Auf Mastodon ansehen
Heute dreht sich alles um ein wichtiges Thema: E-Mail-Sicherheit. Wir wissen, wie essenziell es ist, unsere Kommunikation zu schützen. Deshalb zeige ich euch, wie ihr die E-Mail-Verschlüsselung mit S/MIME in Thunderbird einrichten könnt. Ich habe mich für S/MIME entschieden, da es von allen gängigen E-Mail-Programmen unterstützt wird und sehr einfach einzurichten ist.
S/MIME E-Mail-Verschlüsselung
SSL/TLS ist ein Verfahren, das euch vielleicht schon von sicheren Webseiten (HTTPS) bekannt ist. Und S/MIME setzt genau auf dieses etablierte Protokoll auf. Um es in Thunderbird nutzen zu können, benötigt ihr ein entsprechendes Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird. Aktuell gibt es nur wenige Anbieter, die kostenlose S/MIME-Zertifikate anbieten. Ein empfehlenswerter Anbieter ist Actalis aus Italien, der ein 1 Jahr gültiges Zertifikat für den privaten Gebrauch kostenlos zur Verfügung stellt.
Um das Zertifikat zu erhalten, besucht das Actalis S/MIME Portal. Der erste Schritt ist, eure E-Mail-Adresse anzugeben und eine Bestätigungsmail anzufordern.
Die Bestätigungsmail kommt zwar in italienischer Sprache, aber keine Sorge – der entscheidende Teil für das Zertifikat ist leicht zu finden. Kopiert den enthaltenen Code und gebt ihn in das entsprechende Feld auf der Webseite ein. Ihr müsst nur noch den Datenschutzbestimmungen zustimmen, und schon könnt ihr euer Zertifikat erstellen. Ein Passwort wird generiert, welches ihr später für den Import des Zertifikats in Thunderbird benötigt.
Das erstellte Zertifikat wird euch in einer E-Mail als ZIP-Archiv zugesendet. Speichert es auf eurem Desktop und entpackt es. Jetzt wechseln wir zu Thunderbird, um das Zertifikat über den Punkt Einstellungen / Zertifikate Verwalten zu importieren. Achtet darauf, zuerst auf "Ihre Zertifikate" zu klicken, bevor ihr mit dem Import beginnt. Nach dem erfolgreichen Import müsst ihr das Zertifikat für das Signieren und Verschlüsseln von E-Mails auswählen. Ich persönlich möchte standardmäßig keine E-Mails verschlüsseln, sondern nur bei Bedarf. Aber ich werde alle E-Mails, auch die unverschlüsselten, digital signieren, um meine Identität als Absender zu bestätigen.
Um die Einrichtung zu testen, könnt ihr jetzt eine neue Nachricht an euch selbst schicken und die Optionen für S/MIME-Verschlüsselung und Digitale Signatur aktivieren. Der Betreff bleibt unverschlüsselt, während der Inhalt der E-Mail verschlüsselt und signiert wird.
S/MIME-Verschlüsselung bietet eine erhebliche Sicherheit für unsere Kommunikation und ist denkbar einfach einzurichten. Teilt dieses Video gerne mit Freunden und Bekannten, damit auch sie von S/MIME profitieren können! Denkt daran, dass S/MIME von gängigen E-Mail-Programmen unterstützt wird und sowohl unter Windows als auch macOS ohne Zusatzprogramme gut funktioniert.
Ich freue mich auf eure Rückmeldungen und Erfahrungen in den Kommentaren. Bleibt sicher und bis zum nächsten Mal!
Hinweis: Für Menschen, die lieber lesen, als Videos anzuschauen, gibt es die Anleitung auch in Textform.
Kritik: Der entscheidende Punkt bei den S/MIME-Zertifikaten von Actalis ist, dass der private Schlüssel auf den Servern von Actalis erstellt wird. Das bedeutet, dass Actalis theoretisch die verschlüsselten E-Mails entschlüsseln könnte, weil sie den Schlüssel speichern. Da der private Schlüssel, wie der Name schon sagt, in diesem Fall nicht privat ist und vom Anbieter erstellt wurde, muss man Actalis ein gewisses Vertrauen entgegenbringen. Letztendlich muss jeder für sich selbst entscheiden, ob er diesem Anbieter vertraut.
TuxWiz
Hast du Lust, das Linux-Betriebssystem auf eine unterhaltsame Weise kennenzulernen? Dann schau unbedingt auf meinem YouTube-Kanal TuxWiz vorbei! ✨
Ich habe speziell für Einsteiger eine Playlist erstellt, die dich Schritt für Schritt durch die aufregende Welt von Linux und Freier Software führt. Also starte von Anfang an – du wirst sehen, wie viel Spass es macht!
