Mailverschlüsselung mit S/MIME

Internet Security 12. März 2022

Da ich, wie an anderer Stelle schon geschrieben, ein Mensch bin, der viel zu verstecken hat, komme ich an einer Verschlüsselung meiner E-Mail-Korrespondenz nicht vorbei. Aktuell sind zwei sozusagen "konkurrierende" Verschlüsselungsmethoden aktuell. Zum Einen ist das die hier beschriebene Variante "S/MIME" (Secure Multipurpose Internet Mail Extension) und zum Anderen ist das "PGP/GPG" (Pretty Good Privacy/GNU Privacy Guard).

Im Grunde sind beide Verfahren etwa vergleichbar, es handelt sich in beiden Fällen um eine asynchrone Verschlüsselung mittels privatem und öffentlichem Schlüssel. Der augenscheinlichste Unterschied ist die Art, in der das Schlüsselpaar erstellt/vergeben wird und die Art der Überprüfung der Signatur.
Ein weiterer, nicht zu vernachlässigender Unterschied ist, dass die S/MIME-Technologie in fast allen modernen Mailprogrammen bereits vorhanden ist und man zur Nutzung keine weiteren Plugins mehr installieren muss. Mir ist lediglich ein modernes Mail-Programm bekannt, in dem diese Funktion nicht ohne "Aufpreis" enthalten ist: Microsoft Windows "Mail". Eine weitere größere Ausnahme bietet hier Android. Hier unterstützten leider nur wenige Mailgramme den S/MIME-Standard, daher muss man schon bei der Auswahl des Mailprogramms darauf achten, dass diese Methode der Mailverschlüsselung unterstützt wird. Da ich selbst auch kein Android-User bin, kann ich hier leider auch keine Installationanleitung schreiben.

Das hier beschriebene S/MIME basiert auf den von Webseiten her bekannten Zertifikaten. Soll diesen öffentlich vertraut werden, so benötigt man hierfür ein Zertifikat einer öffentlichen Zertifikzierungsstelle (PKI - Public Key Infrastructure). Für geschlossene Benutzergruppen ist es auch möglich, eine eigene (private) PKI zu betreiben und deren Zertifikate zu benutzen.

Ein Zertifikat zu Beschaffen ist eigentlich eine einfache Sache. Ich schreibe jedoch bewußt "eigentlich", da die Meisten hier nicht bereit sind, Geld zu investieren. Ein enstsprechendes Zertifikat kostet bei den meisten Anbietern zwischen 20€ und 60€ pro E-Mail-Adresse pro Jahr.
Mir ist hiervon lediglich eine Ausnahme bekannt. Der italienische Anbieter Actalis stellt Zertifikate zur S/MIME-Verschlüsselung für die private Nutzung kostenlos aus. Leider ist hier die Erstellung etwas suboptimal (was, erkläre ich im Verlauf weiter unten), aber einen Tod muss man leider sterben. Nichtsdestotrotz werde ich diesen Anbieter für meine Beschreibung hier verwenden, so dass ihr direkt ohne finanziellen Einsatz mit der Verschlüsselung loslegen könnt.

Benutzt den unten stehenden Button, um auf die Seite von Actalis zu kommen, über die die E-Mail-Zertifikate beantragt werden können.

Ihr müsst auf der Seite ein wenig nach unten scrollen, dort seht ihr den neben stehenden Kasten. Mit dem Klick auf Apply for a free S/MIME certificate kommt ihr dann auf das Formular, mit dem ihr das Zertifikat beantragen könnt.

Actalis Website

Im Formular müsst ihr zunächste eure E-Mail-Adresse angeben, für die das Zertifikat ausgestellt werden soll. Diese muß funktionieren und ihr benötigt Zugriff darauf im weiteren Verlauf der Beantragung.

Den Haken bei Ich bin kein Roboter müsst ihr ebenso setzen und danach i.d.R. ein kleines Bilderrätsel lösen. Ist das Rätsel gelöst, so wird die Schaltfläche SEND VERIFICATION EMAIL freigeschaltet.

