Mini Lexikon
--- Verschlüsselung für jeden, mit einem Elster Zertifikat ---
--- Warum ---
Jeder Deutsche kann sich ein von elster.de ein kostenloses Zertifikat erstellen lassen. Dies wird per Post verifiziert, und ist von Elster signiert.

Mit diesem Zertifikat kann man Nachrichten oder auch andere Dateien ver-/entschlüsseln und signieren. 
Wird der öffentliche Teil des Schlüssels extrahiert, so kann dieser Freunden, Bekannten und anderen Kommunikationspartnern, wie z.B. Ärtze, Rechtsanwälte oder Steuerberatern zur Verfügung gestellt werden.
Diese können damit Nachrichten Verschlüsseln, die nur mit dem "private key" (privaten Schlüsselteil) gelesen werden können. 
Mit diesem "private key" können auch Nachrichten signiert werden. So kann der Empfänger sicher sein, dass die Nachricht vom Besitzer des Zertifikates signiert wurde.

Achtung: Der "private key" darf niemals weitergegeben werden. 
         Nur der "public key" ist für die öffentlichkeit bestimmt.

Möchten man Daten für einen Empfänger verschlüsseln, braucht man den public key des Empfängers.

--- Öffentliches Zertifikat extrahieren ---
1. Ein elster pfx-cert zu dem standard pem-format kopieren:
 openssl pkcs12 -in key_elster_dd.mm.yyyy_hh.mm.pfx -out key-elster.pem

2. Erstellen der Kopie ohne private key:
 openssl pkcs12 -in key_elster_dd.mm.yyyy_hh.mm.pfx -out elster-my.cert -nokeys -nodes
oder:
 kopiere das Zertifikat zu cert.pub entferne von Hand alle privaten daten. 

Dies ist das öffentliche Zertifikat (public certificate)

--- Benutzung ---
Eine Datei mit einem public key oder public certificate verschlüsseln:
 openssl rsautl -inkey receiver-cert.pem -certin -encrypt -in myDoc.txt > myDoc.txt.enc

Entschlüsseln mit dem private key:
 openssl rsautl -inkey xmuster-privkey.pem -decrypt -in myDoc.txt.enc

Eine Textdatei signieren (unterzeichnen):
 openssl dgst -sha256 -sign key-elster.pem -out testsig.sha256 testmsg.txt 

--- für Profis ---
change it to base64:
 openssl base64 -in testsig.sha256 -out test.sig

show cert details:
 openssl x509 -in key-elster.pem -noout -text

convert pubkey for ssh usage:
 ssh-keygen -f elster.pub -i -m pkcs8 > elster-idrsa.pub

Details hier: Der BSI informiert ueber Sicherheitsmechanismen
--- lifesim.de ---