Wikier

Sikker e-post - Digital signering og kryptering

På denne siden finner du informasjon om hvordan du som medarbeider på NTNU kan signere og kryptere e-posten din.

Engelsk side - Secure email - Digitally sign and encrypt emails

Temaside om e-post | Sider merket med e-post


E-post er et medium der det er lett å utgi seg for å være noen andre, men en måte å være sikker på hvem e-posten kommer fra er ved å bruke digital signering.

IT-avdelingen anbefaler at du tar i bruk digital signering og kryptering av e-post, fordi du får et ekstra sikkerhetslag rundt e-posten din samtidig som du bekrefter eller verifiserer deg selv om avsender.

Den mest brukte måten for digital signatur er en krypteringsløsning der personen som signerer sitter på en hemmelig privat signeringsnøkkel. Autentiseringsnivået på signaturen, hvor stor sannsynlighet man kan si at personen som signerer faktisk er den personen utgir seg for å være, avhenger av utsteder av denne krypteringsnøkkelen.

Lag en digital signatur

En digital signatur er et slags stempel, på samme måte som en fysisk signatur, som kobler person opp mot et dokument, en e-post eller liknende. For å ta i bruk digital signering og kryptering må du først lage et personsertifikat. NTNU har gjennom avtalen med Sikt mulighet til å opprette personsertifikat gjennom Sectigo:

  1. Åpne nettleser og gå til adresse https://cert-manager.com/customer/uninett/idp/clientgeant
  2. Skriv «Feide»i feltet for "Find Your Institution" og pass på å velge «Feide».
  3. Velg NTNU som din tilhørighet, hvis du blir bedt om dette.
  4. Skriv inn ditt brukernavn og passord på feidepålogging og trykk Logg inn
  5. Velg:
    • Certificate Profile: GÉANT Personal email signing and encryption
    • Term: 730 days
    • Huk av for "Key generation"
    • Key Type: RSA 8192
  6. Oppgi et sikkert og unikt passord i feltene for P12 Password. Dette passordet trengs når du senere skal importere dette sertifikatet i Outlook.
    • Velg: key protection algorithm; Secure AES256-SHA256 (for Windows)
    • Velg: Compatible TripleDES-SHA1 (for mac)
  7. Trykk Submit. Du vil få opp en nedlasting av en fil (certs.p12). Lagre denne til et trygt sted, og ta vare på denne filen.

Ta vare på en kopi

Ta en sikkerhetskopi av sertifikatfilen din før du begynner å sende kryptert e-post. Mister du sertifikat med privatnøkkel så vil du ikke kunne lese kryptert e-post.

Pass på at du lagrer det på et sikkert område.

Legg til digital ID på en Windowsmaskin

  1. Åpne filen, den skal åpne seg i "Certificate Import Wizard"
  2. Velg "Current User" som Store Location, velg Next
  3. Trykk next på "File Name", da dette allerede er fylt ut.
  4. Skriv inn passordet du oppga da du bestilte sertifikatet.
  5. Sett hake ved "Mark this key as exportable".
  6. La haken ved "Include all extended properties" stå. Det er ikke nødvendig å sette hake ved valget for "Strong private key protection".
  7. Velg "Automatically select the certificate store based on the type of certificate".
  8. Finish

Ta i bruk i Outlook for Windows

  1. Åpne Outlook
  2. Trykk Fil > Alternativer > Klareringssenter
  3. Trykk på knappen merket Innstillinger for klareringssenter
  4. Velg E-postsikkerhet i menyen på venstre side
  5. Under Kryptert e-post, velg Innstillinger...
  6. Velg alternativet Mine S/MIME-innstillinger (e-postadresse)
    1. Trykk OK hvis din e-post-adresse vises under Navn på sikkerhetsinnstilling
  7. Huk av i boksen for Legg til digital signatur i utgående meldinger under Kryptert e-post
  8. Klikk OK etterfulgt av OK

Ta i bruk i Outlook for Mac

  1. Åpne filen, velg Keychain: Login
  2. Åpne Keychain Access / Nøkkelring
  3. Trykk Fil -> Importer
  4. Velg .pfx-filen og trykk Åpne, du vil bli bedt om passord.
  5. Observer at sertifikatet har blitt lagt til i listen, Åpne Outlook.
  6. Velg Verktøy -> Kontoer
  7. Velg din NTNU-konto og trykk Avansert
  8. Fra fanen Sikkerhet velg så sertifikatet for både signering og kryptering. Skru gjerne på å alltid signere.