Nach wenigen Minuten solltet ihr eine E-Mail mit einem Verifikationscode erhalten. Diesen kopiert ihr in das dafür vorgesehene Eingabefeld. Den Nutzungsbedingungen und den speziellen Klauseln müsst ihr zustimmen, dann wird die Schaltfläche SUBMIT REQUEST freigeschaltet.

Euer Zertifikat wird nun erstellt, das kann einen kleinen Moment daueern.

Abschließend bekommt ihr auf der Webseite euer persönliches Kennwort angezeigt, das zur Installation des Zertifikates benötigt wird. Ich empfehle, diese Seite entweder als (verschlüsseltes) PDF zu sichern oder diese Seite auszudrücken und sicher zu verwahren.

Euer Zertifikat wird euch als PFX-Datei im sog. PKCS#12-Fomat (Standardformat zur verschlüsselten Speicherung des öffentlichen sowie privaten Keys als auch den Stammzertifikaten in einer einzigen Datei) per E-Mail zugestellt.

Ich hatte eingangs geschrieben, dass der Prozess leider etwas suboptimal gelöst ist.

Normalerweise funktioniert die Zertifikatsvergabe so, daß ich zunächst bei mir lokal einen privaten Schlüssel anlege auf dessen Basis ein sog. CSR (Certificate Signing Request/Anfrage zur Signierung durch eine Vergabestelle) ersetllt wird. Dieser CSR wird dann bei der Vergabestelle eingereicht und man erhält den öffentlichen Schlüssel von dort. Die Vergabestelle sieht also euren privaten Schlüssel (der später zum Entschlüsseln der Mails verwendet wird) nie.

Im Fall von Actalis wird jedoch der private Schlüssel für euch auch von der Vergabestelle erstellt. Das bedeutet, dass es in der Theorie möglich ist, dass die Vergabestelle eine Kopie des vollständigen Schlüsselpaares vorhält und ggf. eure Mails entschlüsseln könnte. Ebenso könnte das Schlüsselpaar an beliebige andere Personen weitergegeben werden.
Das bedeutet, daß man hier schon ein Minimum an Vertrauen gegeüber der Zertifizierungsstelle haben sollte.

Die Zertifikate, die ihr für die Mailverschlüsselung benutzt, müsst ihr nebst dem zugehören Kennwort gut aufheben. Auch wenn die Zertifikate abgelaufen sind, werden sie weiterhin noch benötigt, müssen also ggf. bei einem Computerwechsel auch wieder installiert werden.

Die Mailprogramme entschlüsseln die E-Mails immer nur zum Anzeigen. Die Mail selbst bleibt verschlüsselt in eurem Postfach liegen. Wollt ihr also auf eine ältere E-Mail zugreifen, die mit einem der abgelaufenen Zertifikate verschlüsselt wurde, so wird auch das alte Zertifikat benötigt um die Mail wieder zu öffnen.

Nun, da wir uns ein Mailzertifikat beschafft haben, muß dieses noch dem Mailprogramm bekannt gemacht werden. Dies ist unter macOS denkbar einfach.

Nach einem Doppelklick auf die PFX-Datei (ggf. muss das ZIP-Archiv erst noch durch Doppelklick entpackt werden), die ihr in der Mail von Actalis erhalten habt, werdet ihr noch dem Passwort für die Datei gefragt. Hier gebt ihr das persönliche Kennwort ein, das euch nach dem Absenden des Antrages auf der Webseite von Actalis angezeigt wurde.

Nach erfolgter Installation wird das Programm Schlüsselbund geöffnet. Dort wechselt ihr in der linken Leiste auf Anmeldung und wählt den Tab Meine Zertifikate aus. Hier sollte euch nun das Zertifikat angezeigt werden.

Wenn ihr alles Richtig gemacht habt, dann sind jetzt ein kleines Schloß-Symbol (zum Verschlüsseln einer Mail) und ein kleiner Stern (zum Signieren einer Mail) rechts in der Betreff-Zeile zu sehen. Vorausgesetzt, ihr habt unter Von: den Mailaccount ausgewählt, für den ihr das Zertifikat installiert habt. Eventuell werdet ihr noch gefragt, ob das Programm Mail auf euren Schlüsselbund zugreifen darf. Am einfachsten ist es, ihr klickt hier "immer erlauben", dann werdet ihr nicht jedesmal gefragt, wenn ein Signier-, Verschlüsselungs- oder Entschlüsselungsvorgang durchgeführt werden soll.

