Tätigkeit für öffentliche Einrichtungen (bspw. Schulen) oder für gemeinnützige Organisationen (bspw. Vereine) ist kostenlos.

 

Generation 2 der Volksverschlüsselung-PKI

Was bedeutet die zweite Generation der Volksverschlüsselung-PKI?

Die Nutzer-Zertifikate der Volksverschlüsselung werden von der Zertifizierungsstelle (CA) "Volksverschluesselung Private CA" ausgestellt. Das Zertifikat dieser CA läuft im Mai 2021 ab und kann unter dem Wurzelzertifikat "Volksverschluesselung Root CA" (gültig bis Mai 2023) nicht verlängert werden. Deshalb wurde eine neue Zertifizierungsstellen-Hierarchie unterhalb des neuen Wurzelzertifikats "Volksverschluesselung Root CA G02" aufgebaut und am 25. Mai 2020 in Betrieb genommen.

Das Wurzelzertifikat der zweiten Generation ist bis 2036 gültig. Das Zertifikat der ausstellenden Zertifizierungsstelle "Volksverschluesselung Private CA G02" für Nutzer-Zertifikate hat eine Laufzeit bis 2030.

Weitere Unterschiede: Alle Nutzer-Zertifikate der zweiten Generation besitzen nun eine Schlüssellänge von 3072 Bit. Mit dem Wechsel auf das neue Wurzelzertifikat beträgt die Laufzeit der Nutzer-Zertifikate nun auch drei statt zwei Jahre.

 

Was passiert mit den Zertifikaten aus der ersten Generation der Volksverschlüsselung-PKI?

Die Volksverschlüsselung-PKI, die seit Juni 2016 in Betrieb ist, wird bis zum Laufzeitende des Wurzelzertifikats "Volksverschluesselung Root CA" im Mai 2023 unverändert weiter betrieben. Die ausgestellten Zertifikate bleiben bis zu deren Ablauf bzw. Sperrung gültig. Neue Zertifikate werden jedoch nicht mehr von dieser CA ausgestellt.

 

Wie erfolgt die Umstellung auf die zweite Generation der Volksverschlüsslung-PKI?

Die aktuelle Version der Volksverschlüsselungs-Software nutzt automatisch die zweite Generation der Volksverschlüsselung-PKI. Ist bereits eine ältere Programmversion auf dem Rechner des Nutzers installiert, wird nach dem Start der Software angezeigt, dass eine neues Software-Update verfügbar ist. Dieses Update müssen Sie zwingend installieren, um die Volksverschlüsselung weiterhin nutzen zu können.

 

Wie können Zertifikate der ersten Generation nach dem Wechsel erneuert werden?

Die Zertifikatserneuerung erfolgt wie unter Wie kann ein Zertifikat der Volksverschlüsselung erneuert werden? beschrieben.

Die Identitätsprüfung erfolgt auf Basis eines gültigen Zertifikats aus der ersten Generation der Volksverschlüsselung. Das neue Zertifikat wird dann von der Zertifizierungsstelle (CA) der zweiten Generation der Volksverschlüsselung-PKI ausgestellt.

 

Installation

Warum startet der Installer bei mir nicht?

Wenn Ihr Installer nicht startet, sollten Sie die Datei auf ein lokales Laufwerk (z.B. auf den Desktop) kopieren. Programme, die mit erhöhten Rechten laufen (z.B. Installationsprogramme), lassen sich eventuell nicht direkt von einer Netzwerk-Freigabe aus starten. Hintergrund ist, dass die Programme mit erhöhten Rechten technisch gesehen in einem separaten "Admin" Kontext laufen (auch wenn das System diesen Umstand verschleiert). Dort erfolgt dann keine Netzwerk-Freigabe.

 

Wie lange braucht die Volksverschlüsselung, um ein Zertifikat auszustellen?

Die Volksverschlüsselungs-Software zeigt, abhängig von der aktuellen Last, immer eine Schätzung an, wie viel Zeit die Ausstellung eines Zertifikats benötigt. In der Regel geschieht dies innerhalb weniger Minuten. Bei einer sehr starken Auslastung kann es einige Stunden, niemals aber länger als 24 Stunden dauern.

 

Warum erhalte ich beim Download einen Fehlermeldung von meiner Anti-Virus-Software und was kann ich tun?

