Einleitung

S/MIME ist ein standardisiertes Verfahren zum Verschlüsseln und Signieren von E-Mail-Nachrichten. Der entsprechende Standard ist RFC 2633 und wurde 1999 definiert. S/MIME bietet die gleiche Funktionalität wie OpenPGP, ist aber nicht mit OpenPGP kompatibel.

Die Ausstellung von Zertifikaten erfolgt in einem streng hierarchischen Verfahren, bei dem übergeordnete Zertifizierungsstellen Zertifikate für verschiedene Verwendungszwecke ausstellen. Diese Zertifikate werden in der Regel in drei Stufen eingeteilt, die einen unterschiedlichen Prüfaufwand erfordern. Zertifikate der Stufe 1, die für den privaten Gebrauch bestimmt sind, werden von einigen Zertifizierungsstellen kostenlos ausgestellt. Diese Zertifikate sind für die E-Mail-Verschlüsselung völlig ausreichend.

S/MIME ist eher in Unternehmensumgebungen anzutreffen, während OpenPGP in Softwareprojekten und insbesondere im Open-Source-Umfeld weiter verbreitet ist. Viele E-Mail-Programme wie Microsoft Outlook oder Mozilla Thunderbird können S/MIME von Haus aus verarbeiten, was ein Vorteil gegenüber OpenPGP ist. Die Einrichtung variiert je nach verwendetem Betriebssystem und E-Mail-Programm. Im Folgenden wird die Einrichtung für Linux, macOS und Windows sowie für die gängigsten E-Mail-Programme beschrieben.

Hintergrund

S/MIME basiert auf einem Zwei-Schlüssel-Verfahren, das als hybride Verschlüsselung bezeichnet wird. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zum Entschlüsseln wird ein zweiter privater Schlüssel benötigt. Eine reine Signierung von E-Mails ist ebenfalls möglich.

Die Schlüsselauthentifizierung basiert auf einem hierarchischen Verfahren. Die Zertifikatskette hat in der Regel mindestens drei Glieder, kann aber auch deutlich länger sein. Das Wurzelzertifikat, gefolgt vom Zertifikat der Zertifizierungsstelle (CA = Certificate Authority) und schließlich das ausgestellte Zertifikat.

Zertifikate für die E-Mail-Verschlüsselung werden in drei Stufen eingeteilt. Bei Stufe 1 prüft die Zertifizierungsstelle die Echtheit der E-Mail-Adresse (z.B. über einen Bestätigungscode), bei Stufe 2 wird zusätzlich der Name in das Zertifikat aufgenommen und bei Stufe 3 muss sich der Antragsteller persönlich ausweisen. S/MIME ist plattformunabhängig und steht in verschiedenen Implementierungen für viele Betriebssysteme und E-Mail-Programme zur Verfügung.

Zertifikat beantragen

Zertifikate können nicht selbst ausgestellt werden, sondern müssen bei Zertifizierungsstellen beantragt werden. Immer weniger Diensteanbieter mit beglaubigter Zertifikatskette bieten hier kostenlose Zertifikate an, so dass die Beantragung eines Zertifikats inzwischen die größte Hürde für die private Nutzung darstellt. Siehe auch: S/MIME – Eine Verschlüsselungsmöglichkeit weniger.

Betriebssysteme

Das erstellte Zertifikat muss dem Programm oder Betriebssystem zur Verfügung gestellt werden. Die genaue Vorgehensweise hängt vom verwendeten Betriebssystem und dem bevorzugten E-Mail-Programm ab. Wichtig ist, dass abgelaufene Zertifikate nicht aus dem System entfernt werden, da sonst alte E-Mails nicht mehr entschlüsselt werden können.

Linux

Linux unterstützt mittels GnuPG 2 S/MIME Zertifikate auf systemebene und alle verbreiteten Mailclients wie z. B. KMail, Evolution und Thunderbird können mit diesen umgehen.

macOS

MacOS unterstützt S/MIME Zertifikate standardmäßig, was auch für Programme gilt, die auf die interne Zertifikatsverwaltung zurückgreifen.

Windows

Windows verfügt über eine integrierte Zertifikatsverwaltung, die S/MIME E-Mail Zertifikate verarbeiten kann. Allerdings greift lediglich das hauseigene Microsoft Outlook auf diese Verwaltung zurück. Andere Programme wie Thunderbird haben eigene Zertifikatsspeicher und moderne UWP-Apps haben bisher gar keine Möglichkeit zur Signierung und Verschlüsselung von E-Mails.

Mobile Systeme

Im mobilen Bereich ist die Situation problematisch. Android kann zwar auf Systemebene S/MIME Zertifikate importieren, diese stehen allerdings weder der integrierten, noch externen Mail-Apps wie K9 Mail zur Verfügung. Bei iOS/iPadOS lassen sich auf Systemebene importierte Zertifikate hingegen zur Ver- und Entschlüsselung von E-Mail Nachrichten nutzen.