E-Mails verschlüsseln könnt ihr jedoch erst dann, wenn ihr den öffentlichen Schlüssel desjenigen bekommen habt, mit dem ihr verschlüsselten Mailverkehr etablieren wollt. D.h. ihr müsst auch eurem Kollegen euren öffentlichen Schlüssel zukommen lassen. Dies geschieht am einfachsten, wenn ihr eurem Kollegen eine signierte Mail schickt.
Erhaltet ihr eine signierte Mail, so wird das entsprechende Zertifikat automatisch bei euch im Schlüsselbund abgelegt. Die dort gespeicherten Zertifikate werden von Mail erkannt und bei einem Match mit einer Mailadresse, die ihr anschreibt, wird Mail die E-Mail verschlüsselt senden. Dies wird euch optisch durch ein geschlossenes, blaues Schloß in der Betreffzeile signalisiert. Ist noch kein Zertifikat für den Empfänger vorhanden, so wird das Schloß offen dargestellt.
In jedem Fall ist es sinnvoll, die Mail zu signieren, so dass euer Mailpartner euer Zertifikat erhält.

Ungleich komplizierter ist es, ein E-Mai-Verschlüsselungszertifikat unter Windows in Outlook einzubinden. Ich nutze hier die nicht mehr ganz aktuelle Version 2016, in den neueren Versionen sollte der Vorgang allerdings sehr ähnlich funktionieren.

Leider musste ich in der Vergangenheit schon oft feststellen, das die automatische Auswahl des Zertifikatsspeichers unter Windows nicht vernünftig funktioniert. Daher sollte zunächst die Konsole Benutzerzertifikate verwalten geöffnet werden.

Hierzu klickt ihr auf das Windowssymbol um das Startmenü zu öffnen, dann fangt ihr an zu tippen. Der eingegebene Text wird unter dem Startmenü angezeigt und die Suchergebnisse oben angezeigt. Wenn unter dem Punkt Einstellungen der EIntrag Benutzerzertifikate verwalten auftaucht, klickt ihr einfach darauf.

Ihr navigiert in der Baumansicht auf der linken Seite zu dem Punkt Zertifikate unter Eigene Zertifikate. Dann klickt ihr mit der rechten Maustaste in einen freien Bereich im rechten Fenster und wählt unter Alle Aufgaben den Punkt Importieren... aus.

Es wird der Importwizzard geöffnet, ich werde hier nur die Fenster zeigen, in denen etwas eingestellt werden muss.

Im Schritt Zu importierende Datei wählt ihr mittels dem Durchsuchen...-Button die von Actalis erhaltene PFX-Datei aus.

Im Schritt Schutz für den privaten Schlüssel wird euer persönliches Kennwort benötigt, das euch Actalis auf der Webseite bei Anforderung des Zertifikats angezeigt hat.

Die Importotionen haben folgende Auswirkungen:
Hohe Sicherheit... Diese Option sorgt dafür, dass ihr bei jeder Nutzung des Schlüssels, sprich bei jedem Signatur-, Entschlüsselungs- und Verschlüsselungsvorgangs, ein Kennwort eingeben müsst.
Schlüssel als exportierbar... Wird dieser Haken gesetzt, könnt ihr ggf. später einmal euer vollständiges Verschlüsselungszertifikat exportieren, um es evtl. auf einen neuen Computer, Tablett oder Smartphone zu übernehmen.
Alle erweiterten... Es werden alle Optionen des Zertifikates mit übernommen. Dies sollte auf alle Fälle gemacht werden.

Der Rest ist nur noch Weiter, Weiter, Fertig stellen.

In Outlook ruft ihr unter Datei die Optionen auf.

Die Optionen sollten unabhängig vom eingerichteten Kontotyp gleich sein.

In den Optionen wählt ihr auf der linken Seite Trust Center und dann den Button Einstellungen für das Trust Center. Unter Verschlüsselte E-Mail-Nachrichten im Menüpunkt E-Mail-Sicherheit wird festgelegt, ob Mail standardmäßig signiert und/oder verschlüsselt werden sollen.
Während ich empfehle dass Mails standardmäßig signiert werden, birgt die Option ... ausgehende Nachrichten verschlüsseln ein Problem mit sich: Ist für den Empfänger kein Zertifikat zum Verschlüsseln bekannt, so wir die Mail nicht etwa einfach unverschlüsselt versandt, sondern es wird eine Fehlermeldung angezeigt und ihr müsst die Verschlüsselung für die Mail händisch abschalten.

Das Zertifikat wird über den Button Einstellungen konfiguriert.

Wenn ihr nur ein (gültiges) Zertifikat besitzt, sollte dieses hier automatisch erkannt und unter Signaturzertifikat und Verschlüsselungszertifikat angezeigt werden.

Habt ihr evtl. mehrere Zertifikate für verschiedene Konten, so müsst ihr über den Auswählen...-Button das oben installierte Zertifikat auswählen.

Damit wäre die Konfiguration von Outlook abgeschlossen. Erstellt ihr eine neue E-Mail, so stehen euch jetzt unter dem Menüpunkt Optionen die Schaltflächen Verschlüsseln und Signieren zur verfügung.

Während es bei macOS und Windows relativ einfach ist abzuschätzen, welches die verbreitesten Mailprogramme sind, ist das unter Linux schon wesentlich schwierigen zu sagen. Eine "Standardinstallation" gibt es hier schon aufgrund der Vielzahl der verschiedenen Distributionen nicht. Daher nehme ich hier einfach beispielhaft meine eigene Installation. Ich betreibe ein Debian 11 "Bullseye" mit einem KDE Plasma Windowmanager.

Das hier vorinstallierte Mailprogramm ist KMail, welches ich auch benutze. Daher wird im folgenden die Installation für dieses Programm gezeigt.

Zunächst einmal muss auch unter Linux das Zertifikat in den persönlichen Zertifikatsspeicher importiert werden. Dies geschieht unter der von mir genutzten Distribution mittels des Dienstprogrammes Kleopatra. Dieses war in meiner Standardinstallation nicht enthalten, daher musste ich es erst noch nachinstallieren. Hierfür habe ich das Dienstprogramm Apper genutzt.

Ist das Programm Kleopatra installiert und gestartet klickt ihr einfach auf Importieren... in der Menüleiste.

Der Import-Dialog wird geöffnet. Ihr selektiert die .PFX-Datei, die ihr von Actalis erhalten habt und bestätigt dies mittels Öffnen.

Ihr gebt euer persönliches Kennwort ein, das euch Actalis auf der Webseite bei Anforderung des Zertifikats angezeigt hat.

Es folgt ein zweiter Dialog zur Eingabe eines Passwortes. Mit diesem Passwort schützt ihr den Zugriff auf das Zertifikat. Es muss bei jedem Zugriff auf das Zertifikat eingegeben werden, also für jeden Signier-, Entschlüsselungs- und Verschlüsselungsvorgang.

Ihr könnt die beiden Felder auch einfach leer lassen und den Importvorgang mit "OK" abschließen.

In KMail geht ihr zunächst auf Einstellungen und wählt dort KMail einrichten. Unter Zugänge findet ihr euren Mail-Account. Über den Button Ändern... öffnet ihr die Einstellungen des Accounts.

Im Reiter Kryptografie selektiert ihr sowohl unter S/MIME-Signaturzertifikat als auch unter S/MIME-Verschlüsselungszertifikat euren von Actalis erhaltenen Schlüssel. Die Haken bei Automatisch Signieren und Automatisch verschlüsseln sollten gesetzt werden. Das Mailprogramm ist so intelligent, daß es erkennt, ob für den angeschriebenen Kommunikationspartner ein öffentlicher Schlüssel vorhanden ist oder nicht.

Weiterhin empfehle ich, in den KMail-Einstellungen unter dem Punkt Sicherheit das automatische Entschlüsseln der Mail beim Betrachten als auch das automatische Importieren von Schlüsseln und Zertifikaten zu aktivieren.

In jedem Fall ist es sinnvoll, die Mail zu signieren, so dass euer Mailpartner euer öffentliches Zertifikat erhält.

Natürlich will man seine E-Mails auch unterwegs lesen und schreiben können, da gehört heute schon fast zum guten Ton. Wie fast alle anderen Mailprogramme auch, unterstützt Apple Mail unter iOS/iPadOS die Mailverschlüsselung per S/MIME auch nativ.

Der schwierigste Part hierbei ist es, das Zertifikat sicher auf das iPhone zu übertragen. Apple lässt leider keine direkten Dateiübertragungen per Kabel zu, jedenfalls nicht mit Bordmitteln. Daher ist es leider notwendig, die .PFX-Datei entweder über eine Cloudlösung auf das iPhone/iPad zu übertragen oder es sich sst per E-Mail zu schicken. Ich verwende hierfür iCloud Drive, da ich mehr Vertrauen in eine Firma habe, die ihr Geld mit Hardware und Abos verdient als eine Firma, die ihr Geld mit Informationen ihrer Benutzer macht.

Zunächst einmal muss das Zertifikat, wie bei allen ander Systemen auch, installiert werden. Da ich iCloud Drive verwende, muss ich hierfür die Dateien-App auf dem iPhone öffnen. Hier drücke/klicke ich einfach auf das Zertifikat.

Eventl. werde ich in einem Zwischenschritt noch gefragt, auf welchem Gerät ich das Zertifikat installieren möchte. Hier müsst ihr natürlich das iPhone/iPad auswählen.

Damit ist die Übertragung des Zertifikates abgeschlossen und es kann nun in den Einstellungen installiert werden.

In den Einstellungen navigiert ihr zu Einstellungen -> Allgemein -> VPN und Geräteverwaltung.

Hier findet ihr das gerade übertragene Zertifikat. Warum Apple Zertifikate als Profile bezeichnet, kann ich leider nicht beantworten, aber unter dem Punkt Geladenes Profil -> Identitätszertifikat läßt sich das geladene Zertifikat installieren.

Die Installation ist recht einfach. Es muss einfach das Zertifikat angetippt werden, danach rechts oben auf Installieren. Es folgt eine Abfrage eures Passcodes des Gerätes, um zu verifizieren, dass hier niemand versucht, irgendwelche Zertifikate unterzuschieben.

Es folgt nachmals ein Sicherheitshinweis, daß iOS/iPadOS keine Signatur für das Zertifikat findet. Daher verlangt es noch zweimal mit Installieren zu bestätigen. Als nächstes müsst ihr das Kennwort eingeben, das ihr bei der Beantragung des Zertifikats auf der Actalis-Seite bekommen habt, eingeben.

Hiernach folgt die Bestätigung, dass das Zertifikat installiert wurde.

Jetzt, nachdem das Zertifikat korrekt installiert ist, muss es noch für Mail verfügbar gemacht werden. Hierzu öffnet ihr die iCloud-Einstellungen. recht weit unten findet ihr die Einstellungen für Mail. Dort geht ihr in die Erweiterten EInstellungen. Hier befinden sich die Settings für Signieren und Standardmäßig verschlüsseln.

Ihr müsst hier das Signieren und Standmäßig verschlüsseln aktivieren. iOS/iPadOS ist so interlligent, dass bei der Einstellung Standardmäßig verschlüsseln nur jeweils diejenigen Mails verschlüsselt werden, für die auch ein Zertifikat des Kommunikationspartners vorhanden ist. Dies wir euch beim Erstellen der Mail durch ein geschlossenes blaues Schloß (verschlüsseln) oder rotes offenes Schloß (nicht möglich zu verschlüsseln) angezeigt.

Habt ihr mehrere Zertifikate installiert (für mehrere Mailadressen oder abgelaufene Zertifikate für den Zugriff auf alte Mails), so müsst ihr unter Signieren und Standardmäßig verschlüsseln das richtige, aktuelle Zertifikat anhaken. Ihr könnt euch nähere Infos über den (i)-Button anzeigen lassen, um das richtige Zertifikat zu erkennen.

In jedem Fall ist es sinnvoll, die Mail zu signieren, so dass euer Mailpartner euer öffentliches Zertifikat erhält.

Mailverschlüsselung mit S/MIME

Related Articles

Sichere Passwörter

Edge for Linux - Rootzertifikat importieren

Warum Security