1910618

E-Mails verschlüsseln mit S/MIME und OpenPGP – Grundlagen und Zertifikate

04.03.2014 | 10:00 Uhr |

Für den Großteil der Computer-Anwender ist Verschlüsselung ein Buch mit sieben Siegeln. Dass sicherer Mail-Versand kein Hexenwerk sein muss, zeigen wir in unserem mehrteiligen Workshop zu S/MIME und OpenPGP.

Eine simple Frage, gestellt im Redaktionsflur: „Und, verschlüsselst Du Deine Mails?“ Das Ergebnis überrascht wenig, denn die acht befragten Kollegen zucken meist nur mit den Schultern – zu kompliziert, zu aufwendig und außerdem: „Bei dem was ich maile, lohnt sich das nicht.“ Ähnlich wie die Kollegen in der Redaktion scheuen viele Nutzer den Einsatz von Ende-zu-Ende-Verschlüsselung für ihre Mails.

Die Hauptkritikpunkte „zu aufwendig“ und „zu kompliziert“ lassen sich weitestgehend entkräften, denn der Einsatz von S/MIME (Secure/Multi-Purpose Internet Mail Extensions) oder der Open-Source-Alternative OpenPGP (Pretty Good Privacy) ist gerade mit Apples in OS X integriertem Mail-Client weitestgehend unkompliziert umzusetzen. Sowohl am Mac als auch am iPhone lassen sich auch ohne vorheriges Informatik-Studium verschlüsselt E-Mails versenden und empfangen. Sollten Sie zu diesem Artikel Fragen oder Anmerkungen haben, lassen Sie es uns bitte wissen – entweder via Twitter @Shortmaier oder altmodisch (und via OpenPGP verschlüsselt) per Mail!

1. S/MIME, OpenPGP oder beides?

Bevor wir auch nur eine einzige Mail signieren und verschlüsseln, müssen wir uns Gedanken über die Wahl der Methode machen. Welche Methode die richtige für Sie ist, richtet sich nach Ihrem Nutzungsverhalten. S/MIME bedarf im Grunde keiner weiteren Einrichtung und lässt sich sowohl am Mac als auch auf iOS-Geräten nutzen. OpenPGP dagegen funktioniert nicht mit der in iOS enthaltenen Mail-App, lässt sich dafür aber kinderleicht mit Apple Mail am Mac nutzen. Ideal wäre es daher, beide Methoden einzurichten und so für jede Art der verschlüsselten Kontaktaufnahme bereit zu sein.

Die Standards erklärt

Zur Erklärung: Soll ein Dokument mit einem hybriden Verfahren verschlüsselt werden, wird zunächst ein symmetrischer Session-Key erstellt (symmetrisch deswegen, weil das Verfahren bei der Verschlüsselung von größeren Datenmengen recourcenschonender ist), mit dem das Dokument symmetrisch verschlüsselt wird.

Ist das geschehen, wird der gerade symmetrisch erzeugte Session-Key mit dem öffentlichen Schlüssel des Empfängers asymmetrisch verschlüsselt (asymmetrisch deswegen, weil diese aufwändigere Methode bei kleinen Datenmengen wie einem Schlüssel performancetechnisch keine negativen Auswirkungen hat).

Nun kann das verschlüsselte Dokument an den Empfänger gesendet werden. Dieser kann nun mit seinem geheimen privaten Schlüssel den Session-Key asymmetrisch entschlüsseln und durch den entschlüsselten Session-Key an den Inhalt des symmetrisch verschlüsselten Dokuments gelangen.

Auf die beiden Verfahren zur Mail-Verschlüsselung übertragen heißt das vereinfacht: Neue Mails werden wie oben beschrieben unter Zuhilfenahme des öffentlichen Schlüssels des Absenders verschlüsselt, während der Empfänger die verschlüsselte Mail mit seinem eigenen privaten Schlüssel wieder lesbar machen kann.

Der wichtigste Unterscheid zwischen S/MIME und OpenPGP ist das Verfahren zur Authentifizierung: Während bei S/MIME die Zertifizierungsstelle, von der Sie ein Zertifikat bezogen haben, dessen Echtheit garantiert, wird bei OpenPGP die Echtheit über die anderen Nutzer gewährleistet (Web of Trust).

Wichtiger Hinweis: Die beschriebenen Verfahren mit OpenPGP und S/MIME verschlüsseln „nur“ den Inhalt der E-Mail – Absender, Empfänger und Betreff (Metadaten) bleiben also lesbar.

2. S/MIME-Zertifikat beantragen und laden

Die größte Hürde für die Nutzung von S/MIME-Verschlüsselung ist es, sich die entsprechenden Zertifikate zu besorgen.

Zertifikate sind der wichtigste Bestandteil der Mail-Verschlüsselung per S/MIME, da sie die Authentizität des Absenders verifizieren sollen. Solche Zertifikate gibt es in verschiedenen Sicherheitsstufen, die sich lediglich nach dem Umfang der verifizierten Absenderinformationen unterscheiden: Während es Zertifikate der Stufe 1, die lediglich die E-Mail-Adresse des Absenders verifizieren, teilweise kostenlos zu haben sind, werden für Zertifikate der Stufen 2 und 3 Gebühren fällig – dafür werden bei solchen Zertifikaten aber auch Name und Anschrift des Absenders kontrolliert (beispielsweise per Postident-Verfahren).

Beim Norton-Hersteller Symantec lassen sich kostenpflichtige Mail-Zertifikate kaufen.
Vergrößern Beim Norton-Hersteller Symantec lassen sich kostenpflichtige Mail-Zertifikate kaufen.

Das Gute aber ist: In Sachen E-Mail-Sicherheit und Verschlüsselung unterscheiden sich die kostenlosen Zertifikate nicht von den kostenpflichtigen Varianten, sondern bieten durch die Bank die Vorteile einer hybriden Verschlüsselung. Ein kostenpflichtiges Zertifikat können Sie beispielsweise bei der Sparkasse, der PSW Group oder Symantec für Preise von 15 bis 40 Euro kaufen (meist mit einer Laufzeit von zwei Jahren).

Für den Hausgebrauch, den wir mit unserem Workshop anstreben, reichen aber kostenlose Zertifikate vollkommen aus. Wir haben uns dafür entschieden, beim Anbieter Comodo ein Zertifikat zu ordern. Alternativ können Sie auch auf den Anbieter StartSSL zurückgreifen, denn dieser bietet eine deutschsprachige Benutzerführung und entsprechende FAQ’s.

2.1. comodo.com besuchen

Um an ein passendes Mail-Zertifikat zu kommen, besuchen Sie zuerst die Website von Comodo.

Über den Link

www.comodo.com/home/email-security/free-email-certificate.php

gelangen Sie direkt zur Bestellseite. Dort klicken Sie auf die blaue Schaltfläche „Free Email Certificate, Sign up Now!“. Nachdem Sie auf die Schalfläche geklickt haben, gelangen Sie zum Eingabefenster für Ihre persönlichen Daten. Dort tragen Sie die benötigten Informationen in die jeweiligen Textfelder ein. Die Länge des Schlüssels belassen Sie bei der Standardeinstellung 2048 Bit.

Wichtig: Für den Fall der Fälle sollten Sie ein so genanntes Revoke-Passwort vergeben. So können Sie das Zertifikat für ungültig erklären. Für den Fall, dass Sie mehrere E-Mail-Adressen mit S/MIME nutzen wollen, können Sie diesen Schritt für jede der entsprechenden Mail-Adressen wiederholen.

2.2 Zertifikat laden

Nach einigen Augenblicken sollte in Ihrem E-Mail-Postfach eine Bestätigungs-E-Mail eintrudeln.

Zunächst öffnen Sie die Bestätigungs-E-Mail von Comodo, dann wandert das entsprechende Mail-Zertifikat mit einem Klick auf „Click & Install Comodo E-Mail Certificate“ im Format „.p7s“ in Ihren „Downloads“-Ordner. Von dort können Sie es dann installieren.

Wie es weiter geht ...

Der nächste Schritt ist es, das geladene Zertifikat am Mac und am iPhone oder iPad einzurichten und die integrierten Mailprogramme so zu konfigurieren, dass Versand und Empfang von verschlüsselten Mails möglich werden – außerdem zeigen wir noch, was es mit OpenPGP auf sich hat.

Den kompletten Ratgeber lesen Sie in der aktuellen Ausgabe 04/2014 der Macwelt – ab sofort am Kiosk, in unserer PDF-App oder als digitales Magazin in der Macwelt HD.

0 Kommentare zu diesem Artikel
1910618