E-Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein? (2024)

S/MIME oder PGP?

S/MIME (Secure / Multipurpose Internet Mail Extensions)ist ein Standard zur E-Mail-Verschlüsselung. S/MIME gibt es seit 1995, PGP seit 1991. Sie können also beide als „gut abgehangen“ angesehen werden. Außerdem ist es in dieser Zeit nicht gelungen, eine von beiden Verschlüsselungen zu knacken, also können sie als sicher gelten.

Beide Verfahren beruhen auf dem gleichen Prinzip, der hybriden Verschlüsselung.Es gibt jeweils einen privaten Schlüssel und einen öffentlichen Schlüssel. Um jemandem eine verschlüsselte Nachricht zu schicken, braucht man dessen öffentlichen Schlüssel und seinen eigenen privaten Schlüssel.

Obwohl vom Funktionsprinzip gleich, verwenden PGP und S/MIME unterschiedliche Schlüsselformate und sind deshalb leider nicht kompatibel. So muss man entweder alle seine Kommunikationspartner von einem Verfahren überzeugen oder zweigleisig fahren und beide variabel einsetzen.

S/MIME bietet neben der Verschlüsselung auch eine Signaturfunktion. Hierbei bleibt eine Mail für alle sichtbar, es wird allerdings eine kryptographische Signatur hinzugefügt. Sie wird über den Inhalt der Mail berechnet und kann vom Empfänger verifiziert werden. Ist die Signatur in Ordnung, bedeutet das, dass der Mail-Inhalt nicht verändert wurde.

Ob man letztlich S/MIME oder PGP verwendet, ist Geschmackssache, allerdings hat S/MIME einen großen Vorteil: Es ist bereits in vielen Mail-Programmen und Smartphones eingebaut.

Was sind S/MIME-Zertifikate und woher bekomme ich eins?

Um S/MIME einzusetzen, benötigt man das besagte Schlüsselpaar privat/öffentlich. Dafür braucht man X.509 Zertifikate. Prinzipiell kann man sich die selbst erstellen, allerdings muss der Empfänger dann erheblichen Aufwand treiben, damit sie als korrekt akzeptiert werden.Sinnvoller ist es, das Zertifikat einer offiziellen Zertifizierungsstelle zu benutzen. Sie werden von den meisten Betriebssystem als vertrauenswürdig eingestuft und machen somit keine Probleme.

Es gibt vier Klassen von diesen Zertifikaten. Sie unterscheiden sich in der Form der Überprüfung des Antragstellers. Bei Klasse 1 wird nur überprüft, ob die E-Mail-Adresse existiert und nur diese in das Zertifikat übernommen. Klasse 2 enthält neben der E-Mail-Adresse den Namen sowie die Organisation oder Firma. Hierbei wird schriftlich bestätigt, dass die gemachten Angaben korrekt sind. Dann gibt es noch Klasse 3, bei der auch der Handelsregisterauszug beziehungsweise der Personalausweis überprüft wird (zum Beispiel per Post-Ident). Und dann gibt es noch die Klasse 4, dabei muss man persönlich bei der Zertifizierungsstelle erscheinen und wird anhand der Originaldokumente verifiziert. Das wird allerdings von niemandem angeboten, da es zu teuer ist – wäre aber natürlich die sicherste Variante.

Die meisten kostenlosen Angebote bieten nur Klasse-1-Zertifikate an, aber auch die reichen vollkommen zur sicheren E-Mail-Verschlüsselung. Die Klassen sagen schließlich nur etwas darüber aus, ob derjenige, dem man schreiben will, auch wirklich die Person ist, die sie vorgibt zu sein. Die Verschlüsselung ist bei allen vier Klassen dagegen gleich stark.

Es gibt mehrere kostenlose Anbieter, zum BeispielStartSSL, Comodound etliche mehr.Kostenpflichtige Zertifikate bieten unter anderem diePSW Group, die Sparkasse oder auch die beiden oben genannten an.

Natürlich könnte man sich die Schlüssel nun irgendwie zuschicken, aber zum Glück braucht man das nicht. Es reicht, wenn man eine signierte Mail von einem anderen erhält. Jetzt weiß das Mail-Programm, dass dieser S/MIME kann und hat auch dessen öffentlichen Schlüssel.

