Vorheriger Artikel Nächster Artikel

Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein?

Im Zuge der PRISM-Aufdeckungen ist es vielleicht keine schlechte Idee, seine E-Mails zu verschlüsseln. Dazu gibt es im wesentlichen zwei Verfahren: PGP und S/MIME. Wir stellen euch S/MIME vor und zeigen euch, wie ihr die Verschlüsselung bei euch einrichtet.

Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein?

S/MIME oder PGP?

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard zur E-Mail-Verschlüsselung. S/MIME gibt es seit 1995, PGP seit 1991. Sie können also beide als „gut abgehangen“ angesehen werden. Außerdem ist es in dieser Zeit nicht gelungen, eine von beiden Verschlüsselungen zu knacken, also können sie als sicher gelten.

Beide Verfahren beruhen auf dem gleichen Prinzip, der hybriden Verschlüsselung. Es gibt jeweils einen privaten Schlüssel und einen öffentlichen Schlüssel. Um jemandem eine verschlüsselte Nachricht zu schicken, braucht man dessen öffentlichen Schlüssel und seinen eigenen privaten Schlüssel.

Obwohl vom Funktionsprinzip gleich, verwenden PGP und S/MIME unterschiedliche Schlüsselformate und sind deshalb leider nicht kompatibel. So muss man entweder alle seine Kommunikationspartner von einem Verfahren überzeugen oder zweigleisig fahren und beide variabel einsetzen.

S/MIME bietet neben der Verschlüsselung auch eine Signaturfunktion. Hierbei bleibt eine Mail für alle sichtbar, es wird allerdings eine kryptographische Signatur hinzugefügt. Sie wird über den Inhalt der Mail berechnet und kann vom Empfänger verifiziert werden. Ist die Signatur in Ordnung, bedeutet das, dass der Mail-Inhalt nicht verändert wurde.

Ob man letztlich S/MIME oder PGP verwendet, ist Geschmackssache, allerdings hat S/MIME einen großen Vorteil: Es ist bereits in vielen Mail-Programmen und Smartphones eingebaut.

Was sind S/MIME-Zertifikate und woher bekomme ich eins?

S/MIME-Zertifikate gibt es beispielsweise bei der Sparkasse. (Screenshot: s-trust.de)
S/MIME-Zertifikate gibt es beispielsweise bei der Sparkasse. (Screenshot: s-trust.de)

Um S/MIME einzusetzen, benötigt man das besagte Schlüsselpaar privat/öffentlich. Dafür braucht man X.509 Zertifikate. Prinzipiell kann man sich die selbst erstellen, allerdings muss der Empfänger dann erheblichen Aufwand treiben, damit sie als korrekt akzeptiert werden. Sinnvoller ist es, das Zertifikat einer offiziellen Zertifizierungsstelle zu benutzen. Sie werden von den meisten Betriebssystem als vertrauenswürdig eingestuft und machen somit keine Probleme.

Es gibt vier Klassen von diesen Zertifikaten. Sie unterscheiden sich in der Form der Überprüfung des Antragstellers. Bei Klasse 1 wird nur überprüft, ob die E-Mail-Adresse existiert und nur diese in das Zertifikat übernommen. Klasse 2 enthält neben der E-Mail-Adresse den Namen sowie die Organisation oder Firma. Hierbei wird schriftlich bestätigt, dass die gemachten Angaben korrekt sind. Dann gibt es noch Klasse 3, bei der auch der Handelsregisterauszug beziehungsweise der Personalausweis überprüft wird (zum Beispiel per Post-Ident). Und dann gibt es noch die Klasse 4, dabei muss man persönlich bei der Zertifizierungsstelle erscheinen und wird anhand der Originaldokumente verifiziert. Das wird allerdings von niemandem angeboten, da es zu teuer ist – wäre aber natürlich die sicherste Variante.

