E-Mails mit S/MIME verschlüsseln

S/MIME ist ein standardisiertes Verfahren zur Verschlüsselung und Signierung von E-Mail Nachrichten. Der entsprechende Standard ist RFC 2633 und wurde 1999 festgelegt. S/MIME bietet die gleiche Funktionsweise wie OpenPGP, ist aber nicht kompatibel zu diesem.

Die Zertifikatausgabe erfolgt in einem strikt hierarchischen Verfahren, bei dem übergeordnete Zertifizierungsinstanzen Zertifikate für verschiedene Einsatzzwecke ausstellen. Diese Zertifikate in der Regel in drei Stufen eingeteilt, die einen unterschiedlichen Grad an Überprüfung voraussetzen. Für den Privatgebrauch gedachte Zertifikate der Stufe 1 werden von einigen Zertifizierungsstellen kostenlos ausgestellt. Für die E-Mail-Verschlüsselung sind diese Zertifikate vollkommen ausreichend.

S/MIME findet man tendenziell in Unternehmensumgebungen, während OpenPGP bei Softwareprojekten und insbesondere im Open Source-Umfeld verbreiteter ist.

Viele E-Mail-Programme wie Microsoft Outlook oder Mozilla Thunderbird können von Haus mit S/MIME umgehen, was gegenüber OpenPGP ein Vorteil ist. Die Einrichtung variiert je nach eingesetztem Betriebssystem und E-Mail Programm. Im Folgenden ist die Einrichtung für Linux und Windows sowie die am weitesten verbreiteten E-Mail Programme beschrieben.


Hintergrund

S/MIME basiert auf einem Zwei-Schlüssel-Verfahren – genannt hybride Verschlüsselung. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zur Entschlüsselung muss man jedoch über einen zweiten privaten Schlüssel verfügen. Eine reine Signatur der E-Mails ist auch möglich.

Die Schlüsselbeglaubigung basiert auf einem hierarchischen Verfahren. Die Zertifikatskette hat in der Regel mindestens drei Glieder, kann jedoch auch deutlich länger sein. Das Wurzelzertifikat, gefolgt vom Zertifikat des Zertifikatausstellers (CA = Certificate Authority) und letztlich das ausgestellte Zertifikat.

Zertifikate für E-Mail Verschlüsselung sind in drei Stufen eingeteilt. Bei Stufe 1 verifiziert die Zertifizierungsstelle die Echtheit der Mailadresse (z.B. über einen Bestätigungscode), Stufe 2 fügt dem Zertifikat auch den Namen hinzu, bei Stufe 3 muss sich der Antragssteller persönlich ausweisen.

Der S/MIME ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme und E-Mail-Programme zur Verfügung.

Zertifikat beantragen 

Zertifikate können nicht selbst ausgestellt, sondern müssen bei Zertifizierungsstellen beantragt werden. Immer weniger Dienstleister mit beglaubigter Zertifikatskette bieten hier kostenlose Zertifikate an, weshalb die Beantragung eines Zertifikats inzwischen die größte Hürde für den privaten Gebrauch darstellt. Siehe hierzu auch: S/MIME – Eine Verschlüsselungsoption weniger.


Betriebssysteme

Das erstellte Zertifikat muss dem Programm oder Betriebssystem zur Verfügung gestellt werden. Das genaue Verfahren hängt vom genutzten Betriebssystem und präferierten E-Mail Programm ab. Wichtig ist, dass abgelaufene Zertifikate nicht aus dem System entfernt werden, da ansonsten alte E-Mails nicht mehr entschlüsselt werden können.

Linux

Linux unterstützt mittels GnuPG 2 S/MIME Zertifikate auf systemebene und alle verbreiteten Mailclients wie z. B. KMail, Evolution und Thunderbird können mit diesen umgehen.

macOS

MacOS unterstützt S/MIME Zertifikate standardmäßig, was auch für Programme gilt, die auf die interne Zertifikatsverwaltung zurückgreifen.

Windows

Windows verfügt über eine integrierte Zertifikatsverwaltung, die S/MIME E-Mail Zertifikate verarbeiten kann. Allerdings greift lediglich das hauseigene Microsoft Outlook auf diese Verwaltung zurück. Andere Programme wie Thunderbird haben eigene Zertifikatsspeicher und moderne UWP-Apps haben bisher gar keine Möglichkeit zur Signierung und Verschlüsselung von E-Mails.

Mobile Systeme

Im mobilen Bereich ist die Situation problematisch. Android kann zwar auf Systemebene S/MIME Zertifikate importieren, diese stehen allerdings weder der integrierten, noch externen Mail-Apps wie K9 Mail zur Verfügung. Bei iOS/iPadOS lassen sich auf Systemebene importierte Zertifikate hingegen zur Ver- und Entschlüsselung von E-Mail Nachrichten nutzen.


S/MIME im Alltag nutzen

Sobald S/MIME auf dem eigenen System eingerichtet ist, steht man vor dem Problem, Verschlüsselung in den eigenen Alltag zu integrieren. Ein erster Schritt besteht darin, den eigenen öffentlichen Schlüssel gegenwärtigen und potenziellen Kommunikationspartnern zugänglich zu machen.

S/MIME verfügt im Gegensatz zu OpenPGP nicht über sogenannte Schlüsselserver. Eine relativ einfache Möglichkeit, den eigenen Schlüssel zu verbreiten, besteht daher darin, ausgehende E-Mails automatisch zu signieren. Empfänger mit einer eingerichteten S/MIME-Funktion können hierdurch verschlüsselte Antworten verfassen und zukünftige Nachrichten verschlüsseln. Andere Empfänger sehen je nach E-Mail Programm, dass die Nachricht signiert ist oder lediglich eine kleine Anhangdatei.

Zusammengefasst

S/MIME bietet ein hohes Maß an Sicherheit. Die E-Mail-Inhalte werden zuverlässig geschützt, die Metadaten liegen dennoch offen. Die Einrichtung ist bei allen verbreiteten Betriebssystemen und E-Mail Programmen leicht zu bewerkstelligen, da die grundlegende Funktionalität bereits implementiert ist. Hier liegt ein grundsätzlicher Vorteil gegenüber OpenPGP. Insbesondere im mobilen Bereich konnte sich allerdings auch S/MIME bisher nicht etablieren.