Leider passiert es manchmal, dass Ihre Anti-Virus-Software beim Download der Volksverschlüsselungs-Software einen Alarm auslöst. Hierbei handelt es sich wahrscheinlich um einen sogenannten "False Positive", also um einen Fehlalarm aufgrund eines Programmierfehlers in der jeweiligen Anti-Virus-Software. Um dies sicherzustellen, können Sie die Datei erneut scannen lassen z.B. bei VirusTotal. Wird die Datei als harmlos eingestuft, sollten Sie das Problem an den Support des Herstellers Ihres Virenscanner melden, damit er den Fehler beheben kann.

 

Warum erhalte ich beim Update der Volksverschlüsselungs-Software den Fehler "Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden"?

Bei älteren Versionen der Volksverschlüsselungs-Software (Version 1.09-14 oder älter) kann im Rahmen der automatischen Aktualisierung der Fehler "Für den geschützten SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden" auftreten. Der Grund hierfür ist eine Änderung in der Zertifikatskette des Download-Servers. Die automatische Aktualisierung ist in diesem Fall mit einer alten Programm-Version leider nicht mehr möglich. Bitte laden Sie stattdessen die aktuelle Version der Volksverschlüsselungs-Software manuell von der offiziellen Webseite herunter (siehe Download). Das Installationsprogramm wird Ihre vorhandene Version erkennen und aktualisieren. Wie immer empfehlen wir vor dem Update ein Backup Ihrer Schlüssel zu erstellen.

 

Zertifikate

Welche Zertifikatstypen werden ausgestellt?

Von der Volksverschlüsselung werden derzeit Zertifikate entsprechend dem ITU-T-Standard X.509 ausgestellt und verwaltet. X.509 ist der am weitesten verbreitete Standard und wird von den gängigen E-Mail-Clients und Web-Browsern standardmäßig unterstützt.

Jeder Nutzer erhält jeweils ein Zertifikat für Verschlüsselung, Authentifizierung und Signatur, die in unterschiedlichen Anwendungen eingesetzt werden können. Neben der Absicherung von E-Mails (Signatur und Verschlüsselung) mit S/MIME ist somit beispielsweise auch die sichere Kommunikation mit Web-Seiten mittels TLS möglich, wenn ein Server nach einem persönlichen Zertifikat zur Authentifizierung verlangt.

 

Können Zertifikate der Volksverschlüsselung parallel zu vorhandenen Zertifikaten genutzt werden?

Die Volksverschlüsselungs-Software kann die erzeugten Nutzer-Zertifikate sowie die zugehörigen CA-Zertifikate direkt in geeignete Anwendungsprogramme zur Nutzung einbinden. Bereits vorhandene Zertifikate bleiben dabei erhalten und können parallel weiter genutzt werden. Dies gilt insbesondere auch für Zertifikate, die von anderen Zertifizierungsstellen stammen.

 

Werden die Zertifikate veröffentlicht?

Verschlüsselungszertifikate werden im Verzeichnisdienst der Volksverschlüsselung, der im Internet frei zugänglich ist, nur dann veröffentlicht, wenn der Nutzer im Rahmen der Zertifikatsbeantragung dazu seine Einwilligung erteilt hat.

 

Was bedeutet die Veröffentlichung von Zertifikaten?

Zum Versenden einer verschlüsselten E-Mail muss der Sender das öffentliche Verschlüsselungszertifikat des Empfängers kennen. Wenn ein Nutzer sein Zertifikat veröffentlicht, kann jede Person ihm eine verschlüsselte Mail senden, da das Zertifikat frei verfügbar ist und von den Anwendungen nach Eingabe der E-Mail-Adresse gefunden werden kann.

Aus Gründen des Datenschutzes ist im Verzeichnisdienst keine Suche über Platzhalter erlaubt und Anfragen werden nur auf Basis einer vollständigen E-Mail-Adresse beantwortet.

Da Nutzer-Zertifikate den Namen und die E-Mail-Adresse des Zertifikatsinhabers enthalten, sind diese Daten bei einer Einwilligung zur Veröffentlichung frei verfügbar.

 

Was bedeutet die Sperrung eines Zertifikats?

Sperrung (Revocation) ist ein Prozess, der es ermöglicht, Zertifikate vor Ablauf ihrer Gültigkeit für ungültig zu erklären, z.B. wenn der mit dem Zertifikat verbundene private Schlüssel verloren geht.

Gesperrte Zertifikate sind nicht mehr vertrauenswürdig. Sie werden auf Sperrlisten, sogenannten Certificate Revocation Lists (CRLs), geführt und werden durch die Zertifizierungsstelle (CA) gemäß den entsprechenden Richtlinien (CP/CPS) veröffentlicht. Sperrinformationen werden auch per OCSP-Dienst zur Verfügung gestellt.

