E-Mail Verschlüsselung mit S/MIME
Fr, 9. Dezember 2022, Lioh Möller
Eine Verschlüsselung von E-Mails mit GPG ist vielen bekannt, wird jedoch oftmals als komplex angesehen und überfordert insbesondere Einsteiger trotz guter Einrichtungsassistenten.
Als Alternative kann S/MIME genutzt werden, ein Standard welcher der Verschlüsselten Kommunikation im Internet, beispielsweise beim Aufruf einer Webseite ähnelt. Dabei wird die Sicherheit durch eine zentrale Zertifizierungsstelle wie Let's Encrypt gewährleistet, indem diese den öffentlichen Schlüssel signiert und bei einer Abfrage einer Webseite die Signatur mit dem Browser bekannten Zertifizierungsstellen verglichen wird.
Leider bietet Let's Encrypt bisher keine S/MIME Zertifikate zur E-Mail Verschlüsselung an und die meisten kommerziellen Zertifizierungsstellen verlangen einen jährlichen Betrag für ein Zertifikat. Lediglich der italienische Anbieter Actalis offeriert aktuell kostenfrei ein für ein Jahr gültiges S/MIME Zertifikat.
Zur Beantragung öffnet man zunächst den Online Assistenten, und gibt die E-Mail Adresse an, für die ein Zertifikat ausgestellt werden soll.
Daraufhin wird an die angegebene Adresse eine E-Mail mit einem Bestätigungscode versendet der im 2. Schritt des Assistenten angegeben werden muss.
Abschliessend wird ein Passwort ausgegeben, welches zur weiteren Einrichtung benötigt wird. Es wird empfohlen dieses an einem sicheren Ort aufzubewahren.
Das eigentliche Zertifikat wird nach einiger Zeit im Zip-Archiv an die angegebene Adresse versendet. Auch dieses sollte langfristig an einem sicheren Ort gespeichert werden.
Nach dem Entpacken erhält man eine Datei im Typ PKCS#12, welche im E-Mail Client der Wahl importiert werden kann (sofern dieser S/MIME unterstützt). In Thunderbird öffnet man dazu zunächst die Einstellungen des entsprechenden Kontos durch einen Rechtsklick auf den Kontonamen in der Kontenübersicht über den Punkt Einstellungen.
Im Bereich Ende-zu-Ende-Verschlüsselung wählt man den Punkt S/MIME-Zertifikate verwalten. Dies öffnet die integrierte Zertifikatsverwaltung. Über den Reiter Ihre Zertifikate, lässt sich die PKCS#12 Datei importieren. Dabei wird das zuvor ausgegebene Passwort abgefragt.
Das Zertifikat kann nun für die digitale Unterschrift und zur Verschlüsselung ausgewählt werden.
Es empfiehlt sich ausserdem den Punkt Unverschlüsselte Nachrichten digital unterschreiben auszuwählen. Somit kann auch ohne Verschlüsselung beim Gegenüber die Eigentümerschaft des Zertifikates überprüft werden.
Die Einrichtung von S/MIME ist in wenigen Schritten erledigt. Für Android stehen Clients wie FairMail oder r2mail2 zur Verfügung, welche den Standard unterstützen.