Verifiser at utgående e-post blir signert

  1. Åpne Outlook
  2. Trykk på Ny e-post
  3. Trykk på Alternativer-fanen og se om Signer er markert under Krypter
  4. Skriv inn e-post-adresse til en annen person som kan gi deg tilbakemelding om det vises at du sender digitalt signert e-post fra din adresse

Hvis det vises en rød sløyfe på din epost til mottaker så har du gjort alt riktig.

Publiser din digitale ID til Global Adresseliste (GAL)

Dette er nødvendig slik at andre kan verifisere din signatur eller dekryptere e-post du har sendt.

  1. Trykk på Fil > Alternativer > Klareringssenter
  2. Trykk på knappen Innstillinger for klareringssenter…
  3. Velg E-postsikkerhet i menyen på venstre side
  4. Trykk på knappen Legg inn i global adresseliste...
  5. Du vil da få et dialogvindu som sier Sertifikatene er publisert som du klikker OK
  6. Når det er gjennomført kan du lukke dialogvinduene

Kryptere e-post

For å gjøre det vanskelig å avlytte e-postkommunikasjon og skjerme innsyn kan du kryptere e-posten din. Dette forutsetter at du og mottaker har satt opp digital ID som forklart over.

  1. Lag en ny e-post som vanlig
  2. Under fanen alternativer velg Krypter,
  3. Når e-posten din er ferdig utformet kan du sende den som vanlig, du vil bli presentert med en feilmelding dersom du eller mottaker ikke har digital ID publisert til global adresseliste (GAL)

Bruke samme sertifikat på flere PCer

For å kunne sende signert e-post fra flere PCer trenger man kun ett sertifikat per bruker.

Når et sertifikat er installert kan du eksportere dette fra Outlook, for så å importere det på andre PCer (du kan flytte sertifikatet f.eks. ved hjelp av en minnepenn). Du eksporterer og importerer et sertifikat ved å følge denne fremgangsmåten:

Eksportere et sertifikat i Outlook

  1. Åpne Outlook
  2. Trykk Fil > Alternativer > Klareringssenter
  3. Klikk på knappen Innstillinger for klareringssenter...
  4. Velg E-postsikkerhet
  5. Klikk Importer/eksporter...
  6. Velg Eksporter den digitale IDen til en fil
  7. Klikk på Velg og du vil få opp et dialogvindu der ditt sertifikat vises > Klikk OK
  8. Klikk Bla gjennom... for å velge plassering og navn på sertifikat
  9. Skriv inn ønsket passord to ganger > Klikk OK

Du har nå lagret sertifikatet ditt på et valgt sted med passordbeskyttelse. Du bør lagre sertifikatet på et sikkert sted. Hvis du skal bruke det på en annen enhet så kan du f.eks. kopiere det til en minnepenn.

Importere et sertifikat i Outlook

  1. Lokaliser sertifikatet du har eksportert
  2. Høyreklikk på filen og velg Installer PFX
  3. Velg Gjeldende bruker under Lagringssted
  4. Trykk Neste til du blir bedt om å skrive inn et passord
  5. Skriv inn passordet du valgte når du eksporterte sertifikatet
    - Hvis du vil bli spurt hver gang sertifikatet skal brukes, velg Aktiver sterk privatnøkkelbeskyttelse (ikke anbefalt)
    - Hvis du ønsker å kunne eksportere nøkkelen på nytt, velger du Merk denne nøkkelen som eksporterbar (anbefalt)
  6. Trykk Neste, så Neste på nytt og til slutt Fullfør for å fullføre installasjonen

Du må nå aktivere sertifikatet i Outlook. Følg trinnene under:

  1. Åpne Outlook
  2. Trykk Fil > Alternativer > Klareringssenter
  3. Trykk på knappen merket Innstillinger for klareringssenter…
  4. Velg E-postsikkerhet i menyen på venstre side
  5. Velg Innstillinger... under Kryptert e-post
  6. Velg alternativet Mine S/MIME-innstillinger (e-postadresse)
    1. Trykk OK hvis din e-post-adresse vises under Navn på sikkerhetsinnstilling
  7. Huk av i boksen for Legg til digital signatur i utgående meldinger under Kryptert e-post
  8. Klikk OK etterfulgt av OK

Sertifikatet skal nå være installert på din enhet.

Kontakt

Orakeltjenesten kan hjelpe deg om du har spørsmål eller opplever problemer.

5408 Visninger
IT-info: digital sikkerhet Målgruppe: Medarbeidere