Anzeige
Anzeige
Ratgeber

Was ist eigentlich S/MIME?

Im Zuge der PRISM-Aufdeckungen ist es vielleicht keine schlechte Idee, seine E-Mails zu verschlüsseln. Dazu gibt es im wesentlichen zwei Verfahren: PGP und S/MIME. Wir stellen euch S/MIME vor und zeigen euch, wie ihr die Verschlüsselung bei euch einrichtet.

Von Sebastian Düvel
7 Min.
Artikel merken
Anzeige
Anzeige
© Denys Rudyi - Fotolia.com

S/MIME oder PGP?

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard zur E-Mail-Verschlüsselung. S/MIME gibt es seit 1995, PGP seit 1991. Sie können also beide als „gut abgehangen“ angesehen werden. Außerdem ist es in dieser Zeit nicht gelungen, eine von beiden Verschlüsselungen zu knacken, also können sie als sicher gelten.

Anzeige
Anzeige

Beide Verfahren beruhen auf dem gleichen Prinzip, der hybriden Verschlüsselung. Es gibt jeweils einen privaten Schlüssel und einen öffentlichen Schlüssel. Um jemandem eine verschlüsselte Nachricht zu schicken, braucht man dessen öffentlichen Schlüssel und seinen eigenen privaten Schlüssel.

Obwohl vom Funktionsprinzip gleich, verwenden PGP und S/MIME unterschiedliche Schlüsselformate und sind deshalb leider nicht kompatibel. So muss man entweder alle seine Kommunikationspartner von einem Verfahren überzeugen oder zweigleisig fahren und beide variabel einsetzen.

Anzeige
Anzeige

S/MIME bietet neben der Verschlüsselung auch eine Signaturfunktion. Hierbei bleibt eine Mail für alle sichtbar, es wird allerdings eine kryptographische Signatur hinzugefügt. Sie wird über den Inhalt der Mail berechnet und kann vom Empfänger verifiziert werden. Ist die Signatur in Ordnung, bedeutet das, dass der Mail-Inhalt nicht verändert wurde.

Anzeige
Anzeige

Ob man letztlich S/MIME oder PGP verwendet, ist Geschmackssache, allerdings hat S/MIME einen großen Vorteil: Es ist bereits in vielen Mail-Programmen und Smartphones eingebaut.

Was sind S/MIME-Zertifikate und woher bekomme ich eins?

S/MIME-Zertifikate gibt es beispielsweise bei der Sparkasse. (Screenshot: s-trust.de)

S/MIME-Zertifikate gibt es beispielsweise bei der Sparkasse. (Screenshot: s-trust.de)

Um S/MIME einzusetzen, benötigt man das besagte Schlüsselpaar privat/öffentlich. Dafür braucht man X.509 Zertifikate. Prinzipiell kann man sich die selbst erstellen, allerdings muss der Empfänger dann erheblichen Aufwand treiben, damit sie als korrekt akzeptiert werden. Sinnvoller ist es, das Zertifikat einer offiziellen Zertifizierungsstelle zu benutzen. Sie werden von den meisten Betriebssystem als vertrauenswürdig eingestuft und machen somit keine Probleme.

Anzeige
Anzeige

Es gibt vier Klassen von diesen Zertifikaten. Sie unterscheiden sich in der Form der Überprüfung des Antragstellers. Bei Klasse 1 wird nur überprüft, ob die E-Mail-Adresse existiert und nur diese in das Zertifikat übernommen. Klasse 2 enthält neben der E-Mail-Adresse den Namen sowie die Organisation oder Firma. Hierbei wird schriftlich bestätigt, dass die gemachten Angaben korrekt sind. Dann gibt es noch Klasse 3, bei der auch der Handelsregisterauszug beziehungsweise der Personalausweis überprüft wird (zum Beispiel per Post-Ident). Und dann gibt es noch die Klasse 4, dabei muss man persönlich bei der Zertifizierungsstelle erscheinen und wird anhand der Originaldokumente verifiziert. Das wird allerdings von niemandem angeboten, da es zu teuer ist – wäre aber natürlich die sicherste Variante.

Die meisten kostenlosen Angebote bieten nur Klasse-1-Zertifikate an, aber auch die reichen vollkommen zur sicheren E-Mail-Verschlüsselung. Die Klassen sagen schließlich nur etwas darüber aus, ob derjenige, dem man schreiben will, auch wirklich die Person ist, die sie vorgibt zu sein. Die Verschlüsselung ist bei allen vier Klassen dagegen gleich stark.

