tl;dr: Klingt schwer, ist aber einfach, abgesehen von der Beschaffung eines Zertifikats. Dieser Artikel beschreibt, wie S/MIME funktioniert, wie man sich ein S/MIME-Zertifikat beschafft, das Zertifikat auf seinem Rechner und dem iPhone installiert, und wie man S/MIME mit Apple Mail und dem iPhone verwendet.

Was ist S/MIME?

S/MIME ist ein Standard zum Signieren und Verschlüsseln von E-Mails durch ein hybrides Verschlüsselungssystem. Den Standard gibt es bereits seit 1995 und seitdem gibt es keine Hinweise darauf, dass die Verschlüsselung (RSA mit bis zu 2048 bit Schlüssellänge) geknackt worden ist. Die Grundlage bildet ein digitales Zertifikat (genauer gesagt ein X.509-Zertifikat), bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel.

Prinzipiell funktioniert S/MIME wie PGP: Um eine Nachricht zu verschlüsseln, braucht man einen öffentlichen Schlüssel, zum Entschlüsseln den privaten Schlüssel. Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich und wird an die Kommunikationspartner weitergegeben. Der private Schlüssel bleibt beim Besitzer und darf unter keinen Umständen an Dritte weitergegeben werden.

E-Mails können signiert, verschlüsselt oder signiert und verschlüsselt werden. Beim Signieren bleibt der Inhalt einer E-Mail unverschlüsselt. Es wird aber eine kryptographische Signatur angefügt, die sich aus dem Inhalt der Mail berechnet. Ist diese Signatur nicht in Ordnung, bedeutet das, dass entweder der Inhalt der Mail oder die Signatur manipuliert wurde. Auf diese Weise kann der Empfänger sicherstellen, dass die E-Mail auf dem Transportweg nicht verändert wurde. Gleichzeitig wird beim Signieren der öffentliche Schlüssel des Absenders übertragen.

Beim Verschlüsseln wird der Inhalt der E-Mail und alle Anhänge mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Nur dieser kann die Nachricht mit seinem privaten Schlüssel entschlüsseln und lesen. Lediglich der Kopfbereich der E-Mail bleibt unverschlüsselt, die Betreff-Zeile eingeschlossen. Man sollte also darauf achten, keine vertraulichen Informationen in den Betreff der E-Mail zu schreiben.

S/MIME bietet den Vorteil, dass es von (fast) allen gängigen E-Mail-Clients unterstützt wird. Es ist keine also zusätzliche Software nötig. Ein Nachteil ist, dass die Zertifikate in der Regel nur ein Jahr gültig sind und danach erneuert bzw. neu ausgestellt werden müssen. Jedes Zertifikat ist an genau eine E-Mail-Adresse gebunden (ein GnuPG-Schlüssel kann mehrere E-Mail-Adressen verwenden).

Ein S/MIME-Zertifikat beschaffen

Anbieter für kostenlose Zertifikate gibt es viele. Das Problem ist allerdings, dass manche Anbieter das Zertifikat direkt ausstellen und somit potentiell in Besitz des privaten Schlüssels sind. Ob und inwiefern dieser Schlüssel dann beim Anbieter gespeichert bleibt, ist ungewiss. Hier bleibt es einem nur übrig, sich auf die Vertrauenswürdigkeit des Anbieters zu verlassen.

Start-SSL verwendet ein Verfahren, bei dem der private Schlüssel lokal im Browser generiert wird und diesen nicht verlässt. Zertifikate der Klasse 1 stellt Start-SSL kostenlos zur Verfügung.

Um ein Zertifikat zu erhalten, klickt bei StartSSL (https://www.startssl.com) auf den Menüpunkt Control Panel und dann auf Sign-up.

StartSSL – Registrierung
Abbildung 1: StartSSL – Registrierung

Nach Eingabe aller relevanten Daten (Abbildung 1) müsst ihr bestätigen, dass ihr alle Informationen korrekt angegeben habt und die Teilnehmer-Verpflichtungen akzeptiert (Abbildung 2).