Wie richte ich S/MIME bei Apple Mail unter OS X ein?

Ich habe mir ein Zertifikat über Comodo eingerichtet. Darum beschreibe ich deren Prozess hier. Im Prinzip läuft es aber bei allen Anbietern ähnlich.

1. 1. Geh auf Comodound klick den großen blauen Button an.
   2. Im folgenden Formular muss man nur seine Daten inklusive der E-Mail-Adresse, für die das Zertifikat gelten soll, eingeben. Achtung: Umlaute sind verboten. Außerdem muss man ein Revocation-Passwort eingeben. Damit kann man ein Zertifikat für ungültig erklären (zurückziehen/revoke), wenn es zum Beispiel von jemandem kopiert oder sonstwie kompromittiert wurde. Die Key-Size sollte man bei 2048 Bits belassen.
   3. Danach bekommt man eine E-Mail mit weiteren Instruktionen.
   4. Nach einem Klick auf den roten Button „Click & Install Comodo Email Certificate“ öffnet sich eine Webseite und lädt direkt das Zertifikat herunter.
   5. Unter OS X kann man diese .p7s-Datei einfach doppelklicken, worauf sich die Schlüsselbundverwaltung öffnet und das Zertifikat installiert.
   6. Damit ist die Installation fertig. Damit man S/MIME jetzt auch nutzen kann, muss man nun einmal Apple Mail neustarten.
   7. Am einfachsten kann man das Ganze testen, indem man sich selbst eine verschlüsselte Mail schickt.
   8. Gibt man in Mail eine Empfängeradresse ein, die S/MIME unterstützt bekommt man zwei neue Buttons im Mail-Fenster:

1. 1. Der rechte Button signiert eine Mail, der linke verschlüsselt sie.Empfängt man so eine Mail, gibt es eine neue Zeile, die anzeigt ob alles ok ist:

Hier sieht man also, dass die Mail verschlüsselt und signiert wurde. Der Text der Mail wird automatisch unverschlüsselt angezeigt, man merkt also außer durch diese Zeile nicht, dass man mit verschlüsselten Mails arbeitet.Ist ein Fehler aufgetreten, konnte also zum Beispiel das Zertifikat nicht verifiziert werden, zeigt Mail das in einer deutlichen Mitteilung an:

1. Hinter dem „Details-einblenden“-Button kann man sehen, woran das liegt – in meinem Fall daran, dass die Mail von einer anderen Adresse gesendet wurde, als im Zertifikat angegeben.

Wie richte ich S/MIME auf dem iPhone/iPad ein?

Hier geht es leider nicht ganz so einfach, denn das iPhone kann mit den .p7s Dateien nichts anfangen. Deshalbmüssen wir unser Zertifikat in einem anderen Format exportieren.

1. 1. Öffne das Programm „Schlüsselbundverwaltung“
   2. Suche nach deiner E-Mail-Adresse, denn das Zertifikat ist danach benannt.
   3. Nun Rechtsklick und dann Exportieren.

1. 1. Hier muss man nun einen Speicherort sowie das Format (.p12) auswählen.

1. Er möchte noch ein Passwort wissen, mit dem das Zertifikat verschlüsselt wird, damit es niemand sonst öffnen kann.
2. Jetzt schickt man sich das Zertifikat einfach per Mail an sein iPhone. Keine Sorge, das ist sicher, solange man ein ausreichend starkes Passwort gewählt hat.
3. In der Mail auf dem iPhone einfach auf die Datei drücken und die darauffolgenden Dialoge bestätigen.
4. Jetzt muss man S/MIME nur noch aktivieren. Dazu geht man unter Einstellungen»Mail, Kontakte, Kalender » derMail-Account »Account »Erweitert (ganz unten) »S/MIME (ganz unten)

   

   Die Einstellungen für S/MIME auf dem iPhone.

5. Jetzt noch bei „Signieren“ und „Verschlüsseln“ jeweils auf „Ja“ stellen und schon ist man fertig.Mails, die man an eine unterstützte Adresse schickt, werden jetzt automatisch signiert und verschlüsselt, wenn man das so eingestellt hat. Pro Mail separat einstellen, kann man das leider nicht.