Die Linux-Lernvideos bauen auf meiner Debian GNU/Linux basierenden Distribution SpaceFun auf. Viele der bei Einsteiger_innen beliebten Linux-Distros wie Mint, MX Linux oder Ubuntu stammen ebenfalls aus dieser kosmischen Familie. Falls du eine andere Distro nutzt, keine Sorge – die grundlegenden Mechanismen sind universell und lassen sich problemlos übertragen.
Ich freue mich auch, wenn du mir auf Mastodon folgst. Dort erfährst du immer sofort, wenn es etwas Neues zu entdecken gibt.
Mein Kanal auf YouTube: https://www.youtube.com/@tuxwiz
Die Einsteiger-Playlist: https://www.youtube.com/playlist?list=PLJlnbs0kQiZiWks57CPOoCOnUlFwbZWQp
Hmm, also da finde ich es besser, auf GnuPG/PGP zu setzen. Zwar können die Empfänger die E-Mails dann nicht out-the-box verifizieren, aber dafür hat man selbst die volle Kontrolle über die Verschlüsselung. Das ist bei einem Anbieter für Zertifikate doch eher nicht gegeben.
Und die Tatsache, dass diese beim genannten Anbieter kostenlos und nur ein Jahr gültig sind, macht es auch nicht gerade besser.
Das ist sicher auch eine ausgezeichnete Möglichkeit. Hauptsache, du bist sicher im Netz unterwegs und kommunizierst verschlüsselt mit deinen Freunden und der Familie.
Ich habe PGP schon ewig und bin davon überzeugt. Tatsache ist aber, dass es kaum verbreitet ist und S/MIME beim Verkehr mit Behörden etc. Verwendung findet. Also: so isses eben. Wenn man der Zertifizierungsstelle nicht traut, knn man bei der Bundesdruckerei ein teures Zertifikat ordern. ! Jahr ist ok. Bei meinem SSL für meinen Webserver sind es 3 Monate (mit automatischer Verlängerung).
Also die Verschlüsselung hat der Zertifikats-Anbieter eigentlich nicht unter Kontrolle. Die läuft direkt zwischen Sender und Empfänger. Der Zertifikats-Anbieter zertifiziert nur dass der Schlüssel auch zu mir, bzw. meiner Mail-Adresse gehört. Kryptographisch unterscheiden sich die beiden Verfahren nicht gross. Eher organisatorisch.
Vorausgesetzt natürlich, man hat dem Schlüssel selber auf dem eigenen Rechner erstellt, alles andere ist natürlich Humbug.
Auch OpenPGP-Keys sollten nicht ewig gültig sein, sondern höchsten ein oder zwei Jahre.
Sehr cooles Video, danke dafür!
Sehr cooles Video, dankesehr! Übrigens, was dagegen, wenn ich deine Videos irgendwo bei mir untegriere? Sauber verlinkt natürlich!
Hallo Lioh, der Beitrag / das Video zeigt das mit S/MIME sehr gut. Bei mir ist der Ablauf bei Actalis zwar ein wenig anders gewesen, aber das ist im Kern erst mal egal. Was zumindest aber für mich nicht geht, und das fehlt in Deinem Video, ist die Erstellung meines Private Keys durch die Firma Actalis. Ich müsste der IT, deren Aussagen, ... zu 100% vertrauen. Für mich schließt sich beim Thema Verschlüsselung eine blindes 100%-Vertrauen auf eine Firma aber leider aus. Sorry. Habe das auch auf Mastodon hier https://social.tchncs.de/@angry/113334418564648475 in einem Antwort-Thread mit Screenshots erläutert. Viele Grüße
Klar, kannst du gerne machen.
Geht doch viel einfacher. Bei Tuta (früher Tutanota) sind auf Wunsch mit einem Mausklick die Mails verschlüsselt. Auf den Servern liegen diese auch in voll verschlüsselter Form. Nicht einmal Tuta kann darauf zurückgreifen. Ebenso ist keine Mailapp wie Thunderbird, Geary, Evolution o.ä. nötig. Läuft auf dem Phone, auf Linux, Window und MAC.
Dabei handelt es sich nicht um eine echte Ende-zu-Ende Verschlüsselung. Es wird lediglich die Mail auf eine oftmals nicht vollständig dokumentierte Weise verschlüsselt und dem Empfänger ein Link zum Inhalt sowie ein Passwort (meist auf dem gleichen Kanal) zugestellt.
Danke für den Tipp, Lioh. Einen Schönheits- oder besser Sicherheitsfehler gibt es dabei aber leider. Nämlich, dass das Zertifikat bei Actalis erzeugt und per Mail zugesandt wird und die eiserne Grundregel bei Verschlüsselung lautet ja: Niemals, nie und gar nicht den eigenen Schlüssel hergeben. Denn damit lässt sich natürlich alles fälschlich signieren und entschlüsseln.
Das sollte bedacht werden, wenn sich jemand dort ein Zertifikat holt.
Das wurde mittlerweile angepasst. Neu wird das Zertifikat über das Portal heruntergeladen.