Die meisten kostenlosen Angebote bieten nur Klasse-1-Zertifikate an, aber auch die reichen vollkommen zur sicheren E-Mail-Verschlüsselung. Die Klassen sagen schließlich nur etwas darüber aus, ob derjenige, dem man schreiben will, auch wirklich die Person ist, die sie vorgibt zu sein. Die Verschlüsselung ist bei allen vier Klassen dagegen gleich stark.

Es gibt mehrere kostenlose Anbieter, zum Beispiel StartSSL, Comodo und etliche mehr. Kostenpflichtige Zertifikate bieten unter anderem die PSW Group, die Sparkasse oder auch die beiden oben genannten an.

Natürlich könnte man sich die Schlüssel nun irgendwie zuschicken, aber zum Glück braucht man das nicht. Es reicht, wenn man eine signierte Mail von einem anderen erhält. Jetzt weiß das Mail-Programm, dass dieser S/MIME kann und hat auch dessen öffentlichen Schlüssel.

Wie richte ich S/MIME bei Apple Mail unter OS X ein?

Ich habe mir ein Zertifikat über Comodo eingerichtet. Darum beschreibe ich deren Prozess hier. Im Prinzip läuft es aber bei allen Anbietern ähnlich.

    1. Geh auf Comodo und klick den großen blauen Button an.
    2. Im folgenden Formular muss man nur seine Daten inklusive der E-Mail-Adresse, für die das Zertifikat gelten soll, eingeben. Achtung: Umlaute sind verboten. Außerdem muss man ein Revocation-Passwort eingeben. Damit kann man ein Zertifikat für ungültig erklären (zurückziehen/revoke), wenn es zum Beispiel von jemandem kopiert oder sonstwie kompromittiert wurde. Die Key-Size sollte man bei 2048 Bits belassen.
    3. Danach bekommt man eine E-Mail mit weiteren Instruktionen.
    4. Nach einem Klick auf den roten Button „Click & Install Comodo Email Certificate“ öffnet sich eine Webseite und lädt direkt das Zertifikat herunter.
    5. Unter OS X kann man diese .p7s-Datei einfach doppelklicken, worauf sich die Schlüsselbundverwaltung öffnet und das Zertifikat installiert.
    6. Damit ist die Installation fertig. Damit man S/MIME jetzt auch nutzen kann, muss man nun einmal Apple Mail neustarten.
    7. Am einfachsten kann man das Ganze testen, indem man sich selbst eine verschlüsselte Mail schickt.
    8. Gibt man in Mail eine Empfängeradresse ein, die S/MIME unterstützt bekommt man zwei neue Buttons im Mail-Fenster:

SMIME-Apple-Mail

    1. Der rechte Button signiert eine Mail, der linke verschlüsselt sie. Empfängt man so eine Mail, gibt es eine neue Zeile, die anzeigt ob alles ok ist:

SMIME-Empfang-Anzeige

Hier sieht man also, dass die Mail verschlüsselt und signiert wurde. Der Text der Mail wird automatisch unverschlüsselt angezeigt, man merkt also außer durch diese Zeile nicht, dass man mit verschlüsselten Mails arbeitet. Ist ein Fehler aufgetreten, konnte also zum Beispiel das Zertifikat nicht verifiziert werden, zeigt Mail das in einer deutlichen Mitteilung an:

SMIME-Signatur-Fehler

  1. Hinter dem „Details-einblenden“-Button kann man sehen, woran das liegt – in meinem Fall daran, dass die Mail von einer anderen Adresse gesendet wurde, als im Zertifikat angegeben.

Wie richte ich S/MIME auf dem iPhone/iPad ein?

Hier geht es leider nicht ganz so einfach, denn das iPhone kann mit den .p7s Dateien nichts anfangen. Deshalb müssen wir unser Zertifikat in einem anderen Format exportieren.

    1. Öffne das Programm „Schlüsselbundverwaltung“
    2. Suche nach deiner E-Mail-Adresse, denn das Zertifikat ist danach benannt.
    3. Nun Rechtsklick und dann Exportieren.