Es gibt mehrere kostenlose Anbieter, zum Beispiel StartSSL, Comodo und etliche mehr. Kostenpflichtige Zertifikate bieten unter anderem die PSW Group, die Sparkasse oder auch die beiden oben genannten an.

Anzeige
Anzeige

Natürlich könnte man sich die Schlüssel nun irgendwie zuschicken, aber zum Glück braucht man das nicht. Es reicht, wenn man eine signierte Mail von einem anderen erhält. Jetzt weiß das Mail-Programm, dass dieser S/MIME kann und hat auch dessen öffentlichen Schlüssel.

Wie richte ich S/MIME bei Apple Mail unter OS X ein?

Ich habe mir ein Zertifikat über Comodo eingerichtet. Darum beschreibe ich deren Prozess hier. Im Prinzip läuft es aber bei allen Anbietern ähnlich.

    1. Geh auf Comodo und klick den großen blauen Button an.
    2. Im folgenden Formular muss man nur seine Daten inklusive der E-Mail-Adresse, für die das Zertifikat gelten soll, eingeben. Achtung: Umlaute sind verboten. Außerdem muss man ein Revocation-Passwort eingeben. Damit kann man ein Zertifikat für ungültig erklären (zurückziehen/revoke), wenn es zum Beispiel von jemandem kopiert oder sonstwie kompromittiert wurde. Die Key-Size sollte man bei 2048 Bits belassen.
    3. Danach bekommt man eine E-Mail mit weiteren Instruktionen.
    4. Nach einem Klick auf den roten Button „Click & Install Comodo Email Certificate“ öffnet sich eine Webseite und lädt direkt das Zertifikat herunter.
    5. Unter OS X kann man diese .p7s-Datei einfach doppelklicken, worauf sich die Schlüsselbundverwaltung öffnet und das Zertifikat installiert.
    6. Damit ist die Installation fertig. Damit man S/MIME jetzt auch nutzen kann, muss man nun einmal Apple Mail neustarten.
    7. Am einfachsten kann man das Ganze testen, indem man sich selbst eine verschlüsselte Mail schickt.
    8. Gibt man in Mail eine Empfängeradresse ein, die S/MIME unterstützt bekommt man zwei neue Buttons im Mail-Fenster:

SMIME-Apple-Mail

Anzeige
Anzeige
    1. Der rechte Button signiert eine Mail, der linke verschlüsselt sie. Empfängt man so eine Mail, gibt es eine neue Zeile, die anzeigt ob alles ok ist:

SMIME-Empfang-Anzeige

Hier sieht man also, dass die Mail verschlüsselt und signiert wurde. Der Text der Mail wird automatisch unverschlüsselt angezeigt, man merkt also außer durch diese Zeile nicht, dass man mit verschlüsselten Mails arbeitet. Ist ein Fehler aufgetreten, konnte also zum Beispiel das Zertifikat nicht verifiziert werden, zeigt Mail das in einer deutlichen Mitteilung an:

SMIME-Signatur-Fehler

Anzeige
Anzeige
  1. Hinter dem „Details-einblenden“-Button kann man sehen, woran das liegt – in meinem Fall daran, dass die Mail von einer anderen Adresse gesendet wurde, als im Zertifikat angegeben.

Wie richte ich S/MIME auf dem iPhone/iPad ein?

Hier geht es leider nicht ganz so einfach, denn das iPhone kann mit den .p7s Dateien nichts anfangen. Deshalb müssen wir unser Zertifikat in einem anderen Format exportieren.

    1. Öffne das Programm „Schlüsselbundverwaltung“
    2. Suche nach deiner E-Mail-Adresse, denn das Zertifikat ist danach benannt.
    3. Nun Rechtsklick und dann Exportieren.

Export-SMIME-Key-1

    1. Hier muss man nun einen Speicherort sowie das Format (.p12) auswählen.

Export-SMIME-Key

Anzeige
Anzeige
  1. Er möchte noch ein Passwort wissen, mit dem das Zertifikat verschlüsselt wird, damit es niemand sonst öffnen kann.
  2. Jetzt schickt man sich das Zertifikat einfach per Mail an sein iPhone. Keine Sorge, das ist sicher, solange man ein ausreichend starkes Passwort gewählt hat.
  3. In der Mail auf dem iPhone einfach auf die Datei drücken und die darauffolgenden Dialoge bestätigen.
  4. Jetzt muss man S/MIME nur noch aktivieren. Dazu geht man unter Einstellungen » Mail, Kontakte, Kalender » der Mail-Account » Account » Erweitert (ganz unten) » S/MIME (ganz unten)

    iPhone-SMIME-Einstellungen

    Die Einstellungen für S/MIME auf dem iPhone.

