Da ich, wie an anderer Stelle schon geschrieben, ein Mensch bin, der viel zu verstecken hat, komme ich an einer Verschlüsselung meiner E-Mail-Korrespondenz nicht vorbei. Aktuell sind zwei sozusagen "konkurrierende" Verschlüsselungsmethoden aktuell. Zum Einen ist das die hier beschriebene Variante "S/MIME" (Secure Multipurpose Internet Mail Extension) und zum Anderen ist das "PGP/GPG" (Pretty Good Privacy/GNU Privacy Guard).
Im Grunde sind beide Verfahren etwa vergleichbar, es handelt sich in beiden Fällen um eine asynchrone Verschlüsselung mittels privatem und öffentlichem Schlüssel. Der augenscheinlichste Unterschied ist die Art, in der das Schlüsselpaar erstellt/vergeben wird und die Art der Überprüfung der Signatur.
Ein weiterer, nicht zu vernachlässigender Unterschied ist, dass die S/MIME-Technologie in fast allen modernen Mailprogrammen bereits vorhanden ist und man zur Nutzung keine weiteren Plugins mehr installieren muss. Mir ist lediglich ein modernes Mail-Programm bekannt, in dem diese Funktion nicht ohne "Aufpreis" enthalten ist: Microsoft Windows "Mail". Eine weitere größere Ausnahme bietet hier Android. Hier unterstützten leider nur wenige Mailgramme den S/MIME-Standard, daher muss man schon bei der Auswahl des Mailprogramms darauf achten, dass diese Methode der Mailverschlüsselung unterstützt wird. Da ich selbst auch kein Android-User bin, kann ich hier leider auch keine Installationanleitung schreiben.
Ein weiterer, nicht zu vernachlässigender Unterschied ist, dass die S/MIME-Technologie in fast allen modernen Mailprogrammen bereits vorhanden ist und man zur Nutzung keine weiteren Plugins mehr installieren muss. Mir ist lediglich ein modernes Mail-Programm bekannt, in dem diese Funktion nicht ohne "Aufpreis" enthalten ist: Microsoft Windows "Mail". Eine weitere größere Ausnahme bietet hier Android. Hier unterstützten leider nur wenige Mailgramme den S/MIME-Standard, daher muss man schon bei der Auswahl des Mailprogramms darauf achten, dass diese Methode der Mailverschlüsselung unterstützt wird. Da ich selbst auch kein Android-User bin, kann ich hier leider auch keine Installationanleitung schreiben.
Das hier beschriebene S/MIME basiert auf den von Webseiten her bekannten Zertifikaten. Soll diesen öffentlich vertraut werden, so benötigt man hierfür ein Zertifikat einer öffentlichen Zertifikzierungsstelle (PKI - Public Key Infrastructure). Für geschlossene Benutzergruppen ist es auch möglich, eine eigene (private) PKI zu betreiben und deren Zertifikate zu benutzen.
Ein Zertifikat zu Beschaffen ist eigentlich eine einfache Sache. Ich schreibe jedoch bewußt "eigentlich", da die Meisten hier nicht bereit sind, Geld zu investieren. Ein enstsprechendes Zertifikat kostet bei den meisten Anbietern zwischen 20€ und 60€ pro E-Mail-Adresse pro Jahr.
Mir ist hiervon lediglich eine Ausnahme bekannt. Der italienische Anbieter Actalis stellt Zertifikate zur S/MIME-Verschlüsselung für die private Nutzung kostenlos aus. Leider ist hier die Erstellung etwas suboptimal (was, erkläre ich im Verlauf weiter unten), aber einen Tod muss man leider sterben. Nichtsdestotrotz werde ich diesen Anbieter für meine Beschreibung hier verwenden, so dass ihr direkt ohne finanziellen Einsatz mit der Verschlüsselung loslegen könnt.
Mir ist hiervon lediglich eine Ausnahme bekannt. Der italienische Anbieter Actalis stellt Zertifikate zur S/MIME-Verschlüsselung für die private Nutzung kostenlos aus. Leider ist hier die Erstellung etwas suboptimal (was, erkläre ich im Verlauf weiter unten), aber einen Tod muss man leider sterben. Nichtsdestotrotz werde ich diesen Anbieter für meine Beschreibung hier verwenden, so dass ihr direkt ohne finanziellen Einsatz mit der Verschlüsselung loslegen könnt.
Benutzt den unten stehenden Button, um auf die Seite von Actalis zu kommen, über die die E-Mail-Zertifikate beantragt werden können.
Ihr müsst auf der Seite ein wenig nach unten scrollen, dort seht ihr den neben stehenden Kasten. Mit dem Klick auf Apply for a free S/MIME certificate kommt ihr dann auf das Formular, mit dem ihr das Zertifikat beantragen könnt.
Im Formular müsst ihr zunächste eure E-Mail-Adresse angeben, für die das Zertifikat ausgestellt werden soll. Diese muß funktionieren und ihr benötigt Zugriff darauf im weiteren Verlauf der Beantragung.
Den Haken bei Ich bin kein Roboter müsst ihr ebenso setzen und danach i.d.R. ein kleines Bilderrätsel lösen. Ist das Rätsel gelöst, so wird die Schaltfläche SEND VERIFICATION EMAIL freigeschaltet.
