Wer sich ein identitätsvalidiertes S/MIME-Zertifikat ausstellen lassen will, also eines, das nicht nur die eigene Email-Adresse, sondern auch die persönliche Identität beglaubigt (siehe PDFs digital signieren – eine Anleitung), muss bekanntlich und nachvollziehbarer Weise seinen Personalausweis vorlegen.

Ab heute geht das aufgrund einer weltweit gültigen Änderung für S/MIME-Zertifikate nur noch mit der Online-Ausweisfunktion des Personalausweises. Dazu muss folglich diese Online-Funktion freigeschaltet sein (vorhanden ist sie auf jedem derzeit noch gültigen Personalausweis, aber nicht unbedingt freigeschaltet). Außerdem braucht man die AusweisApp2 und ein iPhone ab iPhone 7 oder alternativ ein USB-Kartenlesegerät und einen Mac mit AusweisApp2.

Während des Antragsverfahrens bekommt man dann von D-Trust eine Email mit einem Link, der auf dem Gerät angeklickt werden muss, auf dem sich die AusweisApp2 befindet.

Muss man die Online-Funktion seines Personalausweises erst noch freischalten, kann das über diesen Link geschehen: Das kann dann bis zu 2 Wochen dauern, da eine PIN per Post verschickt wird.

So langsam nimmt der neue Personalausweis ja mal etwas Fahrt auf...

Danke für den Hinweis, @Weia!

Danke für den Hinweis. Allerdings sehe ich den Vorteil eines validierten Zertifikats praktisch bisher nicht.
Ich kenne keinen Anbieter, der einer mit S/MIME verschlüsselten E-Mail mehr traut, als einer unverschlüsselten. Als Nachweis der Identität lässt dies kein mir bekannter Anbieter zu. Wenn ich eine PGP oder S/MIME verschlüsselte Mail verschicke, mache ich das ja mit dem öffentlichen Schlüssel des Empfängers, den ich vorher von diesem erhalte. Die Verschlüsselung funktioniert natürlich auch mit einem nicht verifizierten Zertifikat.

Mein Zertifikat hole ich mir aktuell jährlich kostenfrei bei Actalis.

Von was für „Anbietern“ redest Du?

Derjenige, der Dir trauen soll, ist doch kein „Anbieter“ von irgendwas, sondern der Empfänger der Email.

Die meisten Behörden und auch manche Ärzte und Anwälte weigern sich, Dir PDFs per Email statt Ausdrucke per Brief zu senden, solange nicht wenigstens die Emailadresse, besser Deine Identität mit dem Zertifikat beglaubigt ist. Die Emailadresse kannst Du ja aber im übrigen auch mit dem von Dir verlinkten kostenfreien Zertifikat von Actalis beglaubigen, das ist bereits etwas völlig anderes als eine unsignierte, unverschlüsselte Email, die Du in einem Atemzug nennst.

Im übrigen sind die signierten Emails ja nur eine kostenloser Nebeneffekt für solche Zertifikate. Primär geht es um das rechtssichere digitale Unterschreiben von PDFs und da brauchst Du eben ein personenvalidiertes Zertifikat.
Natürlich. Nur kannst Du dir dann nicht sicher sein, dass der Empfänger Deiner Email derjenige ist, für den er sich ausgibt.
Das ist natürlich ganz wichtig, dass es kostenfrei ist … 🙄 Dass dieses Land mit der Digitalisierung nicht vorankommt, liegt nicht nur an der Regierung …

Im übrigen: kein Mensch zwingt Dich, das alles zu nutzen. Wenn Du es nicht brauchst, brauchst Du es nicht. Dieser Thread ist aber an Menschen gerichtet, die es brauchen/wollen.

Bei vielen Leute ist es sicher so, wie du es wohl annimmst: Sie könnten es sich leisten, und müssten dafür nur andere nichtessentielle Dinge hintenanstellen.
Aber das ist halt nicht bei jedem so. Esse, Trinken, Kinderbetreuung, Medizin kann man nicht hintenanstellen.
Ich meine vor einiger Zeit von einem nord-europäischen oder baltischen Staat gehört zu haben, der jedem Bürger ein kostenloses Zertifikat ausstellt, und zwar eines das richtig viel kann. Für die Teilhabe in einer digitalen Gesellschaft ist das essentiell.

sehe ich auch so.

Was soll man sich bei solchen mini Beiträgen hintenanstellen? Jede Dienstleistung sollte was kosten, dann wird man auch selber bezahlt. Nur so kann ein System erfolgreich funktionieren.

Damit meine ich z.B. Banken, Versicherungen, Behörden und die auch von Dir genannten Ärzte.
Ich kenne keinen, der aufgrund eines verifizierten S/MIME Zertifikats davon ausgeht, dass die E-Mail tatsächlich rechtssicher von Dir stammt. Daher mein Hinweis auf den tatsächlichen praktische (nicht-)Nutzen eines solchen Zertifikats als Identitätsbeweis.

Bei einem Vergleich nennt man halt mindestens zwei verschieden Sachen. Ich vergleiche den tatsächlichen praktischen Wert, während Du eher theoretisch den potenziellen Nutzen beschreibst. Nenne mit eine Bank, die Dir persönliche Informationen per E-Mail schickt, wenn sie diese mit Deinem Zertifikat verschlüsseln, das sie vorher in ihrer EDV speichern müssen.

Da müsste der Empfänger darauf vertrauen, dass das zur Signatur eingesetzte Zertifikat und die Zertifizierungsstelle glaubwürdig sind und sie müssten rechtlich abgesichert werden, dass sie bei Einhaltung einfacher Prozesse nicht haften. Schreibst Du Deiner Bank einen Auftrag, mir 20.000 Euro zu überweisen und signierst das PDF mit Deinem Zertifikat - müsste die Bank theoretisch Deinen Auftrag ausführen, da sie prüfen kann, dass der Auftrag von Dir stammt. Wird sie das tun? Wohl kaum..[/quote]

Wenn der praktische Nutzen gegeben ist, bezahle ich auch gerne. Bisher ist der nicht da. Ich habe schon vor >10 Jahren mit PGP und S/MIME gearbeitet. Nur war das ein verschlüsseltes Versenden von Mails unter Nerds. Wenn nun ein ePA zur Prüfung genutzt wird, ist das auf jeden Fall ein richtiger Schritt.

Unbestritten. Aber das ist hier einfach nicht mein Punkt.
Ja, das stimmt, aber ich bin da sehr zwiegespalten. Verschlüsselte Emails können ja auch Schutz vor einem zu neugierigen Staat bieten. Wenn dann dieser Staat Zertifikate ausstellt, gibt das einen Interessenkonflikt. (Es handelt sich meiner Kenntnis nach nicht um S/MIME-Zertifikate nach internationalem Standard, sondern um etwas Staatseigenes – aber ich kann mich da auch irren, ich habe das nicht näher verfolgt.)

Ich bin für mich nach längerem Grübeln zu dem Schluss gekommen, dass ein Verfahren, in dem nicht-staatliche Akteure eine wichtige Rolle spielen, zu bevorzugen ist. Siehe den Konflikt zwischen Großbritannien und Apple bezüglich verschlüsselter iMessages, ja ein sehr eng verwandtes Thema. Oder auch die Katastrophe De-Mail.

Das ist keine Frage des Davon-Ausgehens. Das ist EU-Recht. Zu Deinem Bekanntenkreis kann ich nix sagen.

Abgesehen davon ist das das fatale Henne-/Ei-Argument. Du sagst, was brauche ich ein Zertifikat, wenn es keine der von Dir genannten Gruppen nutzt, die Gruppen sagen sich, was sollen wir S/MIME-Kommunikation anbieten, wenn der allergrößte Teil unserer Klienten/Patienten/Kunden sie nicht nutzt (was sie natürlich intern anhand aller eingegangenen Emails auswerten können).

Ich begreife es daher als Teil meiner staatsbürgerlichen Verantwortung in Bezug auf die Digitalisierung, von meiner Seite aus zu signalisieren: Ich wäre startklar – was ist mit Euch?

Das allein ist für mich schon ein hinreichender praktischer Nutzen.
Nein, ich rede vom praktischen Wert. Für mich war der in den letzten Jahren immens und hat mir sehr viel Arbeit erspart. Und nochmal: staatsbürgerliches Engagement ist für mich auch etwas sehr Praktisches.
Das muss doch kein armer Bank-Azubi mühsam in der EDV speichern; das geschieht vollautomatisch. S/MIME ist seit über 20 Jahren standardisiert; jede Email-Software beherrscht das.