Export-SMIME-Key-1

    1. Hier muss man nun einen Speicherort sowie das Format (.p12) auswählen.

Export-SMIME-Key

  1. Er möchte noch ein Passwort wissen, mit dem das Zertifikat verschlüsselt wird, damit es niemand sonst öffnen kann.
  2. Jetzt schickt man sich das Zertifikat einfach per Mail an sein iPhone. Keine Sorge, das ist sicher, solange man ein ausreichend starkes Passwort gewählt hat.
  3. In der Mail auf dem iPhone einfach auf die Datei drücken und die darauffolgenden Dialoge bestätigen.
  4. Jetzt muss man S/MIME nur noch aktivieren. Dazu geht man unter Einstellungen » Mail, Kontakte, Kalender » der Mail-Account » Account » Erweitert (ganz unten) » S/MIME (ganz unten)

    iPhone-SMIME-Einstellungen
    Die Einstellungen für S/MIME auf dem iPhone.
  5. Jetzt noch bei „Signieren“ und „Verschlüsseln“ jeweils auf „Ja“ stellen und schon ist man fertig. Mails, die man an eine unterstützte Adresse schickt, werden jetzt automatisch signiert und verschlüsselt, wenn man das so eingestellt hat. Pro Mail separat einstellen, kann man das leider nicht.

Wie richte ich S/MIME unter Windows ein?

Ich beschreibe das hier am Beispiel von Google Chrome und Mozilla Thunderbird unter Windows 8, denn leider kann Microsofts mitgeliefertes Mailprogramm kein S/MIME mehr. Dafür müsste man sich dann Office kaufen, um Outlook zu benutzen. Außerdem musste ich Chrome benutzen, da mit dem Internet Explorer keine Installation des Zertifikats möglich war.

    1. Führe zuerst die ersten vier Punkte wie bei Mac OS X beschrieben aus. Geht man mit Chrome auf die Comodo-Download-Seite, die man per Mail bekommen hat, lädt dieser das Zertifikat automatisch herunter und installiert es lokal in Chrome.

Chrome-Zertifikat-gespeichert

    1. Um es in Thunderbird zu nutzen, muss es man es zuerst exportieren.
    2. Dazu öffnet man Chromes Einstellungen, scrollt ganz nach unten, öffnet die Erweiterten Einstellungen und klickt den Button „Zertifikate verwalten …“ unter dem Punkt HTTP/SSL.
    3. Im folgenden Fenster wählt man unter „Eigene Zertifikate“ sein neues E-Mail-Zertifikat aus und klickt „Exportieren …“.

Chrome-Zertifikat-Auswahl

    1. Es öffnet sich ein Assistent. Dort muss man unbedingt anklicken, dass man auch den privaten Schlüssel mit exportieren möchte.
    2. Im nächsten Dialog kann man die Optionen so lassen wie auf dem Bild:

Chrome-Zertifikat-Exportformat

    1. Danach vergibt man noch ein Passwort für das Zertifikat und speichert es irgendwo.
    2. Jetzt öffnet man in Thunderbird die Konten-Einstellungen.
    3. Dort unter dem passenden E-Mail-Konto öffnet man den Punkt „S/MIME-Sicherheit“.
    4. Hier nun auf „Zertifikate verwalten …“ klicken

Thunderbird-SMIME-Optionen

    1. Dort zum Tab „Ihre Zertifikate“ wechseln und auf „Importieren …“ klicken.
    2. Hier nun das vorhin gespeicherte Zertifikat auswählen, das Passwort eingeben und schon ist es importiert.
    3. Zurück im vorherigen Fenster kann man nun unter „Digitale Unterschrift“ über den Button „Auswählen …“ das eben importiere Zertifikat auswählen.
    4. Thunderbird fragt nun, ob er das Zertifikat auch zum Verschlüsseln verwenden soll. Das bestätigen wir.
    5. Nun noch die Option „Nachrichten digital unterschreiben“ und unter Verschlüsselung „Notwendig …“ wählen.

Thunderbird-SMIME-Optionen-komplett

    1. Schreibt man nun eine neue Mail, gibt es in der Toolbar einen S/MIME-Button, wo man separat pro Mail wählen kann, ob sie verschlüsselt und/oder unterschrieben wird.

Thunderbird-Neue-Mail-SMIME

  1. Empfängt man eine S/MIME-Mail, zeigt Thunderbird das über folgende Symbole an:

Thunderbird-SMIME-Empfang

Eine Bemerkung: Es wird immer nur der Mail-Text verschlüsselt, der Betreff bleibt also weiterhin lesbar. Sensible Informationen daher niemals in den Betreff schreiben! Selbstverständlich kann auch weiterhin gesehen werden, wer Sender und Empfänger sind. Anonym ist man damit also auch nicht. Diese Einschränkungen sollten einem bewusst sein.

Jetzt muss man nur noch alle seine Mailkontakte davon überzeugen, auch S/MIME zu verwenden. Als Anfang kann man zumindest schon mal alle seine Mails signieren.

P.S.: Wenn Ihr S/MIME auf einem Android-Phone einrichten wollt, schaut doch mal bei NETWAYS vorbei – da findet ihr einen guten und ausführlichen Artikel dazu.

Weiterführende Links zum Thema „Sicherheit“

Bildnachweis für die Newsübersicht: © Denys Rudyi – Fotolia.com

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
13 Antworten
  1. von Ich am 26.07.2013 (10:54 Uhr)

    Grmpf... Muss ich wohl doch mal zu einem richtigen Smartphone wechseln? :-(

    "S/MIME is not supported in current versions of Windows Phone 8."

    http://social.msdn.microsoft.com/Forums/wpapps/en-US/f7f9d05c-1273-440d-8406-021e2ffaa8c1/how-to-create-an-smime-message-in-windows-phone-8

    Antworten Teilen
  2. von Auch mal suchen am 26.07.2013 (11:03 Uhr)

    Genau das ist das von mir zitierte Problem: Komplizierte Schlüsselverwaltungen überfordern die User.
    Auch sollten Schlüssel nur begrenzten Zeitraum nutzbar sein und z.B. jedes Jahr bei Vollkauflauten ersetzt werden statt sich Keys mit 30jähriger Ablaufzeit holen zu können.

    Und aus den Key-Prblemen bei Browsern bzw. den zurückgezogenen Trust-Centern sollte klar sein, das mehr als als einen Truster geben muss. Ein guter Browser bzw. Email-Programm merkt sich die Truster bei Websites und zeigt sofort an, wenn sich was geändert hat. Das wird dann sofort automatisch von Firefox an google/bing/... gemeldet und die Sites automatisch aus dem Index genommen und auf Warning-Listen gesetzt die vom Browser je nach Einstellungen oft genug bei jeder Site abgefragt werden. Gehackte Site-Zertifikate wie sie bisher immer wieder auftraten helfen Hackern dann also nicht lange.
    Bisher waren Browser ja dumm und wenn sich das Onlinebanking andere Schlüssel gegeben hatte oder andere neue falsche Zertifikate untergejubelt wurden, wurden sie klaglos akzeptiert.

    Nur mal so eine Frage die mir grade einfällt: Schaut mal bei MacOS ob Spotlight (MacOS bzw. iOS) eure gecrypteten Emails (nicht die abgesendeten sondern was an Euch geschickt wurde und bei Empfang verschlüsselt war) indiziert. Oder ob ihr nur im Email-Programm danach suchen könnt.

