E-Mails signieren und verschlüsseln

06 Jan 2012
6. Januar 2012

Der Internet-Standard für E-Mails ist alt, sehr alt, deutlich älter als das Web. Mit E-Mails haben wir daher viele Probleme, zwei davon wollen wir heute angehen. Ein Problem ist, dass wir nicht wissen, ob der Absender wirklich der Absender ist. Die entsprechenden Header sind sehr leicht zu fälschen. Ein anderes Problem ist, dass die Nachrichten selbst nicht verschlüsselt sind. Teile der Transportwege sind heutzutage zwar verschlüsselt, aber nicht alle und nicht die Ablage auf den Mail-Servern. E-Mails haben daher – wenn wir den Vergleich zur realen Welt ziehen (also da, wo der Pizzamann immer herkommt) – im Prinzip Postkarten-Charakter.

Die Lösung für beide Probleme unter OS X und iOS lautet S/MIME, ein Standard für E-Mail-Signatur und -Verschlüsselung. Es existiert ein weiterer Standard PGP/GPG, dessen Einsatz jedoch zumindest unter Lion problematisch und unter iOS nicht möglich ist, daher wird es hier ausschließlich um S/MIME gehen.

Um S/MIME einzusetzen brauchen wir für jede E-Mail-Adresse ein Zertifikat. Ein kostenloses Zertifikat können wir z.B. von Comodo bekommen. Nach dem Ausfüllen des recht kurzen Formulars bekommen wir alle weiteren Infos zum weiteren Prozedere per E-Mail:

smime1

Mit dem festzulegenden „Revocation Password“ können wir das Zertifikat widerrufen (falls wir z.B. glauben, es wäre kompromittiert worden). Ich habe mir das Kennwort als sichere Notiz in 1Password eingetragen.

Mit Hilfe der E-Mail, welche wir von der Zertifizierungsstelle bekommen, können wir das Zertifikat auf dem Mac herunterladen. Es handelt sich um eine Datei mit der Endung „.p7s“. Durch Doppelklick dieser Datei importieren wir das Zertifikat in die Schlüsselbundverwaltung. Bei dieser handelt es sich um eine mitgelieferte App im Ordner Programme/Dienstprogramme.

smime2

Nach Neustart der Mail-App stehen im Nachrichten-Editor in der Von-Zeile rechts zwei neue Schaltflächen zur Verfügung (verschlüsseln und signieren). Signieren geht immer (sollten wir künftig auch immer machen), verschlüsseln geht nur, wenn uns der Empfänger schonmal eine signierte E-Mail geschickt hat. In diesem Fall speichert Mail.app automatisch die Signatur unseres Kontakts und verwendet diese für künftige Verschlüsselungen:

smime3

Wenn wir selber verschlüsselte oder signierte E-Mails erhalten kennzeichnet Mail.app das entsprechend. Verschlüsselte Nachrichten werden für uns automatisch entschlüsselt.

smime4

Nun müssen wir iOS noch mit unserem Zertifikat versorgen. Als Beispiel nehme ich dazu ein iPhone, auf dem iPad ist die Vorgehensweise analog. Zuerst müssen wir das Zertifikat in ein Format exportieren, welches das iPhone importieren kann. Dazu brauchen wir wieder die Schlüsselbundverwaltung. Dort markieren wir den Eintrag mit der E-Mail-Adresse und dem zugehörigen privaten Schlüssel und klicken auf Ablage > Objekte exportieren… Wir speichern die Datei im „.p12“-Format:

smime5

Dabei müssen wir ein Kennwort festlegen, welches diese Datei schützt:

smime6

Außerdem müssen wir den Export mit unserem Anmeldekennwort autorisieren:

smime7

Nun schicken wir diese Datei per E-Mail an unser iPhone:

smime8

Wir tappen auf den Anhang:

smime9

Danach 2x auf „Installieren“ (es kommt eine Sicherheitsabfrage, die darauf hinweist, dass das Zertifikat nicht signiert ist, was in diesem Fall OK ist). Jetzt werden wir nach dem Sperrcode des iPhones gefragt:

smime10

Danach nach dem Kennwort, mit dem wir das Zertifikat zuvor auf dem Mac geschützt haben:

smime11

Nun ist das Zertifikat installiert. Jetzt müssen wir in die Einstellungen des betreffenden E-Mail-Kontos gehen (Einstellungen-App > Mail, Kontakte, Kalender > betreffende E-Mail-Adresse). Auf diesem Bildschirm tappen wir unten auf „Erweitert“ und scrollen wieder nach ganz unten:

smime12

Dort schalten wir „S/MIME“ ein und können nun festlegen, ob Mails signiert bzw. entschlüsselt werden sollen:

smime13

Abschließend gehen wir einen Bildschirm zurück und speichern die Änderungen mit Hilfe des Buttons „Fertig“ oben rechts. Es gibt leider nur diese globale Einstellung. Wir können das nicht wie auf dem Mac für jede E-Mail individuell machen. Die iOS-Mail-App speichert auch keine Zertifikate von Absendern automatisch. Wir müssen auf den Absender tappen und dann auf „Zertifikat anzeigen“. Nun können wir das Absender-Zertifikat sichern, was uns die Übermittlung verschlüsselter Nachrichten an diese Person erlaubt.

Das war’s. Sollten wir mehrere E-Mail-Adressen auf Mac und iPhone nutzen, sind alle genannten Schritte entsprechend zu wiederholen.

[adrotate banner=“3″]

Schlagwörter: , , , ,
  • Michael

    Hallo Markus,
    nach der korrekten Installation, kann ich meine eigenen Mail zwar verschlüsseln aber keine anderer an die ich meine mail sende kann ich als verschlüsseln markieren, trotzt schon mehrmaligem Austausch von mails als signiert.
    Vielleicht kann mir ja jemand eine Hilfestellung geben? Danke.
    Michael

  • workflowsen

    Bei mir funktioniert das alles prima, was das versenden und empfangen angeht. Aber E-Mails die ich verschlüsselt versende können bei mir im „Versendet“ Ordner nicht entschlüsselt werden.

    Warum kann mein Apple Mail die eigenes verschlüsselten Mails im versendet-Ordner nicht entschlüsselen?! Muss ich dazu noch irgendwo etwas einstellen oder geht das garnicht?

    Danke im Vorraus! 😉

    • Das funktioniert bei mir einwandfrei, von daher kann ich hier leider nicht weiterhelfen. Kann die Mail wieder gelesen werden, wenn man sie in einen anderen Ordner verschiebt?

      • workflowsen

         Danke für die schnelle Antwort. Das hatte ich noch nicht probiert, klappt aber leider auch nicht.

        Sehr merkwürdig. Ich musste sowieso im Schlüsselbund, damit das bei mir funktioniert im Comodo-Zertifikat unter dem Punkt „Vertrauen“ auf „Immer vertrauen“ umstellen. Erst danach wurden in Apple Mail die Buttons zur Verschlüsselung und Verifizierung angezeigt.

        Aber das funzt alles prima. Ich vermute, dass eine ähnliche EInstellung im Schlüsselbund getätigt werden muss… aber I don’t know.

  • Frank

    Hallo Markus,
    ich kann trotz erfolgreichen Import der Comodo-Zertifikate in den Schlüsselbund „Anmeldung“ keine Buttons zum Signieren oder Verschlüsseln in Apple-Mail zum Vorschein bringen. Auch der Export in eine .p12-Datei für das iOS aus dem Schlüsselbund ist nicht möglich. Auch das Vorgehen von Workflowsen hat bei mir nicht geklappt. Noch eine Idee, was ich machen könnte?

    Grüße,
    Frank

    • Markus (anderer)

      Hallo Frank,
      Ich hatte das gleiche Problem. Ich habe auf einem Windows Rechner auf Comodo das Zertifikat beantragt und dann Stunden Später auf OS X abgerufen. Dabei war der private Schlüssel unterhalb des -Zertifikats gar nicht zu sehen. Deshalb haben alle weiteren Schritte nicht geklappt.
      Nachdem ich das Zertifikat „revoked“ habe und ein neues beantragte, hat alles funktioniert.

