Emails mit S/MIME verschlüsseln
Inhalt
Warum mit S/MIME verschlüsseln?
Wie bekomme ich ein Zertifikat?
Einrichtung unter OSX Mavericks
Einrichtung von S/MIME auf dem iPhone unter IOS 7
Einrichtung von S/MIME bei Mozilla Thunderbird
Warum mit S/MIME verschlüsseln?
Das Problem der unverschlüsselten Kommunikation wird vielen Menschen immer bewusster. Doch wie kann man seine Kommunikation schützen? Das Aktivieren von SSL in den Emaileinstellungen reicht leider nicht, denn dadurch wird lediglich ein Teil des Transportweges verschlüsselt. Es ist als würde man eine Postkarte in einer blickdichten Tasche zum Briefkasten tragen und dann einwerfen. Wirklich sicher ist das nicht.
Die bekannteste Möglichkeit zur Verschlüsselung von Emails ist wohl PGP – Pretty Good Privacy. Mittlerweile gibt es PGP für alle relevanten Betriebsysteme und viele Email-Clients. Schwieriger wird es, wenn man auch mit seinem Telefon verschlüsselt kommunizieren möchte. Denn nicht jeder möchte immer einen Laptop dabei haben, nur um seine Mails lesen zu können.
Eine nicht so bekannte, aber gut unterstütze Alternative zur Verschlüsselung bietet S/MIME. S/MIME muss im Gegensatz zu PGP in der Regel nicht nachinstalliert werden, da es bei vielen Systemen bereits integriert ist.
Ein wesentlicher Unterschied beider Verschlüsselungssysteme ist, dass S/MIME Zertifikate einer anerkannten Zertifizierungsstelle (Certification Authority) benötigt (Ja es geht auch anders, aber das ist nicht wirklich praktikabel), während PGP auf ein Web of trust aufbaut, bei dem Anwender ihre Schlüssel gegenseitig signieren oder persönlich austauschen.
Das bedeutet, dass man bei der Verwendung von S/MIME einer Zertifizierungsstelle vertrauen muss, dass das Zertifikat dem Absender gehört, während man sich bei bei PGP auf andere Anwender verlassen muss.
Leider sind die verschiedenen existierenden Verschlüsselungssysteme nicht kompatibel zu einander. Daher ist es zwingend erforderlich, daß Sender und Empfänger das selbe System bzw. die selbe Software verwenden.
Aufgrund der besseren Verfügbarkeit habe ich mich für S/MIME entschieden, nicht zuletzt weil es auch für das iPhone verfügbar ist. Wer noch etwas mehr über die verwendete Technik wissen möchte und sich für die Hintergründe interessiert, sollte sich einmal diesen Artikel bei Heise anschauen. Aber nun genug der Vorrede, auf gehts.
Wie bekomme ich ein Zertifikat?
Zuerst ist es erforderlich sich pro Emailadresse ein Zertifikat austellen zu lassen. Die Zertifikate gelten immer nur für einen begrenzten Zeitraum (i.d.R. ein Jahr). Wenn man verschlüsselte Mails aufhebt, sollte man auch immer die zugehörigen Zertifikate aufheben – selbst wenn sie abgelaufen sind, denn ohne die Zertifikate lassen sich die Mails nicht mehr lesen.
Es gibt eine ganze Reihe von Anbietern, die die Zertifikate kostenlos erstellen. Ich habe mich für Comodo entschieden.
Neben der Mailadresse sind als persönliche Angaben lediglich Name, Vorname und Land erforderlich. Das auszufüllende “Revocation Password” sollte man sich notieren und gut aufheben, denn es ist die einzige Möglichkeit das Zertifikat zu wiederrufen, falls es kompromittiert wurde.
Nach der Beantragung bekommt man eine Email mit einem Link für die Zertifikatserstellung zugeschickt. Ruft man ihn auf, wird der Schlüssel durch das Kryptomodul des Browsers erstellt – er wird also nicht von der Zertifizierungsstelle generiert und durchs Internet geschickt. Diesen Link muss man nun mit dem selben Browser öffnen, mit dem man auch das Formular ausgefüllt hat. Ich habe dafür Firefox verwendet, da er für alle gängigen Betriebssysteme verfügbar ist und die Anleitung daher auch unter Linux und Windows funktioniert. Wenn man unter OSX Safari nutzt, weichen die Folgeschritte ab. Im Firefox wird nach dem Aufrufen des Links der Import des Zertifikats direkt bestätigt.
Danach wird das Zertifikat erst einmal exportiert. Beim Firefox ist das unter Einstellungen, Erweitert, Zertifikate, Ihre Zertifikate möglich.
Nach auswählen des Zertifikates und anklicken des “Sichern”-Feldes muss man zunächst einen Speichertort eingeben. Den Dateityp sollte man einfach in auf dem voreingestellten PKCS12 belassen.
Anschließend muss man ein Passwort angeben, damit das Zertifikat gesichert werden kann.
Das verwendete Passwort sollte man sich gut merken, es wird für jede Installation des Zertifikates benötigt.
Nachdem das Zertifikat erfolgreich exportiert wurde, empfiehlt es sich zuerst die Datei zu kopieren und an einem sichern Ort zu archivieren.
Einrichtung unter OSX Mavericks
Um die Datei mit einem OSX Mailclient unter Mavericks verwenden zu können, muss sie zunächst in den Schlüsselbund importiert werden. Das kann man einfach durch Öffnen der Datei mittels Doppelklick im Finder erreichen.