Nach wenigen Minuten solltet ihr eine E-Mail mit einem Verifikationscode erhalten. Diesen kopiert ihr in das dafür vorgesehene Eingabefeld. Den Nutzungsbedingungen und den speziellen Klauseln müsst ihr zustimmen, dann wird die Schaltfläche SUBMIT REQUEST freigeschaltet.
Euer Zertifikat wird nun erstellt, das kann einen kleinen Moment daueern.
Nach wenigen Minuten solltet ihr eine E-Mail mit einem Verifikationscode erhalten. Diesen kopiert ihr in das dafür vorgesehene Eingabefeld. Den Nutzungsbedingungen und den speziellen Klauseln müsst ihr zustimmen, dann wird die Schaltfläche SUBMIT REQUEST freigeschaltet.
Euer Zertifikat wird nun erstellt, das kann einen kleinen Moment daueern.
Abschließend bekommt ihr auf der Webseite euer persönliches Kennwort angezeigt, das zur Installation des Zertifikates benötigt wird. Ich empfehle, diese Seite entweder als (verschlüsseltes) PDF zu sichern oder diese Seite auszudrücken und sicher zu verwahren.
Euer Zertifikat wird euch als PFX-Datei im sog. PKCS#12-Fomat (Standardformat zur verschlüsselten Speicherung des öffentlichen sowie privaten Keys als auch den Stammzertifikaten in einer einzigen Datei) per E-Mail zugestellt.
Euer Zertifikat wird euch als PFX-Datei im sog. PKCS#12-Fomat (Standardformat zur verschlüsselten Speicherung des öffentlichen sowie privaten Keys als auch den Stammzertifikaten in einer einzigen Datei) per E-Mail zugestellt.
Ich hatte eingangs geschrieben, dass der Prozess leider etwas suboptimal gelöst ist.
Normalerweise funktioniert die Zertifikatsvergabe so, daß ich zunächst bei mir lokal einen privaten Schlüssel anlege auf dessen Basis ein sog. CSR (Certificate Signing Request/Anfrage zur Signierung durch eine Vergabestelle) ersetllt wird. Dieser CSR wird dann bei der Vergabestelle eingereicht und man erhält den öffentlichen Schlüssel von dort. Die Vergabestelle sieht also euren privaten Schlüssel (der später zum Entschlüsseln der Mails verwendet wird) nie.
Im Fall von Actalis wird jedoch der private Schlüssel für euch auch von der Vergabestelle erstellt. Das bedeutet, dass es in der Theorie möglich ist, dass die Vergabestelle eine Kopie des vollständigen Schlüsselpaares vorhält und ggf. eure Mails entschlüsseln könnte. Ebenso könnte das Schlüsselpaar an beliebige andere Personen weitergegeben werden.
Das bedeutet, daß man hier schon ein Minimum an Vertrauen gegeüber der Zertifizierungsstelle haben sollte.
Normalerweise funktioniert die Zertifikatsvergabe so, daß ich zunächst bei mir lokal einen privaten Schlüssel anlege auf dessen Basis ein sog. CSR (Certificate Signing Request/Anfrage zur Signierung durch eine Vergabestelle) ersetllt wird. Dieser CSR wird dann bei der Vergabestelle eingereicht und man erhält den öffentlichen Schlüssel von dort. Die Vergabestelle sieht also euren privaten Schlüssel (der später zum Entschlüsseln der Mails verwendet wird) nie.
Im Fall von Actalis wird jedoch der private Schlüssel für euch auch von der Vergabestelle erstellt. Das bedeutet, dass es in der Theorie möglich ist, dass die Vergabestelle eine Kopie des vollständigen Schlüsselpaares vorhält und ggf. eure Mails entschlüsseln könnte. Ebenso könnte das Schlüsselpaar an beliebige andere Personen weitergegeben werden.
Das bedeutet, daß man hier schon ein Minimum an Vertrauen gegeüber der Zertifizierungsstelle haben sollte.
Die Zertifikate, die ihr für die Mailverschlüsselung benutzt, müsst ihr nebst dem zugehören Kennwort gut aufheben. Auch wenn die Zertifikate abgelaufen sind, werden sie weiterhin noch benötigt, müssen also ggf. bei einem Computerwechsel auch wieder installiert werden.
Die Mailprogramme entschlüsseln die E-Mails immer nur zum Anzeigen. Die Mail selbst bleibt verschlüsselt in eurem Postfach liegen. Wollt ihr also auf eine ältere E-Mail zugreifen, die mit einem der abgelaufenen Zertifikate verschlüsselt wurde, so wird auch das alte Zertifikat benötigt um die Mail wieder zu öffnen.
Die Mailprogramme entschlüsseln die E-Mails immer nur zum Anzeigen. Die Mail selbst bleibt verschlüsselt in eurem Postfach liegen. Wollt ihr also auf eine ältere E-Mail zugreifen, die mit einem der abgelaufenen Zertifikate verschlüsselt wurde, so wird auch das alte Zertifikat benötigt um die Mail wieder zu öffnen.