Tap to Play!

Back
6 min
sicherheit /
mail /
nsa /
pgp /
gpg /
s/mime

Mails verschlüsseln mit S/MIME

Mails verschlüsseln mit S/MIME

E-Mail ist kaputt. Mit verschlüsselten Mails kann man es etwas reparieren, sodass zwar weiterhin jeder sehen kann, mit wem ihr kommuniziert, nicht aber, was ihr kommuniziert. Mit GnuPG und S/MIME konkurrieren zwei inkompatible Verschlüsselungsverfahren miteinander. Eine leicht verständliche Einführung in beide Systeme und Verschlüsselung gibt es hier.

S/MIME

Als Apple-User ist S/MIME das System der Wahl, denn es wird von Haus aus vom Mac und iPhone unterstützt. Dafür erforderliche kostenlose Zertifikate, die ein Jahr lang gültig sind, kann man sich bei unterschiedlichen Anbietern besorgen. Ein dauerhaftes Zertifikat kostet allerdings Geld. Man kann sich allerdings auch selbst Zertifikate erstellen. Der gesamte Vorgang dauert nur 15 Minuten. Nach dieser Viertelstunde muss man sich nicht mehr mit Verschlüsselung auseinander setzen. Deal?

Es geht um die folgenden Schritte:

  • Zertifikat holen
  • Zertifikat installieren
  • Mails versenden
  • Fertig

Ein S/MIME-Zertifikat erstellen

  1. Anstelle einer Firma wie Comodo oder Globalsign zu vertrauen erstelle ich mein Zertifikat selbst. Das kann man auf dem Mac mit der Schlüsselbund-Applikation machen und wird hier mit Screenshots wunderbar erklärt. Auf anderen Plattformen geht es z.B. mit dem Key Manager für Firefox.

Einrichtung am Mac

  1. Das Zertifikat muss entweder selbst erstellt worden oder importiert worden sein, dem System also bekannt sein.
  2. Apple Mail neu starten.
  3. Test 1: Eine neue Mail öffnen. Es erscheinen zwei neue Buttons rechts über dem Mailtext. Davon den rechten anklicken: Signier-Button. Damit werden die Mails jetzt immer automatisch signiert und erhalten euren öffentlichen Schlüssel.
  4. Test 2: Eine neue Mail öffnen und an euch selbst adressieren. Jetzt sollte auch das kleine Schloss aktiviert werden. Gebt der Mail einen Betreff, einen kurzen Text und sendet sie ab. Apple Mail auf dem Mac sollte die Mail empfangen und den Text anzeigen. Apple Mail auf dem iPhone, das noch nichts von der Verschlüsselung weiß, wird dagegen nur eine Mail mit einem Dateianhang “smime.p7m” anzeigen. Löscht diese Mail noch nicht, denn sie wird gleich benötigt!

Einrichtung am iPhone

  1. Am Mac das Schlüsselbund öffnen und den eben erstellten Schlüssel aufklappen und den privaten Schlüssel anklicken.
  2. Mit der rechten Maustaste anklicken und als p12-Datei exportieren.
  3. Diese exportierte Datei muss nun zu eurem iPhone gelangen. Theoretisch könnt ihr euch die Datei mailen, aber dann würde euer privater Schlüssel unverschlüsselt durch das Internet bewegt werden. Eine schlechte Idee. Also müsst ihr euch das iPhone Configuration Utility von Apple holen.
  4. iPhone per USB an den Rechner anschließen.
  5. Configuration Utility öffnen.
  6. Oben links auf “Configuration Profiles” klicken.
  7. “New” anklicken.
  8. Unter “General” die Pflichtfelder mit irgendetwas befüllen.
  9. Unter “Credentials” die p12-Datei importieren.
  10. Oben links in der Sidebar euer iPhone anklicken und auf den Tab “Configuration Profiles” wechseln.
  11. Es wird euer eben erstelltes Profil angezeigt. Dort auf “Install” klicken und die Installation auf dem iPhone bestätigen.
  12. Auf dem iPhone unter Einstellungen/Mail/EUER ACCOUNT/Account/Erweitert ganz unten S/MIME aktivieren und für Verschlüsseln und Signieren die importierten Daten auswählen.
  13. Test 1: Auf dem iPhone die Mail-App beenden, anschließend in die Mail-App wechseln und die vorhin versendete, verschlüsselte Mail öffnen. Diese zeigt jetzt anstelle des Anhangs “smime.p7m” den entschlüsselten Text an.
  14. Test 2: Eine neue Mail erstellen. Im Kopfbereich der Mail-App wird bei einer Mail an euch angezeigt, dass sie verschlüsselt wird. Bei einer Mail an andere wird “Nicht verschlüsselt” angezeigt (die Mail wird dann automatisch signiert).

Mit anderen Menschen mailen

Natürlich ist es reichlich uninteressant, nur mit sich selber verschlüsselte Mails austauschen zu können. Mit anderen funktioniert das glücklicherweise sehr einfach. Ich bin das mit meiner Frau durchgegangen.

Die Gegenseite muss die obigen Schritte durchlaufen haben, also ebenfalls Mails signieren und verschlüsseln können.

Auf dem Mac:

  1. Ihr erhaltet eine signierte Mail. Damit wurde der öffentliche Schlüssel des Kontakts automatisch bei euch gespeichert und ihr könnt eine verschlüsselte Mail versenden.
  2. Ihr antwortet mit einer signierten Mail. Damit wird euer öffentlicher Schlüssel automatisch dem Kontakt mitgeteilt und dieser kann euch verschlüsselte Mails senden.
  3. Kommt die Signatur nicht von einer “vertrauten” Ausstellungsstelle, z.B. wenn das Zertifikat selbst erstellt wurde, so muss es im Schlüsselbund noch als vertrauenswürdig aktiviert werden.

Auf dem iPhone:

Was auf dem Mac automatisch geschieht ist beim iPhone ein manueller Prozess: Mails mit einer S/MIME-Signatur werden oben im Absender-Bereich mit einem kleinen blauen Haken angezeigt. Wenn ihr diesen Absender anklickt öffnet sich ein Info-Dialog, in welchem ihr der Signatur vertrauen und sie anschließend installieren könnt. Danach werden die Mails an diese Person automatisch verschlüsselt.

GnuPG

Da die Alternative GnuPG in den Mailern nicht so stark verbreitet ist empfiehlt sich zunächst eine Recherche, ob man es überhaupt verwenden kann.

Wer Thunderbird verwendet kann auf Enigmail zurückgreifen, wer Apple Mail am Mac verwendet auf GPGMail, wobei man bei größeren System-Updates aufpassen muss, da die Plugin-Schnittstelle von Apple Mail nicht offiziell ist. Beim kommenden Update auf 10.9 könnte also GPGMail zerbrechen und erst später wieder funktionieren, genauso wie es beim Wechsel auf 10.8 der Fall war (erst nach zehn Monaten war GPGMail wieder fehlerfrei zu nutzen).

Am iPhone ist es nicht wesentlich einfacher: Mit iPGMail und SecuMail existieren zwei rudimentäre Apps, die irgendetwas verschlüsseln oder entschlüsseln können, bei denen sich die Entwickler aber sehr viel Mühe gegeben haben, bei der Preisvergabe um die hässlichste App auf die vorderen Plätze zu kommen. Die Feature-Liste macht ebenfalls nicht den Eindruck, dass es sich hierbei um vollwertige Mailer handelt und SecuMail hatte sein letztes Update zudem vor einem halben Jahr und dürfte als “tot” betrachtet werden.

GnuPGP ist also für mich momentan nicht verwendbar, da es nicht auf allen Plattformen vernünftig einsetzbar ist.

Anmerkungen

  • Alle, auch abgelaufene, Zertifikate solltet ihr als p12- und cer-Dateien aufheben und sicher verstauen, sofern ihr auch in einigen Jahren noch auf die verschlüsselten Mailinhalte zugreifen möchtet.
  • Verschlüsselung und Webmailer sind eine eher schlechte Kombination, da ihr dafür euren privaten Schlüssel an den Webmail-Anbieter übergeben müsst und viele Webmailer auch gar keine Verschlüsselung der Mailinhalte unterstützen. Mein Anbieter Posteo formuliert das Problem wie folgt: “Wir bieten bisher keine Ende-zu-Ende Verschlüsselung im Webmailer an, wollen sie aber künftig gerne bereitstellen. Dies ist allerdings ebenfalls anspruchsvoll, weil die privaten Schlüssel der Nutzer hierbei auf unserem Server liegen würden. Wir wollen deshalb eine Lösung anbieten, bei der wir als Betreiber keinen Zugriff mehr auf den dafür notwendigen privaten Schlüssel unserer Nutzer erlangen können. Dies könnte ähnlich wie die Verschlüsselung der Adress- und Kalenderdaten ablaufen. Aber auch hier gilt: Es gibt aktuell sehr hohe Erwartungen an uns, wir sind aber immer noch ein sehr kleines Team und brauchen Zeit für Entwicklungen. Es wird also noch eine Weile dauern, bis wir diese zusätzlichen Verschlüsselungsoptionen anbieten können.”
  • Verschlüsselte Mails lösen das Grundproblem nicht: Es ist weiterhin sichtbar, mit wem kommuniziert wird:
    Metadaten

Aktuelle Apps

DEVONthink: Import von Pocket-Artikeln