E-Mails mit S/MIME verschlüsseln

smime headerS/MIME ist ein standardisiertes Verfahren zur Verschlüsselung und Signierung von E-Mail Nachrichten. Der entsprechende Standard ist RFC 2633 und wurde 1999 festgelegt. S/MIME bietet die gleiche Funktionsweise wie OpenPGP, ist aber nicht kompatibel zu diesem.

Die Zertifikatausgabe erfolgt in einem strikt hierarchischen Verfahren, bei dem übergeordnete Zertifizierungsinstanzen Zertifikate für verschiedene Einsatzzwecke austellen. Diese Zertifikate in der Regel in drei drei Stufen eingeteilt, die einen unterschiedlichen Grad an Überprüfung voraussetzen. Für den Privatgebrauch gedachte Zertifikate der Stufe 1 werden von einigen Zertifizierungsstellen kostenlos ausgestellt. Für die E-Mail-Verschlüsselung sind diese Zertifikate vollkommen ausreichend.

S/MIME findet man tendenziell in Unternehmensumgebungen, während OpenPGP bei Softwareprojekten und insbesondere im Open Source-Umfeld verbreiteter ist.

Viele E-Mail-Programme wie Microsoft Outlook oder Mozilla Thunderbird können von Haus mit S/MIME umgehen, was gegenüber OpenPGP ein Vorteil ist. Die Einrichtung variiert je nach eingesetztem Betriebssystem und E-Mail Programm. Im folgenden ist die Einrichtung für Linux und Windows, sowie die am weitesten verbreiteten E-Mail Programme beschrieben.


Hintergrund

S/MIME basiert auf einem Zwei-Schlüssel-Verfahren - genannt hybride Verschlüsselung. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zur Entschlüsselung muss man jedoch über einen zweiten, privaten Schlüssel verfügen. Eine reine Signatur der E-Mails ist jedoch auch möglich.

Die Schlüsselbeglaubigung basiert auf einem hierarchischen Verfahren. Die Zertifikatkette hat in der Regel mindestens drei Glieder. Das Wurzelzertifikat, gefolgt vom Zertifikat des Zertifikataustellers (CA = Certificate Authority) und letztlich das augestellte Zertifikat.

Zertifikate für E-Mail Verschlüsselung sind in drei Stufen eingeteilt. Bei Stufe 1 verifiziert die Zertifizierungsstelle die Echtheit der Mailadresse (z.B. über einen Bestätigungscode), Stufe 2 fügt dem Zertifikat auch den Namen hinzu, bei Stufe 3 muss sich der Antragssteller persönlich ausweisen.

Der S/MIME ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme und E-Mail Programme zur Verfügung.

Zertifikat beantragen

Einige CA's bieten kostenlose Zertifikate für die E-Mail Verschlüsselung an. Das Verfahren zur Ausstellung eines Zertifikats soll hier am Beispiel von StartSSL/StartCom gezeigt werden.

  1. Auf der Homepage der CA führt man das SignUp-Verfahren durch. Hierzu trägt man die E-Mail Adresse ein, für die man ein Zertifikat beantragen möchte. An diese Mail-Adresse wird ein Bestätigungscode verschickt, um zu verifizieren, dass die Mail Adresse dem Antragssteller gehört bzw. er Zugriff auf diese hat.
  2. Nach erfolgter Validierung kann man sich anmelden und unter "Do you want to order FREE certificates for personal use and non-commercial use?" kann man ein S/MIME Zertifikat der Stufe 1 beantragen. Im nächsten Schritt wählt man "Client S/MIME and Authentication Certificate" und vollzieht anschließend das Generierungsverfahren.
  3. Das Zertifikat sollte durch den Webbrowser erzeugt werden, da hierdurch gewährleistet wird, dass der private Schlüssel nicht in fremde Hände gerät.
  4. Das erstellte Zertifikat speichert man anschließend im Dateiverzeichnis.

Das erstellte Zertifikat ist in der Regel ein Jahr gültig und muss dann erneuert werden. Die Prozedur zur Erneuerung des Zertifikats ist im wesentlichen identisch mit dem hier geschilderten Verfahren.

Weiterführende Informationen

Die Einrichtung von S/MIME ist bei jedem Betriebssystem/E-Mail Programm unterschiedlich und wird daher separat beschrieben. Das Inhaltsverzeichnis oben rechts verweist auf die entsprechenden Abschnitte.

Zusammengefasst

S/MIME bietet ein hohes Maß an Sicherheit. Das Verfahren ist nicht gebrochen und Mailinhalte werden zuverlässig geschützt, die Metadaten liegen jedoch dennoch offen. Die Einrichtung ist bei allen verbreiteten Betriebssystemen und E-Mail Programmen leicht zu bewerkstelligen, da die grundlegende Funktionalität bereits implementiert ist. Hier liegt ein grundsätzlicher Vorteil gegenüber OpenPGP. Insbesondere im mobilen Bereich konnte sich allerdings auch S/MIME bisher nicht etablieren.

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top