StartSSL – Bestätigung
Abbildung 2: StartSSL – Bestätigung

Danach erhaltet ihr eine Bestätigungs-E-Mail mit einem Verifizierungsschlüssel. Diesen kopiert in das Textfeld im Abschnitt Complete Registration (Abbildung 3) und klickt auf Continue.

StartSSL – Complete Registration
Abbildung 3: StartSSL – Complete Registration

Anschließend erfolgt eine Überprüfung durch StartCom. Nach eigenen Angaben kann diese bis zu sechs Stunden dauern. In der Regel erhält man jedoch nach wenigen Minuten eine weitere E-Mail mit einer URL und einem weiteren Code. Über die URL und den Code verifiziert StartCom, dass ihr Besitzer der E-Mail-Adresse seid.

Als nächstes muss die Verschlüsselungsstärke ausgewählt werden, am besten mit die maximale Schlüssellänge von 2048 bit, danach kann der Browser den privaten Schlüssel generieren (Abbildung 4).

StartSSL – Schlüsselerstellung
Abbildung 4: StartSSL – Schlüsselerstellung

Im letzten Schritt wird das Zertifikat beglaubigt und installiert (Abbildung 5). Bei diesem Schritt schickt der Browser eine Zertifizierungsanforderung an StartSSL, der private Schlüssel verlässt dabei den Browser nicht.

Start SSL – Zertifikat installieren
Abbildung 5: Start SSL – Zertifikat installieren

Nach Abschluss dieses Schrittes enthält der Browser das beglaubigte Zertifikat, das nun in den Schlüsselbund abgelegt werden kann. Je nach verwendetem Browser gibt es dafür unterschiedliche Vorgehensweisen:

  • Firefox: Über Extras -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen kann das Zertifikat exportiert und im Schlüsselbundmanager abgelegt werden.
  • Safari und Chrome: Das Zertifikat wird direkt im Schlüsselbund abgelegt und kann über die Anwendung Schlüsselbundmanager (bzw. Schlüsselbundverwaltung) eingesehen werden.

Gegebenenfalls wird beim Zertifikat im Schlüsselbundmanager „Dieses Zertifikat wurde von einer unbekannten Instanz installiert“ angezeigt. Das liegt daran, dass dem Betriebssystem StartSSL nicht als Certificate Authority (CA) bekannt ist. In diesem Fall solltet ihr einfach http://www.startssl.com/certs/sub.class1.client.ca.pem im Browser aufrufen und das so erhaltene CA-Zertifikat in der Schlüsselbundverwaltung ablegen.

Ab jetzt ist Apple Mail (oder ein anderer E-Mail Client) in der Lage, mit S/MIME Mails zu verschlüsseln und zu signieren.

E-Mails verschlüsseln und signieren

Die Nutzung des Zertifikats unter Apple Mail ist simpel: Rechts neben dem Betrefffeld finden sich zwei Buttons zum Verschlüsseln und Signieren der E-Mail, die man gerade schreiben möchte (Abbildung 6).

E-Mail signieren und verschlüsseln
Abbildung 6: E-Mail signieren und verschlüsseln

Falls man mehrere Mailkonten mit Apple Mail verwaltet, sind die Buttons nur aktiv, wenn zur ausgewählten E-Mail-Adresse des Absenders auch ein privater Schlüssel in der Schlüsselbundverwaltung hinterlegt ist.

Apple Mail signiert beim Erstellen Mails automatisch. Möchtet ihr dem Empfänger keine Signatur übermitteln, muss das Signieren über den rechten Button deaktiviert werden. Um die Mail zu verschlüsseln, wird der öffentliche Schlüssel des Empfängers benötigt (den ihr erhaltet, sobald euch eine signierte E-Mail geschickt wurde). Apple Mail verschlüsselt neue Mails nicht automatisch, man braucht also einen Mausklick mehr. Verschlüsselte Mails, auf die ihr antwortet, werden aber automatisch verschlüsselt.