Anwendungen (E-Mail-Clients, Browser etc.) sind somit in der Lage, die Gültigkeit eines Zertifikats auf Basis dieser Sperrinformationen zu überprüfen.

Wird ein Verschlüsselungszertifikat gesperrt, sollte das Schlüsselpaar weiterhin in den E-Mail-Clients verbleiben, um verschlüsselte Nachrichten noch lesen zu können.

 

Wann muss ich ein Zertifikat sperren?

Vor Ablauf der Zertifikatsgültigkeit ist eine Sperrung zu veranlassen, wenn einer der folgenden Gründe vorliegt:

  • der private Schlüssel wurde kompromittiert, ist abhandengekommen (z.B. Verlust oder Diebstahl des Schlüsselträgers) oder nicht mehr nutzbar
  • ein Missbrauch oder der Verdacht auf Missbrauch des privaten Schlüssels liegt vor,
  • die Angaben im Zertifikat sind fehlerhaft oder nicht mehr korrekt (z.B. Namensänderung bei Heirat),
  • das Zertifikat wird nicht mehr benötigt.

 

Kann ich ein Zertifikat sperren?

Der Nutzer kann jederzeit mit Hilfe der Volksverschlüsselungs-Software die Sperrung seiner Zertifikate veranlassen.

 

Wie kann ich ein Zertifikat sperren?

Für die Sperrung Ihres Zertifikats benötigen Sie ein Sperrkennwort. Dieses erhalten Sie über die Volksverschlüsselungs-Software und wird Ihnen angezeigt, nachdem Sie Ihr Zertifikat heruntergeladen haben. Das Sperrkennwort wird außerdem in der Volksverschlüsselungs-Software sicher gespeichert und muss daher im Regelfall nicht manuell eingegeben werden. Wenn Sie eine Sicherungskopie im .vv-backup Format erstellen, wird auch das Sperrkennwort in der Datei gesichert.

 

Was passiert, wenn ich mein Sperrkennwort nicht mehr kenne?

Wenn Sie Ihr Sperrkennwort nicht mehr kennen, können Sie Ihr Zertifikat vor Ablauf der Gültigkeit nicht sperren. Die Sperrung erfolgt dann automatisch nach Ablauf der Gültigkeit.

 

Wie lange ist ein Zertifikat gültig?

Zertifikate der ausstellenden CA "Volksverschluesselung Private CA G02" sind ab Ausstellungsdatum drei Jahre gültig.

 

Warum laufen Zertifikat ab?

Zertifikate haben aus Gründen der Sicherheit eine zeitlich begrenzte Gültigkeit und sind regelmäßig zu erneuern.

Durch die Zertifikatserneuerung besteht die Möglichkeit, die im Zertifikat aufgeführten Algorithmen und Schlüssellängen für Signaturen und Verschlüsselung an geänderte Sicherheitsvorgaben anzupassen, um somit den Schutz der Daten zu garantieren. Auch wird bei der Zertifikatserneuerung die Identität des Zertifikatsinhabers erneut geprüft und durch die Zertifizierungsstelle bestätigt, was das Vertrauen in die Zertifikate weiter stärkt.

 

Wie kann ein Zertifikat der Volksverschlüsselung erneuert werden?

Aus technischer Sicht kann zwischen zwei Verfahren unterschieden werden:

  • es wird ein neues Zertifikat für ein bereits existierendes Schlüsselpaar erstellt (Zertifikatserneuerung ohne Schlüsselwechsel), oder
  • es wird ein Zertifikat für ein neues Schlüsselpaar (Zertifikatserneuerung mit Schlüsselwechsel) erzeugt.

Die Volksverschlüsselung unterstützt nur die Zertifikatserneuerung mit Schlüsselwechsel.

Nutzer werden ca. 6 Wochen vor Ablauf Ihres Zertifikats via E-Mail an die Zertifikatserneuerung erinnert.

Danach kann unter Verwendung eines gültigen Zertifikats der Volksverschlüsselung die Zertifikatserneuerung veranlasst werden, sofern die im bestehenden Zertifikat enthaltenen Identitätsdaten (Vorname(n), Nachnahme, E-Mail-Adresse) unverändert bleiben. Ansonsten muss ein neues Zertifikat beantragt werden.

Für die Zertifikatserneuerung ist in der Volksverschlüsselungs-Software der Menüpunkt "Neues Zertifikat" und im Fenster "Identitätsnachweis" das Verfahren "Zertifikatserneuerung" zu wählen.

Es ist wichtig, dass das alte Schlüsselpaar zur Verschlüsselung aufbewahrt und nicht aus dem E-Mail-Client entfernt wird, da ansonsten alte verschlüsselte Nachrichten nicht mehr gelesen werden können.

 

Kann ich für meine DE-Mail-Adresse ein Zertifikat der Volksverschlüsselung erhalten?

Wenn Sie für eine DE-Mail-Adresse ein Zertifikat beantragen, kann Ihnen der Verifikationscode nicht zugestellt werden, den Sie in der Volksverschlüsselungs-Software eingeben müssen. Da wir keine E-Mails an ein DE-Mail-Postfach senden können, können Sie Ihre E-Mail-Adresse nicht bestätigen und mit dem Zertifizierungsantrag fortfahren.

 

Eigenständige Root-CA der Volksverschlüsselung

Wenn Sie mit einem Partner kommunizieren, der seine Zertifikate nicht mit der Volksverschlüsselungs-Software erzeugt hat, kann es passieren, dass die Zertifikate der Volksverschlüsselung nicht automatisch als vertrauenswürdig eingestuft werden. Bitten Sie Ihren Kommunikationspartner in diesem Fall, den Zertifikaten der Volksverschlüsselung einmal manuell zu vertrauen. Sie finden alle Zertifikate und ihre Fingerprints unter https://volksverschluesselung.de/zertifikate.php

 

Müssen meine Partner auch ein Zertifikat haben?

Echte Ende-zu-Ende-Verschlüsselung funktioniert nur, wenn sowohl Sender als auch Empfänger ein Verschlüsselungszertifikat besitzen. Zum Austausch von verschlüsselten E-Mails muss Ihr Partner ebenfalls über ein X.509-Zertifikat für S/MIME und einen S/MIME-fähigen E-Mail-Client verfügen. Wenn Sie eine verschlüsselte E-Mail versenden möchten, muss Ihr E-Mail-Client das öffentliche Verschlüsselungszertifikat Ihres Empfängers kennen, denn die E-Mail wird mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Dieser entschlüsselt die E-Mails dann mit seinem privaten Schlüssel, der immer auf seinem Gerät verbleibt. Verschiedene Möglichkeiten des Zertifikatsaustauschs finden Sie hier: Wissenswertes und Anleitungen für Endanwender – Anleitung.

 

Schlüsselerzeugung und -verwaltung sowie Zertifizierung

Wo werden die kryptografischen Schlüssel erzeugt?

Die kryptografischen Schlüssel werden von der Volksverschlüsselungs-Software auf dem Endgerät des Nutzers erzeugt. Die privaten Schlüssel bleiben in der alleinigen Verfügungsgewalt des Nutzers. Ausschließlich die öffentlichen Schlüssel werden zur Zertifizierung an die Zertifizierungsstelle der Volksverschlüsselung übermittelt.

 

Warum muss ich mich bei der Registrierung authentisieren?

Von der Volksverschlüsselung werden hochwertige Zertifikate, sogenannte Class 3-Zertifikate, ausgestellt. Ein wesentliches Sicherheitsmerkmal dieser Zertifikate ist, dass die Identität des Zertifikatsinhabers im Rahmen der Zertifizierung eindeutig festgestellt werden konnte. Der Empfänger eines solchen Zertifikats kann deshalb darauf vertrauen, dass der öffentliche Schlüssel auch tatsächlich zu der Person gehört, die im Zertifikat benannt ist.

 

Welche Authentifizierungsverfahren werden unterstützt?

Derzeit besteht die Möglichkeit, sich mittels der Online-Ausweisfunktion des Personalausweises oder einem Registrierungscode zu authentisieren. Den Registrierungscode erhält man bei einer Vor-Ort-Registrierung, siehe nächste Frage. Eine Alternative zur Vor-Ort-Registrierung ist die Nutzung eines Bürgerterterminals. Solche Terminals zur Nutzung des neuen Personalausweises werden mit Unterstützung der Initiative buergerservice.org an allgemein zugänglichen Stellen aufgestellt.

 

Wie funktioniert die Vor-Ort-Registrierung?

Wenn ein Nutzer keine Online-Ausweisfunktion des Personalausweises nutzen möchte, kann er sich persönlich auf Messen und weiteren Veranstaltungen für die Volksverschlüsselung registrieren. Er muss sich mit einem gültigen Ausweisdokument ausweisen und ein unterschriebenes Formular abgeben, welches Titel (optional), Nachname und alle Vornamen aus seinem gültigen Ausweisdokument sowie seine E-Mail-Adresse enthält. Nach Prüfung seiner Identität erhält er von uns eine Karte mit einem 12-stelligen Registrierungscode. Mit diesem Registrierungscode und der E-Mail-Adresse kann er sich später an seinem PC mit Hilfe der Volksverschlüsselungs-Software gegenüber der Volksverschlüsselung authentifizieren.

 

Wird der Registrierungscode zur Schlüsselgenerierung herangezogen?

Nein. Der Registrierungscode dient allein der Authentifizierung des Nutzers.

 

Welche persönlichen Daten werden in das Zertifikat übernommen?

Im Rahmen der Registrierung werden Vorname(n), Name und ggf. akademischer Titel beispielsweise aus dem neuen Personalausweis abgefragt und in das Zertifikat übernommen. Zusätzlich muss der Nutzer seine E-Mail-Adresse angeben, die ebenfalls in das Zertifikat übernommen wird.

 

Was ist zu tun, wenn ein privater Schlüssel verloren geht?

Da der private Schlüssel ausschließlich beim Nutzer gespeichert ist, muss bei Verlust des Schlüssels ein neues Schlüsselpaar erzeugt und hierfür ein neues Zertifikat beantragt werden. Außerdem sollte der Nutzer mit Hilfe der Volksverschlüsselungs-Software die Sperrung des alten Zertifikats veranlassen.

 

Technische Ausstattung

Welcher Kartenleser wird zur Nutzung des neuen Personalausweises benötigt?

Zur Nutzung der eID-Funktion des neuen Personalausweises verwendet die Volksverschlüsselungs-Software die Open eCard APP. Die Open eCard App ist die Open-Source-Alternative zur offiziellen AusweisApp2 des Bundes. Die Open eCard APP unterstützt jeden Kartenleser, sofern für diesen ein PC/SC-Treiber zur Verfügung steht.

Beim Kauf eines Kartenlesers ist darauf zu achten, dass dieser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft wurde. Vom BSI empfohlene Kartenleser finden sich auf dem Personalausweisportal.

Geschützte Marken und Namen, Bilder und Texte werden auf unseren Seiten in der Regel nicht als solche kenntlich gemacht. Das Fehlen einer solchen Kennzeichnung bedeutet jedoch nicht, dass es sich um einen freien Namen, ein freies Bild oder einen freien Text im Sinne des Markenzeichenrechts handelt.

 

Kann die AusweisApp2 mit der Volksverschlüsselungs-Software genutzt werden?

Die Volksverschlüsselungs-Software kann mit einer kompatiblen eID-Client Software, wie z.B. der AusweisApp2 oder der Open eCard App genutzt werden. Wenn bereits eine geeignete eID-Client Software auf dem System ausgeführt wird, kann diese von der Volksverschlüsselungs-Software automatisch erkannt und verwendet werden. Andernfalls, d.h. wenn noch keine eID-Client Software auf dem System läuft, wird die in der Volksverschlüsselungs-Software integrierte Version der Open eCard App gestartet und verwendet.

 

Können Mobilgeräte als Lesegerät für die Online-Ausweisfunktion verwendet werden?

Zur Nutzung als Lesegerät für die Online-Ausweisfunktion sind ausschließlich Mobilgeräte (SmartPhones, Tablets, etc.) mit NFC-Schnittstelle geeignet. Außerdem ist für die Nutzung eines Mobilgeräts als Lesegerät derzeit die AusweisApp2 erforderlich. Zu diesem Zweck muss zunächst die AusweisApp2 separat von der offiziellen Webseite heruntergeladen und auf dem PC installiert werden. Anschließend muss die AusweisApp2 ebenfalls auf dem Mobilgerät installiert und mit der AusweisApp2 auf dem PC gekoppelt werden. Eine Liste geeigneter Mobilgeräte sowie Informationen zu deren Nutzung als Lesegerät finden Sie hier.

Siehe auch:
* AusweisApp2 Handbuch – Einrichtung eines Smartphones als Kartenlesegerät
* AusweisApp2 Handbuch – Kopplung der AusweisApp2 mit einem Smartphone

Ansprechpartner


Dr. rer. nat. Matthias Enzmann

E-Mail senden



Support

Fragen zur Volksverschlüsselung
Weitergehende Fragen beantworten wir Ihnen gerne per E-Mail.