    Wenn man Sicherheit länger beobachtet (Heise-Newsticker lesen o.ä.) merkt man schnell, das triviale Dinge die man sich oft selber fragen müsste, von vielen Programmierern ignoriert werden... Da braucht man sich nicht wundern wenn die Kreditkarten-Daten in vielen Onlineshops vermutlich nicht vernünftig geschützt sind. Vielleicht schliessen im SEPA-Zusammenhang dann auch Sites weil das zu kompliziert ist und bieten nur noch über Ebay-Sofortkauf, Rakuten, Amazon-Marketplace und vor Ort an.

    Antworten Teilen
  3. von Lukas am 26.07.2013 (11:07 Uhr)

    Aber Comodo muss ich dann wohl vetrauen, korrekt? Dass sie den private Key wegwerfen und nicht noch schnell an den BND oder die NSA schicken.

    Das macht alles wieder sehr pseudo-sicher.

    Antworten Teilen
  4. von Ralf am 26.07.2013 (14:23 Uhr)

    Hmmm... Funkioniert einwandfrei auf meinem MacBook mit Apple Mail unter OS X 10.8.4.
    Jedoch auf dem MacPro (1. Generation) in Mail.app unter OSX 10.7.5 bekomme ich die beiden zusätzlichen Schaltflächen beim Erstellen einer Mail leider nicht angezeigt...

    Jemand ne Idee, woran das liegen könnte?

    Antworten Teilen
  5. von Ralf K. am 26.07.2013 (19:54 Uhr)

    @Lukas: Nein, der private Schlüssel wird bei dieser Methode im Browser erzeugt und verlässt Deinen Rechner nicht. Alles andere wäre fahrlässig.

    Bei "windigen" Produkten wie beim E-Postbrief ist das teils anders. Da erzeugt der Anbieter auf dem Server die Schlüssel für Dich und verkauft das als Service. Denn dann hat der Anbieter immer ein Backup des Schlüssels (auch für BKA, NSA & Co). Da sollte man einen Bogen rum machen.

    Antworten Teilen
  6. von Ralf K. am 26.07.2013 (19:58 Uhr)

    An den Autor: Sich den privaten Key bzw. das .p12 File per zu unverschlüsselter Mail zu schicken, ist eine schlechte Idee, auch wenn die Passphrase noch so gut wäre.

    Antworten Teilen
  7. von Ralf K. am 26.07.2013 (20:10 Uhr)

    Als alternative Zertifizierungsstelle bietet sich CAcert an, siehe http://cacert.org . Die ist nicht kommerziell und Community-basiert. Und man kann Class 3 Zertifikate bekommen, die 2 Jahre gültig sind. Siehe auch http://www.kruedewagen.de/blog/2013/07/22/sichere-e-mail-eine-kleine-anleitung/

    Antworten Teilen
  8. von Januz am 27.07.2013 (07:33 Uhr)

    Mich interessiert auch die Frage von "Auch mal suchen":

    >>>
    Nur mal so eine Frage die mir grade einfällt: Schaut mal bei MacOS ob Spotlight (MacOS bzw. iOS) eure gecrypteten Emails (nicht die abgesendeten sondern was an Euch geschickt wurde und bei Empfang verschlüsselt war) indiziert. Oder ob ihr nur im Email-Programm danach suchen könnt.
    >>>

    Hat das jemand ausprobiert? Funktioniert

    a) die Suche innerhalb von Apple Mail? Wenn ja, funktioniert das nur, wenn ich sie lokal speichere oder auch, wenn sie auf dem Server liegen bleiben (was momentan mein Standard ist)?

    b) funktioniert die Indizierung mit Spotlight?

    c) funktioniert die Suche mit iOS?

    Vielen Dank für Infos!

    Antworten Teilen
  9. von Alex am 28.07.2013 (11:48 Uhr)

    Ihr schreibt: " Außerdem ist es in dieser Zeit nicht gelungen, eine von beiden Verschlüsselungen zu knacken, also können sie als sicher gelten." und: " Sinnvoller ist es, das Zertifikat einer offiziellen Zertifizierungsstelle zu benutzen. Sie werden von den meisten Betriebssystem als vertrauenswürdig eingestuft und machen somit keine Probleme."

    Und genau da liegt das Problem. Die NSA setzt inzwischen die Zertifizierungsstellen unter Druck, Generalschlüssel für ihre Zertfikate auszugeben. Anders ausgedrückt: Es gibt KEINE vertrauenswürdigen Zertifizierungsstellen mehr! S/MIME-Zertifikate dieser Art müssen daher GRUNDSÄTZLICH als kompromittiert und NICHT mehr als sicher gelten! Denn wozu knacken, wenn ich einen Generalschlüssel haben kann? Das Problem stellt sich bei PGP nicht, weil man da die Schlüssel selbst erstellt und die Vertrauenswürdigkeit über Unterschriften anderer läuft. Das ist in diesen Zeiten als wesentlich sicherer anzusehen. Aus diesem Grund - und natürlich auch, weil viel mehr Menschen PGP nutzen - ist von S/MIME strikt abzuraten und zu PGP zu raten!

    Antworten Teilen
  10. von mohrekopp am 02.08.2013 (14:24 Uhr)

    @Alex
    Lieder ist diese Neuigkeit nicht bei allen Mainstream-Medien angekommen - ist wahrscheinlich auch zu kompliziert zur erklären.
    Was man diesbezüglich auch leider vergisst ist, dass durch die Erpressung der CAs auch SSL inzwischen für die Tonne ist...

    Antworten Teilen
  11. von Macappo am 14.08.2013 (19:57 Uhr)

    @Alex:
    Danke für solche Infos! Aber sind die irgendwie zu belegen? Das ist ja echt traurig! Wie sieht es denn bei deutschen Zertifizierungsstellen aus?? Die Sparkasse bietet ja zum Beispiel auch Zertifikate an? Oder nutzen die auch nur einen ausländischen Anbieter?
    Danke!

    Antworten Teilen
  12. von frischr am 14.09.2013 (14:11 Uhr)

    Danke für diesen einfach verständlichen Artikel!
    Gibt es unter S/MIME eine/mehrere zentrale Datenbanken mit öffentlichen Schlüsseln, wie bei PGP/GPG?

    Antworten Teilen
  13. von alerg am 12.02.2014 (00:54 Uhr)

    Es funktioniert NICHT. ALLES so gemacht, wie beschrieben. Unter Mac OS X Mail kommen keine neuen Buttons zum verschlüsseln und signieren von Mails. Das Comodo-Terifikat wird im Schüsselbund angezeigt. Mail neu gestartet, Mac neu gestartet. Nix. Mail bietet keine Verschlüsseling/Signierung an.

    Gruß
    Andreas

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema PRISM
Datenschutz: Internet Architecture Board will Verschlüsselung für alle Daten
Datenschutz: Internet Architecture Board will Verschlüsselung für alle Daten

Das Internet Architecture Board empfiehlt die Verschlüsselung für sämtliche netzrelevante Protokolle. Das Komitee sieht darin einen Weg, das Vertrauen der Nutzer in das Internet zurückzugewinnen. » weiterlesen

Willige Helfer: BND bestätigt Datenweitergabe an die NSA
Willige Helfer: BND bestätigt Datenweitergabe an die NSA

Die ehemalige Leiterin einer Abhör- und Analyseeinheit des Bundesnachrichtendienstes hat vor dem NSA-Ausschuss bestätigt, dass der deutsche Geheimdienst Daten an seine amerikanischen Kollegen … » weiterlesen

Zweifel an Anonabox: Ist der Tor-Router der nächste Kickstarter-Skandal? [Update]
Zweifel an Anonabox: Ist der Tor-Router der nächste Kickstarter-Skandal? [Update]

Der angeblich quelloffene Tor-Router hat sein Finanzierungsziel auf Kickstarter weit übertroffen. Doch schon 27 Tage vor Ende der Crowdfunding-Kampagne mehren sich die Zweifel an dem Projekt. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 38 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen