E-Mails gehören trotz sozialer Netzwerke, Chats, etc. immer noch zu einem beliebten Online-Kommunikationsmedium. Den E-Mail-Standard gibt es schon sehr lange – was in der heutigen Zeit auch zu kleineren Problemen führt, was die Datensicherheit anbelangt. E-Mails selbst werden nämlich nicht verschlüsselt – und gerade das würde man sich in Zeiten von Prism und Co. nur allzu gerne wünschen. Das Ganze ist auch relativ simpel von jedem selbst einzurichten und als kleine Hilfe, schreibe ich für euch dieses kleine Tutorial.
Es gibt grundsätzlich zwei Arten von Signatur und Verschlüsselung. Wer etwas mehr über deren Funktionsweise und Unterschiede erfahren möchte, dem sei dieses kleine PDF ans Herz gelegt. Im Nachfolgenden beschreibe ich die Signatur und Verschlüsselung mit Hilfe von S/MIME.
Um S/MIME nutzen zu können, braucht man für jede E-Mail-Adresse erst mal ein X509-Zertifikat, welches man kostenlos z.B. über Comodo bekommt. Dieses Zertifikat hat eine Gültigkeit von einem Jahr und danach muss wieder ein neues erstellt werden. Das Ausfüllen des Formulars sollte selbsterklärend sein. Das „Revocation Password“ dient zum Widerruf des Zertifikats und wird i.d.R. nicht mehr gebraucht von euch, außer man vermutet, dass in falsche Hände gelangt ist und damit Missbrauch betrieben wird. Evtl. noch darauf achten, den Haken für den Newsletter zu entfernen!
Anschließend bekommt ihr eine Mail von Comodo mit den weiteren Infos. Darin enthalten ein Link zum 1-Klick-Installieren des Zertifikats.
Auf diesen einfach klicken und schon öffnet sich eine Firefox-Seite und das Zertifikat wird im Firefox installiert. Um es auch in Thunderbird nutzen zu können, müsst ihr es jetzt noch in Firefox exportieren. Auch das geht relativ simpel – wenn man weiß, wie. Geht dazu unter Firefox in die Einstellungen, dann „Erweitert“ und klickt auf den Tab „Verschlüsselung“. Dort findet ihr den Button „Zertifikate anzeigen“, den ihr ebenfalls klickt. Unter dem Tab „Ihre Zertifikate“ solltet ihr nun das erstellte und installierte Comodo-Zertifikat vorfinden. Klickt darauf und geht dann auf „Sichern…“ und wählt einen beliebigen Speicherort für das Zertifikat aus. Außerdem müsst ihr zum Speichern auch ein Passwort eingeben, welches ihr euch gut einprägen solltet, da es beim Import in Thunderbird (oder anderes Mailprogramm) wieder benötigt wird.
1. Vorgehensweise bei Thunderbird
Öffnet nun Thunderbird und geht wieder auf Extras -> Einstellungen -> Erweitert -> Zertifikate -> „Ihre Zertifikate“ und klickt hier auf Importieren und fügt euer gerade aus Firefox gesichertes Zertifikat ein. Hier muss das Passwort, das beim Export aus Firefox festgelegt wurde eingegeben werden.
Wenn ihr jetzt eine neue Mail verfasst, könnt ihr diese Signieren und Verschlüsseln, indem ihr auf S/MIME oben klickt.
Es erscheint ein Dialog, bei dem ihr nun euer Zertifikat für diese Mailadresse festlegen könnt. Dazu im Feld „Digitale Unterschrift“ auf „Auswählen“ klicken und via DropDown das Zertifikat von Comodo auswählen. Gleiches im Feld „Vershlüsselung“ machen und bei den Standard-Verschlüsselungseinstellungen „Nie“ auswählen.
2. Vorgehensweise bei der Mac OS X – Mail-App
Auch am Mac lässt sich die Zertifikatsdatei ganz einfach installieren. Nehmt dazu einfach die aus Firefox exportierte Zertifikatsdatei und klickt doppelt darauf. Es öffnet sich nun die Schlüsselbundverwaltung, die es ermöglicht das Zertifikat zu installieren. 
Dazu einfach auf „Hinzufügen“ klicken. Nach dem Neustart der Mail-App seht ihr nun 2 neue Buttons, wenn ihr eine E-Mail schreibt – eins fürs Signieren und eins fürs Verschlüsseln.
3. Vorgehensweise bei iOS
Exemplarisch am iPad mit dem neuesten iOS 6.1.2 soll noch gezeigt werden, wie die Installation bei Apples Mobilgeräten funktioniert. Dazu wird zunächst natürlich wieder die Zertifikat-Datei benötigt, das ihr euch am Besten an eure eigene Mail-Adresse als Anhang sendet, welche auch auf dem iPad eingerichtet ist. Tippt dann einfach auf den Anhang am iPad und es öffnet sich automatisch ein Dialog zur Installation des Zertifikats.
Dort auf „Installieren“ tippen und auch im darauffolgenden Popup „Installieren“ auswählen.
Dann euren iPad-Code eingeben und auf „Fertig“ tippen.
Anschließend muss wieder das beim Export aus Firefox angegebene Passwort eingegeben werden.
Im nächsten Schritt müsst Ihr noch auf Einstellungen -> Mail -> Euer Konto -> Erweitert gehen, runterscrollen und S/MIME aktivieren. Hier sollte „Signieren“ an sein und „Verschlüsseln“ auf aus.
Leider gibt es in iOS anscheinend nur diese globale Einstellung und man kann nicht bei jeder Mail angeben, ob sie signiert oder verschlüsselt werden soll. Wenn ihr also eine Mail mal verschlüsseln wollt, müsst ihr die globalen Einstellungen für euer Mail-Konto hier vorm Versenden ändern. Auch speichert die iOS-Mail-App keine Zertifikate von Absendern automatisch. Dazu müsst ihr auf den Absender tippen und dann auf „Zertifikat anzeigen“. Nun könnt ihr das Absender-Zertifikat sichern, was die Übermittlung verschlüsselter Nachrichten an diese Person erlaubt. Warum Apple das S/MIME-Feature so stümperhaft in iOS implementiert hat weiß ich auch nicht – ich hoffe aber, dass es sich in iOS 7 ändert und dort nicht nur hauptsächlich an der Optik geschraubt wurde.
4. Vorgehensweise unter Android
Leider habe ich bei Android mit dem Standard-Mail-Client (unter ICS) keine Möglichkeit gefunden S/MIME zu nutzen. Es gibt wohl einige andere Mail-Apps, die S/MIME unterstützen, leider größtenteils kostenpflichtig. Schade – der Punkt geht dann wohl an Apple.
Das wars – ab sofort könnt ihr eure Mails signieren und bei Bedarf verschlüsseln. Beim Verschlüsseln ist allerdings darauf zu achten, dass man das öffentliche Zertifikat der Person besitzt, der man die E-Mail schreiben möchte. Am einfachsten geht der Austausch der Zertifikate, wenn man sich vor der eigentlichen Mail gegenseitig kurz eine leere, signierte Mail zusendet. Durch das Überprüfen der Signatur holt sich das E-Mail-Programm nämlich automatisch das benötigte Zertifikat – allerdings funktioniert das – wie oben erwähnt – nicht auf iOS-Geräten.
Hier noch ein paar Screenshots der Kopfzeilen der einzelnen Mail-Programme bei signierten Mails:
Thunderbird:
Mail (OS X):
Mail (iOS):
Hallo Alex,
danke für das Tutorial, denn ich selbst nutze Thunderbird und wusste leider nicht, wie man seine Mails verschlüsselt. Aber mit etwas Suche fand ich hier ja Mal eine verständliche Erklärung :)
Besten Gruß
Andi
Danke für die Anleitung. Habe damit das p12 für mein iPhone exportieren können. Läuft :-)
Liebe Grüße
Moritz Hartges
Zur Info: Beim Chinesen (wosign) gibt es ein kostenloses zertifikat für 3 Jahre. Dann muss mans nicht jedes Jahr neu einrichten,
Hi Mike,
danke für die Info – das klingt gut, dadurch „verdrittelt“ sich der Aufwand :)