Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME | Journals | MacTechNews.de


Alle Meldungen rund um OS X Yosemite
Dienstag, 2. Juli 2013 - 11:57 Uhr·PokerTH - Texas Hold'em auf dem Mac

Digitaler Briefumschlag: Einstieg - Emails verschlüsseln mit S/MIME

Die Verschlüsselung mit S/MIME zeichnet sich dadurch aus, dass dieses Verfahren von der Mehrzahl aller Mail-Programmen "Out-Of-The-Box" unterstützt wird. Auch unter Mac OS X und iOS. Um diese nutzen zu können, benötigt man nur ein Zertifikat für seine Mail-Adresse.

Ich überspringe einfach mal ausführliche Erklärungen und demonstriere dies am Beispiel, wenn man die Mac OS X Bordmittel also Mail und Safari verwendet.

Einrichtung
Das ist ganz einfach. Es sind nur 3 Schritte:
  • Die Seite eines Trustcenters mit Safari öffnen und Angaben wie Name und Mail eintragen.
  • Die erste Mail wie angegeben zurückschicken oder nur den Link anklicken.
  • Zweite Mail: Den Link anklicken und mit OK bestätigen, damit man das Zertifikat speichert.

Fertig. - Nur noch Apple Mail beenden und wieder starten.

Hinweise:
  • Beim Namen die Umlaute, also das ö, als bspw. oe eingeben.
  • Die Mailadresse immer exakt wie im Mailprogramm verwendet eintragen.
  • Die Schritte am selben Rechner ausführen.

Ab jetzt kann man seine Mails über diese beiden Schalter verschlüsseln und signieren.
Bild von http://i.imgur.com/OOaJVtN.png

Ist doch wirklich einfach. Die häufigsten Fehler werden in der Praxis nur durch Umlaute im eingegebenen Namen oder Großbuchstaben in Mailadressen verursacht. Natürlich benötigt jeder Teilnehmer ein eigenes Zertifikat für seine Mailadresse.
____________________________________________________________________________

more...


Anwendung
In der Regel kann man diese beiden Schalter dauerhaft eingeschaltet lassen.

Signatur-Schalter:
Hiermit signiert man eine Mail. Diese Funktion erfüllt verschiedene Aufgaben, von der uns hier nur eine Interessiert: Dem Empfänger wird damit ermöglicht uns verschlüsselt zu antworten. - Daher ist dieser Schalter gewöhnlich immer an

Verschlüsseln-Schalter:
Hiermit verschlüsselt man eine Mail. Dieser Schalter wird nur aktiv, wenn wir von unserem Kommunikationspartner erstmailg eine signierte Mail erhalten haben. - Deswegen kann auch dieser Schalter immer an sein.


Zertifikate
Das Zertifikat eine Art "Etikett", dass beim Zuordnen des Schlüssels hilft. Das Mailprogramm weiss damit z.B.: Dieser Schlüssel gehört zu Eurer Mailadresse. - Mehr hier:

Die Zertifikate und Schlüssel werden von OS X im sog. Schlüsselbund verwaltet. Möchte man diese auf einen anderen Rechner nutzen, reicht es die Dateien aus dem Verzeichnis ~/Library/Keychains/ zu kopieren.

Tip: Es ist generell ratsam ein Backup seiner .keychain-Dateien im Falle eines Laufwerkdefekts im Schrank liegen zu haben.

Alte Zertifikate und Schlüssel hebt man auf und löscht sie nicht. Mit ihnen kann man ältere Mails lesen. Und es ermöglicht, dass jemand damit eine Nachricht verschlüsselt, auch wenn er nicht das aktuelle Zertifikat besitzt. Beim Versenden verwendet Mail automatisch das aktuellste verfügbare Zertifikat im Schlüsselbund von OS X.


Vertrauen
Ein häufiger Irrtum: Man muss keine Zertifikate staatlicher Trustcenter benutzen. Es geht auch mit Zertifikaten von privaten CAs. Ebenso mit offenen oder gemeinnützigen CAs. Und ebenso mit
selbstsignierten Zertifikaten.

Das im Beispiel genutzte Trustcenter befindet sich in den USA. Wer diesem misstraut kann sich auch bei Trustcentern in anderen Ländern (, ), oder auch bei gemeinnützigen Trustcentern () das Zertifikat ausstellen lassen.

Mit Mail nutzbare Zertifikate findet man noch an anderen Stellen. Bspw. die Provider hushmail und web.de stellen diese für die Mailadressen ihrer Nutzer aus. Jedoch auch die privaten Schlüssel. Daher rate ich persönlich davon ab.

Und selbstsignierte Zertifikate können bspw. mit Hilfe von OpenSSL oder auch bequem mit dem OS X Zertifikatsassistent erstellt werden. Ebenso könnte man ein eigenes Trustcenter () z.B. für die Familie betreiben.
Bild von http://i.imgur.com/YCW5YAE.png


Links:
  • Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein? (t3n)
  • Brief mit Siegel: Mail-Verschlüsselung auf dem Rechner und mobil. (c't)
  • Kostenlos verschlüsseln auf dem iPhone.


Anmerkung
Die o.g. Sachverhalte sind aus Gründen Nachvollziehbarkeit ggfs. vereinfacht dargestellt.


to be continued...

(10989 Aufrufe)

0
0
0
55

Kommentare

Stefan S.
Super, Danke!
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
Stefan S.
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
iCode
Stefan S.
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?
Früher ging das.

Ich denke da spricht auch heute nichts dagegen.
iCode
iCode
Ich denke da spricht auch heute nichts dagegen.
Diese Vermutung bitte mit Vorsicht genießen, ich habe es nicht getestet.
teacup
2 Fragen:

Hat von euch jemand CACert-Zertifikate in Betrieb, bzw. es geschafft, die auf dem iPhone zum Laufen zu bekommen?

Verstehe ich das richtig, dass "Encrypt: On" auf dem iPhone für alle E-Mails des Accounts gilt und ich nicht bei jedem E-Mail einzeln entscheiden kann, ob es verschlüsselt (sic!) wird?
iCode
teacup
Verstehe ich das richtig, dass "Encrypt: On" auf dem iPhone für alle E-Mails des Accounts gilt und ich nicht bei jedem E-Mail einzeln entscheiden kann, ob es verschlüsselt (sic!) wird?
Ja, es gilt für den Account, aber nicht für alle Emails. - Betrachte es wie eine Automatik. Es werden die Mails verschlüsselt, deren Empfänger das unterstützen.
iCode
Ergänzung:
Im Prinzip kannst Du das auf dem iPhone pro Empfänger entscheiden.

Es gilt, wenn man eine signierte Mail von einem Kommunikationspartner erhält, signalisiert er damit eindeutig, dass er gerne verschlüsselt kommunizieren würde.

Ablauf:
Wenn man das nun auch möchte, installiert man einfach sein Zertifikat.
  • Man tippt auf den Absender der Mail "Zertifikat anzeigen" und Installieren.

Ab dann werden die Mails von sich an diesen User verschlüsselt verschickt. Mach man hingegen nichts, werden diese natürlich weiterhin unverschlüsselt versendet.
sierkb
Stefan S.
Kann man OpenPGP und S/Mime nebeneinander installiert haben und benutzen?

Ja, das geht und ist so vorgesehen. Das OpenPGP Plugin für Mail.app bietet dafür z.B. einen kleinen Button am oberen rechten Rand des Composer-Fensters beim Verfassen einer neuen email an, der Dich wählen lässt zwischen OpenPGP und S/MIME.
Stefan S.
Danke sierkb!
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
baschdie
Danke für die Anleitung. Wobei ich nicht glaube, dass es die Schlapphüte hindert die Mails zu lesen, sie brauchen höchstens länger ...

Wie Zertifikate in iOS importiert werden, steht hier:
FloMac
Erstmals möchte ich mich für die tolle Anleitung bedanken. Ich habe ein Punkt, welchen ich nicht verstehe: Das Zertifikat läuft genau nach einem Jahr aus. Was muss ich dann tun? Ein neues Zertifikat erstellen? Ist das neue mit dem alten Zertifikat kompatibel?
iCode
baschdie
Danke für die Anleitung. Wobei ich nicht glaube, dass es die Schlapphüte hindert die Mails zu lesen, sie brauchen höchstens länger ...
Es ist für mich ein digitaler Briefumschlag. D.h Ich schütze meine digitale Post vor neugierigen Blicken.

Denn mal unabhängig von Regierungen und Geheimdiensten; geht auch den Sys-Admin, den Arbeitgeber meiner Frau oder meinen Provider den Inhalt meiner Post nichts an.
baschdie
Wie Zertifikate in iOS importiert werden, steht hier:
Guter Hinweis werde ich im Journal verlinken.
iCode
FloMac
Erstmals möchte ich mich für die tolle Anleitung bedanken.
Freut mich wirklich sehr. Ich halte mich selbst immer für keinen guten Erklär-bär.
FloMac
Ich habe ein Punkt, welchen ich nicht verstehe: Das Zertifikat läuft genau nach einem Jahr aus. Was muss ich dann tun? Ein neues Zertifikat erstellen?
Ja, Genau. Das kann man aber auch schon vorher machen. Ein Woche. Einen Monat.
FloMac
Ist das neue mit dem alten Zertifikat kompatibel?
Ich hoffe ich habe die Frage richtig interpretiert:

Mail verwendet automatisch das jeweils aktuellste Zertifikat.
Die beeinträchtigen sich nicht, und koexistieren friedlich neben einander.
And-Y
Mal ganz blöd gefragt... Apple hat ja bereits zugegeben das die NSA Zugriff auf iCloud Daten hat. Wenn der Schlüssel nun auf meinem Mac liegt, könnten die den dich ganz einfach ziehen oder haben ihn vielleicht schon durch einen Trojaner erhalten.

Dann nutzt doch die ganze Verschlüssung nichts.
iCode
a.) Deswegen sollte man generell keine vertraulichen Dinge (Schlüssel, Passworte, AuthTokens, etc.) in irgendwelche Cloud-Services packen.

b.) Die Verschlüsselung schützt noch vor vielen anderem Missbrauchsfällen. Der Überwachung durch den Arbeitgeber oder Ausforschung durch einen Konkurrenten. Oder die Schnüffelei des Ex-Freundes.

c.) Wenn man wirklich das Ziel eines Nachrichtendienstes ist, muss man sich erstmal Gedanken über ein vertrauenswürdiges System machen. Und zwar abseits von Mac OS X, Windows, iPhone und Android Installation zerstören.
iCode
MTN
Dieses Zeitlimit für Korrekturen nervt übrigens gewaltig.
iCode
Korrektur:

er letzte Satz sollte lauten:
c.) Wenn man wirklich das Ziel eines Nachrichtendienstes ist, muss man sich erstmal Gedanken über ein vertrauenswürdiges System machen. Und zwar abseits von Mac OS X, Windows, iPhone und Android, und wie man deren bisherige Installation sicher zerstört.
iCode
P.S.:
Stefan S.
Selbst der Innenminister rät den Bundesbürgern nun, sich mit E-Mail-Verschlüsselung auseinanderzusetzen
noch irgendwer Fragen?
And-Y
Also wenn ich das richtig verstanden habe, dann hat die NSA auf alle US Systemen weitgehend Zugriff. Ich geh jetzt mal davon aus, dass alles was auf einem Rechner mit Internetanschluss liegt auch abgerufen werden kann.

Klar ist jede Verschlüsselung besser als keine. Aber mal ganz ehrlich.... Seit den PGP Hochzeiten vor 10 Jahren habe ich nichts mehr verschlüsseltes bekommen. Auch in den letzten zwei Monaten nicht

Ich werde jetzt mal so einen s/MIME Teil holen und beruflich ein paar Mails abschicken. Mal sehen ob das irgend ein "oha" Erlebnis hervorruft.
iCode
Ich benutze S/MIME seit knapp 10 Jahren und habe über 100 Kontakte die es nutzen.
And-Y
iCode
Ich benutze S/MIME seit knapp 10 Jahren und habe über 100 Kontakte die es nutzen.

Du bist bestimmt geschäftlich im IT Bereich unterwegs oder?

Habe viel mit Banken zu tun und selbst da gibts nix... Manchmal bekomme ich sogar ganz schön vertrauliche Daten so zugemailt von denen...
iCode
Ja. Die Vermutung ist korrekt.

Ich hatte aber früher mal mit Finanzdienstleistern zu tun. Deren IT ist stellenweise als "historisch" zu bezeichnen.
matt.ludwig
iCode
Ja. Die Vermutung ist korrekt.

Ich hatte aber früher mal mit Finanzdienstleistern zu tun. Deren IT ist stellenweise als "historisch" zu bezeichnen.

Die darf man nicht mal IT schimpfen.

Vielen Dank für die Anleitung
langweiler
Wie gut funktioniert das ganze denn mit mehreren Clients? Funktioniert die Erkennung von Kontakten, mit denen man an einem Client bereits verschlüsselt kommuniziert hat auch problemlos auf anderen Clients?
HanSolo68
Ich bin wie beschrieben vorgegangen.

Bei mir landet das Zertifikat (.p7b) immer in Zertifikate und nicht in "Meine Zertifikate". Und Mail will mir die Buttons einfach nicht anbieten (ich habe das Zertifikat von Comodo bereitstellen lassen).

Was mache ich da falsch?
HanSolo68
Habs rausbekommen. Den Schritt 1 habe ich auf einem anderen Rechner gemacht.
iCode
langweiler
Wie gut funktioniert das ganze denn mit mehreren Clients? Funktioniert die Erkennung von Kontakten, mit denen man an einem Client bereits verschlüsselt kommuniziert hat auch problemlos auf anderen Clients?
Ja, wenn die vorausgegangenen Mails auf dem Server verfügbar sind ist das kein Problem. Eine signierte Mail reicht schon.

Bei IMAP ist das immer der Fall. Und bei POP kann man das ja einstellen.
iCode
HanSolo68
Habs rausbekommen. Den Schritt 1 habe ich auf einem anderen Rechner gemacht.

Die Stolperfalle kannte ich noch nicht.
Ich nehme es mal zu den Hinweisen auf.
Stefan S.
Wo wird das Schlüsselpaar generiert, weißt Du das?
Auf meinem Rechner, so wie bei OpenPGP in den GPGTools oder auf den Rechnern der Zertifizierungsstellen?
(Letzteres wäre ja nun nicht soooo sicher…?)
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
iCode
Stefan S.
Wo wird das Schlüsselpaar generiert, weißt Du das?
Ja. Lokal auf deinem Rechner.
Stefan S.
Auf meinem Rechner, so wie bei OpenPGP in den GPGTools
Ganz genau.
Stefan S.
oder auf den Rechnern der Zertifizierungsstellen? (Letzteres wäre ja nun nicht soooo sicher…?)
Das wäre sehr schlecht.
Stefan S.
Das Generieren der Schlüssel macht man im Browser? Zumindest schaut das 1.Bild danach aus, oder hat die Einstellmöglichkeit Private Key Options nichts damit zu tun?
Ist das dann ein JS?
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
Stefan S.
Unter 3.1 schreibt er,
3.1. Zunächst müssen wir das unter 2.1 importierte Schlüsselpaar in einem anderen Format (*.p12) exportieren
täuscht er sich?
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
iCode
Stefan S.
Unter 3.1 schreibt er,
3.1. Zunächst müssen wir das unter 2.1 importierte Schlüsselpaar in einem anderen Format (*.p12) exportieren
täuscht er sich?
Ich kann den Link nicht öffnen. Da kommt ein 404.

Aber zum Transport eines privaten Schlüssels verwendet man PKCS#12 (.p12). Also z.B. wenn man diesen auf ein anderes Gerät (bspw. iPhone) kopieren will.
iCode
Stefan S.
Das Generieren der Schlüssel macht man im Browser?

Die Schlüssel werden vom System generiert. Aber das löst man im Browser aus.

Stefan S.
Zumindest schaut das 1.Bild danach aus, oder hat die Einstellmöglichkeit Private Key Options nichts damit zu tun?

Ich kann den Link auch nicht öffnen: The requested URL ... was not found on this server.

Stefan S.
Ist das dann ein JS?

Nein. Es gibt ein spezielles Control dafür.

Das sieht von Browser zu Browser auch verschieden aus. Hier kann man das sehen:
Stefan S.
Der Link oben geht (wieder). Das war Link von ganz oben von Andreas Prang.

D.h. das Schlüsselpaar wird vom Betriebssystem erstellt, angestoßen durch einen Funktionsaufruf im Browser? D.h. man muss Apple und dem Browserhersteller vertrauen, aber nicht den CAs?
(Oder gleich zu Linux wechseln...)

Danke, iCode!
„Manning, Snowden & Levison sind Helden und Obama stinkt.“
iCode
Stefan S.
Der Link oben geht (wieder). Das war Link von ganz oben von Andreas Prang.
Kommt wieder ein 404. Apache/2.2.8 (Ubuntu) ... etc.

Auf der Homepage steht nur "It works!"

Stefan S.
D.h. das Schlüsselpaar wird vom Betriebssystem erstellt, angestoßen durch einen Funktionsaufruf im Browser? D.h. man muss Apple und dem Browserhersteller vertrauen, aber nicht den CAs?
Korrekt.

Bei den Browsern kann man sich aber den Source ansehen.

Stefan S.
(Oder gleich zu Linux wechseln...)
Genau.
Stefan S.
Danke, iCode!
Gerne.
langweiler
Weiß jemand, wie ich in Mail nach bereits vorhandenen Zertifikaten in empfangenen Mails suchen kann? Bei Mails, die ich seit der Einrichtung bekomme, sehe ich ja, ob ein Zertifikat angehängt ist. Es könnte ja sein, das sich in den alten Mails bereits Kontakte mit Zertifikat verstecken, und es wäre ja schön zu wissen, wer einem schon mal ne signierte Mail geschickt hat. Google-Suche hat leider nichts gebracht.
iCode
Zertifikate werden von Keychain verwaltet. D.h. auch empfangenen Zertifikate solltest Du alle im Schlüsselbund sehen.

Beispiel:
Bild von http://i.imgur.com/4r5oXSQ.png
stephanr
eine Frage hab ich:

sollte Mail nicht in den "Kopfdaten" der Mail unter Absender/Empfänger/Betreff nicht die Sicherheit anzeigen? Bei mir tut es das nicht...

Mountain Lion
iCode
Korrekt. Das sieht dann eigentlich so aus.

Bild von http://i.imgur.com/20cg6Jp.png
stephanr
richtig, tut es aber nicht. Bei früheren Zertifikaten (die mittlerweile abgelaufen sind), sieht es auch so aus, aber mit dem momentanen nicht. Auf dem iPhone allerdings wird mir angezeigt, dass die Mail doch signiert (und oder verschlüsselt ist...)
iCode
Hast Du irgendwelche Mail-PlugIns installiert?
stephanr
nein, hab ich nicht
iCode
Ich habe so ein Phänomen nur bei installiertem GPGMail Plugin oder anderen Mail PlugIns beobachtet.

Evtl. einfach mal Mail neu starten.

Ansonsten Apple einen Bug melden.
iCode
Noch zwei nützliche Quellen beigefügt:
Ein aktualisierter Artikel der c't mit Hintergrund und Beispiel.
Ein Praxis-Artikel der t3n für Mac iPhone und Win8.
langweiler
Noch mal zwei Fragen zu dem Thema:

Ich habe von einem Freund eine signierte Mail erhalten, ich kann auf dessen Mail von Mac (10.8.5) aus nicht verschlüsseln, da er den öffentlichen Schlüssel nicht findet, das Zertifikat jedoch vorhanden ist. Auf dem iphone konnte ich jedoch ohne Probleme antworten. Muss man auf dem Mac noch den öffentlichen Schlüssel aus dem Zertifikat heraus installieren o.ä? Bei nem anderen Bekannten hat das jedoch von Anfang an funktioniert, jedoch ist bei dem, bei dem es nicht funktioniert, das Zertifikat von einer anderen Zertifizierungsstelle.

Und die zweite Frage: Wenn ich eine verschlüsselte Mail schreibe, dann wird ja eine Kopie dieser Mail in meinem Gesendet-Ordner gespeichert. Nachdem ich die Mail dann auch auf dem Mac lesen kann, heisst das, das die Mail unverschlüsselt bei mir auf dem Server im Gesendet-Ordner liegt?
iCode
langweiler
Noch mal zwei Fragen zu dem Thema:
Gerne.
langweiler
Ich habe von einem Freund eine signierte Mail erhalten, ich kann auf dessen Mail von Mac (10.8.5) aus nicht verschlüsseln, da er den öffentlichen Schlüssel nicht findet, das Zertifikat jedoch vorhanden ist. Auf dem iphone konnte ich jedoch ohne Probleme antworten. Muss man auf dem Mac noch den öffentlichen Schlüssel aus dem Zertifikat heraus installieren o.ä? Bei nem anderen Bekannten hat das jedoch von Anfang an funktioniert, jedoch ist bei dem, bei dem es nicht funktioniert, das Zertifikat von einer anderen Zertifizierungsstelle.
Öffne mal die Schlüsselbundverwaltung (/Programme/Dienstprogramme/) und prüfe, dass die verwendete Mailadresse deiner EMail mit der Mailadresse im Zertifikat (RFC 822 Name) deckungsgleich sind.

Die Mailadressen müssen übereinstimmen, inklusive Umlauten und Groß-Kleinschreibung.
langweiler
Und die zweite Frage: Wenn ich eine verschlüsselte Mail schreibe, dann wird ja eine Kopie dieser Mail in meinem Gesendet-Ordner gespeichert. Nachdem ich die Mail dann auch auf dem Mac lesen kann, heisst das, das die Mail unverschlüsselt bei mir auf dem Server im Gesendet-Ordner liegt?
Die EMail liegt verschlüsselt auf dem Server. Nur Mail entschlüsselt diese ad hoc für Dich.
langweiler
Vielen Dank für die schnelle Antwort!
Das erste Problem hat sich inzwischen erledigt und ich kann auch vom Mac aus verschlüsselt schreiben.

Zur zweiten Frage: Ist dann die Mail, die bei mir im Gesendet Ordner liegt, mit meinem öffentlichen Schlüssel verschlüsselt worden? Sonst könnte sie Mail ja nicht für mich entschlüsseln?
iCode
langweiler
Vielen Dank für die schnelle Antwort!
Gerne.
langweiler
Das erste Problem hat sich inzwischen erledigt und ich kann auch vom Mac aus verschlüsselt schreiben.
Was war die Ursache?
langweiler
Zur zweiten Frage: Ist dann die Mail, die bei mir im Gesendet Ordner liegt, mit meinem öffentlichen Schlüssel verschlüsselt worden? Sonst könnte sie Mail ja nicht für mich entschlüsseln?
Das ist anzunehmen, da man die Mails nicht mehr lesen kann, wenn man seine eigenen Schlüssel löscht. Wenn Du eine verschlüsselte Mail auswählst kannst Du Dir sie über die Tastenkomination U auch im Rohformat (also verschlüsselt) ansehen.

Kommentieren

Sie müssen sich einloggen, um diese Funktion nutzen zu können.

Apple-Treff Hamburg (0)
06.09.14 18:00 Uhr
Mac-Treff München (0)
10.09.14 19:00 Uhr
Macintisch Würzburg (0)
10.09.14 19:00 Uhr
IBC2014 (Amsterdam) (0)
11.09.14 - 16.09.14, ganztägig
Oculus Connect (0)
19.09.14 - 20.09.14, ganztägig

Nutzen Sie Windows auf dem Mac?

  • Ja, regelmäßig als normale Installation4,8%
  • Je, regelmäßig über eine Virtualisierungslösung10,5%
  • Hin und wieder als normale Installation9,7%
  • Hin und wieder über eine Virtualisierungslösung26,0%
  • Nicht mehr, brauche inzwischen kein Windows mehr auf dem Mac17,7%
  • Gar nicht, brauche ich grundsätzlich nicht31,3%
1047 Stimmen04.08.14 - 20.08.14
6699