Empfangt ihr eine verschlüsselte oder signierte E-Mail, wird die Sicherheit unter dem Betreff der Mail angezeigt (Abbildung 7). Sollte die Signatur nicht korrekt sein, etwa durch Manipulation oder einer E-Mail-Adresse, die nicht zur Signatur passt, wird hier ein deutlicher Hinweis eingeblendet, dass die Mail nicht vertrauenswürdig ist.

Verschlüsselte / signierte E-Mail empfangen
Abbildung 7: Verschlüsselte / signierte E-Mail empfangen

Verwendung von S/MIME und OpenPGP

Parallel zu S/MIME kann OpenPGP zum Signieren und Verschlüsseln von Mails verwendet werden. Die bekannteste Erweiterung für Apple Mail ist GPG Mail aus der GPG Suite von GPGTools für Mac OS X. Über ein kleines Menü in der Kopfzeile lässt sich auswählen, welches Sicherheitsverfahren man verwenden möchte (siehe Abbildung 6). Ist GPG Mail installiert, wird es als Standardverfahren für die Signierung und Verschlüsselung verwendet.

Möchtet ihr lieber S/MIME als Standardverfahren verwenden, dann ändert die Voreinstellung über folgenden Befehl in einem Terminal:

defaults write org.gpgtools.gpgmail DefaultSecurityMethod -int 2

Um als Standardverfahren wieder OpenPGP zu verwenden, verwendet:

defaults write org.gpgtools.gpgmail DefaultSecurityMethod -int 1

S/MIME auf dem iPhone nutzen

Gerne wird der Tipp gegeben, das Zertifikat auf einfachen Wege aufs iPhone zu bringen, indem ihr euch selbst eine Mail schreibst, das Zertifikat anhängt, und die Mail dann auf dem iPhone abruft. Leider ist das so ziemlich die unbrauchbarste Methode, die man beim Installieren des Zertifikats auf dem iPhone verwenden kann. (Gut, dass es ab iOS 7 grundsätzlich nicht mehr auf diesem Weg funktioniert.) Der private Schlüssel darf, wie bereits gesagt, unter keinen Umständen an andere weitergeben werden! Auf einen Mailserver haben immer Dritte Zugriff, und damit auch Zugriff auf Deine Mails. Sich den privaten Schlüssel per Mail auf ein anderes Gerät zu schicken ist also ungefähr so intelligent, wie sich seinen Hauschlüssel auf eine an sich selbst adressierte Postkarte zu kleben und diese per Post zu versenden.

S/MIME auf dem iPhone einrichten

Um sein Zertifikat auf das iPhone zu bringen, verwendet man am besten das iPhone-Konfigurationsprogramm für Mac oder Windows. (Übrigens kann man mit dem Konfigurator noch eine ganze Menge anderen mächtigen Murks anstellen, außer nur Zertifikate zu installieren.)

Bevor es mit dem Konfigurator losgeht, müsst ihr noch das Zertifikat aus der Schlüsselbundverwaltung exportieren. Bitte nicht per Drag And Drop, denn dann wird nur das Zertifikat mit dem öffentlichen Schlüssel exportiert. Wählt das Zertifikat aus und exportiert es im Menü unter AblageObjekte exportieren… auf den Schreibtisch. Als Dateiformat muss Personal Information Exchange (.p12) gewählt sein. Anschließend werdet ihr nach einem Passwort gefragt, das euer Zertifikat schützt.

Im iPhone-Konfigurationsprogramm (Abbilung 8) legt über AblageNeues Konfigurationsprofil ein Profil an. Unter Zertifikate klickt auf Konfigurieren und wählt das Zertifikat an. Unter Kennwort tragt das gewählte Passwort ein. (Das Kennwort muss nicht angegeben werden, erleichtert später aber die Konfiguration auf dem iPhone.)

iPhone Konfigurationsprogramm
Abbildung 8: iPhone Konfigurationsprogramm

Wer möchte, kann unter E-Mail gleich einen Account für den Mailclient anlegen und hier die Verwendung von S/MIME anhaken.

