Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Journals>PokerTH - Texas Hold'em auf dem Mac>Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME

Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME

Die Verschlüsselung mit S/MIME zeichnet sich dadurch aus, dass dieses Verfahren von der Mehrzahl aller Mail-Programmen "Out-Of-The-Box" unterstützt wird. Auch unter Mac OS X und iOS. Um diese nutzen zu können, benötigt man nur ein Zertifikat für seine Mail-Adresse.

Ich überspringe einfach mal ausführliche Erklärungen und demonstriere dies am Beispiel, wenn man die Mac OS X Bordmittel also Mail und Safari verwendet.

Einrichtung
Das ist ganz einfach. Es sind nur 3 Schritte:
  • Die Seite eines Trustcenters mit Safari öffnen und Angaben wie Name und Mail eintragen.
  • Die erste Mail wie angegeben zurückschicken oder nur den Link anklicken.
  • Zweite Mail: Den Link anklicken und mit OK bestätigen, damit man das Zertifikat speichert.

Fertig. - Nur noch Apple Mail beenden und wieder starten.

Hinweise:
  • Beim Namen die Umlaute, also das ö, als bspw. oe eingeben.
  • Die Mailadresse immer exakt wie im Mailprogramm verwendet eintragen.
  • Die Schritte am selben Rechner ausführen.

Ab jetzt kann man seine Mails über diese beiden Schalter verschlüsseln und signieren.

Ist doch wirklich einfach. Die häufigsten Fehler werden in der Praxis nur durch Umlaute im eingegebenen Namen oder Großbuchstaben in Mailadressen verursacht. Natürlich benötigt jeder Teilnehmer ein eigenes Zertifikat für seine Mailadresse.
____________________________________________________________________________

more...


Anwendung
In der Regel kann man diese beiden Schalter dauerhaft eingeschaltet lassen.

Signatur-Schalter:
Hiermit signiert man eine Mail. Diese Funktion erfüllt verschiedene Aufgaben, von der uns hier nur eine Interessiert: Dem Empfänger wird damit ermöglicht uns verschlüsselt zu antworten. - Daher ist dieser Schalter gewöhnlich immer an

Verschlüsseln-Schalter:
Hiermit verschlüsselt man eine Mail. Dieser Schalter wird nur aktiv, wenn wir von unserem Kommunikationspartner erstmailg eine signierte Mail erhalten haben. - Deswegen kann auch dieser Schalter immer an sein.


Zertifikate
Das Zertifikat eine Art "Etikett", dass beim Zuordnen des Schlüssels hilft. Das Mailprogramm weiss damit z.B.: Dieser Schlüssel gehört zu Eurer Mailadresse. - Mehr hier:

Die Zertifikate und Schlüssel werden von OS X im sog. Schlüsselbund verwaltet. Möchte man diese auf einen anderen Rechner nutzen, reicht es die Dateien aus dem Verzeichnis ~/Library/Keychains/ zu kopieren.

Tip: Es ist generell ratsam ein Backup seiner .keychain-Dateien im Falle eines Laufwerkdefekts im Schrank liegen zu haben.

Alte Zertifikate und Schlüssel hebt man auf und löscht sie nicht. Mit ihnen kann man ältere Mails lesen. Und es ermöglicht, dass jemand damit eine Nachricht verschlüsselt, auch wenn er nicht das aktuelle Zertifikat besitzt. Beim Versenden verwendet Mail automatisch das aktuellste verfügbare Zertifikat im Schlüsselbund von OS X.


Vertrauen
Ein häufiger Irrtum: Man muss keine Zertifikate staatlicher Trustcenter benutzen. Es geht auch mit Zertifikaten von privaten CAs. Ebenso mit offenen oder gemeinnützigen CAs. Und ebenso mit
selbstsignierten Zertifikaten.

Das im Beispiel genutzte Trustcenter befindet sich in den USA. Wer diesem misstraut kann sich auch bei Trustcentern in anderen Ländern (, ), oder auch bei gemeinnützigen Trustcentern () das Zertifikat ausstellen lassen.

Mit Mail nutzbare Zertifikate findet man noch an anderen Stellen. Bspw. die Provider hushmail und web.de stellen diese für die Mailadressen ihrer Nutzer aus. Jedoch auch die privaten Schlüssel. Daher rate ich persönlich davon ab.

Und selbstsignierte Zertifikate können bspw. mit Hilfe von OpenSSL oder auch bequem mit dem OS X Zertifikatsassistent erstellt werden. Ebenso könnte man ein eigenes Trustcenter () z.B. für die Familie betreiben.


Links:
  • Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein? (t3n)
  • Brief mit Siegel: Mail-Verschlüsselung auf dem Rechner und mobil. (c't)
  • Kostenlos verschlüsseln auf dem iPhone.


Anmerkung
Die o.g. Sachverhalte sind aus Gründen Nachvollziehbarkeit ggfs. vereinfacht dargestellt.

to be continued...

Kommentare

Stefan S.
Stefan S.02.07.13 17:50
Super, Danke!
Stefan S.
Stefan S.02.07.13 18:01
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?
iCode
iCode02.07.13 18:18
Stefan S.
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?
Früher ging das.