  5. Jetzt noch bei „Signieren“ und „Verschlüsseln“ jeweils auf „Ja“ stellen und schon ist man fertig. Mails, die man an eine unterstützte Adresse schickt, werden jetzt automatisch signiert und verschlüsselt, wenn man das so eingestellt hat. Pro Mail separat einstellen, kann man das leider nicht.

Wie richte ich S/MIME unter Windows ein?

Ich beschreibe das hier am Beispiel von Google Chrome und Mozilla Thunderbird unter Windows 8, denn leider kann Microsofts mitgeliefertes Mailprogramm kein S/MIME mehr. Dafür müsste man sich dann Office kaufen, um Outlook zu benutzen. Außerdem musste ich Chrome benutzen, da mit dem Internet Explorer keine Installation des Zertifikats möglich war.

    1. Führe zuerst die ersten vier Punkte wie bei Mac OS X beschrieben aus. Geht man mit Chrome auf die Comodo-Download-Seite, die man per Mail bekommen hat, lädt dieser das Zertifikat automatisch herunter und installiert es lokal in Chrome.

Chrome-Zertifikat-gespeichert

    1. Um es in Thunderbird zu nutzen, muss es man es zuerst exportieren.
    2. Dazu öffnet man Chromes Einstellungen, scrollt ganz nach unten, öffnet die Erweiterten Einstellungen und klickt den Button „Zertifikate verwalten …“ unter dem Punkt HTTP/SSL.
    3. Im folgenden Fenster wählt man unter „Eigene Zertifikate“ sein neues E-Mail-Zertifikat aus und klickt „Exportieren …“.

Chrome-Zertifikat-Auswahl

Anzeige
Anzeige
    1. Es öffnet sich ein Assistent. Dort muss man unbedingt anklicken, dass man auch den privaten Schlüssel mit exportieren möchte.
    2. Im nächsten Dialog kann man die Optionen so lassen wie auf dem Bild:

Chrome-Zertifikat-Exportformat

    1. Danach vergibt man noch ein Passwort für das Zertifikat und speichert es irgendwo.
    2. Jetzt öffnet man in Thunderbird die Konten-Einstellungen.
    3. Dort unter dem passenden E-Mail-Konto öffnet man den Punkt „S/MIME-Sicherheit“.
    4. Hier nun auf „Zertifikate verwalten …“ klicken

Thunderbird-SMIME-Optionen

    1. Dort zum Tab „Ihre Zertifikate“ wechseln und auf „Importieren …“ klicken.
    2. Hier nun das vorhin gespeicherte Zertifikat auswählen, das Passwort eingeben und schon ist es importiert.
    3. Zurück im vorherigen Fenster kann man nun unter „Digitale Unterschrift“ über den Button „Auswählen …“ das eben importiere Zertifikat auswählen.
    4. Thunderbird fragt nun, ob er das Zertifikat auch zum Verschlüsseln verwenden soll. Das bestätigen wir.
    5. Nun noch die Option „Nachrichten digital unterschreiben“ und unter Verschlüsselung „Notwendig …“ wählen.

Thunderbird-SMIME-Optionen-komplett

    1. Schreibt man nun eine neue Mail, gibt es in der Toolbar einen S/MIME-Button, wo man separat pro Mail wählen kann, ob sie verschlüsselt und/oder unterschrieben wird.

Thunderbird-Neue-Mail-SMIME

  1. Empfängt man eine S/MIME-Mail, zeigt Thunderbird das über folgende Symbole an:

Thunderbird-SMIME-Empfang

Eine Bemerkung: Es wird immer nur der Mail-Text verschlüsselt, der Betreff bleibt also weiterhin lesbar. Sensible Informationen daher niemals in den Betreff schreiben! Selbstverständlich kann auch weiterhin gesehen werden, wer Sender und Empfänger sind. Anonym ist man damit also auch nicht. Diese Einschränkungen sollten einem bewusst sein.

Jetzt muss man nur noch alle seine Mailkontakte davon überzeugen, auch S/MIME zu verwenden. Als Anfang kann man zumindest schon mal alle seine Mails signieren.

P.S.: Wenn Ihr S/MIME auf einem Android-Phone einrichten wollt, schaut doch mal bei NETWAYS vorbei – da findet ihr einen guten und ausführlichen Artikel dazu.

