Persönliche Zertifikate

Um elektronische Diente verlässlich und rechtssicher nutzen zu können, ist es unabdingbar, die Identität von Sender*in um Empfänger*in eindeutig nachzuweisen und die Übertragung von Daten sicher und frei von Manipulation zu gestalten. Die TU Berlin verwendet dafür Persönliche Softwarezertifikate, die personalisiert sind und wie ein Personalausweis in der "analogen"-Welt betrachtet werden können.

Die TU Berlin fördert seit längerer Zeit die Absicherung des E-Mailverkehrs durch den Einsatz von Softwarezertifikaten, um elektronische Nachrichten zu verschlüsseln und zu signieren. Hinzu kommt der Bedarf Dokumente digital zu unterzeichnen, um auf die Unterschrift auf Dokumenten in Papierform zu verzichten. Die TU stellt zum digitalen Unterschreiben von internen Dokumenten und Formularen die entsprechenden Zertifikate für die sogenannte fortgeschrittene Signatur bereit.

Die eingesetzten Softwarezertifikate erfüllen die Anforderungen einer fortgeschrittenen Signatur:

• Sie kann eindeutig einer bestimmten Person zugeordnet werden.
• Im Zweifelsfall kann eine Person belegen, dass sie die Signatur gesetzt hat und diese mit den entsprechenden Sicherheitsanforderungen übereinstimmt.
• Sie ermöglichen eine Manipulation von Daten zu erkennen, die nach dem Signieren im Dokument vorgenommen wurden (Integrität).

Bei der digitalen Signierung eines Dokumentes wird im Dokument ein verschlüsselter Hashwert (Prüfsumme) hinterlegt und gespeichert. Beim Öffnen durch den Empfänger wird dieser Hashwert erneut erstellt und mit dem ursprünglichen Hashwert verglichen. Dadurch kann die Integrität von signierten Daten ermittelt werden und somit erkannt werden, ob Veränderungen an den Daten bzw. dem Dokument nach der Signaturerstellung vorgenommen wurden.

• Sie können das Zertifikat im TU-Portal beantragen unter "Meine Zertifikate" > “Softwarezertifikate herunterladen”"Neues Softwarezertifikat online beantragen"
• Das neue Zertifikat kann nach erfolgreicher Erzeugung über den Button "Softwarezertifikate-Datei herunterladen" heruntergeladen werden.

• Ab dem 30.08.2023 werden auch Nutzer*innen- und Gruppenzertifikate nur noch über Sectigo ausgestellt. Hierzu sind umfangreiche organisatorische Anpassungen bzgl. persönlicher Zertifikate durch Sectigo notwendig, so dass eine lückenlose Umstellung nicht möglich ist. https://blog.pki.dfn.de/2023/08/geant-tcs-unterbrechung-bei-der-ausstellung-von-client-zertifikaten-ab-28-08-2023-zu-erwarten/
• Für die Dauer der Umstellungen können daher ab dem 30.08.2023 im TU Portal über die Kachel 'Meine Zertifikate' und beim IT-Service-Desk der ZECM keine Personen- oder Gruppenzertifikate beantragt werden.
• Das Herunterladen bereits ausgestellter persönlicher Zertifikate ist weiterhin möglich. Die bisher über die DFN-CA ausgestellten Zertifikate sind weiterhin, bis zu ihrem vorgesehenen Ablaufdatum, gültig und ohne Einschränkungen verwendbar.
• Die herunterzuladende Datei im TU-Portal beinhaltet neben dem digitalen Zertifikat auch Ihren privaten kryptografischen Schlüssel. Die Datei ist mit Ihrem TUB-Account-Passwort verschlüsselt, das zum Zeitpunkt der Erstellung gültig war. Sollten Sie Ihr Passwort geändert haben nachdem Sie das Zertifikat erzeugt haben, so gilt für diese Datei weiterhin das damals gültige Passwort.
• Das Zertifikat kann nur mit E-Mailadressen der TU Berlin (wie z.B @tu-berlin, @math) genutzt werden, die im System hinterlegt sind.
• Bei einer eingerichteten E-Mail-Weiterleitung (an eine private Adresse) können verschlüsselte E-Mails zwar empfangen werden, es können über dieses Postfach aber keine verschlüsselten E-Mails gesendet werden.
• Sollten Sie ein neues Softwarezertifikate erhalten und das alte Zertifikate gelöscht werden, kann man die mit der alten Verschlüsselung gesicherten E-Mails nicht mehr entschlüsseln. Um mit einem früheren Zertifikat verschlüsselte E-Mails lesen zu können, wird auch das damals verwendete Zertifikat benötigt!
• Bitte gehen Sie mit Ihren Zertifikaten sorgsam um: Schützen Sie Ihren "Schlüsselbund" auf Ihrem Rechner zusätzlich mit einem Passwort und installieren Sie die Zertifikate niemals auf einem öffentlichen Computer, da anschließend jede Person mit Zugriff auf diesen Rechner E-Mails in Ihrem Namen signieren und versenden könnte!