Ich denke da spricht auch heute nichts dagegen.
iCode
iCode02.07.13 18:37
iCode
Ich denke da spricht auch heute nichts dagegen.
Diese Vermutung bitte mit Vorsicht genießen, ich habe es nicht getestet.
teacup03.07.13 12:19
2 Fragen:

Hat von euch jemand CACert-Zertifikate in Betrieb, bzw. es geschafft, die auf dem iPhone zum Laufen zu bekommen?

Verstehe ich das richtig, dass "Encrypt: On" auf dem iPhone für alle E-Mails des Accounts gilt und ich nicht bei jedem E-Mail einzeln entscheiden kann, ob es verschlüsselt (sic!) wird?
iCode
iCode03.07.13 16:04
teacup
Verstehe ich das richtig, dass "Encrypt: On" auf dem iPhone für alle E-Mails des Accounts gilt und ich nicht bei jedem E-Mail einzeln entscheiden kann, ob es verschlüsselt (sic!) wird?
Ja, es gilt für den Account, aber nicht für alle Emails. - Betrachte es wie eine Automatik. Es werden die Mails verschlüsselt, deren Empfänger das unterstützen.
iCode
iCode03.07.13 17:08
Ergänzung:
Im Prinzip kannst Du das auf dem iPhone pro Empfänger entscheiden.

Es gilt, wenn man eine signierte Mail von einem Kommunikationspartner erhält, signalisiert er damit eindeutig, dass er gerne verschlüsselt kommunizieren würde.

Ablauf:
Wenn man das nun auch möchte, installiert man einfach sein Zertifikat.
  • Man tippt auf den Absender der Mail "Zertifikat anzeigen" und Installieren.

Ab dann werden die Mails von sich an diesen User verschlüsselt verschickt. Mach man hingegen nichts, werden diese natürlich weiterhin unverschlüsselt versendet.
sierkb03.07.13 18:30
Stefan S.
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?

Ja, das geht und ist so vorgesehen. Das OpenPGP Plugin für Mail.app bietet dafür z.B. einen kleinen Button am oberen rechten Rand des Composer-Fensters beim Verfassen einer neuen email an, der Dich wählen lässt zwischen OpenPGP und S/MIME.
teacup03.07.13 19:37
iCode
Danke!
Stefan S.
Stefan S.04.07.13 00:21
Danke sierkb!
baschdie12.07.13 12:55
Danke für die Anleitung. Wobei ich nicht glaube, dass es die Schlapphüte hindert die Mails zu lesen, sie brauchen höchstens länger ...

Wie Zertifikate in iOS importiert werden, steht hier:
FloMac12.07.13 15:11
Erstmals möchte ich mich für die tolle Anleitung bedanken. Ich habe ein Punkt, welchen ich nicht verstehe: Das Zertifikat läuft genau nach einem Jahr aus. Was muss ich dann tun? Ein neues Zertifikat erstellen? Ist das neue mit dem alten Zertifikat kompatibel?
iCode
iCode12.07.13 19:00
baschdie
Danke für die Anleitung. Wobei ich nicht glaube, dass es die Schlapphüte hindert die Mails zu lesen, sie brauchen höchstens länger ...
Es ist für mich ein digitaler Briefumschlag. D.h Ich schütze meine digitale Post vor neugierigen Blicken.

Denn mal unabhängig von Regierungen und Geheimdiensten; geht auch den Sys-Admin, den Arbeitgeber meiner Frau oder meinen Provider den Inhalt meiner Post nichts an.
baschdie
Wie Zertifikate in iOS importiert werden, steht hier:
Guter Hinweis werde ich im Journal verlinken.
iCode
iCode12.07.13 19:10
FloMac
Erstmals möchte ich mich für die tolle Anleitung bedanken.
Freut mich wirklich sehr. Ich halte mich selbst immer für keinen guten Erklär-bär.
FloMac
Ich habe ein Punkt, welchen ich nicht verstehe: Das Zertifikat läuft genau nach einem Jahr aus. Was muss ich dann tun? Ein neues Zertifikat erstellen?
Ja, Genau. Das kann man aber auch schon vorher machen. Ein Woche. Einen Monat.
FloMac
Ist das neue mit dem alten Zertifikat kompatibel?
Ich hoffe ich habe die Frage richtig interpretiert:

Mail verwendet automatisch das jeweils aktuellste Zertifikat.
Die beeinträchtigen sich nicht, und koexistieren friedlich neben einander.
And-Y
And-Y17.07.13 01:21
Mal ganz blöd gefragt... Apple hat ja bereits zugegeben das die NSA Zugriff auf iCloud Daten hat. Wenn der Schlüssel nun auf meinem Mac liegt, könnten die den dich ganz einfach ziehen oder haben ihn vielleicht schon durch einen Trojaner erhalten.

Dann nutzt doch die ganze Verschlüssung nichts.
iCode
iCode17.07.13 15:39
a.) Deswegen sollte man generell keine vertraulichen Dinge (Schlüssel, Passworte, AuthTokens, etc.) in irgendwelche Cloud-Services packen.

b.) Die Verschlüsselung schützt noch vor vielen anderem Missbrauchsfällen. Der Überwachung durch den Arbeitgeber oder Ausforschung durch einen Konkurrenten. Oder die Schnüffelei des Ex-Freundes.

c.) Wenn man wirklich das Ziel eines Nachrichtendienstes ist, muss man sich erstmal Gedanken über ein vertrauenswürdiges System machen. Und zwar abseits von Mac OS X, Windows, iPhone und Android Installation zerstören.
iCode
iCode17.07.13 15:54
MTN
Dieses Zeitlimit für Korrekturen nervt übrigens gewaltig.
iCode
iCode17.07.13 15:57
Korrektur:

er letzte Satz sollte lauten:
c.) Wenn man wirklich das Ziel eines Nachrichtendienstes ist, muss man sich erstmal Gedanken über ein vertrauenswürdiges System machen. Und zwar abseits von Mac OS X, Windows, iPhone und Android, und wie man deren bisherige Installation sicher zerstört.
iCode
iCode17.07.13 16:06
P.S.:
Stefan S.
Selbst der Innenminister rät den Bundesbürgern nun, sich mit E-Mail-Verschlüsselung auseinanderzusetzen
noch irgendwer Fragen?
And-Y
And-Y17.07.13 18:21
Also wenn ich das richtig verstanden habe, dann hat die NSA auf alle US Systemen weitgehend Zugriff. Ich geh jetzt mal davon aus, dass alles was auf einem Rechner mit Internetanschluss liegt auch abgerufen werden kann.

Klar ist jede Verschlüsselung besser als keine. Aber mal ganz ehrlich.... Seit den PGP Hochzeiten vor 10 Jahren habe ich nichts mehr verschlüsseltes bekommen. Auch in den letzten zwei Monaten nicht

Ich werde jetzt mal so einen s/MIME Teil holen und beruflich ein paar Mails abschicken. Mal sehen ob das irgend ein "oha" Erlebnis hervorruft.
iCode
iCode17.07.13 19:01
Ich benutze S/MIME seit knapp 10 Jahren und habe über 100 Kontakte die es nutzen.
And-Y
And-Y17.07.13 19:26
iCode
Ich benutze S/MIME seit knapp 10 Jahren und habe über 100 Kontakte die es nutzen.

Du bist bestimmt geschäftlich im IT Bereich unterwegs oder?

Habe viel mit Banken zu tun und selbst da gibts nix... Manchmal bekomme ich sogar ganz schön vertrauliche Daten so zugemailt von denen...
iCode
iCode17.07.13 21:44
Ja. Die Vermutung ist korrekt.

Ich hatte aber früher mal mit Finanzdienstleistern zu tun. Deren IT ist stellenweise als "historisch" zu bezeichnen. :'(
matt.ludwig18.07.13 18:34
iCode
Ja. Die Vermutung ist korrekt.

Ich hatte aber früher mal mit Finanzdienstleistern zu tun. Deren IT ist stellenweise als "historisch" zu bezeichnen. :'(

Die darf man nicht mal IT schimpfen.

Vielen Dank für die Anleitung
langweiler22.07.13 10:33
Wie gut funktioniert das ganze denn mit mehreren Clients? Funktioniert die Erkennung von Kontakten, mit denen man an einem Client bereits verschlüsselt kommuniziert hat auch problemlos auf anderen Clients?
HanSolo6822.07.13 15:34
Ich bin wie beschrieben vorgegangen.

Bei mir landet das Zertifikat (.p7b) immer in Zertifikate und nicht in "Meine Zertifikate". Und Mail will mir die Buttons einfach nicht anbieten (ich habe das Zertifikat von Comodo bereitstellen lassen).

Was mache ich da falsch?
HanSolo6822.07.13 16:47
Habs rausbekommen. Den Schritt 1 habe ich auf einem anderen Rechner gemacht.
iCode
iCode23.07.13 10:29
langweiler
Wie gut funktioniert das ganze denn mit mehreren Clients? Funktioniert die Erkennung von Kontakten, mit denen man an einem Client bereits verschlüsselt kommuniziert hat auch problemlos auf anderen Clients?
Ja, wenn die vorausgegangenen Mails auf dem Server verfügbar sind ist das kein Problem. Eine signierte Mail reicht schon.

Bei IMAP ist das immer der Fall. Und bei POP kann man das ja einstellen.
iCode
iCode23.07.13 10:30
HanSolo68
Habs rausbekommen. Den Schritt 1 habe ich auf einem anderen Rechner gemacht.

Die Stolperfalle kannte ich noch nicht.
Ich nehme es mal zu den Hinweisen auf.
Stefan S.
Stefan S.05.08.13 00:21
Wo wird das Schlüsselpaar generiert, weißt Du das?
Auf meinem Rechner, so wie bei OpenPGP in den GPGTools oder auf den Rechnern der Zertifizierungsstellen?
(Letzteres wäre ja nun nicht soooo sicher…?)
Weitere Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um diese Funktion nutzen zu können.