S/MIME – Eine Verschlüsselungsoption weniger

Grundsätzlich war und bin ich ein großer Freund von S/MIME. Nicht weil ich etwas gegen PGP/GPG habe aber S/MIME wird in allen E-Mail Clients standardmäßig unterstützt und PGP/GPG musste man bisher bei allen verbreiteten Clients (Outlook, Thunderbird, Apple Mail) nachrüsten.

Leider hat Let’s Encrypt bisher keine S/MIME Zertifikate im Angebot und die Möglichkeiten für kostenlose Zertifikate bei anderen Anbietern werden immer weniger. Bei meiner letzten Überarbeitung gab es noch WiseKey, secorio und Comodo (siehe: E-Mails mit S/MIME verschlüsseln). Secorio bietet nun nur noch kostenpflichtige Zertifikate, WiseKey hat kein vertrauenswürdiges Root-Zertifikat mehr und Comodo scheint es ebenso nicht mehr zu geben.

Die letzte bekannte Stelle ist nun Actalis. Allerdings mit einem erheblichen Nachteil, auf den auch Frank Zöchling zu recht hinweist. Die Keys werden nicht lokal beim Benutzer generiert sondern auf den Servern von Actalis. Sofern diese Firma den privaten Schlüssel speichert – was sich von außen weder bestätigen noch falsifizieren lässt  – können sie natürlich auch die verschlüsselten E-Mails entschlüsseln. Im Bereich der Verschlüsselung ist so etwas für mich ein absolutes Ausschlusskriterium. Auf diese Weise hat die Verschlüsselung nur noch eine Alibi-Funktion.

Damit bleiben nur die kostenpflichtigen Zertifizierungsstellen und welche Privatperson gibt dafür schon Geld aus. Das Netzwerk der Kommunikationspartner mit denen man verschlüsselt per E-Mail kommunizieren konnte erodiert somit weiter.

Damit bleibt eigentlich vorerst nur noch PGP/GPG (siehe: E-Mails mit OpenPGP verschlüsseln). Sofern man überhaupt noch E-Mail Verschlüsselung betreibt. Bei mir spielt das quasi keine Rolle mehr. Die Metadaten liegen bei allen Verschlüsselungsmodellen offen und die wirklich schützenswerten Inhalte – nämlich die Anhänge – kann man mit viel weniger Aufwand separat verschlüsseln.

2 Kommentare

  1. Das DGN (Deutsches Gesundheitsnetz) bietet gratis S/MIME-E-Mail-Zertifikate für jedermann (also nicht bloss Ärzte). Einfach nach dgn e mail zertifikat googeln.

    • Hallo Olaf, bist du sicher, dass die ein trusted Root Zertifikat haben? In Windows 10/Thunderbird habe ich gerade nichts gefunden. Es liest sich auch so, dass der private key auf deren Server erstellt wird. Warum sollten sie Dir sonst dein Passwort per SMS schicken können? Wenn du erst bei jedem Kommunikationspartner ein Root CA installieren musst, dann ist das in der Praxis ein ziemlich großer Blocker.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...