Wie richte ich S/MIME unter Windows ein?

Ich beschreibe das hier am Beispiel von Google Chrome und Mozilla Thunderbird unter Windows 8, denn leider kann Microsofts mitgeliefertes Mailprogramm kein S/MIME mehr. Dafür müsste man sich dann Office kaufen, um Outlook zu benutzen. Außerdem musste ich Chrome benutzen, da mit dem Internet Explorer keine Installation des Zertifikats möglich war.

1. 1. Führe zuerst die ersten vier Punkte wie bei Mac OS X beschrieben aus. Geht man mit Chrome auf die Comodo-Download-Seite, die man per Mail bekommen hat, lädt dieser das Zertifikat automatisch herunter und installiert es lokal in Chrome.

1. 1. Um es in Thunderbird zu nutzen, muss es man es zuerst exportieren.
   2. Dazu öffnet man Chromes Einstellungen, scrollt ganz nach unten, öffnet die Erweiterten Einstellungen und klickt den Button „Zertifikate verwalten …“ unter dem Punkt HTTP/SSL.
   3. Im folgenden Fenster wählt man unter „Eigene Zertifikate“ sein neues E-Mail-Zertifikat aus und klickt „Exportieren …“.

1. 1. Es öffnet sich ein Assistent. Dort muss man unbedingt anklicken, dass man auch den privaten Schlüssel mit exportieren möchte.
   2. Im nächsten Dialog kann man die Optionen so lassen wie auf dem Bild:

1. 1. Danach vergibt man noch ein Passwort für das Zertifikat und speichert es irgendwo.
   2. Jetzt öffnet man in Thunderbird die Konten-Einstellungen.
   3. Dort unter dem passenden E-Mail-Konto öffnet man den Punkt „S/MIME-Sicherheit“.
   4. Hier nun auf „Zertifikate verwalten …“ klicken

1. 1. Dort zum Tab „Ihre Zertifikate“ wechseln und auf „Importieren …“ klicken.
   2. Hier nun das vorhin gespeicherte Zertifikat auswählen, das Passwort eingeben und schon ist es importiert.
   3. Zurück im vorherigen Fenster kann man nun unter „Digitale Unterschrift“ über den Button „Auswählen …“ das eben importiere Zertifikat auswählen.
   4. Thunderbird fragt nun, ob er das Zertifikat auch zum Verschlüsseln verwenden soll. Das bestätigen wir.
   5. Nun noch die Option „Nachrichten digital unterschreiben“ und unter Verschlüsselung „Notwendig …“ wählen.

1. 1. Schreibt man nun eine neue Mail, gibt es in der Toolbar einen S/MIME-Button, wo man separat pro Mail wählen kann, ob sie verschlüsselt und/oder unterschrieben wird.

1. Empfängt man eine S/MIME-Mail, zeigt Thunderbird das über folgende Symbole an:

Eine Bemerkung: Es wird immer nur der Mail-Text verschlüsselt, der Betreff bleibt also weiterhin lesbar. Sensible Informationen daher niemals in den Betreff schreiben! Selbstverständlich kann auch weiterhin gesehen werden, wer Sender und Empfänger sind. Anonym ist man damit also auch nicht. Diese Einschränkungen sollten einem bewusst sein.

Jetzt muss man nur noch alle seine Mailkontakte davon überzeugen, auch S/MIME zu verwenden. Als Anfang kann man zumindest schon mal alle seine Mails signieren.

P.S.: Wenn Ihr S/MIME auf einem Android-Phone einrichten wollt, schaut doch mal bei NETWAYS vorbei – da findet ihr einen guten und ausführlichen Artikel dazu.

Weiterführende Links zum Thema „Sicherheit“

• Private Cloud mit NAS: So wirst du dein eigener Hoster (Teil 1)– t3n News
• ZenMate: Deutsches Chrome-Plugin verschlüsselt und anonymisiert Internetverkehr kinderleicht– t3n News
• PRISM Break: Diese Tools und Dienste schützen eure Privatsphäre– t3n News
• S/MIME Emailsicherheit auf Android – NETWAYS

Bildnachweis für die Newsübersicht:© Denys Rudyi – Fotolia.com