Weiterführende Links zum Thema „Sicherheit“

Bildnachweis für die Newsübersicht: © Denys Rudyi – Fotolia.com

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare (15)

Community-Richtlinien

Ich

Grmpf… Muss ich wohl doch mal zu einem richtigen Smartphone wechseln? :-(

„S/MIME is not supported in current versions of Windows Phone 8.“

http://social.msdn.microsoft.com/Forums/wpapps/en-US/f7f9d05c-1273-440d-8406-021e2ffaa8c1/how-to-create-an-smime-message-in-windows-phone-8

Auch mal suchen

Genau das ist das von mir zitierte Problem: Komplizierte Schlüsselverwaltungen überfordern die User.
Auch sollten Schlüssel nur begrenzten Zeitraum nutzbar sein und z.B. jedes Jahr bei Vollkauflauten ersetzt werden statt sich Keys mit 30jähriger Ablaufzeit holen zu können.

Und aus den Key-Prblemen bei Browsern bzw. den zurückgezogenen Trust-Centern sollte klar sein, das mehr als als einen Truster geben muss. Ein guter Browser bzw. Email-Programm merkt sich die Truster bei Websites und zeigt sofort an, wenn sich was geändert hat. Das wird dann sofort automatisch von Firefox an google/bing/… gemeldet und die Sites automatisch aus dem Index genommen und auf Warning-Listen gesetzt die vom Browser je nach Einstellungen oft genug bei jeder Site abgefragt werden. Gehackte Site-Zertifikate wie sie bisher immer wieder auftraten helfen Hackern dann also nicht lange.
Bisher waren Browser ja dumm und wenn sich das Onlinebanking andere Schlüssel gegeben hatte oder andere neue falsche Zertifikate untergejubelt wurden, wurden sie klaglos akzeptiert.

Nur mal so eine Frage die mir grade einfällt: Schaut mal bei MacOS ob Spotlight (MacOS bzw. iOS) eure gecrypteten Emails (nicht die abgesendeten sondern was an Euch geschickt wurde und bei Empfang verschlüsselt war) indiziert. Oder ob ihr nur im Email-Programm danach suchen könnt.

Wenn man Sicherheit länger beobachtet (Heise-Newsticker lesen o.ä.) merkt man schnell, das triviale Dinge die man sich oft selber fragen müsste, von vielen Programmierern ignoriert werden… Da braucht man sich nicht wundern wenn die Kreditkarten-Daten in vielen Onlineshops vermutlich nicht vernünftig geschützt sind. Vielleicht schliessen im SEPA-Zusammenhang dann auch Sites weil das zu kompliziert ist und bieten nur noch über Ebay-Sofortkauf, Rakuten, Amazon-Marketplace und vor Ort an.

Lukas

Aber Comodo muss ich dann wohl vetrauen, korrekt? Dass sie den private Key wegwerfen und nicht noch schnell an den BND oder die NSA schicken.

Das macht alles wieder sehr pseudo-sicher.

Ralf

Hmmm… Funkioniert einwandfrei auf meinem MacBook mit Apple Mail unter OS X 10.8.4.
Jedoch auf dem MacPro (1. Generation) in Mail.app unter OSX 10.7.5 bekomme ich die beiden zusätzlichen Schaltflächen beim Erstellen einer Mail leider nicht angezeigt…

Jemand ne Idee, woran das liegen könnte?

Ralf K.

@Lukas: Nein, der private Schlüssel wird bei dieser Methode im Browser erzeugt und verlässt Deinen Rechner nicht. Alles andere wäre fahrlässig.

Bei „windigen“ Produkten wie beim E-Postbrief ist das teils anders. Da erzeugt der Anbieter auf dem Server die Schlüssel für Dich und verkauft das als Service. Denn dann hat der Anbieter immer ein Backup des Schlüssels (auch für BKA, NSA & Co). Da sollte man einen Bogen rum machen.

Ralf K.

An den Autor: Sich den privaten Key bzw. das .p12 File per zu unverschlüsselter Mail zu schicken, ist eine schlechte Idee, auch wenn die Passphrase noch so gut wäre.

Ralf K.