Aber es wird ja nicht lokal erzeugt sondern bei Actalis und somit ist die Vertrauenswürdigkeit nicht gewährleistet.
Wäre mal interessant, wieviele Leute heute für die Kommunikation mit Freunden noch E-mail verwenden. Ich schätze mal, das machen ca. 90 % nur noch mit Messengern, Verschlüsselung inklusive.
Danke für den Artikel S/MIME. Es hat prima funktioniert, bis auf das Warten auf das Zertifikat. Nach Erhalten des Passwortes wartete ich und wartete ... Auf der Webseite sah ich dann "Active". Bei genauem Hinsehen sah ich den Link zum Herunterladen des Zertifikats. Dann war alles klar:-) Danke Rupert
Vielen Dank für das Video!
Die Mail gilt heute immer noch als das Kommunikationsmedium, nicht nur im Berufsleben, sondern auch im Privaten. Klar das kurze Nachrichten entsprechend über Messenger ausgetauscht werden, aber längere Sachverhalte mit Anhängen sind halt auch noch notwendig.
GnuPG/PGP ist klasse, nur mit Hürden für den normalen Anwender versehen. Es braucht eine Extra-Software, die auch noch in den meisten Fällen mit Outlook klappen muss, was nicht so ohne Weiteres funktioniert (gibt es überhaupt ein PlugIn für Outlook?).
Wie es Lioh beschreibt, funktioniert S/MIME ohne Zutun sofort mit jedem Mail-Client. Obwohl die Technik dahinter fast die gleiche ist, wie bei GnuPG. Es gibt einen privaten und öffentlichen Schlüssel. Und die Stimmen, wo eine Unsicherheit beschrieben wird, wo der private Schlüssel mit bei den CAs vorliegt, sind nachvollziehbar.
Es gibt aber einen Weg, sein Schlüsselpaar an seinem Rechner anzulegen, um dann den öffentlichen Schlüssel quasi als Antrag (Certificate Signing Request) für ein S/MIME-Zertifikat bei der CA zu nutzen. Die CA muss diesen Weg nur unterstützen. Ich habe dazu mal einen Artikel geschrieben: https://www.trommelspeicher.de/blog/smime-zertifikat-im-selbstversuch
Heute nutze ich mein S/MIME-Zertifikat, um jede Mail zumindest digital zu unterschreiben. Wo es auch geht, zusätzlich verschlüsselt - auf der Empfängerseite muss dann ebenfalls ein S/MIME-Zertifikat vorliegen, um verschlüsselt zu kommunizieren. GnuPG und S/MIME sind leider inkompatibel.
Ohh, das ist ja mega toll! Das habe ich damals gar nicht mitbekommen, dass du dazu was geschrieben hast. Sehr hilfreich und durchaus auch wert, hier nochmals publiziert zu werden. Magst du es vielleicht über das Artikelformular einreichen?
https://wiseid.com/ von der Schweizer Firma WISeKey finde ich dazu schon noch erwähnenswert. Kostet zwar ein paar wenige Franken, für zwei Jahre, aber dafür auch mit Identitätsnachweis. Schlüsselgenerierung wahlweise im Browser, CSR file-upload oder Serverseitig-generiert.
Wird wiseid von Windoof-Nutzern mit Outlook automatisch akzeptiert? In meinem Thunderbird finde ich Wiseid nicht unter den CAs (dafür finde ich Wisekey, ist das dieselbe Firma?
Gäbe es auch eine Möglichkeit über CAcert ein S/MIME Zertifikat zu bekommen? Da wäre eine Anleitung hilfreich.
Die CA wird in den Browsern nicht mehr akzeptiert. Leider.
Ich bin mir nicht sicher, ob der Verein noch existiert, aber schon damals lag die Notwendigkeit vor, manuell das Root-Zertifikat ins Betriebssystem zu bekommen, weil es nicht Bestandteil des Betriebssystems ist (unter macOS und Windows zumindest) damit das eigene S/MIME-Zertifikat geprüft werden konnte. Das stellt zwar für einen kleinen Kreis von versierten Benutzer:Innen kein Problem dar, für die Fläche aber schon.
Oder über Let's Encrypt?
Let's Encrypt stellt keine S/MIME -Zertifikate fur den Mail-Austausch aus.
Wer einen Posteo-Account hat, kann sich für 3,65/Jahre darüber ein S/MIME-Zertifikat bei Certum erstellen.
Da wäre noch dieses Projekt hier zu nennen: https://volksverschluesselung.de/faq.php
Wenn ich das richtig verstanden habe gibt es hier die Nachteile das die Software zum erstellen der Schlüssel aktuell nur auf Windows läuft und das die CA nicht überall akzeptiert wird. Aber eine Linux und Mac Version soll geplant sein.
Die aber leider auf deutsche Staatsbürger mit e-Personalausweis beschränkt ist.
Wieder mal ein sehr gutes Video zu einem sehr wichtigen Thema. Vielen Dank, liebe Lioh! 😊