  • Markus (anderer)

    Hallo Markus,
    Wie Frank kann ich die Schritte auf Mountain Lion auch nicht nachvollziehen.
    Das Zertifikat kann ich im Addressbuch neben meiner Email zwar erkennen, aber die beiden Buttons kann auch trotzdem nicht sehen. Auch nicht nach einem Systemneustart.
    Danke,
    Markus

  • Funktionier perfekt. Super Anleitung.

  • Marcel Dietzmann

    Es gibt einige iOS apps (ich persönlich nutze oPenGP, viele auch die Alternative igpmail), mit denen PGP/GPG auch auf dem iPhone und iPad genutzt werden kann. Habe das alles auch hier ausführlich beschrieben: http://www.macon.cc/blog/2011/12/e-mail-verschlusselung-unter-mac-os-x/

    • Danke für den Hinweis! Allerdings ist es unter iOS nach wie vor einfacher, die Standard-Apps (Mail, Safari, …) zu nutzen, da z.B. jeder Klick auf einen Mail-Link die bordeigene Mail-App öffnet.

      • Marcel Dietzmann

        Ja, das ist natürlich richtig. Leider geht es uns (vermutlich) aber fast allen eher folgendermaßen: Nur ein verschwindend geringer Bruchteil unserer Kommunikationspartner nutzt überhaupt aktiv Verschlüsselung. Und „die drei Hanseln“, mit denen man so Kontakt hält, kann man dann tatsächlich auch recht einfach per PGP/GPG abfangen. oPenGP z.B. bindet sich folgendermaßen in iOS ein: Der verschlüsselte Inhalt wird von Apple Mail als eine Art „Anhang“ angezeigt, 1x ein mime-attachment (vermutlich der public key?) und 1x die Nachricht selbst als encrypted.asc. Letztere kann man anwählen, wodurch die Rohdatei angezeigt wird (—–BEGIN PGP MESSAGE—– usw.). Oben rechts hat man dann die Möglichkeit, diese zu drucken oder direkt in oPenGP zu öffnen. oPenGP ist bei Bedarf mit einem separaten passcode geschützt (also ein extra Code, um das Programm überhaupt öffnen/entsperren zu können). Das eigene PGP/GPG-Passwort kann zum einfacheren entschlüsseln (decrypten) wahlweise im „secured passphrase cache“ von oPenGP hinterlegt sein oder man muss es halt jedes mal erneut eintippen (was zwar sicherer, bei guten Passwörtern aber auch recht umständlich ist). Dann wird einem die entschlüsselte Nachricht angezeigt. Etwas aufwendiger ist leider das verschlüsselte antworten (encrypten), aber es geht … grundsätzlich funktioniert es also. Auffällig ist übrigens, dass es für so gut wie keines der PGP/GPG-fähigen iOS apps im AppStore eine Bewertung gibt … Ob das teuerste Tool in dem Bereich (SecuMail von On-Core Software LLC für 44,99 €) komfortabler ist als das von mir genutzte oPenGP, kann ich nicht beurteilen (eine Lite-Version zum testen existiert leider nicht und „echte Demo-Versionen“ bietet der AppStore bisher nicht an).

  • Angelika Kunze

    Warum eigentlich überhaupt per Mail? Das geht doch viel einfacher:
    [Link entfernt]
    Mail als Benachrichtigung mit dem Link kann man auch versenden lassen, auch mit eigenem Inhalt 😉

    • Zwei Sachen dazu:
      1. Der Kommentar sieht verdächtig nach Werbung aus. Daher wurde auch der Link entfernt.
      2. Es geht hier nicht vorwiegend um Anhänge, sondern um ganz normale E-Mails und deren Texte.

Version 7.2 - © 1995-2018 by Dr. Markus Jasinski - Impressum