Sicherer E-Mail-VersandMit der Verschlüsselung von E-Mails lässt sich das Risiko verringern, dass Unbeteiligte Zugriff auf die Inhalte der versendeten Nachrichten erlangen und diese zu eigenen Zwecken verwenden. Wir bieten zwei Verfahren an, mit denen Sie uns verschlüsselte E-Mails zusenden können: das PGP- und das S/MIME-Verfahren.
- PGP-Verschlüsselung
- Zertifizierung der PGP-Schlüssel
- Zertifizierung der PGP-Schlüssel externer Stellen
- S/MIME-Verschlüsselung
PGP-Verschlüsselung
Zur Verschlüsselung Ihrer E-Mails mit dem PGP-Verfahren (PGP: Pretty Good Privacy) laden Sie unseren PGP-Schlüssel auf Ihren Computer und importieren ihn in Ihren Schlüsselring. In der Regel benötigen Sie dafür einen Zusatz zu Ihrem E-Mail-Programm, beispielsweise Enigmail für Thunderbird oder Mailvelope bei Webmail; einige E-Mail-Programme bieten auch eine integrierte Verschlüsselungsfunktion an. Um als Antwort auch eine verschlüsselte E-Mail von uns zu erhalten, legen Sie Ihrer elektronisch signierten E-Mail Ihren Schlüssel bei oder verweisen auf den Schlüsselserver bzw. Zertifikatsdiensteanbieter, über den Ihr Schlüssel heruntergeladen werden kann. Unsere öffentlichen PGP-Schlüssel finden Sie jeweils bei der Nennung unserer E-Mail-Adressen verlinkt. Für E-Mails an unsere zentrale E-Mail-Adresse steht der folgende PGP-Schlüssel zur Verfügung:
Der Schlüssel hat den Fingerabdruck:
AC29 2DDB A2EC 39B2 84C6 8976 DB8A B158 DC2A E846
Der Schlüssel ist von unserer behördeneigenen Zertifizierungsstelle (PGP CA BlnBDI, Fingerabdruck: 1061 2335 CA5E 6557 7D86 1FDC 33B4 DE01 5E90 F2BE) und von der Zertifizierungsstelle der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PGP CA DSK, Fingerabdruck: FDD1 68BB AF10 C026 1948 FD23 F9D3 AACB 6CFD 9D14) beglaubigt. Informationen zur Zertifizierung der PGP-Schlüssel entnehmen Sie bitte dem nachfolgenden Abschnitt.
Zertifizierung der PGP-Schlüssel
Unsere PGP-Schlüssel sind grundsätzlich nur zur Verschlüsselung von Inhalten geeignet, die normalen Schutzbedarf aufweisen. Sie werden ausnahmslos durch den aktuellen PGP CA-Schlüssel (CA: Certificate bzw. Certification Authority) unserer Zertifizierungsstelle (BlnBDI) gezeichnet.
Der Schlüssel hat den Fingerabdruck:
1061 2335 CA5E 6557 7D86 1FDC 33B4 DE01 5E90 F2BE
PGP-Schlüssel, die nicht durch unseren aktuellen PGP CA-Schlüssel gezeichnet sind, sind keine Schlüssel unserer Behörde und dürfen in dienstlicher Funktion nicht verwendet werden. Durch unseren aktuellen PGP CA-Schlüssel werden ausschließlich Schlüssel gezeichnet, die den Anforderungen des Kryptokonzepts unserer Behörde in der zum Zeichnungszeitpunkt geltenden Version entsprechen. Die Anforderungen richten sich nach den Vorgaben der Technischen Richtlinie 03116-4 des BSI.
Zertifizierung der PGP-Schlüssel externer Stellen
Beglaubigungen von Schlüsseln externer Stellen werden ausschließlich mit dem folgenden Schlüssel ausgeführt:
Der Schlüssel hat den Fingerabdruck:
7E16 69F5 CD05 DAC0 DD57 8D6D CC91 59CE 42DC BA05
Schlüssel externer Stellen, die nicht durch diesen Schlüssel gezeichnet sind, sind von unserer Beglaubigung ausgenommen, die Beglaubigungen sind dementsprechend ungültig. Schlüssel von Behörden werden nur beglaubigt, wenn unserer Zertifizierungsstelle ein mit Dienstsiegel versehenes Schreiben vorliegt, das den Fingerabdruck des Schlüssels sowie Angaben zu Name und E-Mail-Adresse der Schlüsselinhabenden enthält. Schlüssel von Privatpersonen werden nur beglaubigt, wenn die Schlüsselinhabenden persönlich ein Personaldokument sowie ein handschriftlich unterschriebenes Dokument mit E-Mail-Adresse und Fingerabdruck des Schlüssels vorlegen. Kopien der Personaldokumente werden durch die Zertifizierungsstelle weder gefertigt noch aufbewahrt.
Unsere Zertifizierungsstelle beglaubigt ausschließlich Schlüssel mit einer Restgültigkeit von fünf Jahren oder weniger. Zum Beglaubigungszeitpunkt müssen die Mindestanforderungen an Schlüssellänge und verwendeten Algorithmus der Technischen Richtlinie 02102-1 des BSI erfüllt sein. Beglaubigungssignaturen haben eine Laufzeit, die die Gültigkeit des zur Beglaubigung eingesetzten Schlüssels nicht übersteigt.
S/MIME-Verschlüsselung
Zum Versand von S/MIME-verschlüsselten E-Mails laden Sie unser S/MIME-Zertifikat sowie gegebenenfalls die Zertifikate der ausstellenden Zertifizierungsstellen herunter und importieren sie in Ihr E-Mail-Programm. Sobald dies erfolgt ist, können Sie uns nach dem S/MIME-Verfahren verschlüsselte Nachrichten senden. Für unsere Antwort benötigen wir ebenso ein S/MIME-Zertifikat von Ihnen. Legen Sie dieses der von Ihnen signierten E-Mail an uns bei.
Das Zertifikat hat den Fingerabdruck:
732C EB13 8F7A BC3D 7206 3E02 486B 6E03 0E33 2A8C
Das Zertifikat wurde von der Zwischenzertifizierungsstelle Berlin CA05 2016 zertifiziert, die ihrerseits von der Stammzertifizierungsstelle Berlin PCA2 der Public-Key-Infrastruktur der Berliner Verwaltung durch das IT-Dienstleistungszentrum Berlin (ITDZ) zertifiziert wurde. Die zugehörige Website führt sämtliche Stamm- und Zwischenzertifikate auf, die Sie zur Prüfung der Zertifizierung benötigen. Achten Sie vor dem Import drauf, dass die Zertifikate über eine gesicherte Verbindung geladen werden.
Mit der Verschlüsselung von E-Mails lässt sich das Risiko verringern, dass Unbeteiligte Zugriff auf die Inhalte der versendeten Nachrichten erlangen und diese zu eigenen Zwecken verwenden. Wir bieten zwei Verfahren an, mit denen Sie uns verschlüsselte E-Mails zusenden können: das PGP- und das S/MIME-Verfahren.
PGP-Verschlüsselung
Zur Verschlüsselung Ihrer E-Mails mit dem PGP-Verfahren (PGP: Pretty Good Privacy) laden Sie unseren PGP-Schlüssel auf Ihren Computer und importieren ihn in Ihren Schlüsselring. In der Regel benötigen Sie dafür einen Zusatz zu Ihrem E-Mail-Programm, beispielsweise Enigmail für Thunderbird oder Mailvelope bei Webmail; einige E-Mail-Programme bieten auch eine integrierte Verschlüsselungsfunktion an. Um als Antwort auch eine verschlüsselte E-Mail von uns zu erhalten, legen Sie Ihrer elektronisch signierten E-Mail Ihren Schlüssel bei oder verweisen auf den Schlüsselserver bzw. Zertifikatsdiensteanbieter, über den Ihr Schlüssel heruntergeladen werden kann. Unsere öffentlichen PGP-Schlüssel finden Sie jeweils bei der Nennung unserer E-Mail-Adressen verlinkt. Für E-Mails an unsere zentrale E-Mail-Adresse steht der folgende PGP-Schlüssel zur Verfügung:
Der Schlüssel hat den Fingerabdruck:
AC29 2DDB A2EC 39B2 84C6 8976 DB8A B158 DC2A E846
Der Schlüssel ist von unserer behördeneigenen Zertifizierungsstelle (PGP CA BlnBDI, Fingerabdruck: 1061 2335 CA5E 6557 7D86 1FDC 33B4 DE01 5E90 F2BE) und von der Zertifizierungsstelle der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PGP CA DSK, Fingerabdruck: FDD1 68BB AF10 C026 1948 FD23 F9D3 AACB 6CFD 9D14) beglaubigt. Informationen zur Zertifizierung der PGP-Schlüssel entnehmen Sie bitte dem nachfolgenden Abschnitt.
Zertifizierung der PGP-Schlüssel
Unsere PGP-Schlüssel sind grundsätzlich nur zur Verschlüsselung von Inhalten geeignet, die normalen Schutzbedarf aufweisen. Sie werden ausnahmslos durch den aktuellen PGP CA-Schlüssel (CA: Certificate bzw. Certification Authority) unserer Zertifizierungsstelle (BlnBDI) gezeichnet.
Der Schlüssel hat den Fingerabdruck:
1061 2335 CA5E 6557 7D86 1FDC 33B4 DE01 5E90 F2BE
PGP-Schlüssel, die nicht durch unseren aktuellen PGP CA-Schlüssel gezeichnet sind, sind keine Schlüssel unserer Behörde und dürfen in dienstlicher Funktion nicht verwendet werden. Durch unseren aktuellen PGP CA-Schlüssel werden ausschließlich Schlüssel gezeichnet, die den Anforderungen des Kryptokonzepts unserer Behörde in der zum Zeichnungszeitpunkt geltenden Version entsprechen. Die Anforderungen richten sich nach den Vorgaben der Technischen Richtlinie 03116-4 des BSI.
Zertifizierung der PGP-Schlüssel externer Stellen
Beglaubigungen von Schlüsseln externer Stellen werden ausschließlich mit dem folgenden Schlüssel ausgeführt:
Der Schlüssel hat den Fingerabdruck:
7E16 69F5 CD05 DAC0 DD57 8D6D CC91 59CE 42DC BA05
Schlüssel externer Stellen, die nicht durch diesen Schlüssel gezeichnet sind, sind von unserer Beglaubigung ausgenommen, die Beglaubigungen sind dementsprechend ungültig. Schlüssel von Behörden werden nur beglaubigt, wenn unserer Zertifizierungsstelle ein mit Dienstsiegel versehenes Schreiben vorliegt, das den Fingerabdruck des Schlüssels sowie Angaben zu Name und E-Mail-Adresse der Schlüsselinhabenden enthält. Schlüssel von Privatpersonen werden nur beglaubigt, wenn die Schlüsselinhabenden persönlich ein Personaldokument sowie ein handschriftlich unterschriebenes Dokument mit E-Mail-Adresse und Fingerabdruck des Schlüssels vorlegen. Kopien der Personaldokumente werden durch die Zertifizierungsstelle weder gefertigt noch aufbewahrt.
Unsere Zertifizierungsstelle beglaubigt ausschließlich Schlüssel mit einer Restgültigkeit von fünf Jahren oder weniger. Zum Beglaubigungszeitpunkt müssen die Mindestanforderungen an Schlüssellänge und verwendeten Algorithmus der Technischen Richtlinie 02102-1 des BSI erfüllt sein. Beglaubigungssignaturen haben eine Laufzeit, die die Gültigkeit des zur Beglaubigung eingesetzten Schlüssels nicht übersteigt.
S/MIME-Verschlüsselung
Zum Versand von S/MIME-verschlüsselten E-Mails laden Sie unser S/MIME-Zertifikat sowie gegebenenfalls die Zertifikate der ausstellenden Zertifizierungsstellen herunter und importieren sie in Ihr E-Mail-Programm. Sobald dies erfolgt ist, können Sie uns nach dem S/MIME-Verfahren verschlüsselte Nachrichten senden. Für unsere Antwort benötigen wir ebenso ein S/MIME-Zertifikat von Ihnen. Legen Sie dieses der von Ihnen signierten E-Mail an uns bei.
Das Zertifikat hat den Fingerabdruck:
732C EB13 8F7A BC3D 7206 3E02 486B 6E03 0E33 2A8C
Das Zertifikat wurde von der Zwischenzertifizierungsstelle Berlin CA05 2016 zertifiziert, die ihrerseits von der Stammzertifizierungsstelle Berlin PCA2 der Public-Key-Infrastruktur der Berliner Verwaltung durch das IT-Dienstleistungszentrum Berlin (ITDZ) zertifiziert wurde. Die zugehörige Website führt sämtliche Stamm- und Zwischenzertifikate auf, die Sie zur Prüfung der Zertifizierung benötigen. Achten Sie vor dem Import drauf, dass die Zertifikate über eine gesicherte Verbindung geladen werden.