Sichere E-Mails mit S/MIME (1/4)

In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.

Teil 1: Grundlagen

Diese Serie handelt davon, wie man seine E-Mail-Kommunikation ganz ohne technische Spezialkenntnisse mit dem Verschlüsselungsstandard S/MIME vor fremden Blicken schützen kann. Dabei wird es nicht um die Frage gehen, ob E-Mails verschlüsselt werden sollten – diese Frage ist aus meiner Sicht in Zeiten groß angelegter Hackerangriffe (erfahre mehr) und umfassender staatlicher Überwachungsprogramme (erfahre mehr) schnell zu beantworten. Doch selbst wenn uns das alles herzlich egal sein sollte, weil wir glauben, dass wir „nichts zu verbergen“ haben: Wir sollten auch bedenken, dass wir nie nur für uns selbst eine Entscheidung treffen. Unsere „eigenen“ Kommunikationsdaten enthalten immer auch Informationen über unsere Kommunikationspartner. Falls uns der Schutz unserer (E-Mail-)Daten gleichgültig ist, sind davon somit nicht nur wir selbst, sondern immer auch andere betroffen (erfahre mehr).

Es gibt zwei verbreitete Standards, nach denen E-Mails signiert und verschlüsselt werden können: PGP (genauer gesagt: OpenPGP, erfahre mehr) und S/MIME. Mit PGP habe ich mich auf diesen Seiten schon mehrfach beschäftigt (erfahre mehr). Der Standard, um den es in dieser Serie geht, S/MIME, beruht auf dem gleichen Grundgedanken wie PGP: der so genannten asymmetrischen Verschlüsselung.

Bei der asymmetrischen Verschlüsselung gibt es immer einen öffentlichen und einen privaten Schlüssel (bzw. Zertifikat). Öffentlicher und privater Schlüssel stehen dabei in einem ähnlichen Verhältnis zueinander wie ein offenes Vorhängeschloss zu einem passenden Schlüssel: Damit für uns bestimmte Inhalte geschützt werden können, verteilen wir Kopien des offenen Vorhängeschlosses (= öffentlicher Schlüssel) an unsere Kommunikationspartner. Diese können die Schlösser zuschnappen lassen, um mit ihnen z. B. kleine Behälter zu verschließen. Nur wir sind aber in der Lage, die Schlösser mit dem passenden Schlüssel (= privater Schlüssel bzw. Zertifikat) wieder zu öffnen.

In einem sehr wichtigen Punkt unterscheiden sich digitale Schlüsselpaare aber von ihren Pendants in der analogen Welt: Vorhängeschlösser sind mit dem richtigen Werkzeug leicht zu knacken. Ganz anders sieht es in der
digitalen Welt aus: Die heutzutage bei der asymmetrischen Verschlüsselung eingesetzten Algorithmen sorgen für eine so starke Verschlüsselung, dass ohne den passenden privaten Schlüssel selbst die aktuell schnellsten Rechner Jahrhunderte bräuchten, um eine Nachricht zu öffnen.

Wie bei allen asymmetrischen Verfahren unterscheidet man daher auch bei S/MIME zwischen einem öffentlichen und einem privaten Schlüssel (bei
S/MIME handelt es sich dabei genau genommen um ein so genanntes
X.509-Zertifikat):

  • Der öffentliche Schlüssel wird verwendet, um eine Nachricht an einen Empfänger zu verschlüsseln (das Vorhängeschloss zuschnappen zu lassen, s. o.).
  • Der private Schlüssel wird für zwei Dinge verwendet: Erstens um an einen selbst gerichtete verschlüsselte Nachrichten zu entschlüsseln (das Vorhängeschloss mit dem passenden Schlüssel zu öffnen, s. o.); zweitens um selbst verfasste Nachrichten zu signieren.

Das wichtigste Merkmal, in dem sich S/MIME von PGP unterscheidet, besteht nun darin, dass bei S/MIME so genannte Zertifizierungsstellen (Certification
Authorities, CAs) die Vertrauenswürdigkeit von Zertifikaten garantieren. Bei PGP macht das zunächst jeder Nutzer selbst – erst später lässt er sich von möglichst vielen anderen Nutzern bestätigen, dass das Schlüsselpaar vertrauenswürdig ist, und er bestätigt dies seinerseits für seine Kontakte. So entsteht bei PGP ein so genanntes „Web of Trust“. Zentrale Zertifizierungsstellen sind bei PGP nicht beteiligt.

Bei S/MIME gibt es insgesamt drei „Klassen“ von Zertifikaten. Sie unterscheiden sich darin, wie gründlich die Zertifizierungsstelle die Daten der Person überprüft, für die das Zertifikat ausgestellt wird:

  • Class 1: Nur die E-Mail-Adresse wird überprüft (über einen Bestätigungslink)
  • Class 2: E-Mail-Adresse, Name und Institution werden überprüft (z. B. über
    eine Ausweiskopie)
  • Class 3: E-Mail-Adresse, Name und Institution werden überprüft (der
    Antragsteller muss sich persönlich ausweisen)

Die zertifizierenden Stellen sind hierarchisch aufeinander bezogen, mit so genannten Root-CAs an der Spitze der Hierarchie. Institutionen wie z. B. Universitäten können als untergeordnete CAs auftreten und selbst Zertifikate an ihre Angehörigen ausstellen. In jedem Zertifikat ist die Information enthalten, auf welche Root-CA es aufbaut (z. B. „Deutsche Telekom Root CA 2“).

S/MIME-Zertifikate sind immer mit genau einer E-Mail-Adresse verknüpft. Firmen, Universitäten oder anderen Einrichtungen, die Zertifikate ausstellen, tun dies in der Regel nur für die berufliche E-Mail-Adresse ihrer Angehörigen. Wie aber bekommt man möglichst einfach und kostenlos ein
Zertifikat für seine private E-Mail-Adresse?

Um diese Frage geht es in Teil 2 der Serie. Lies hier weiter.

Wie sind Deine Erfahrungen mit S/MIME? Hinterlass einen Kommentar!

Findest Du diesen Beitrag interessant?

Unterstütze meine Arbeit mit einer Spende (klicke oben rechts auf „Donate“)

→ Folge mir auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)

→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)

Sichere E-Mails mit S/MIME (1/4) by Jochen Plikat is licensed under CC BY-NC-ND 4.0.

Bildnachweis: Paris – cadenas by MPhotographe is licensed under CC BY-ND 2.0.

10 Gedanken zu “Sichere E-Mails mit S/MIME (1/4)

  1. Pingback: Die Mitleser |

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s