Als alternative Zertifizierungsstelle bietet sich CAcert an, siehe http://cacert.org . Die ist nicht kommerziell und Community-basiert. Und man kann Class 3 Zertifikate bekommen, die 2 Jahre gültig sind. Siehe auch http://www.kruedewagen.de/blog/2013/07/22/sichere-e-mail-eine-kleine-anleitung/

Januz

Mich interessiert auch die Frage von „Auch mal suchen“:

>>>
Nur mal so eine Frage die mir grade einfällt: Schaut mal bei MacOS ob Spotlight (MacOS bzw. iOS) eure gecrypteten Emails (nicht die abgesendeten sondern was an Euch geschickt wurde und bei Empfang verschlüsselt war) indiziert. Oder ob ihr nur im Email-Programm danach suchen könnt.
>>>

Hat das jemand ausprobiert? Funktioniert

a) die Suche innerhalb von Apple Mail? Wenn ja, funktioniert das nur, wenn ich sie lokal speichere oder auch, wenn sie auf dem Server liegen bleiben (was momentan mein Standard ist)?

b) funktioniert die Indizierung mit Spotlight?

c) funktioniert die Suche mit iOS?

Vielen Dank für Infos!

Alex

Ihr schreibt: “ Außerdem ist es in dieser Zeit nicht gelungen, eine von beiden Verschlüsselungen zu knacken, also können sie als sicher gelten.“ und: “ Sinnvoller ist es, das Zertifikat einer offiziellen Zertifizierungsstelle zu benutzen. Sie werden von den meisten Betriebssystem als vertrauenswürdig eingestuft und machen somit keine Probleme.“

Und genau da liegt das Problem. Die NSA setzt inzwischen die Zertifizierungsstellen unter Druck, Generalschlüssel für ihre Zertfikate auszugeben. Anders ausgedrückt: Es gibt KEINE vertrauenswürdigen Zertifizierungsstellen mehr! S/MIME-Zertifikate dieser Art müssen daher GRUNDSÄTZLICH als kompromittiert und NICHT mehr als sicher gelten! Denn wozu knacken, wenn ich einen Generalschlüssel haben kann? Das Problem stellt sich bei PGP nicht, weil man da die Schlüssel selbst erstellt und die Vertrauenswürdigkeit über Unterschriften anderer läuft. Das ist in diesen Zeiten als wesentlich sicherer anzusehen. Aus diesem Grund – und natürlich auch, weil viel mehr Menschen PGP nutzen – ist von S/MIME strikt abzuraten und zu PGP zu raten!

mohrekopp

@Alex
Lieder ist diese Neuigkeit nicht bei allen Mainstream-Medien angekommen – ist wahrscheinlich auch zu kompliziert zur erklären.
Was man diesbezüglich auch leider vergisst ist, dass durch die Erpressung der CAs auch SSL inzwischen für die Tonne ist…

Macappo

@Alex:
Danke für solche Infos! Aber sind die irgendwie zu belegen? Das ist ja echt traurig! Wie sieht es denn bei deutschen Zertifizierungsstellen aus?? Die Sparkasse bietet ja zum Beispiel auch Zertifikate an? Oder nutzen die auch nur einen ausländischen Anbieter?
Danke!

crowdarchitects

Danke für diesen einfach verständlichen Artikel!
Gibt es unter S/MIME eine/mehrere zentrale Datenbanken mit öffentlichen Schlüsseln, wie bei PGP/GPG?

alerg

Es funktioniert NICHT. ALLES so gemacht, wie beschrieben. Unter Mac OS X Mail kommen keine neuen Buttons zum verschlüsseln und signieren von Mails. Das Comodo-Terifikat wird im Schüsselbund angezeigt. Mail neu gestartet, Mac neu gestartet. Nix. Mail bietet keine Verschlüsseling/Signierung an.

Gruß
Andreas

BlaBlaBla

Ist es nicht eigentlich schon grob fahrlässig sich für S/MIME seinen Privaten/Öffentlichen Schlüssel von einem Unternehmen erstellen zu lassen das seinen Sitzt auch noch in den USA hat? Außerdem stecken Apple, Microsoft und Co. ebenfalls mit den Geheimdiensten unter einer Decke bzw. besteht Kontakt.

Und es sollte ja mittlerweile jedem klar sein, dass das schon ausreicht um dem S/MIME Zertifizierungsprozedere zu misstrauen. Also ich tue es.

Lieber GPGtools (Mac) oder gpg4win (windows) verwenden. Sind ebenfalls Open-Source und die Schlüsselpaare werden lokal auf dem Rechner erstellt.

Oder irre ich mich?

Stefan Günther

Wer sich das Konfigurieren der E-Mail-Clients sparen will, kann auch eine Gateway-Lösung einsetzen. Mit Ciphermail (https://www.ciphermail.info) steht eine OpenSource Lösung zur Verfügung, die als Verschlüsselung PGP, S/MIME und PDF bietet, keine Änderung an den Clients erfordert und mit allen SMTP-Servern zurecht kommt. Ein Webinterface für die Administration gibt es noch dazu.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige