Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME
Die Verschlüsselung mit S/MIME zeichnet sich dadurch aus, dass dieses Verfahren von der Mehrzahl aller Mail-Programmen "
Out-Of-The-Box" unterstützt wird. Auch unter Mac OS X und iOS. Um diese nutzen zu können, benötigt man nur ein Zertifikat für seine Mail-Adresse.
Ich überspringe einfach mal ausführliche Erklärungen und demonstriere dies am Beispiel, wenn man die Mac OS X Bordmittel also Mail und Safari verwendet.
EinrichtungDas ist ganz einfach. Es sind nur 3 Schritte:
- Die Seite eines Trustcenters mit Safari öffnen und Angaben wie Name und Mail eintragen.
- Die erste Mail wie angegeben zurückschicken oder nur den Link anklicken.
- Zweite Mail: Den Link anklicken und mit OK bestätigen, damit man das Zertifikat speichert.
Fertig. - Nur noch Apple Mail beenden und wieder starten.
Hinweise:
- Beim Namen die Umlaute, also das ö, als bspw. oe eingeben.
- Die Mailadresse immer exakt wie im Mailprogramm verwendet eintragen.
- Die Schritte am selben Rechner ausführen.
Ab jetzt kann man seine Mails über diese beiden Schalter verschlüsseln und signieren.
Ist doch wirklich einfach. Die häufigsten Fehler werden in der Praxis nur durch Umlaute im eingegebenen Namen oder Großbuchstaben in Mailadressen verursacht. Natürlich benötigt jeder Teilnehmer ein eigenes Zertifikat für seine Mailadresse.
____________________________________________________________________________
more...
AnwendungIn der Regel kann man diese beiden Schalter dauerhaft eingeschaltet lassen.
Signatur-Schalter:
Hiermit signiert man eine Mail. Diese Funktion erfüllt verschiedene Aufgaben, von der uns hier nur eine Interessiert: Dem Empfänger wird damit ermöglicht uns verschlüsselt zu antworten. - Daher ist dieser Schalter gewöhnlich immer an
Verschlüsseln-Schalter:
Hiermit verschlüsselt man eine Mail. Dieser Schalter wird nur aktiv, wenn wir von unserem Kommunikationspartner erstmailg eine signierte Mail erhalten haben. - Deswegen kann auch dieser Schalter immer an sein.
ZertifikateDas Zertifikat eine Art "Etikett", dass beim Zuordnen des Schlüssels hilft. Das Mailprogramm weiss damit z.B.: Dieser Schlüssel gehört zu Eurer Mailadresse. - Mehr hier:
Die Zertifikate und Schlüssel werden von OS X im sog. Schlüsselbund verwaltet. Möchte man diese auf einen anderen Rechner nutzen, reicht es die Dateien aus dem Verzeichnis ~/Library/Keychains/ zu kopieren.
Tip: Es ist generell ratsam ein Backup seiner .keychain-Dateien im Falle eines Laufwerkdefekts im Schrank liegen zu haben.
Alte Zertifikate und Schlüssel hebt man auf und löscht sie nicht. Mit ihnen kann man ältere Mails lesen. Und es ermöglicht, dass jemand damit eine Nachricht verschlüsselt, auch wenn er nicht das aktuelle Zertifikat besitzt. Beim Versenden verwendet Mail automatisch das aktuellste verfügbare Zertifikat im Schlüsselbund von OS X.
VertrauenEin häufiger Irrtum: Man muss keine Zertifikate staatlicher Trustcenter benutzen. Es geht auch mit Zertifikaten von privaten CAs. Ebenso mit offenen oder gemeinnützigen CAs. Und ebenso mit
selbstsignierten Zertifikaten.
Das im Beispiel genutzte Trustcenter befindet sich in den USA. Wer diesem misstraut kann sich auch bei Trustcentern in anderen Ländern (
,
), oder auch bei gemeinnützigen Trustcentern (
) das Zertifikat ausstellen lassen.
Mit Mail nutzbare Zertifikate findet man noch an anderen Stellen. Bspw. die Provider hushmail und web.de stellen diese für die Mailadressen ihrer Nutzer aus. Jedoch auch die privaten Schlüssel. Daher rate ich persönlich davon ab.
Und selbstsignierte Zertifikate können bspw. mit Hilfe von OpenSSL oder auch bequem mit dem OS X Zertifikatsassistent erstellt werden. Ebenso könnte man ein eigenes Trustcenter (
) z.B. für die Familie betreiben.
Links:
- Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein? (t3n)
- Brief mit Siegel: Mail-Verschlüsselung auf dem Rechner und mobil. (c't)
- Kostenlos verschlüsseln auf dem iPhone.
Anmerkung
Die o.g. Sachverhalte sind aus Gründen Nachvollziehbarkeit ggfs. vereinfacht dargestellt.to be continued...