Banken sind im übrigen ein schlechtes Beispiel, da die aufgrund der ganzen Erfordernisse für Online-Banking ohnehin schon ein, wenn auch umständlicheres, Verfahren für sichere Kommunikation haben.
Also ich bitte Dich – D-Trust ist ein Staatsunternehmen. Wenn man dessen Glaubwürdigkeit in Zweifel zieht, kann man die gesamte Rechtsstaatlichkeit in Zweifel ziehen. Und generell, Zertifizierungsstellen müssen sich staatlich akkreditieren lassen. Mir scheint, Du willst einfach alles anzweifeln – klar, dann ist alles sinnlos und es ändert sich nie etwas.
Nochmals: Banken sind da ein schlechtes Beispiel, weil die – insbesondere genau für Überweisungen – etablierte und standardisierte digitale Prozesse haben. Eine Bank wird das daher nicht mehr und nicht weniger tun, als wenn ich ihr einen eigenhändig unterzeichneten Brief mit der Post sende. Sicherer als händische Unterschriften ist S/MIME allemal.
Das stimmt einfach nicht. Ich habe in den letzten 3 Jahren leider sehr viel mit Behörden, Anwälten und Versicherungen zu tun gehabt (mit Ärzten gottseidank nicht). In fast allen Fällen lief die Kommunikation über S/MIME-Emails und digital signierte PDFs. Das hat mir etliche Stunden nerviges Einscannen/OCRn von postalischen Schreiben erspart: eine vollkommen unnötige Zusatzarbeit mit einem völlig unnötig erhöhten Speicherplatzbedarf. Und der Umwelt hat es x Postbriefe erspart.

Da bin ich bei dir, guter Punkt.
Möglicherweise wäre eine Regelung sinnvoll, dass der Staat Privatpersonen mit genau 1 standardkonformem Zertifikat ausstattet, aber nicht darüber hinaus. So gibt es weiter einen großen Markt für Zertifikatausstellung in der Wirtschaft, und diese Zertifizierungs-Unternehmen können dann auch zu einem fairen Preis staats-unabhängige Zertifikate für Privatpersonen ausstellen.

Danke für die praktische Anleitung! Habe sie gerade ausprobiert und es hat auch über die Ausweis-App alles geklappt. Ein Frage: Wie bekomme ich es hin, dass das Zertifikat auch in iOS das Signieren von Mails per S/MIME ermöglicht?

Filtere auf dem Mac in der Schlüsselbundverwaltung nach Meine Zertifikate, wähle Dein Zertifikat aus (vergewissere Dich durch Aufklappen des kleinen grauen Dreiecks, dass auch Dein privater Schlüssel enthalten ist), wähle dann im Menü Ablage → Exportieren … und speichere das Zertifikat im .p12-Format. Da Dein privater Schlüssel in der .p12-Datei enthalten ist, musst Du dir dabei zur Sicherung ein Passwort ausdenken.

Die Datei schickst Du dann entweder per (mit Deinem Zertifikat signierter!) Email an Dein iPhone (falls Du IMAP benutzt, die Email mit der .p12-Datei nach erfolgreicher Installation sicherheitshalber am besten wieder vom Mailserver löschen) oder überträgst sie via AirDrop und schickst Dir zusätzlich eine mit dem Zertifikat signierte Email (das mit der signierten Email ist notwendig, weil bei Erstinstallation des Zertifikats auch ein sogenanntes Zwischenzertifikat der Zertifizierungsstelle installiert werden muss, und das geschieht automatisch, wenn Du dir eine mit diesem Zertifikat signierte Email schickst). Das iPhone sollte Dich dann automatisch fragen, ob Du das Zertifikat installieren willst und das bestätigst Du unter Eingabe des Passworts. Fertig.

Herzlichen Dank für die Hilfestellung! Das hat so bei mir zunächst nicht richtig funktioniert, da das übertragene Zertifikat auf dem iPhone als nicht signiert angezeigt wurde (auch nicht nach der signierten E-Mail).

Dein Hinweis auf das Zwischenzertifikat hat dann aber die Lösung gebracht: Das Zwischenzertifikat habe ich auch per Airdrop auf das iPhone übertragen und installiert. Und nun passt alles.

Ohne die Anleitung hätte ich mich an das Thema nicht herangetraut. So bin ich jetzt auch im digitalen Zeitalter angekommen... Danke!