Praxis & Tipps | FAQ

Dušan Živadinović

Verschlüsselt mailen

Antworten auf die häufigsten Fragen

S/MIME-Absicherung

Wie wird verhindert, dass ein Hacker, der eine mittels S/MIME signierte Mail von mir bekommen hat, diese Signatur in seinen Mails verwendet und sich damit als „Ich“ ausgibt?

Da gibt es mehrere Absicherungen. Die wichtigste: Ihre Signatur enthält nicht Ihren privaten, sondern nur Ihren öffentlichen Schlüssel und ein digitales Zertifikat. Das Zertifikat beglaubigt, dass dieser öffentliche Schlüssel dem Absender gehört. Zusätzlich enthält die Signatur eine Prüfsumme der gesamten Mail. Diese Prüfsumme ist mit Ihrem privaten Schlüssel verschlüsselt. Man kann sie nur mit dem zugehörigen öffentlichen Schlüssel entschlüsseln und lesen. Der Empfänger erzeugt dann selbst eine Prüfsumme der Mail und vergleicht sein Ergebnis mit dem mitgeschickten. Sind die Ergebnisse identisch, gilt die Mail als unverfälscht.

Der Clou ist nun: Die von Ihnen verschickte Prüfsumme lässt sich zwar mit Ihrem öffentlichen Key entschlüsseln, aber sie kann nur mit Ihrem privaten Key verschlüsselt worden sein. Ein Angreifer könnte also sehr wohl den öffentlichen Schlüssel nehmen und damit Mails in Ihrem Namen abschicken. Er kann aber die Prüfsumme nicht mit dem zugehörigen privaten Schlüssel verschlüsseln. Somit lässt sich allein mit dem öffentlichen Schlüssel keine gültige S/MIME-Mail erzeugen.

Das ginge nur, wenn der Angreifer in den Besitz Ihres privaten Keys käme. Deshalb ist es besonders wichtig, den privaten Key nicht aus den Händen zu geben.

Gültigkeit festlegen

Ich habe wie in c’t 22/12 auf Seite 160 beschrieben, ein selbstsigniertes Zertifikat auf Windows mittels Ihrer Musterdatei erzeugt. Anders als Zertifikate von kommerziellen Anbietern ist das selbstsignierte aber nur ein Jahr gültig. Wie kann ich Zertifikate mit längerer Gültigkeit erzeugen?

Die Gültigkeit, zum Beispiel 20 Jahre, legt man mit diesen beiden Zeilen fest

ValidityPeriodUnits=20
ValidityPeriod=years

Tragen sie sie unter die Zeile SMIME=TRUE ein. So werden die Einheit (Jahre) und die Anzahl der Einheiten definiert (20). Man kann statt years auch months oder weeks einsetzen und natürlich auch andere Einheitenmengen. Ein aktualisiertes Inf-Datei-Muster finden sie über den c’t-Link www.ct.de/1222160 unter „Software/Listings auf heise online“.

Zertifikatswahl

Ich habe entsprechend dem Artikel in c’t 22/12 selbst ein Zertifikat auf meinen Mac erstellt. Wenn ich nun zwei Zertifikate habe, eines von einem Dienstleister und ein selbsterstelltes, wie kann ich das erwünschte auswählen?

Das stellt man auf dem Mac im Schlüsselbund und auf iOS in den Mail-Einstellungen ein. Auf dem Mac gehen Sie so vor: Öffnen Sie den Schlüsselbund, klicken Sie auf „Meine Zertifikate“ und dann mit der rechten Maustaste auf das Zertifikat, das Apple Mail verwenden soll. Öffnen Sie den Dialog „Neue Identitätseinstellung“ und tragen Sie im Feld „Ort oder E-Mail-Adresse“ die Mail-Adresse ein, für die das Zertifikat benutzt werden soll. Klicken Sie auf „Hinzufügen“ und starten Sie Apple Mail neu, damit es die Einstellungen übernimmt.

Auf iPhones und iPads gehen Sie so vor: Öffnen Sie die Einstellungen und den Bereich „Mail, Kontakte, Kalender“. Tippen Sie auf das Mail-Konto und dann auf die Account-Einstellungen für das jeweilige Konto. Öffnen Sie den Bereich „Erweitert“ (letzte Option unten) und navigieren Sie nach ganz unten zum Bereich „S/MIME“. Tippen Sie nacheinander auf „Signieren“ und „Verschlüsseln“ und wählen Sie das jeweilige Zertifikat aus. Wenn die Zertifikate wie im Beispielbild gleich bezeichnet sind, tippen Sie rechts auf den weißen Pfeil im blauen Kreis, um sich die Details anzeigen zu lassen. Navigieren Sie nun zwei Menüseiten zurück und schließen Sie die Änderungen über den Befehl „Fertig“ ab (rechts oben).

Fliegender Wechsel

Zertifikate haben in der Regel eine beschränkte Gültigkeit, sodass Sie ab und zu erneuert werden müssen. Die Umstellung auf ein neues klappt in Apple Mail aber nicht reibungslos. Normalerweise trägt man für das neue Zertifikat im Schlüsselbund die Identitätseinstellung im Feld „Ort oder E-Mail-Adresse“ ein, tippt also die Mail-Adresse ein, für die das Zertifikat ausgestellt ist, und startet Apple Mail neu, sodass es das Neue verwendet. Das klappt aber nicht zuverlässig.

Man kann sich damit behelfen, zunächst das alte Zertifikat als p12-Datei zu exportieren und später zu reimportieren. Achten Sie darauf, ein starkes Passwort zu vergeben und merken Sie es sich, weil es sich ohne Passwort nicht mehr importieren lässt. Speichern Sie den Schlüssel auf keinen Fall als cer-Datei, weil diese den privaten Schlüssel nicht enthält; da sie keine schützenswerte Fracht enthält, wird dafür auch kein Passwort abgefragt. Stellen Sie sicher, dass der Import des Zertifikats und des privaten Schlüssels auf einem anderen Benutzerkonto oder einem anderen Rechner klappt. Löschen Sie dann das alte Zertifikat aus dem Schlüsselbund.

Danach verknüpft das Betriebssystem das neue Zertifikat mit dem zugehörigen Mail-Konto. So werden neue E-Mails schon mal mit dem neuen Zertifikat signiert und verschlüsselt.

Damit Sie alte E-Mails lesen können, brauchen Sie das alte Zertifikat. Importieren Sie also die p12-Datei und starten Sie Mail neu, damit es die Änderungen übernimmt. Wenn sich im Laufe der Zeit etliche Zertifikate ablösen, können Sie die alten, die Sie nur zum Lesen alter Mails brauchen, in einen separaten Schlüsselbund legen, der auch nur nach Passworteingabe geöffnet wird. So geht man ganz sicher, dass die alten Zertifikate nicht versehentlich benutzt werden. (dz)

Artikel kostenlos herunterladen

Kommentare

Anzeige