SMIME Zertifikat zum Verschlüsseln von Emails

S/MIME ist neben PGP ein weiterer Standard, um Emails digital zu signieren und / oder zu verschlüsseln. Die digitale Signatur wird verwendet, um die Authentizität zu gewährleisten. Dies bedeutet, dass die Email auf dem Versandweg nicht manipuliert wurde. Verschlüsselt wird der Inhalt der Email, damit Dritte den Inhalt nicht lesen können. Wichtig ist hier zu wissen, dass ausschließlich der Nachrichteninhalt verschlüsselt wird. Betreff sowie die Metadaten bleiben wie auch bei PGP unverschlüsselt. Daher ist es immer ratsam den Betreff einer Email so zu wählen, dass der Inhalt nicht automatisch ableitbar ist, wenn dieser geheim bleiben soll. Genau wie auch bei PGP hat S/MIME diverse Vor- aber auch Nachteile. Ein klarer Vorteil ist die bessere Unterstützung der Mailclients. Gängige Programme wie Thunderbird, Outlook, Apple Mail etc. unterstützen S/MIME nativ, ohne zusätzliche Plug-Ins zu benötigen. Ein deutlicher Nachteil ist der Bezug der öffentlichen Schlüssel, die zur Verschlüsselung benötigt werden. Auch bei S/MIME kommt das asymmetrische Verfahren zum Einsatz.


Es gibt also immer zwei Schlüssel, die benötigt werden. Der private Schlüssel ist der geheime Teil des Pärchens, der nie aus der Hand gegeben werden darf. Damit werden verschlüsselte Mails entschlüsselt, um sie lesbar zu machen. Der öffentliche Schlüssel wird für den Kommunikationspartner benötigt, damit die zu sendende Email verschlüsselt werden kann. Bei PGP können die öffentlichen Schlüssel (Public Keys) auf extra dafür vorgesehene Schlüsselserver geladen werden, damit jeder danach suchen kann. Bei S/MIME gibt es eine solche Möglichkeit aktuell nicht. Wenn der Empfänger seinen Schlüssel also nirgends Online zur Verfügung stellt, hilft es nur explizit danach zu fragen, um den Public Key zu bekommen. Aktuell wird daran gearbeitet, Public Keys über DNS Server automatisch zu verteilen. Bis dies jedoch soweit ist, dass es im großen Rahmen einsetzbar ist, können wir noch ein paar Mal Weihnachten feiern. Dennoch ist der Einsatz von S/MIME gerade für Anwender die weniger technikaffin sind oder die keine Lust auf viel Konfigurationsarbeit haben eine Überlegung wert. Die benötigten X.509 Zertifikate können rein theoretisch auch selbst erzeugt werden. Hierbei besteht jedoch das gleiche Problem wie bei selbst erstellten SSL/TLS Zertifikaten für Webserver. Wenn die ausstellende Zertifizierungsstelle nicht überprüft werden kann, hagelt es Zertifikatswarnungen. Genau diese Meldungen sorgen für reichlich Verunsicherung und erhöhen nicht gerade die Akzeptanz. Daher sollten die Zertifikate von einer offiziellen Zertifizierungsstelle bezogen werden. Dies muss nicht zwangsläufig mit Kosten verbunden sein. Für den privaten Gebrauch reicht es auch aus, sich ein sogenanntes „Class 1“ S/MIME Zertifikat zu holen, welches ein Jahr gültig und kostenlos ist. Hierbei wird nur überprüft, ob die gewählte Emailadresse auch wirklich existiert. Welche Person dahinter steckt wird hier nicht beachtet. Reibungslos und schnell funktioniert nach meiner Erfahrung der Prozess bei COMODO. Der Anbieter ist seit Jahren bekannt und etabliert. Der private Schlüssel wird hier auch weder vom Anbieter erzeugt noch gespeichert, was ein sehr wichtiger Punkt ist. Über folgenden Link, kann direkt das eigene S/MIME Zertifikat erzeugt werden. COMODO Secure Email Certificate
Die Informationen müssen vollständig ausgefüllt und das „Subscriber Agreement“ bestätigt werden. Wichtig ist ein sicheres „Revokation Passwort“. Dies wird benötigt, wenn die Sicherheit des privaten Schlüssels nicht mehr gegeben ist (Verlust, Schadsoftware etc..) und das Zertifikat zurückgezogen werden soll.

Comodo S/MIME Zertifikat

War die Prüfung der eingegebenen Daten erfolgreich, wird ein privater Schlüssel erzeugt, der dazu benötigt wird, das eigentliche S/MIME Zertifikat zu erzeugen.

Comodo S/MIME Zertifikat

Kurze Zeit später sollte eine Email mit Informationen zum Bezug des neuen Zertifikats bei der angegebenen Adresse ankommen.

Comodo S/MIME Zertifikat

Am einfachsten erhält man das S/MIME Zertifikat, wenn in der Email auf „Click & Install Comodo Email Certificate“ geklickt wird. Es öffnet sich ein Browser, der alle weiteren Schritte automatisch ausführt und das neue Zertifikat direkt im Browser importiert.

Comodo S/MIME Zertifikat

Das Zertifikat wird natürlich nicht im Browser benötigt, sondern im entsprechenden Emailclient. Daher muss es exportiert und an einer sicheren Stelle aufbewahrt werden. Der persönliche Schlüssel darf wie erwähnt nicht an Dritte weitergegeben werden.

Comodo S/MIME Zertifikat

Wie das S/MIME Zertifikat zum Verschlüsseln bzw. Signieren von Emails verwendet wird, beschreibe ich in weiteren Blogposts.