Nach Eingabe des Passwortes, findet man sein Zertifikat in der sich öffnenden Schlüsselbundverwaltung unter “Meine Zertifikate”:
Nun muss man nur noch das Mailprogramm neu starten. Danach finden sich im Mailprogramm beim Verfassen einer Mail auf der rechten Seite zwei neue Schaltflächen zum verschlüsseln und signieren der Mails.
Während das Signieren immer möglich ist, ist der Button für die Verschlüsselung nur dann aktiv, wenn man das öffentlich Zertifikat des Empfängers besitzt. Dafür reicht es, wenn der Empfänger uns vorher eine mit S/MIME signierte Email geschickt hat. Alternativ kann man sein Zertifikat auch manuell Importieren, wenn man es als Datei vorliegen hat. (Auch hier kann die Datei einfach wieder per Doppelklick im Finder Importiert werden.)
Einrichtung von S/MIME auf dem iPhone unter IOS 7
Als erstes ist es erforderlich, sein Zertifikat auf das iPhone zu übertragen. Im Gegensatz zu anderen Geräten kann man die Datei nicht ohne weiteres auf das Gerät kopieren. Eine oft beschriebene Möglichkeit ist es, sich das Zertifikat einfach selbst per Email zu schicken. Wirklich sicher ist das allerdings nicht, denn über Mailserver und Postfächer könnte sich ein Dritter Zugriff verschaffen.
Besser ist die Übertragung des Zertifikates per USB-Kabel vom eigenen Rechner aus. Dazu wird das iPhone Konfigurationsprogramm für OSX oder Windows benötigt.
Nach dem Start – bei angeschlossenem iPhone – wird zunächst links der Menüpunkt “Konfigurationsprofile” ausgewählt. Danach gibt man einen Namen und eine Kennung für das Profil an.
Anschließend wird im mittleren Menü der Punkt “Zertifikate” ausgewählt. Danach geht man im Vorschaufenster auf “konfigurieren” und öffnet über das erscheinende Dateimenü das S/MIME-Zertifikat. Damit nicht jedesmal, wenn das Zertifikat auf dem iPhone verwendet wird, das Kennwort eingegeben werden muss, hinterlegt man es im dafür vorgesehenen Feld im Vorschaufenster.
Damit ist das Konfigurationsprofil vollständig. Nun muss es nur noch auf das Telefon übertragen werden. Dazu wird im linken Menü das Telefon ausgewählt und der Tab Konfigurationsprofile geöffnet. Dort klickt man auf “installieren”. Nun muss ggf. noch das Telefon entsperrt werden.
Danach wird das Zertifikat auf dem iPhone installiert. Man wählt “installieren” bestätigt den erscheinenden Sicherheitshinweis ebenfalls mit “installieren” und gibt den Sperrcode des Gerätes ein.
Zum Beenden des Installationsvorganges wählt man schließlich “fertig” aus und verlässt danach die Zertifikatsübersicht. Nun muß das Zertifikat noch im zugehörigen Email-Account aktiviert werden. Dazu öffnet man die S/MIME-Einstellungen des zugehörigen E-Mail-Kontos über “Einstellungen” – “Mail, Kontakte, Kalender” – E-Mail-Account – “Account” – “Erweitert”.
Dort schaltet man „S/MIME“ ein und kann dann festlegen, ob Mails signiert oder verschlüsselt werden sollen.
Leider kann man diese Einstellungen nur global vornehmen und nicht beim Versand jeder einzelnen Mail.
Danach bestätigt man die Einstellungen indem man zurück zu “Erweitert”, dann weiter zurück zu “Account” geht und dort mit “Fertig” bestätigt.
Wenn man nun das Mailprogramm aufruft, und sich selbst eine verschlüsselte Email schicken möchte, zeigt das iPhone an, dass die Mail nicht verschlüsset werden kann.
Das liegt daran, dass immer erst das öffentliche Zertifikat des Empfängers im iPhone importiert werden muss. Anders als unter OSX findet der Import nicht automatisch statt. Um das zu testen schickt man sich zunächst selbst eine signierte Email.
Dann importiert man das öffentliche Zertifikat. Dazu tippt man das Signaturzeichens hinter der Emailadresse des Absenders an.
Danach lässt man sich das Zertifikat anzeigen und klickt auf “installieren”. Nun ist das Zertifikat des Empfängers hinterlegt und man kann ihm verschlüsselte Emails schicken:
Nun heisst es also: Zertifikate sammeln …
Einrichtung von S/MIME bei Mozilla Thunderbird
Bei Mozillas Thunderbird kann man S/MIME unter Einstellungen, Konten-Einstellungen aktivieren. Dort wählt man zunächst S/MIME-Sicherheit des gewünschten Kontos aus, dann Zertifikate verwalten. Nun kann man seine Zertifikatsdatei importieren.
Beim Import wird man nach dem Passwort gefragt. Wenn es eingegeben wurde, wird der Import des Zertifikates bestätigt.
Abschließend wählt man das importierte Zertifikat für die digitale Unterschrift und die Verschlüsselung aus und wählt die gewünschte Standardkonfiguration, also wann unterschrieben und wann verschlüsselt werden soll. Das sollte dann etwa so aussehen:
Danach kann man beim Verfassen einer Mail unter S/MIME die Einstellungen anpassen oder den Status einsehen.
Auch für Mozilla gilt: Signieren kann man seine Mails immer, Verschlüsselung ist nur Möglich, wenn man das öffentliche Zertifikat des Empfängers besitzt. Dazu reicht es, eine signierte Email des Empfänger bekommen zu haben. Thunderbird importiert das Zertifikat dann automatisch.
Weiterführende Informationen zu S/MIME bei Mozilla Thunderbird finden sich hier.
Schreibe einen Kommentar