Als nächtes wird das Profil auf das angeschlossene iPhone übertragen. Dazu unter Geräte das iPhone auswählen und auf den Reiter Konfigurationsprofile klicken. Über Installieren wird das angelegte Profil auf das iPhone übertragen (Abbildung 9). Ändert man später das Konfigurationsprofil, kann man hier erst das (alte) Profil entfernen und dann erneut installieren.

Phone Konfigurationsprogramm – Profil installieren
Abbildung 9: Phone Konfigurationsprogramm – Profil installieren

Auf dem iPhone wird jetzt das Profil installiert (Abbildung 10), vor der Installation kommt noch eine Meldung, dass das Profil die Einstellungen auf dem iPhone ändert. Erst nach Bestätigung erfolgt die Installation.

Profil installieren
Abbildung 10: Profil installieren

Falls ihr eure Mailaccounts über das Profil gleich mit angelegt habt, sind keine weiteren Einstellungen mehr nötig. Andernfalls öffnet EinstellungenMail, Kontakte, Kalender, wählt Euren Mailaccount aus, geht auf AccountErweitert und aktiviert S/MIME. Unter Signieren und Verschlüsseln aktiviert das Zertifikat. Ab jetzt könnt ihr S/MIME für Eure Mails auf dem iPhone verwenden.

iPhone – SMIME Einstellungen
Abbildung 11: iPhone – SMIME Einstellungen

S/MIME verwenden

Und los geht’s mit der ersten Testmail an euch selbst (Abbildung 12). Wie ihr sehen könnt, ist die Empfängeradresse rot hinterlegt und der Hinweis Nicht verschlüsselt erscheint. Wenn ihr auf die Empfängeradresse klickt, erscheint die Meldung, dass kein Zertifikat zum Verschlüsseln hinterlegt ist (Abbildung 13). Nanu?

Testmail
Abbildung 12: Testmail
Testmail – Verschlüsseln nicht möglich
Abbildung 13: Testmail – Verschlüsseln nicht möglich

Das liegt daran, dass ihr zum Verschlüsseln zunächst den öffentlichen Schlüssel eures Empfängers braucht. Das gilt auch für den Fall, wenn man an sich selbst schreibt. iPhone übernimmt nicht automatisch den öffentlichen Schlüssel, der muss manuell zugewiesen werden.

Glücklicherweise haben wir ja bereits über Apple Mail eine Testmail geschreiben (Abbildung 14).

Testmail von Apple Mail
Abbildung 14: Testmail von Apple Mail

Ein Klick auf das Schlüsselsymbol öffnet das Zertifikat (Abbildung 15). Über Installieren wird der öffentliche Schlüssel der Empfängeradresse zugeordnet.

Öffentlichen Schlüssel installieren
Abbildung 15: Öffentlichen Schlüssel installieren

Jetzt klappt auch das Verschlüsseln der Testmail (Abbildung 16).

Testmail – Verschlüsselt
Abbildung 16: Testmail – Verschlüsselt

E-Mail-Verschlüsselung ist also recht komfortabel auf dem iPhone. Der Aufwand besteht zunächst einmal darin, den privaten Schlüssel auf das iPhone zu bringen und S/MIME zu aktivieren. Im aktiven Umgang mit der Verschlüsselung ist es lediglich nötig, das Zerzifikat eures Kommunikationspartners zu installieren. Einmal installiert, kann fleissig verschlüsselt werden.

S/MIME auf anderen Plattformen nutzen

Während S/MIME von ziemlich allen gängigen Mailclients für Desktops unterstützt wird, ist der Einsatz der Technologie auf mobilen Plattformen eher beschränkt. Unter iOS ist Verschlüsselung mit S/MIME kein Problem, auf Android-Plattformen funktioniert S/MIME von Haus aus nicht. Allerdings gibt es einige wenige Apps, die S/MIME unterstützen, etwa R2Mail2. Wer von Euch ein Smartphone mit Windows Mobile verwendet, der freut sich hoffentlich trotzdem über diesen Artikel. 😉 Und für Blackberry-Benutzer gilt: Will man wirklich seine Mails mit Blackberry managen? Wohl eher nicht!

Links zum Artikel: